- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-Track配置
本章节下载: 10-Track配置 (450.53 KB)
目 录
Track用于在监测模块、Track模块和应用模块之间建立关联,来实现这些模块之间的联合动作。联动功能在应用模块和监测模块之间增加了Track模块,通过Track模块屏蔽不同监测模块的差异,将监测结果以统一的形式通知给应用模块,从而简化应用模块的处理。
如图1-1所示,联动功能利用监测模块对链路状态、网络性能等进行监测,并通过Track模块将监测结果及时通知给应用模块,以便应用模块进行相应的处理。例如,在NQA、Track和静态路由之间建立联动,利用NQA监测静态路由的下一跳地址是否可达。NQA监测到下一跳不可达时,通过Track通知静态路由模块该监测结果,以便静态路由模块将该条路由置为无效,确保报文不再通过该静态路由转发。
Track模块通过Track项与监测模块建立关联。Track项定义了Positive、Negative和NotReady三种状态。监测模块负责对接口状态、链路状态等进行监测,并将监测结果通知给Track模块;Track模块根据监测结果改变Track项的状态。
· 如果监测结果为监测对象工作正常(如接口处于up状态、网络可达),则对应Track项的状态为Positive。
· 如果监测结果为监测对象出现异常(如接口处于down状态、网络不可达),则对应Track项的状态为Negative。
· 如果监测结果无效(如NQA作为监测模块时,与Track项关联的NQA测试组不存在),则对应Track项的状态为NotReady。
应用模块通过引用Track项与Track模块建立关联。Track项的状态改变后,通知应用模块;应用模块根据Track项的状态,及时进行相应的处理,从而避免通信的中断或服务质量的降低。
目前,可以与Track模块实现联动功能的监测模块包括:
· NQA(Network Quality Analyzer,网络质量分析)
· BFD(Bidirectional Forwarding Detection,双向转发检测)
· 接口管理
· 路由管理
另外,Track模块支持与监测模块列表建立关联。监测对象列表是多个监测对象的集合,这些监测对象依据其状态和列表的类型共同决定Track项的状态,主要有4种类型的列表:
· 布尔与类型列表:基于列表中对象状态的布尔与运算结果决定Track项的状态。
· 布尔或类型列表:基于列表中对象状态的布尔或运算结果决定Track项的状态。
· 比例类型列表:由Track列表中Positive对象/Negative对象的总比例和threshold percentage命令配置的门限值的大小决定Track项的状态。
· 权重类型列表:由Track列表中Positive对象/Negative对象的总权重和threshold weight命令配置的权重值的大小决定Track项的状态。
目前,可以与Track模块实现联动功能的应用模块包括:
· 静态路由
· 策略路由
· 接口备份
· 冗余组
· VXLAN
· EAA
· 安全策略
在某些情况下,Track项状态发生变化后,如果立即通知应用模块,则可能会由于路由无法及时恢复等原因,导致通信中断。在这种情况下,用户可以配置Track项状态发生变化时,延迟一定的时间通知应用模块。
下面以NQA、Track和静态路由联动为例,说明联动功能的工作原理。
用户在设备上配置了一条静态路由,下一跳地址为192.168.0.88。如果192.168.0.88可达,则报文可以通过该静态路由转发,该静态路由有效;如果192.168.0.88不可达,则通过该静态路由转发报文会导致报文转发失败,此时,需要将该静态路由置为无效。通过在NQA、Track模块和静态路由之间建立联动,可以实现实时监测下一跳的可达性,以便及时判断静态路由是否有效。
在此例中联动功能的配置方法及其工作原理为:
(1) 创建NQA测试组,通过NQA测试组监测目的地址192.168.0.88是否可达。
(2) 创建和NQA测试组关联的Track项。192.168.0.88可达时,NQA会将监测结果通知给Track模块,Track模块将该Track项的状态变为Positive;192.168.0.88不可达时,NQA将监测结果通知给Track模块,Track模块将该Track项的状态变为Negative。
(3) 配置这条静态路由和Track项关联。如果Track模块通知静态路由Track项的状态为Positive,则静态路由模块将这条路由置为有效;如果Track模块通知静态路由Track项的状态为Negative,则静态路由模块将这条路由置为无效。
为了实现联动功能,需要在Track与监测模块、Track与应用模块之间分别建立联动关系。Track配置任务如下:
(1) 配置Track与单个监控模块联动。
(2) 配置Track与监测对象列表联动
(3) 配置Track与应用模块联动。
NQA测试组周期性地探测某个目的地址是否可达、是否可以与某个目的服务器建立TCP连接等。如果在Track项和NQA测试组之间建立了关联,则当连续探测失败的次数达到指定的阈值时,NQA将通知Track模块监测对象出现异常,Track模块将与NQA测试组关联的Track项的状态置为Negative;否则,NQA通知Track模块监测对象正常工作,Track模块将Track项的状态置为Positive。NQA的详细介绍,请参见“网络管理和监控配置指导”中的“NQA”。
配置Track项时,引用的NQA测试组或联动项可以不存在,此时该Track项的状态为NotReady。
(1) 进入系统视图。
system-view
(2) 创建与NQA测试组中指定联动项关联的Track项,并进入Track视图。
track track-entry-number nqa entry admin-name operation-tag reaction item-number
配置Track项时,引用的NQA测试组或联动项可以不存在,此时该Track项的状态为NotReady。
(3) 指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
如果在Track项和BFD会话之间建立了关联,则当BFD判断出对端不可达时,BFD会通知Track模块将与BFD会话关联的Track项的状态置为Negative;否则,通知Track模块将Track项的状态置为Positive。
BFD会话支持两种工作方式:Echo报文方式和控制报文方式。Track项只能与Echo报文方式的BFD会话建立关联,不能与控制报文方式的BFD会话建立联动。BFD的详细介绍,请参见“网络管理和监控配置指导”中的“BFD”。
配置Track与BFD联动时,VRRP备份组的虚拟IP地址不能作为BFD会话探测的本地地址和远端地址。
配置Track与BFD联动前,需要配置BFD echo报文的源地址,配置方法请参见“网络管理和监控配置指导”中的“BFD”。
(1) 进入系统视图。
system-view
(2) 创建和BFD会话关联的Track项,并进入Track视图。
track track-entry-number bfd echo interface interface-type interface-number remote { ip remote-ip-address | ipv6 remote-ipv6-address } local { ip remote-ip-address | ipv6 remote-ipv6-address }
(3) 指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
接口管理用来监视接口的链路状态、物理状态和网络层协议状态。如果在Track项和接口之间建立了关联,则当接口的链路状态、物理状态或网络层协议状态为up时,接口管理通知Track模块将与接口关联的Track项的状态置为Positive;接口的链路状态、物理状态或网络层协议状态为down时,接口管理通知Track模块将Track项的状态为Negative。
(1) 进入系统视图。
system-view
(2) 创建和接口管理关联的Track项,并进入Track视图。请至少选择其中一项进行配置。
¡ 监视接口的链路状态。
track track-entry-number interface interface-type interface-number
¡ 监视接口的物理状态。
track track-entry-number interface interface-type interface-number physical
¡ 监视接口的网络层协议状态。
track track-entry-number interface interface-type interface-number protocol { ipv4 | ipv6 }
(3) 指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
如果在Track项和路由管理之间建立了关联,当对应的路由条目在路由表中存在时,路由管理通知Track模块将与之关联的Track项状态设置为Positive;当对应的路由条目在路由表中被删除时,路由管理将通知Track模块将与之关联的Track项状态设置为Negative。
(1) 进入系统视图。
system-view
(2) 创建与路由管理关联的Track项,并进入Track视图。
track track-entry-number ip route [ vpn-instance vpn-instance-name ] ip-address { mask-length | mask } reachability
(3) 指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
