华为防火墙智能选路之主备方式问题与解决方案

华为防火墙智能选路之主备方式问题与解决方案

引用

CSDN

1.

https://blog.csdn.net/weixin_46948473/article/details/142267209

回顾传统选路方式

在讨论主备选路方式的问题之前，我们先回顾一下传统选路的几种方式：

1. 负载均衡：有两条默认路由同时存在路由表，防火墙通过算法自动选择一条线路出去。
2. 主备模式：配置了优先级，比如默认走电信，联通备用。
3. 基于内网的“负载分担”：比如某几个网段走电信，某几个网段走联通
4. 基于ISP选路：比如电信走电信、联通走联通

对于外网线路而言，主要有两种典型的场景：两条外线都是同一个运营商，或者两个外网线路是不同运营商。

主备方式的问题与解决方案

主备方式虽然适用于所有场景，但需要注意以下问题：

1. 线路故障感知：防火墙需要能够感知到主用线路故障，这不仅仅是物理线路的问题，更重要的是连通性问题。
2. DNS问题：在不同运营商的场景下，DNS分配需要特别注意。如果都分配电信的DNS，一旦电信出现问题，切换到联通时可能会导致解析过慢或失败。

解决方案

1. 线路故障感知：通过设置监控点来判断链路的好坏。推荐使用阿里云的DNS（223.5.5.5、114.114.114.114）或百度的DNS（180.76.76.76）作为监控点。在USG防火墙中，推荐使用配置简单的ip-link技术。具体配置方法是在定义时指定目的IP周期性发送探测报文并等待应答，以判断链路是否发生故障。

2. DNS问题：建议使用公有DNS（如阿里云、114或百度的DNS），这样无论从电信还是联通线路出去，都能正常解析，且客户不需要关心DNS的问题。虽然解析速度可能略慢于电信或联通自己的DNS，但能确保网络的稳定性和可靠性。

实际案例：多ISP外网下的主备组网

环境描述

• 内网有两个网段，网关都在核心交换机上
• 防火墙上接了双线路（电信和联通）
• 需求：默认走电信，当电信线路故障时自动切换到联通

核心交换机配置

sysname Core
#  
vlan batch 10 20 255  
#  
dhcp enable  
#  
interface Vlanif10  
ip address 192.168.10.254 255.255.255.0  
dhcp select interface  
dhcp server dns-list 223.5.5.5 114.114.114.114  
#  
interface Vlanif20  
ip address 192.168.20.254 255.255.255.0  
dhcp select interface  
dhcp server dns-list 223.5.5.5 114.114.114.114  
#  
interface Vlanif255  
ip address 192.168.255.1 255.255.255.0  
#  
interfaceGigabitEthernet0/0/1  
port link-type access  
port default vlan 10  
#  
interfaceGigabitEthernet0/0/2  
port link-type access  
port default vlan 10  
#  
interfaceGigabitEthernet0/0/3  
port link-type access  
port default vlan 20  
#  
interfaceGigabitEthernet0/0/4  
port link-type access  
port default vlan 20  
#  
interfaceGigabitEthernet0/0/24  
port link-type access  
port default vlan 255  
#  
ip route-static 0.0.0.00.0.0.0 192.168.255.2

防火墙基础配置

#  
interfaceGigabitEthernet1/0/0  
undo shutdown  
ip address 192.168.255.2 255.255.255.0  
#  
interfaceGigabitEthernet1/0/1  
undo shutdown  
ip address 202.100.1.1 255.255.255.0  
#  
interfaceGigabitEthernet1/0/2  
undo shutdown  
ip address 61.128.1.1255.255.255.0  
#  
firewall zone trust  
set priority 85  
add interface GigabitEthernet1/0/0  
#  
firewall zone untrust  
set priority 5  
add interface GigabitEthernet1/0/1  
add interface GigabitEthernet1/0/2  
#  
security-policy  
rule name internet  
source-zone trust  
destination-zone untrust  
source-address 192.168.10.0 mask255.255.255.0  
source-address 192.168.20.0 mask255.255.255.0  
action permit  
#  
nat-policy  
rule name internet  
source-zone trust  
destination-zone untrust  
action source-nat easy-ip  
#  
ip route-static192.168.10.0 255.255.255.0 192.168.255.1  
ip route-static192.168.20.0 255.255.255.0 192.168.255.1  
#  

主备线路配置

1. 开启ip-link检测并创建监控进程

[USG6000V1]ip-link check enable  
[USG6000V1]ip-linkname dx  
[USG6000V1-iplink-dx]destination223.5.5.5 interface GigabitEthernet1/0/1 mode icmp next-hop 202.100.1.2  

2. 配置默认路由

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.254  
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 61.128.1.254preference 70  

3. 关联ip-link与主路由

[USG6000V1] ip route-static 0.0.0.0 0.0.0.0 202.100.1.2 track ip-link dx  

通过以上配置，当电信线路发生故障时，防火墙会自动切换到联通线路，且切换过程不会导致丢包。

注意事项总结

1. DNS问题：如果双线路不是同一个运营商，建议使用公有DNS下发，以保障线路切换时客户端不受影响。
2. ip-link配置：注意先开启，然后创建ip-link进程，在定义时建议关联接口、模式以及下一跳（拨号口则不需要写下一跳）。
3. 路由优先级：主路由如果不加优先级默认是60，并且直接关联ip-link到主路由，备用路由优先级则必须是60以上。如果使用WEB界面配置，直接填写网关则无法更改优先级，因此双线路且主备情况下建议使用静态路由配置方式。
4. 其余配置：确保接口地址对接以及安全策略、NAT策略配置正确，出现问题时根据之前学到的知识依次排查即可。