??????

技术文档
当前位置:技术文档

华为防火墙IPSec主备链路自动切换方案

来源:未知 时间:2020-10-30 13:57
 

       1.防火墙双链路(ISP1、ISP2)与对端数据中心设备建立IPSEC隧道;

  2.当ISP1链路IPSEC隧道存在时,IPSEC业务走该IPSEC隧道传输;

  3.当ISP1链路IPSEC隧道不存在,而ISP2链路IPSEC隧道存在时,IPSEC业务走ISP2 IPSEC隧道传输;

  4.当ISP1链路IPSEC隧道不存在,且ISP2链路IPSEC隧道也不存在时,IPSEC业务仍流在ISP1线路;

  5.现网存在IPSEC隧道断开,但是链路能通且Ping测试也能通的情况。

  解决方案

  解决方案1:基于主备路由备份的IPSEC选路。

  防火墙 <-> 数据中心

  10.10.10.0/24 <->192.168.100.0/24 -IPSEC感兴趣流

  ISP1 <-> 数据中心Tunnel1

  10.10.10.0/24 <-> 192.168.100.0/24

  ip route-static 192.168.100.200 32 ISP1 -192.168.100.200是数据中心设备Loopback地址,作为ISP1链路IPSEC探测使用

  ip-link detect_isp1_ipsec

  destination 192.168.100.200 protocol icmp

  source 10.10.10.1

  ISP2 <-> 数据中心Tunnel2

  10.10.10.0/24 <-> 192.168.100.0/24

  ip route-static 192?168?100?201 32 ISP2 -192?168?100?201是数据中心设备Loopback地址,作为ISP2链路IPSEC探测使用

??????  ip-link detect_isp2_ipsec

  destination 192?168?100?201 protocol icmp

  source 10.10.10.1

  ip route-static 192.168.100.0 24 ISP1 track ip-link detect_isp1_ipsec

??????  ip route-static 192.168.100.0 24 ISP2 preference 100 track ip-link detect_isp2_ipsec

  ip route-static 192?168?100?0 24 ISP1 preference 120

  解决方案2:IPSEC智能选路,基于链路质量探测结果切换链路。

  隧道两端的网关设备有多个公网接口,网关设备之间存在多条可通信的链路。通过在FW_B上配置IPSec智能选路功能,可以实现分支和总部之间多条IPSec隧道动态切换。使用其中一条链路建立IPSec隧道后,网关设备会实时检测已有IPSec隧道的时延或丢包率。在时延或丢包率高于设定的阈值时,动态切换到备用链路上重新建立IPSec隧道。

  FW_B选择一条链路建立IPSec隧道。

  FW_B通过发送ICMP报文检测IPSec隧道的时延或丢包率。当隧道的时延或丢包率高于设定的阈值时,FW_B会拆除当前的IPSec隧道,并选择另一条链路建立IPSec隧道。

  新的隧道建立后,FW_B继续检测隧道的时延或丢包率,如果时延或丢包率仍然高于设定的阈值,FW_B会继续切换链路,直至隧道的时延和丢包率达标或者循环切换次数达到设定的上限值时停止。

  FW还支持高优先级链路自动回切功能,在IPSec隧道因高优先级链路(如图1中的link1)的链路质量不达标被切换到备用链路(如图1中的link2)后持续探测高优先级链路的链路质量,若在一定的回切时延内高优先级链路的质量持续达标,则FW会自动将IPSec隧道回切到高优先级链路上,实现高优先级链路的最大化利用。


上一篇:华为USG6600E WEB界面流量报表为空的解决办法
下一篇:华为防火墙格式化硬盘的方法(清除所有日志报表)
电子标识编号:20181009000069

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服
????APP?? ???3???? ???3???? ???3???? ???3???? ???3??? ???3??? ?????? ????APP?? ???3????