对于布尔与类型的列表,如果列表中的所有监测对象的状态都是Positive,那么此Track项的状态为Positive;如果有一个或多个监测对象的状态为Negative,那么此Track项的状态为Negative。对于布尔或类型的列表,如果列表中至少有一个监测对象的状态是Positive,那么此Track项的状态为Positive,如果所有的监测对象的状态都是Negative,那么此Track项的状态为Negative。
(1) 进入系统视图。
system-view
(2) 创建与单个监控对象关联的Track项。
请参见“1.5 配置Track与单个监测模块联动”。
可配置至少一个与单个监控对象关联的Track项。
(3) 创建和布尔类型列表关联的Track项,并进入Track视图。
track track-entry-number list boolean { and | or }
(4) 向列表中添加与单个监测对象联动的Track项。
object track-entry-number [ not ]
Track列表中需添加所有需要联动的Track对象。
(5) (可选)指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
Track项的状态由Track列表中Positive对象/Negative对象的总比例和threshold percentage命令配置的门限值的大小决定。当列表中Positive对象所占百分比大于或等于Positive门限值时,Track项状态变为Positive;小于或等于Negative门限值时,Track项状态变为Negative。当关联列表中的Positive对象比例小于Positive参数指定值且大于Negative参数指定值时,Track项状态保持不变。
(1) 进入系统视图。
system-view
(2) 创建与单个监控对象关联的Track项。
请参见“1.5 配置Track与单个监测模块联动”。
可配置至少一个与单个监控对象关联的Track项。
(3) 创建和比例类型列表关联的Track项,并进入Track视图。
track track-entry-number list threshold percentage
(4) 向列表中添加与单个监测对象联动的Track项。
object track-entry-number
Track列表中需添加所有需要联动的Track对象。
(5) 配置状态变化的门限值。
threshold percentage { negative negative-threshold | positive positive-threshold } *
缺省情况下,Negative状态门限值为0%,Positive状态门限值为1%。
(6) (可选)指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
Track项的状态由Track列表中Positive对象/Negative对象的总权重和threshold weight命令配置的权重值的大小决定。每个加入列表的Track对象都拥有一个权重值,当处于Positive的监测项的权重之和大于或等于Positive门限值时,Track项状态变为Positive;当处于Positive的监测项的权重之和小于或等于Negative门限值时,Track项状态变为Negative。当关联列表中的Positive对象权重小于Positive参数指定值且大于Negative参数指定值时,Track项状态保持不变。
(1) 进入系统视图。
system-view
(2) 创建与单个监控对象关联的Track项。
请参见“1.5 配置Track与单个监测模块联动”。
可配置至少一个与单个监控对象关联的Track项。
(3) 创建和权重类型列表关联的Track项,并进入Track视图。
track track-entry-number list threshold weight
(4) 向列表中添加与单个监测对象联动的Track项。
object track-entry-number [ weight weight ]
Track列表中需添加所有需要联动的Track对象。
(5) 配置状态变化的权重值。
threshold weight { negative negative-threshold | positive positive-threshold } *
缺省情况下,Negative门限值权重为0,Positive门限值权重为1。
(6) (可选)指定Track项状态变化时通知应用模块的延迟时间。
delay { negative negative-time | positive positive-time } *
缺省情况下,Track项状态变化时立即通知应用模块。
用户配置Track和应用模块联动时,需保证联动的Track项已被创建,否则应用模块可能会获取到错误的Track项状态信息。
静态路由是一种特殊的路由,由管理员手工配置。配置静态路由后,去往指定目的地的报文将按照管理员指定的路径进行转发。静态路由配置的详细介绍,请参见“三层技术-IP路由配置指导”中的“静态路由”和“IPv6静态路由”。
静态路由的缺点在于:不能自动适应网络拓扑结构的变化,当网络发生故障或者拓扑发生变化时,可能会导致静态路由不可达,网络通信中断。
为了防止这种情况发生,可以配置其它路由和静态路由形成备份关系。静态路由可达时,根据静态路由转发报文,其它路由处于备份状态;静态路由不可达时,根据备份路由转发报文,从而避免通信中断,提高了网络可靠性。
通过在Track模块和静态路由之间建立联动,可以实现静态路由可达性的实时判断。
如果在配置静态路由时只指定了下一跳而未指定出接口,可以通过联动功能,利用监测模块监视静态路由下一跳的可达性,并根据Track项的状态来判断静态路由的可达性:
· 当Track项状态为Positive时,静态路由的下一跳可达,配置的静态路由将生效;
· 当Track项状态为Negative时,静态路由的下一跳不可达,配置的静态路由无效;
· 当Track项状态为NotReady时,无法判断静态路由的下一跳是否可达,此时配置的静态路由生效。
如果Track模块通过NQA探测私网静态路由中下一跳的可达性,静态路由下一跳的VPN实例名与NQA测试组配置的实例名必须相同,才能进行正常的探测。
在静态路由进行迭代时,Track项监测的应该是静态路由迭代后最终的下一跳地址,而不是配置中指定的下一跳地址。否则,可能导致错误地将有效路由判断为无效路由。
(1) 进入系统视图。
system-view
(2) 配置通过Track与IPv4静态路由联动,检测IPv4静态路由下一跳是否可达。
(公网)
ip route-static { dest-address { mask-length | mask } | group group-name } { interface-type interface-number [ next-hop-address ] track track-entry-number | next-hop-address track track-entry-number | vpn-instance d-vpn-instance-name next-hop-address track track-entry-number } [ preference preference ] [ tag tag-value ] [ description text ]
(VPN网络)
ip route-static vpn-instance s-vpn-instance-name { dest-address { mask-length | mask } | group group-name } { interface-type interface-number [ next-hop-address ] track track-entry-number | next-hop-address [ public ] track track-entry-number | vpn-instance d-vpn-instance-name next-hop-address track track-entry-number } [ preference preference ] [ tag tag-value ] [ description text ]
缺省情况下,未配置Track与IPv4静态路由联动。
(1) 进入系统视图。
system-view
(2) 配置通过Track与IPv6静态路由联动,检测IPv6静态路由下一跳是否可达。
(公网)
ipv6 route-static ipv6-address prefix-length { interface-type interface-number [ next-hop-address ] track track-entry-number | [ vpn-instance d-vpn-instance-name ] next-hop-address track track-entry-number } [ preference preference ] [ tag tag-value ] [ description text ]
(VPN网络)
ipv6 route-static vpn-instance s-vpn-instance-name ipv6-address prefix-length { interface-type interface-number [ next-hop-address ] track track-entry-number | vpn-instance d-vpn-instance-name next-hop-address track track-entry-number } [ preference preference ] [ tag tag-value ] [ description text ]
缺省情况下,未配置Track与IPv6静态路由联动。
策略路由是一种依据用户指定的策略灵活选路的机制,满足策略的报文将执行指定的操作,以指导报文转发。策略路由配置的详细介绍,请参见“三层技术-IP路由配置指导”中的“策略路由”。
