NE20E产品在金融行业外联区链路冗余和故障检测组网方案

发布时间:  2015-10-25 浏览次数:  217 下载次数:  0
问题描述

路由器版本:NE20E-S16: V800R007C10SPC100

组网拓扑如下,防火墙为友商产品做双机热备,两台防火墙和两台NE20E-S16路由器互连采用的是三层IP互连运行OSPF路由协议。两台NE20E路由器互连到外联短信服务器前端的一台二层交换机上。两台NE20E和短信服务器对接用的是VRRP虚拟出一个IP地址做为短信服务器的网关,NE20EVRRP的心跳报文通过两条运营商链路来传递。现要求实现如下功能:联通链路物理down或者是中间传输设备down掉导致联通链路down的情况下数据传输自动切换到电信线路。


处理过程

以下配置均在NE20E-S16上配置

NE20E-S16-A配置BFD单臂echo功能实现单向链路故障检测:

由于BFD单臂回声功能依靠BFD环回报文实现,该报文为IP报文,且报文IP头部的源地址和目的地址均一致,如果对端是一台服务器会丢弃本报问,导致无法建立BFD会话。所以本案例中我们将检测的目的地址设置为交换机上的管理地址有一样的检测效果。

#

bfd

#

bfd toliantong bind peer-ip 192.168.1.4 interface GigabitEthernet0/11/0 one-arm-echo

 discriminator local 4

 process-pst

 min-echo-rx-interval 100

#

配置VRRP跟踪bfd

#

interface GigabitEthernet0/0/1

ip address 192.168.1.2 255.255.255.0

 vrrp vrid 1 virtual-ip 192.168.1.1

 vrrp vrid 1 priority 150

 vrrp vrid 1 track bfd-session session-name toliantong reduced 50

bfd trigger if-down

#

配置静态路由

本场景中路由器的外联接口和短信服务器在同一个IP网段本不需要配置静态路由,在本案例中为了实现在联通链路由于故障切换到电信链路的时候实现防火墙上行流量也切换到电信链路NE20E路由器上避免次优路径的功能。我们通过设置静态路由绑定bfd检测,然后将该条静态路由条目引入到OSPF中来实现。这样当链路故障bfd回话状态down会引起静态路由失效,静态路由失效引起OSPF引入静态失败,这样下行防火墙就不会从原主链路转发数据了。

#

ip route-static 192.168.1.5 255.255.255.255 GigabitEthernet0/0/1 192.168.1.5 track bfd-session toliantong

#

本条静态路由需要加上出接口否则会导致引入到ospf中失效

配置osof

#

ospf 1 router-id 1.1.1.1

 import-route static cost 10 //B机上引入静态路由的cost值需要大于该值,实现链路正常的时候防火墙走联通线路路由器

建议与总结

1.配置BFD单臂回声功能需要确保对端具备报文转发能力

2.路由器上配置目的地址和自身接口属于同一网段的静态路由条目时候需要添加出接口

END