雙管齊下的網關備份聯動之術——BFD與NQA

一---基礎配置

1--GW上配置NAT及靜態默認實現內網對公網

114.114.114.114的訪問

GW-1中

acl number 2000

rule 5 permit source 192.168.1.0 0.0.0.255

interface GigabitEthernet0/0/0

ip address 13.1.1.1 255.255.255.0

nat outbound 2000

ip route-static 0.0.0.0 0.0.0.0 13.1.1.22

2--在GW設備針對同一網段配置兩組VRRP，實現網關的冗余和網關設備的負載分擔

GW-1中：

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

vrrp vrid 1 virtual-ip 192.168.1.254

vrrp vrid 1 priority 120

vrrp vrid 2 virtual-ip 192.168.1.253

3--鏈路檢測1

在GW-1配置相應形式的BFD檢測來追蹤外網線路，檢測結果與VRRP聯動，當GW-1失去訪問外網的能力后可以在1S內完成主備網關的切換，降低出口網絡故障對內網通信的影響

===因為ISP無法配置BFD，所以采用靜態單臂回聲BFD

bfd ar1 bind peer-ip 13.1.1.2 interface GigabitEthernet0/0/0 one-arm-echo

discriminator local 100

commit

vrrp vrid 1 track bfd-session 100 reduced 30

===在VRRP中通過track聯動bfd

效果說明：當斷開了HUB1和ISP的連接后，bfd無法收到類似hello的包，將鏈路故障的信息反饋給VRRP，VRRP得知后將優先級減30，從Master設備主動變為Backup設備，使PC1的數據通過GW-2傳遞，通信恢復。這里我沒有設置VRRP檢測接口故障，如果沒有設置BFD，GW-1不能感知上行鏈路故障，將會一直保持著自己為Master設備，導致一直無法通信。

4---NQA鏈路檢測

在GW-2配置ICMP類型的NQA檢測來追蹤外網線路檢測結果與VRRP聯動，當GW-2失去訪問外網的能力后可以在1S內完成主備網關的切換，降低出口網絡故障對內網通信的影響（2）斷開hub2與ISP連接的線路測試nqa test-instance gw isp 創建名為gw isp的NQA事件

test-type icmp 檢測類型為ICMP

destination-address ipv4 24.1.1.2 目標地址為24.1.1.2

frequency 1 間隔時間為1s

timeout 1 超時時間為1s

probe-count 1 每次只發一個包

start now 現在開啟nqa檢測

vrrp vrid 2 track nqa gw isp reduced 30 在VRRP中聯動nqa

以上為NQA的檢測數據

效果說明：當斷開了HUB2和ISP的連接后，bfd無法收到類似hello的包，將鏈路故障的信息反饋給VRRP，VRRP得知后將優先級減30，從Master設備主動變為Backup設備，使PC2的數據通過GW-1傳遞，通信恢復。這里我沒有設置VRRP檢測接口故障，如果沒有設置BFD，GW-2不能感知上行鏈路故障，將會一直保持著自己為Master設備，導致一直無法通信。

5--VRRP之間的BFD檢測

在GW-1與GW-2的內網線路之間配置BFD檢測，檢測結果與VRRP聯動，當GW-1或者GW-2故障后可以在1S內完成主備網關的切換，降低網絡故障對內網通信的影響（2）在PC-1上長ping外網

114.114.114.114后斷開GW-1與SW連接的線路測試

GW-1中：

bfd vrrp bind peer-ip 192.168.1.2 interface GigabitEthernet0/0/1

discriminator local 101

discriminator remote 102

min-tx-interval 10

min-rx-interval 10

commit

vrrp vrid 1 track bfd-session 101 reduced 60

GW-2中：