策略路由无法判断对报文执行的操作的可用性。当执行的操作不可用时,策略路由仍然对报文执行该操作,可能会导致报文转发失败。例如,策略路由中配置满足一定条件的报文,需要通过指定的出接口转发。当该出接口所在的链路出现故障时,策略路由无法感知链路故障,仍然通过该接口转发报文,导致报文转发失败。
通过联动功能,可以解决上述问题,增强了策略路由应用的灵活性,以及策略路由对网络环境的动态感知能力。配置策略路由执行的操作与Track项关联,利用监测模块监视链路的状态,通过Track项的状态来动态地决定策略路由操作的可用性:
· Track项状态为Positive时,表示链路正常工作,与该Track项关联的策略路由操作生效,可以指导转发;
· Track项状态为Negative时,表示链路出现故障,与该Track项关联的策略路由操作无效,转发时忽略该配置项;
· Track项状态为NotReady时,与该Track项关联的策略路由操作生效,可以指导转发。
目前,支持与Track项关联的策略路由操作包括:
· 设置报文的出接口
· 设置报文的下一跳
· 设置报文的缺省出接口
· 设置报文的缺省下一跳
配置Track与策略路由联动前,需要先创建策略或一个策略节点,并配置匹配规则。
(1) 进入系统视图。
system-view
(2) 创建策略或一个策略节点,并进入该策略视图。
policy-based-route policy-name [ deny | permit ] node node-number
(3) 设置匹配规则。
¡ 设置ACL匹配规则。
if-match acl { acl-number | name acl-name }
缺省情况下,未设置ACL匹配规则。
策略路由不支持匹配二层信息的ACL匹配规则。
¡ 设置IP报文长度匹配规则。
if-match packet-length min-len max-len
缺省情况下,未设置IP报文长度匹配规则。
(4) 配置指导报文转发类动作。请至少选择其中一项进行配置。
¡ 设置指导报文转发的出接口,并与Track项关联。
apply output-interface { interface-type interface-number [ track track-entry-number ] }&<1-4>
缺省情况下,未设置指导报文转发的出接口。
¡ 设置报文的下一跳,并与Track项关联。
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] [ weight weight-value ] }&<1-4>
缺省情况下,未设置报文转发的下一跳。
¡ 设置报文缺省出接口,并与Track项关联。
apply default-output-interface { interface-type interface-number [ track track-entry-number ] }&<1-4>
缺省情况下,未设置报文的缺省出接口。
¡ 设置报文缺省下一跳,并与Track项关联。
apply default-next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ip-address [ direct ] [ track track-entry-number ] }&<1-4>
缺省情况下,未设置指导报文转发的缺省下一跳。
(1) 进入系统视图。
system-view
(2) 创建策略或一个策略节点,并进入该策略视图。
ipv6 policy-based-route policy-name [ deny | permit ] node node-number
(3) 设置匹配规则。
¡ 设置ACL匹配规则。
if-match acl { ipv6-acl-number | name ipv6-acl-name }
缺省情况下,未设置ACL匹配规则。
IPv6策略路由不支持匹配二层信息的ACL匹配规则。
¡ 设置IPv6报文长度匹配规则。
if-match packet-length min-len max-len
缺省情况下,未设置IPv6报文长度匹配规则。
(4) 配置指导报文转发类动作。请至少选择其中一项进行配置。
¡ 设置报文的出接口,并与Track项关联。
apply output-interface { interface-type interface-number [ track track-entry-number ] }&<1-4>
缺省情况下,未设置指导报文转发的出接口。
¡ 设置报文的下一跳,并与Track项关联。
apply next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ipv6-address [ direct ] [ track track-entry-number ] [ weight weight-value ] } &<1-4>
缺省情况下,未设置报文转发的下一跳。
¡ 设置报文缺省出接口,并与Track项关联。
apply default-output-interface { interface-type interface-number [ track track-entry-number ] }&<1-4>
缺省情况下,未设置报文的缺省出接口。
¡ 设置报文缺省下一跳,并与Track项关联。
apply default-next-hop [ vpn-instance vpn-instance-name | inbound-vpn ] { ipv6-address [ direct ] [ track track-entry-number ] }&<1-4>
缺省情况下,未设置指导报文转发的缺省下一跳。
用户可以配置备份接口与Track项关联,使该接口通过Track项来监测主接口的状态,从而根据网络环境改变其备份状态:
· 如果Track项的状态为Positive,说明主接口所在链路通信正常,备份接口保持在备份状态;
· 如果Track项的状态为Negative,说明主接口所在链路出现故障,备份接口将成为主接口负责业务传输;
· 如果Track项创建后一直处于NotReady状态,则说明Track关联监测模块的配置尚未生效,各接口维持原有转发状态不变;如果Track项由其它状态转变为NotReady状态,则备份接口将成为主接口。
接口备份配置的详细介绍,请参见“网络管理和监控配置指导”中的“接口备份”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口与Track项关联。
backup track track-entry-number
缺省情况下,接口不与Track项关联。
一个接口只能关联一个Track项,重复执行backup track命令,后面的配置将覆盖前面的配置。
冗余组本身无法感知链路故障,所以需要与Track联动,来达到监控链路状态的目的。联动关系建立后,冗余组能够快速检测上、下行链路是否故障,如果故障,则通知组内所有成员(包括以太网冗余接口)整体进行倒换。
通过配置Track与冗余组联动,可以实时监控任意类型的故障,以触发冗余组进行整体倒换。
Track模块根据监测模块的监测结果改变Track项的状态,并将Track项状态通知给冗余组模块;冗余组模块根据Track项状态进行相应处理:
· 如果Track项状态变为Positive,则增加冗余组节点权重值,权重值为正值,则认为节点能够正常工作;
· 如果Track项状态变为Negative,则减少冗余组节点权重值,如果权重值变为负值,则冗余组进行倒转;
· 如果Track项状态变为Notready,处理方式和Negative一致,减少冗余组节点权重值,如果权重值变为负值,则冗余组进行倒转。
关于“冗余组”的详细介绍,请参见“虚拟化技术配置指导”中的“冗余备份”。
在配置Track与冗余组联动时,需要配置对应的关联接口,当出现故障时,冗余组记录该接口为故障接口。如需使用冗余组自动倒回功能,需要配置该参数;否则可以不配置该参数。
(1) 进入系统视图。
system-view
(2) 创建冗余组并进入该冗余组视图。
redundancy group group-name
(3) 创建冗余组节点,并进入冗余组节点视图。
node node-id
(4) 配置Track与冗余组关联。
track track-entry-number [ reduced weight-reduced ] [ interface interface-type interface-number ]
缺省情况下,冗余组节点下未关联Track项。
在VXLAN中,可以配置AC(三层接口)与Track项联动。仅当关联的Track项中至少有一个状态为Positive时,AC的状态才会up,否则,AC的状态为down。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
|
F5000-V系列 |
F5000-V30 |
不支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190、F1000-AK9210 |
不支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 将三层接口与VSI关联,并配置接口与Track项联动。
xconnect vsi vsi-name [ access-mode { ethernet | vlan } ] track track-entry-number&<1-3>
缺省情况下,接口未与VSI关联,且未启动和Track项的联动功能。
关联VSI的AC为三层子接口时,可以指定access-mode参数,接入模式缺省为VLAN;当AC为三层接口时,不可以指定access-mode参数。
配置Track与EAA联动后,当关联的Track项状态由Positive变为Negative或者Negative变为Positive时,触发监控策略执行;如果关联多个Track项,则最后一个处于Positive(Negative)状态的Track项变为Negative(Positive)时,触发监控策略执行。
