Ip-link能做什么?
华为USG防火墙配置ip-link后,该功能可以检测指定的IP地址,检测方式有 ICMP 与 ARP 两种方式,默认为 ICMP 方式,当检测该地址无法访问时,就认为该链路出现问题,随机执行预设好的下一步操作。可以应用于的场景很多,例如双链路备份,策略,路由等等。
要注意的是,该功能只能检测与防火墙端口在同一个网段的地址,而且该地址要是网关的地址。
防火墙如果设置了双链路接入,就可以开启该功能检测首选ISP的网关,当该ISP出现故障时,静态路由能检测这条链路失效(配置两条默认路由),从而自动转到备用ISP链路。
以华为USG6555E防火墙WEB界面配置为例,首先配置移动和电信双链路接入,并且两个接口都加入到untrust区域
策略和NAT里面都要做相应配置(这里就不多做解释),确保两条链路都可以单独上网。
然后开启ip-link功能
ip-link目的是探测防火墙非直连链路是否故障
防火墙发送探测报文后,在三个探测周期内未收到响应报文,则认为当前链路发生故障,IP-Link的状态变为Down。随后,防火墙会进行IP-Link Down相关的后续操作。
这里我们移动链路为主链路,电信为备用链路,我们就检测移动的网关36.XX.XXX.153 .
新建一条列表,填入相应的接口和地址。
当移动链路出现故障,防火墙无法与36.XX.XXX.153之前通信时,ip-link状态就会变成down,电信的备用链路就会被启用。
当移动链路从故障中恢复,防火墙能连续地收到3个响应报文,则认为链路故障已经消除,IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link的状态并不会立即变为Up,而是要等三个探测周期(默认为15s) 才会变为Up。