基于ip link机制的
线路检测和保护方案的研究和实现
目 录
第1章 背景 .................................................................................................................................... 3 第2章 方案概述 .......................................................................................... 错误!未定义书签。
2.1 负载均衡方案 ................................................................................. 错误!未定义书签。 2.2 非负载均衡线路和业务保护方案 ................................................. 错误!未定义书签。 第3章 总结与优化 ........................................................................................................................ 8
3.1 总结 ................................................................................................................................... 8 3.2 优化 ................................................................................................. 错误!未定义书签。
第1章 背景
近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。
为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护方案。
第2章 线路检测和保护方案
2.1 Ip link线路检测机制
Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。
检测流程如下:
Ip link检测流程链路1x.x.x.x1.定义链路1的检测地址x.x.x.x2.定期ping测试x.x.x.x可达性3.一旦x.x.x.x的不可达,该链路1的状态即为down4.一旦x.x.x.x可达,该链路1的状态恢复为up
图1 ip link检测流程
2.2 基于Ip link线路检测和保护方案
Ip link线路检测机制一般与多种冗余保护机制相配合,实现线路的监控和保护。
2.2.1 双机热备
当设备工作于双机热备份环境时,IP-Link自动检查后发现链路故障影响主备业务,通过配置VGMP管理组监控IP-Link,设备会对VGMP管理组的优先级进行相关调整,触发主备设备切换,从而保证业务能够持续流通。
图2 双机热备环境下的IP-Link链路可达性检查
如图2所示,当位于Untrust区域路由器接口(IP地址为202.38.10.2/24)发生故障,启用IP-link链路可达性检查功能后,系统将会触发主备切换,保证业务正常进行。
2.2.2 虚拟路由器冗余环境
图3 虚拟路由器冗余环境下的IP-Link链路可达性检查
三台设备组成VRRP备份组,如图3所示。配置VRRP监控IP-Link链路后,当IP-Link监视的链路Down时,会改变管理组的优先级,从而引起主备倒换。
2.2.3 静态路由和策略路由冗余环境
当IP-Link自动检查发现链路故障时,设备会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保持业务的持续流通。
图4静态路由环境下的IP-Link链路可达性检查
基于华为防火墙ip link机制的线路检测和切换方案的研究和实现