如果配置了抑制时间,触发策略的同时开始计时,定时器超时前,收到状态从Positive(Negative)变为Negative(Positive)的消息,直接丢弃,不会处理。直到定时器超后,收到状态从Positive(Negative)变为Negative(Positive)的消息才处理,再一次触发策略执行。
EAA的详细介绍,请参见“网络管理和监控配置指导”中的“EAA”。
(1) 进入系统视图。
system-view
(2) 创建CLI监控策略并进入CLI监控策略视图。
rtm cli-policy policy-name
(3) 配置Track监控事件。
event track track-entry-number-list state { negative | positive } [ suppress-time suppress-time ]
缺省情况下,未配置Track监控事件。
在安全策略中可以配置规则与Track项进行联动,规则与Track项联动后,规则的状态由Track的状态决定。
配置安全策略规则与Track项的Negative状态关联后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态关联后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | name name } *
(4) 配置安全策略规则与Track项联动。
track { negative | positive } track-entry-number
缺省情况下,未配置安全策略规则与Track项联动。
在完成上述配置后,在任意视图下执行display命令可以显示配置后Track的运行情况,通过查看显示信息验证配置的效果。
表1-1 Track显示和维护
|
操作 |
命令 |
|
显示Track项的信息 |
display track { track-entry-number | all [ negative | positive ] } [ brief ] |
Device A、Device B、Device C和Device D连接了20.1.1.0/24和30.1.1.0/24两个网段,在设备上配置静态路由以实现两个网段的互通,并配置路由备份以提高网络的可靠性。
Device A作为20.1.1.0/24网段内主机的缺省网关,在Device A上存在两条到达30.1.1.0/24网段的静态路由,下一跳分别为Device B和Device C。这两条静态路由形成备份,其中:
· 下一跳为Device B的静态路由优先级高,作为主路由。该路由可达时,Device A通过Device B将报文转发到30.1.1.0/24网段。
· 下一跳为Device C的静态路由作为备份路由。
· 在Device A上通过静态路由、Track与NQA联动,实时判断主路由是否可达。当主路由不可达时,备份路由生效,Device A通过Device C将报文转发到30.1.1.0/24网段。
同样地,Device D作为30.1.1.0/24网段内主机的缺省网关,在Device D上存在两条到达20.1.1.0/24网段的静态路由,下一跳分别为Device B和Device C。这两条静态路由形成备份,其中:
· 下一跳为Device B的静态路由优先级高,作为主路由。该路由可达时,Device D通过Device B将报文转发到20.1.1.0/24网段。
· 下一跳为Device C的静态路由作为备份路由。
· 在Device D上通过静态路由、Track与NQA联动,实时判断主路由是否可达。当主路由不可达时,备份路由生效,Device D通过Device C将报文转发到20.1.1.0/24网段。
图1-2 静态路由、Track与NQA联动配置组网图
(1) 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置静态路由。
¡ 配置到达30.1.1.0/24网段的主用路由:下一跳地址为10.1.1.2,优先级为缺省值60,该路由与Track项1关联。
¡ 配置到达30.1.1.0/24网段的备用路由:下一跳地址为10.3.1.3,优先级为80。
¡ 配置到达10.2.1.4/24网段的路由:下一跳地址为10.1.1.2,优先级为缺省值60,该路由为NQA探测报文路由。
[DeviceA] ip route-static 30.1.1.0 24 10.1.1.2 track 1
[DeviceA] ip route-static 30.1.1.0 24 10.3.1.3 preference 80
[DeviceA] ip route-static 10.2.1.4 24 10.1.1.2
(3) 请根据组网图中规划的信息,将接口加入对应的安全域。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceA-security-zone-Trust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策规则,使20.1.1.0/24网段内主机可以访问30.1.1.0/24网段内主机。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] action pass
[DeviceA-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策规则,使30.1.1.0/24网段内主机可以访问20.1.1.0/24网段内主机。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] action pass
[DeviceA-security-policy-ip-2-untrust-trust] quit
# 配置名称为nqalocalout的安全策规则,使DeviceA可以向DeviceD发送NQA探测报文。
[DeviceA-security-policy-ip] rule name nqalocalout
[DeviceA-security-policy-ip-3-nqalocalout] source-zone local
[DeviceA-security-policy-ip-3-nqalocalout] destination-zone untrust
[DeviceA-security-policy-ip-2-nqalocalout] service ping
[DeviceA-security-policy-ip-3-nqalocalout] action pass
[DeviceA-security-policy-ip-3-nqalocalout] quit
# 配置名称为nqalocalin的安全策规则,使DeviceA可以接收和处理DeviceD发来的NQA探测报文。
[DeviceA-security-policy-ip] rule name nqalocalin
[DeviceA-security-policy-ip-4-nqalocalin] source-zone untrust
[DeviceA-security-policy-ip-4-nqalocalin] destination-zone local
[DeviceA-security-policy-ip-4-nqalocalin] service ping
[DeviceA-security-policy-ip-4-nqalocalin] action pass
[DeviceA-security-policy-ip-4-nqalocalin] quit
[DeviceA-security-policy-ip] quit
(5) 创建并启用NQA测试组,检测Device A-Device B-Device D这条路径的连通性。
[DeviceA] nqa entry admin test
[DeviceA-nqa-admin-test] type icmp-echo
[DeviceA-nqa-admin-test-icmp-echo] destination ip 10.2.1.4
[DeviceA-nqa-admin-test-icmp-echo] next-hop ip 10.1.1.2
[DeviceA-nqa-admin-test-icmp-echo] frequency 100
[DeviceA-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[DeviceA-nqa-admin-test-icmp-echo] quit
[DeviceA] nqa schedule admin test start-time now lifetime forever
(6) 配置Track项1与NQA测试组关联。
[DeviceA] track 1 nqa entry admin test reaction 1
[DeviceA-track-1] quit
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 10.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置静态路由。
[DeviceB] ip route-static 30.1.1.0 24 10.2.1.4
[DeviceB] ip route-static 20.1.1.0 24 10.1.1.1
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceC> system-view
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] ip address 10.3.1.3 255.255.255.0
[DeviceC-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置静态路由。
