防火墙链路检测工具ip-link

1.ip-link技术简介

ip-link的定义

1. IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障
2. FW发送探测报文后，在三个探测周期（默认为15s）内未收到响应报文，则认为当前链路发生故障，IP-Link的状态变为Down。随后，FW会进行IP-Link Down相关的后续操作，例如双机热备主备切换等
3. 当链路从故障中恢复，FW能连续地收到3个响应报文，则认为链路故障已经消除，IP-Link的状态变为Up。也就是说，链路故障恢复后，IP-Link的状态并不会立即变为Up，而是要等三个探测周期（默认为15s）才会变为Up

ip-link的目的

IP-Link主要用于业务链路正常与否的自动侦测，可以检测到与FW不直接相连的链路状态，保证业务持续通畅

ip-link的探测模式

• icmp模式：防火墙向需要探测的IP地址周期性发送ping报文，检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路
• arp模式：防火墙向需要探测的IP地址周期性发送arp请求报文，检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路（或中间经过二层设备转发），该探测方式不受目的IP设备上安全策略影响

如图，防火墙出口有两条可选路由，当主链路出现故障时，防火墙能够快速感知。此时可以配置IP-Link监测出接口链路

2. ip-link的配置（与静态路由联动）

拓补图

1.ip地址的配置，略

2.防火墙区域的划分

firewall zone untrust
add interface GigabitEthernet1/0/1
add interface GigabitEthernet1/0/2

firewall zone  trust 

add interface GigabitEthernet1/0/0

3.安全策略的划分，为了演示实验效果，我现在配置的是允许全部通过，但是在真实的生产环境当中千万不要这样子去进行配置

4.ip-link的配置

ip-link  check  enable 

ip-link  name  huawei

destination 100.1.1.2 interface GigabitEthernet1/0/1 mode icmp

5.静态路由的配置以及联动ip-link

R1：

ip route-static 0.0.0.0 0.0.0.0 10.1.1.10

FW：

ip route-static 3.3.3.3 255.255.255.255 202.1.1.4
ip route-static 3.3.3.3 255.255.255.255 200.1.1.4 preference 50
ip route-static 200.1.1.0 255.255.255.0 100.1.1.2 preference 50 track ip-link huawei  //作为主链路联动ip-link
ip route-static 202.1.1.0 255.255.255.0 101.1.1.3

R2：

ip route-static 0.0.0.0 0.0.0.0 200.1.1.4

R3：

ip route-static 0.0.0.0 0.0.0.0 202.1.1.4

R4：

ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
ip route-static 0.0.0.0 0.0.0.0 202.1.1.3

测试：R1可以ping通R4

在防火墙的g1/0/1和g1/0/2接口上抓包查看数据包的走向，因为现在g1/0/1接口的链路是主链路，所以所有的数据都会往这条链路去走

尝试把主链路down掉之后能不能切换到备用链路，切换的时间多长，这时候流量就都走g1/0/2了，但是这个还是秒级别的，并不是毫秒级别的 

这篇好文章是转载于：学新通技术网