Ip-link能做什麼?
華為USG防火牆配置ip-link後,該功能可以檢測指定的IP位址,檢測方式有 ICMP 與 ARP 兩種方式,預設為 ICMP 方式,當檢測該位址無法通路時,就認為該鍊路出現問題,随機執行預設好的下一步操作。可以應用于的場景很多,例如雙鍊路備份,政策,路由等等。
要注意的是,該功能隻能檢測與防火牆端口在同一個網段的位址,而且該位址要是網關的位址。
防火牆如果設定了雙鍊路接入,就可以開啟該功能檢測首選ISP的網關,當該ISP出現故障時,靜态路由能檢測這條鍊路失效(配置兩條預設路由),進而自動轉到備用ISP鍊路。
以華為USG6555E防火牆WEB界面配置為例,首先配置移動和電信雙鍊路接入,并且兩個接口都加入到untrust區域
政策和NAT裡面都要做相應配置(這裡就不多做解釋),確定兩條鍊路都可以單獨上網。
然後開啟ip-link功能
ip-link目的是探測防火牆非直連鍊路是否故障
防火牆發送探測封包後,在三個探測周期内未收到響應封包,則認為目前鍊路發生故障,IP-Link的狀态變為Down。随後,防火牆會進行IP-Link Down相關的後續操作。
這裡我們移動鍊路為主鍊路,電信為備用鍊路,我們就檢測移動的網關36.XX.XXX.153 .
建立一條清單,填入相應的接口和位址。
當移動鍊路出現故障,防火牆無法與36.XX.XXX.153之前通信時,ip-link狀态就會變成down,電信的備用鍊路就會被啟用。
當移動鍊路從故障中恢複,防火牆能連續地收到3個響應封包,則認為鍊路故障已經消除,IP-Link的狀态變為Up。也就是說,鍊路故障恢複後,IP-Link的狀态并不會立即變為Up,而是要等三個探測周期(預設為15s) 才會變為Up。