[DeviceC] ip route-static 30.1.1.0 24 10.4.1.4
[DeviceC] ip route-static 20.1.1.0 24 10.3.1.1
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceD> system-view
[DeviceD] interface gigabitethernet 1/0/1
[DeviceD-GigabitEthernet1/0/1] ip address 10.2.1.4 255.255.255.0
[DeviceD-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置静态路由。
¡ 配置到达20.1.1.0/24网段的主用路由:下一跳地址为10.2.1.2,优先级为缺省值60,该路由与Track项1关联。
¡ 配置到达20.1.1.0/24网段的备用路由:下一跳地址为10.4.1.3,优先级为80。
¡ 配置到达10.1.1.4/24网段的路由:下一跳地址为10.1.1.2,优先级为缺省值60,该路由为NQA探测报文路由。
[DeviceD] ip route-static 20.1.1.0 24 10.2.1.2 track 1
[DeviceD] ip route-static 20.1.1.0 24 10.4.1.3 preference 80
[DeviceD] ip route-static 10.1.1.1 24 10.2.1.2
(3) 请根据组网图中规划的信息,将接口加入对应的安全域。
[DeviceD] security-zone name untrust
[DeviceD-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceD-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceD-security-zone-Untrust] quit
[DeviceD] security-zone name trust
[DeviceD-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceD-security-zone-Trust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策规则,使30.1.1.0/24网段内主机可以访问20.1.1.0/24网段内主机。
[DeviceD] security-policy ip
[DeviceD-security-policy-ip] rule name trust-untrust
[DeviceD-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceD-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceD-security-policy-ip-1-trust-untrust] source-ip-subnet 30.1.1.0 24
[DeviceD-security-policy-ip-1-trust-untrust] destination-ip-subnet 20.1.1.0 24
[DeviceD-security-policy-ip-1-trust-untrust] action pass
[DeviceD-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策规则,使20.1.1.0/24网段内主机可以访问30.1.1.0/24网段内主机。
[DeviceD-security-policy-ip] rule name untrust-trust
[DeviceD-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceD-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceD-security-policy-ip-2-untrust-trust] source-ip-subnet 20.1.1.0 24
[DeviceD-security-policy-ip-2-untrust-trust] destination-ip-subnet 30.1.1.0 24
[DeviceD-security-policy-ip-2-untrust-trust] action pass
[DeviceD-security-policy-ip-2-untrust-trust] quit
# 配置名称为nqalocalout的安全策规则,使DeviceD可以向DeviceA发送NQA探测报文。
[DeviceD-security-policy-ip] rule name nqalocalout
[DeviceD-security-policy-ip-3-nqalocalout] source-zone local
[DeviceD-security-policy-ip-3-nqalocalout] destination-zone untrust
[DeviceD-security-policy-ip-3-nqalocalout] service ping
[DeviceD-security-policy-ip-3-nqalocalout] action pass
[DeviceD-security-policy-ip-3-nqalocalout] quit
# 配置名称为nqalocalin的安全策规则,使DeviceD可以接收和处理DeviceA发来的NQA探测报文。
[DeviceD-security-policy-ip] rule name nqalocalin
[DeviceD-security-policy-ip-4-nqalocalin] source-zone untrust
[DeviceD-security-policy-ip-4-nqalocalin] destination-zone local
[DeviceD-security-policy-ip-4-nqalocalin] service ping
[DeviceD-security-policy-ip-4-nqalocalin] action pass
[DeviceD-security-policy-ip-4-nqalocalin] quit
[DeviceD-security-policy-ip] quit
(5) 创建NQA测试组,检测Device D-Device B-Device A这条路径的连通性。
[DeviceD] nqa entry admin test
[DeviceD-nqa-admin-test] type icmp-echo
[DeviceD-nqa-admin-test-icmp-echo] destination ip 10.1.1.1
[DeviceD-nqa-admin-test-icmp-echo] next-hop ip 10.2.1.2
[DeviceD-nqa-admin-test-icmp-echo] frequency 100
[DeviceD-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[DeviceD-nqa-admin-test-icmp-echo] quit
[DeviceD] nqa schedule admin test start-time now lifetime forever
(6) 配置Track项1与NQA测试组关联。
[DeviceD] track 1 nqa entry admin test reaction 1
[DeviceD-track-1] quit
# 显示Device A上Track项的信息。
[DeviceA] display track all
Track ID: 1
State: Positive
Duration: 0 days 0 hours 0 minutes 32 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 10.2.1.4
Local IP:--
Interface:--
# 显示Device A的路由表。
[DeviceA] display ip routing-table
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.1.1.0/24 Direct 0 0 10.1.1.1 GE1/0/1
10.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
10.2.1.0/24 Static 60 0 10.1.1.2 GE1/0/1
10.3.1.0/24 Direct 0 0 10.3.1.1 GE1/0/2
10.3.1.1/32 Direct 0 0 127.0.0.1 InLoop0
20.1.1.0/24 Direct 0 0 20.1.1.1 GE1/0/3
20.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
30.1.1.0/24 Static 60 0 10.1.1.2 GE1/0/1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
以上显示信息表示,NQA测试的结果为主路由可达(Track项状态为Positive),Device A通过Device B将报文转发到30.1.1.0/24网段。
# 在Device B上删除接口GigabitEthernet1/0/1的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] undo ip address
# 显示Device A上Track项的信息。
[DeviceA] display track all
