防火墙产品USG9560型号(V500R001C20)多条ip-link业务断开后起不来现象

发布时间:  2016-09-28 浏览次数:  136 下载次数:  0
问题描述

1、版本信息:V500R001C20

2、组网概述:出口使用两台USG9560对接友商路由器,友商路由器外接外网链路(总共三条),第一条为主用链路,第二条为备份链路,第三条也为备份链路;

             防火墙使用主备备份模式配置,NAT功能启用在USG9560上,友商路由器只用于路由转发功能;

             在USG9560上使用三条缺省路由指向外网,使用IP-LINK作为可靠性测试。源地址为NAT地址池地址,目的地址为外网口对端地址,分别为第一条与第二条启用IP-LINK功能。

3、配置脚本:ip-link name dianxin

             source-ip 10.10.10.1

             destination 172.16.1.1 interface Eth-Trunk1

             tx-interval 3

             times 6

             ip-link name yidong

             source-ip 20.20.20.1

             destination 172.17.1.1 interface Eth-Trunk2

             tx-interval 3

             times 6

             ip route-static 0.0.0.0 0.0.0.0 192.168.1.9 preference 30

             ip route-static 0.0.0.0 0.0.0.0 192.168.1.5 preference 28 track ip-link yidong

             ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 preference 27 track ip-link dianxin


4、故障现象:链路都正常情况下,使用主用链路进行上网,当主用链路断开后,第一条缺省路由中断,切换到第二条链路上,如下显示:

-------------------------------------------------------------------------------

 Name                                         : yidong

 Index                                        : 6

 Enable Flag                                  : 1

 Vrf                                          : public/0

 Member Number                                : 1

 Source Ip                                    : 20.20.20.1

 Tx-interval (default is 5)                   : 3

 Times (default is 3)                         : 6

 Least active-linknumber (default is 1)       : 1

 State                                        : up

 Init State Number                            : 0

 DOWN State Number                            : 0

 UP State Number                              : 1

 -------------------------------------------------------------------------------

  State                                      : up

  Destination Type/Destination Info          : IP/172.17.1.1

  Protocol/Port                              : icmp/0

  Out If Index                               : Eth-Trunk2

  Healthcheck detect index                   : 36

 -------------------------------------------------------------------------------

 -------------------------------------------------------------------------------

 Name                                         : dianxin

 Index                                        : 8

 Enable Flag                                  : 1

 Vrf                                          : public/0

 Member Number                                : 1

 Source Ip                                    : 10.10.10.1

 Tx-interval (default is 5)                   : 3

 Times (default is 3)                         : 6

 Least active-linknumber (default is 1)       : 1

 State                                        : down

 Init State Number                            : 0

 DOWN State Number                            : 1

 UP State Number                              : 0

 -------------------------------------------------------------------------------

  State                                      : down

  Destination Type/Destination Info          : IP/172.16.1.1

  Protocol/Port                              : icmp/0

  Out If Index                               : Eth-Trunk1

  Healthcheck detect index                   : 41

 -------------------------------------------------------------------------------

但当第一条链路正常后,IP-LINK状态一直是DOWN状态,可以确定链路已经正常,IP-LINK就一直不切换为UP状态,导致链路还是使用第二条链路。






处理过程

1、处理过程:首先先将第一条链路接到路由器上,在路由器上配置NAT地址池地址,直接用地址可以ping通外网对端,证明第一条链路已经恢复正常。

2、将所有外网链路断开后,第一条链路恢复正常,但还是不能实现自动切换回来。

3、在USG防火墙上添加静态路由,关于外网对端地址指向下一跳,信息如下:

ip route-static 172.17.1.1 255.255.255.255 192.168.191.5 description yidong-iplink

ip route-static 172.16.1.1 255.255.255.255 192.168.191.1 description dianxin-iplink

4、配置完成后,当第一条链路断开后,IP-LINK状态切换为DOWN状态,第二条链路启用,当第一条链路恢复后,IP-LINK状态自动切换为UP状态,第一条链路恢复。

根因

1、在没有将关于IP-LINK的对端地址静态路由添加时,会将所有路由的流量指向设备的最优缺省路由,所以只有该流量的IP-LINK会启用,其余IP-LINK都是DOWN 状态;

2、只有将所有外网链路的静态路由添加后(关于IP-LINK对端地址的静态路由),当链路正常后,会将此部分流量指向正确链路,IP-LINK的状态才能UP起来。

建议与总结

1、对于IP-LINK可靠性的考虑要全面,此功能可以检测直连链路和非直连链路。

2、建议之后进行非直连链路的检测时,配置关于外网对端地址32位的地址路由,用来将流量通过此路由到达对端设备,用来实现链路检测。

END