Track ID: 1
State: Negative
Duration: 0 days 0 hours 0 minutes 32 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: admin test
Reaction: 1
Remote IP/URL: 10.2.1.4
Local IP:--
Interface:--
# 显示Device A的路由表。
[DeviceA] display ip routing-table
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.1.1.0/24 Direct 0 0 10.1.1.1 GE1/0/1
10.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
10.2.1.0/24 Static 60 0 10.1.1.2 GE1/0/1
10.3.1.0/24 Direct 0 0 10.3.1.1 GE1/0/2
10.3.1.1/32 Direct 0 0 127.0.0.1 InLoop0
20.1.1.0/24 Direct 0 0 20.1.1.1 GE1/0/3
20.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
30.1.1.0/24 Static 80 0 10.3.1.3 GE1/0/2
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
以上显示信息表示,NQA测试的结果为主路由不可达(Track项状态为Negative),则备份路由生效,Device A通过Device C将报文转发到30.1.1.0/24网段。
# 主路由出现故障后,20.1.1.0/24网段内的主机仍然可以与30.1.1.0/24网段内的主机通信。
[DeviceA] ping -a 20.1.1.1 30.1.1.1
Ping 30.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 30.1.1.1: bytes=56 Sequence=1 ttl=254 time=2 ms
Reply from 30.1.1.1: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 30.1.1.1: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 30.1.1.1: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 30.1.1.1: bytes=56 Sequence=5 ttl=254 time=1 ms
--- Ping statistics for 30.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.00% packet loss
round-trip min/avg/max/std-dev = 1/1/2/1 ms
# Device D上的显示信息与Device A类似。主路由出现故障后,30.1.1.0/24网段内的主机仍然可以与20.1.1.0/24网段内的主机通信。
[DeviceD] ping -a 30.1.1.1 20.1.1.1
Ping 20.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 20.1.1.1: bytes=56 Sequence=1 ttl=254 time=2 ms
Reply from 20.1.1.1: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=5 ttl=254 time=1 ms
--- Ping statistics for 20.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.00% packet loss
round-trip min/avg/max/std-dev = 1/1/2/1 ms
Device A、Device B和Device C连接了20.1.1.0/24和30.1.1.0/24两个网段,在设备上配置静态路由以实现两个网段的互通,并配置路由备份以提高网络的可靠性。
Device A作为20.1.1.0/24网段内主机的缺省网关,在Device A上存在两条到达30.1.1.0/24网段的静态路由,下一跳分别为Device B和Device C。这两条静态路由形成备份,其中:
· 下一跳为Device B的静态路由优先级高,作为主路由。该路由可达时,Device A通过Device B将报文转发到30.1.1.0/24网段。
· 下一跳为Device C的静态路由作为备份路由。
· 在Device A上通过静态路由、Track与BFD联动,实时判断主路由是否可达。当主路由不可达时,BFD能够快速地检测到路由故障,使得备份路由生效,Device A通过Device C和Device B将报文转发到30.1.1.0/24网段。
同样地,Device B作为30.1.1.0/24网段内主机的缺省网关,在Route B上存在两条到达20.1.1.0/24网段的静态路由,下一跳分别为Device A和Device C。这两条静态路由形成备份,其中:
· 下一跳为Device A的静态路由优先级高,作为主路由。该路由可达时,Device B通过Device A将报文转发到20.1.1.0/24网段。
· 下一跳为Device C的静态路由作为备份路由。
· 在Device B上通过静态路由、Track与BFD联动,实时判断主路由是否可达。当主路由不可达时,BFD能够快速地检测到路由故障,使得备份路由生效,Device B通过Device C和Device A将报文转发到20.1.1.0/24网段。
图1-3 静态路由、Track与BFD联动配置组网图
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置到达30.1.1.0/24网段的静态路由。
¡ 主用路由:下一跳地址为10.2.1.2,优先级为缺省值60,该路由与Track项1关联。
¡ 备用路由:下一跳地址为10.3.1.3,优先级为80。
[DeviceA] ip route-static 30.1.1.0 24 10.2.1.2 track 1
[DeviceA] ip route-static 30.1.1.0 24 10.3.1.3 preference 80
(3) 请根据组网图中规划的信息,将接口加入对应的安全域。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceA-security-zone-Trust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策规则,使20.1.1.0/24网段内主机可以访问30.1.1.0/24网段内主机。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] destination-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-1-trust-untrust] action pass
[DeviceA-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策规则,使30.1.1.0/24网段内主机可以访问20.1.1.0/24网段内主机。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-2-untrust-trust] source-ip-subnet 30.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] destination-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-2-untrust-trust] action pass
[DeviceA-security-policy-ip-2-untrust-trust] quit
# 配置名称为bfdlocalout的安全策规则,使DeviceA可以向DeviceB发送BFD echo报文。
[DeviceA-security-policy-ip] rule name bfdlocalout
[DeviceA-security-policy-ip-3-bfdlocalout] source-zone local
[DeviceA-security-policy-ip-3-bfdlocalout] destination-zone untrust
[DeviceA-security-policy-ip-2-bfdlocalout] service bfd-echo
[DeviceA-security-policy-ip-3-bfdlocalout] action pass
[DeviceA-security-policy-ip-3-bfdlocalout] quit
# 配置名称为bfdlocalin的安全策规则,使DeviceA可以接收和处理BFD echo报文。
[DeviceA-security-policy-ip] rule name bfdlocalin
[DeviceA-security-policy-ip-4-bfdlocalin] source-zone untrust
[DeviceA-security-policy-ip-4-bfdlocalin] destination-zone local
[DeviceA-security-policy-ip-2-bfdlocalin] service bfd-echo
[DeviceA-security-policy-ip-4-bfdlocalin] action pass
[DeviceA-security-policy-ip-4-bfdlocalin] quit
# 配置名称为untrust-untrust的安全策规则,使DeviceA可以响应DeviceB发来的BFD echo报文。
[DeviceA-security-policy-ip] rule name untrust-untrust
[DeviceA-security-policy-ip-5-untrust-untrust] source-zone untrust
[DeviceA-security-policy-ip-5-untrust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-5-untrust-untrust] source-ip-host 1.1.1.1
[DeviceA-security-policy-ip-5-untrust-untrust] destination-ip-host 10.2.1.2
[DeviceA-security-policy-ip-5-untrust-untrust] action pass
[DeviceA-security-policy-ip-5-untrust-untrust] quit
# 配置名称为pinglocalout的安全策规则,使DeviceA可以向DeviceB发送ping报文,用于验证网络连通性。
[DeviceA-security-policy-ip] rule name pinglocalout
[DeviceA-security-policy-ip-6-pinglocalout] source-zone local
[DeviceA-security-policy-ip-6-pinglocalout] destination-zone untrust
[DeviceA-security-policy-ip-6-pinglocalout] service ping
[DeviceA-security-policy-ip-6-pinglocalout] action pass
[DeviceA-security-policy-ip-6-pinglocalout] quit
# 配置名称为pinglocalin的安全策规则,使DeviceA可以响应对端发送的ping报文,用于验证网络连通性。
[DeviceA-security-policy-ip] rule name pinglocalin
[DeviceA-security-policy-ip-7-pinglocalin] source-zone untrust
[DeviceA-security-policy-ip-7-pinglocalin] destination-zone local
[DeviceA-security-policy-ip-7-pinglocalin] service ping
[DeviceA-security-policy-ip-7-pinglocalin] action pass
[DeviceA-security-policy-ip-7-pinglocalin] quit
[DeviceA-security-policy-ip] quit
(5) 配置BFD echo报文的源地址为10.10.10.10。
[DeviceA] bfd echo-source-ip 10.10.10.10
(6) 创建和BFD会话关联的Track项1并进入Track视图,检测Device A是否可以与静态路由的下一跳Device B互通。
[DeviceA] track 1 bfd echo interface gigabitethernet 1/0/1 remote ip 10.2.1.2 local ip 10.2.1.1
[DeviceA-track-1] quit
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置到达20.1.1.0/24网段的静态路由。
¡ 主用路由:下一跳地址为10.2.1.1,优先级为缺省值60,该路由与Track项1关联。
¡ 备用路由:下一跳地址为10.4.1.3,优先级为80。
[DeviceB] ip route-static 20.1.1.0 24 10.2.1.1 track 1
[DeviceB] ip route-static 20.1.1.0 24 10.4.1.3 preference 80
(3) 请根据组网图中规划的信息,将接口加入对应的安全域。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceB-security-zone-Trust] quit
(4) 配置安全策略。
# 配置名称为trust-untrust的安全策规则,使30.1.1.0/24网段内主机可以访问20.1.1.0/24网段内主机。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-1-trust-untrust] source-ip-subnet 30.1.1.0 24
[DeviceB-security-policy-ip-1-trust-untrust] destination-ip-subnet 20.1.1.0 24
[DeviceB-security-policy-ip-1-trust-untrust] action pass
[DeviceB-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策规则,使20.1.1.0/24网段内主机可以访问30.1.1.0/24网段内主机。
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-2-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-2-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-2-untrust-trust] source-ip-subnet 20.1.1.0 24
[DeviceB-security-policy-ip-2-untrust-trust] destination-ip-subnet 30.1.1.0 24
[DeviceB-security-policy-ip-2-untrust-trust] action pass
[DeviceB-security-policy-ip-2-untrust-trust] quit
# 配置名称为bfdlocalout的安全策规则,使DeviceB可以向DeviceA发送BFD echo报文。
[DeviceB-security-policy-ip] rule name bfdlocalout
[DeviceB-security-policy-ip-3-bfdlocalout] source-zone local
[DeviceB-security-policy-ip-3-bfdlocalout] destination-zone untrust
[DeviceB-security-policy-ip-3-bfdlocalout] service bfd-echo
[DeviceB-security-policy-ip-3-bfdlocalout] action pass
[DeviceB-security-policy-ip-3-bfdlocalout] quit
# 配置名称为bfdlocalin的安全策规则,使DeviceB可以接收和处理BFD echo报文。
[DeviceB-security-policy-ip] rule name bfdlocalin
[DeviceB-security-policy-ip-4-bfdlocalin] source-zone untrust
[DeviceB-security-policy-ip-4-bfdlocalin] destination-zone local
[DeviceB-security-policy-ip-4-bfdlocalin] service bfd-echo
[DeviceB-security-policy-ip-4-bfdlocalin] action pass
[DeviceB-security-policy-ip-4-bfdlocalin] quit
# 配置名称为untrust-untrust的安全策规则,使DeviceB可以响应DeviceA发来的BFD echo报文。
[DeviceB-security-policy-ip] rule name untrust-untrust
[DeviceB-security-policy-ip-5-untrust-untrust] source-zone untrust
[DeviceB-security-policy-ip-5-untrust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-5-untrust-untrust] source-ip-host 10.10.10.10
[DeviceB-security-policy-ip-5-untrust-untrust] destination-ip-host 10.2.1.1
[DeviceB-security-policy-ip-5-untrust-untrust] action pass
[DeviceB-security-policy-ip-5-untrust-untrust] quit
# 配置名称为pinglocalout的安全策规则,使DeviceB可以向DeviceA发送ping报文,用于验证网络连通性。
[DeviceB-security-policy-ip] rule name pinglocalout
[DeviceB-security-policy-ip-6-pinglocalout] source-zone local
[DeviceB-security-policy-ip-6-pinglocalout] destination-zone untrust
[DeviceB-security-policy-ip-6-pinglocalout] service ping
[DeviceB-security-policy-ip-6-pinglocalout] action pass
[DeviceB-security-policy-ip-6-pinglocalout] quit
# 配置名称为pinglocalin的安全策规则,使DeviceB可以响应对端发送的ping报文,用于验证网络连通性。
[DeviceB-security-policy-ip] rule name pinglocalin
[DeviceB-security-policy-ip-7-pinglocalin] source-zone untrust
[DeviceB-security-policy-ip-7-pinglocalin] destination-zone local
[DeviceB-security-policy-ip-7-pinglocalin] service ping
[DeviceB-security-policy-ip-7-pinglocalin] action pass
[DeviceB-security-policy-ip-7-pinglocalin] quit
[DeviceB-security-policy-ip] quit
(5) 配置BFD echo报文的源地址为1.1.1.1。
[DeviceB] bfd echo-source-ip 1.1.1.1
(6) 创建和BFD会话关联的Track项1并进入Track视图,检测Device B是否可以与静态路由的下一跳Device A互通。
[DeviceB] track 1 bfd echo interface gigabitethernet 1/0/1 remote ip 10.2.1.1 local ip 10.2.1.2
[DeviceB-track-1] quit
(1) 根据组网图中规划的信息,配置各接口的IP地址。
<DeviceC> system-view
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] ip address 10.3.1.3 255.255.255.0
[DeviceC-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 根据组网图中规划的信息,配置静态路由。
[DeviceC] ip route-static 30.1.1.0 24 10.4.1.2
[DeviceC] ip route-static 20.1.1.0 24 10.3.1.1
# 显示Device A上Track项的信息。
[DeviceA] display track all
Track ID: 1
State: Positive
Duration: 0 days 0 hours 0 minutes 32 seconds
Tracked object type: BFD
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
BFD session mode: Echo
Outgoing interface: GigabitEthernet1/0/1
VPN instance name: --
Remote IP: 10.2.1.2
Local IP: 10.2.1.1
# 显示Device A的路由表。
[DeviceA] display ip routing-table
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost NextHop Interface
10.2.1.0/24 Direct 0 0 10.2.1.1 GE1/0/1
10.2.1.1/32 Direct 0 0 127.0.0.1 InLoop0
10.3.1.0/24 Direct 0 0 10.3.1.1 GE1/0/2
10.3.1.1/32 Direct 0 0 127.0.0.1 InLoop0
20.1.1.0/24 Direct 0 0 20.1.1.1 GE1/0/3
20.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
30.1.1.0/24 Static 60 0 10.2.1.2 GE1/0/1
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
以上显示信息表示,BFD检测的结果为下一跳地址10.2.1.2可达(Track项状态为Positive),主路由生效,Device A通过Device B将报文转发到30.1.1.0/24网段。
# 在Device B上删除接口GigabitEthernet1/0/1的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] undo ip address
# 显示Device A上Track项的信息。
[DeviceA] display track all
Track ID: 1
State: Negative
Duration: 0 days 0 hours 0 minutes 32 seconds
Tracked object type: BFD
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
BFD session mode: Echo
Outgoing interface: GigabitEthernet1/0/1
VPN instance name: --
Remote IP: 10.2.1.2
Local IP: 10.2.1.1
# 显示Device A的路由表。
[DeviceA] display ip routing-table
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost NextHop Interface
10.2.1.0/24 Direct 0 0 10.2.1.1 GE1/0/1
10.2.1.1/32 Direct 0 0 127.0.0.1 InLoop0
10.3.1.0/24 Direct 0 0 10.3.1.1 GE1/0/2
10.3.1.1/32 Direct 0 0 127.0.0.1 InLoop0
20.1.1.0/24 Direct 0 0 20.1.1.1 GE1/0/3
20.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0
30.1.1.0/24 Static 80 0 10.3.1.3 GE1/0/2
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
以上显示信息表示,BFD检测的结果为下一跳地址10.2.1.2不可达(Track项状态为Negative),备份路由生效,Device A通过Device C和Device B将报文转发到30.1.1.0/24网段。
# 主路由出现故障后,20.1.1.0/24网段内的主机仍然可以与30.1.1.0/24网段内的主机通信。
[DeviceA] ping -a 20.1.1.1 30.1.1.1
Ping 30.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 30.1.1.1: bytes=56 Sequence=1 ttl=254 time=2 ms
Reply from 30.1.1.1: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 30.1.1.1: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 30.1.1.1: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 30.1.1.1: bytes=56 Sequence=5 ttl=254 time=1 ms
--- Ping statistics for 30.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.00% packet loss
round-trip min/avg/max/std-dev = 1/1/2/1 ms
# Device B上的显示信息与Device A类似。主路由出现故障后,30.1.1.0/24网段内的主机仍然可以与20.1.1.0/24网段内的主机通信。
[DeviceB] ping -a 30.1.1.1 20.1.1.1
Ping 20.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 20.1.1.1: bytes=56 Sequence=1 ttl=254 time=2 ms
Reply from 20.1.1.1: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=4 ttl=254 time=1 ms
Reply from 20.1.1.1: bytes=56 Sequence=5 ttl=254 time=1 ms
--- Ping statistics for 20.1.1.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.00% packet loss
round-trip min/avg/max/std-dev = 1/1/2/1 ms
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
