华三防火墙设置双IP出口路由冗余,NQA联动TRACK笔记
NQA配置
摘 要:NQA是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能,实时监控网络状态的变化。
假设45.89.31.126是HK的出口网关,212.30.61.126是SGP的出口网关
创建监控项HK出口
配置参考文档点我
nqa entry hk.wan.test 45.89.31.126
type icmp-echo
destination ip 8.8.4.4
frequency 3000
history-record enable
next-hop ip 45.89.31.126
reaction 2 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
“frequency 3000”是间隔3s检测一次,“consecutive 3”是连续3次失败就告知track,“history-record”是开启历史日志。
创建监控项SGP出口
nqa entry sgp.wan.test 212.30.61.126
type icmp-echo
destination ip 8.8.4.4
frequency 3000
history-record enable
next-hop ip 212.30.61.126
reaction 3 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
激活NAQ
启动监控任务
nqa schedule hk.wan.test 45.89.31.126 start-time now lifetime forever
nqa schedule sgp.wan.test 212.30.61.126 start-time now lifetime forever
联动Track配置
配置Track项1与NQA测试组关联,track 2绑定HK出口创建监控项里的reaction 2
track 2 nqa entry hk.wan.test 45.89.31.126 reaction 2
配置Track项1与NQA测试组关联,track 3绑定SGP出口创建监控项里的reaction 3
track 3 nqa entry sgp.wan.test 212.30.61.126 reaction 3
查看监控状态,正常情况网络可达就是State: Positive
[FW|F1000-AI-80]
dis trac all
Track ID: 2
State: Positive
Duration: 0 days 0 hours 7 minutes 43 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: hk.wan.test 45.89.31.126
Reaction: 2
Remote IP/URL: 8.8.4.4
Local IP: --
Interface: --
Track ID: 3
State: Positive
Duration: 0 days 0 hours 4 minutes 11 seconds
Tracked object type: NQA
Notification delay: Positive 0, Negative 0 (in seconds)
Tracked object:
NQA entry: sgp.wan.test 212.30.61.126
Reaction: 3
Remote IP/URL: 8.8.4.4
Local IP: --
Interface: --
[FW|F1000-AI-80]dis track all brief
ID Status Type Remote IP/URL Local IP Interface
2 Positive NQA 8.8.4.4 -- --
3 Positive NQA 8.8.4.4 -- --
Track项定义了Positive、Negative和NotReady三种状态。
🩺如果监测结果为监测对象工作正常(如接口处于up状态、网络可达),则对应Track项的状态为Positive。
🩺如果监测结果为监测对象出现异常(如接口处于down状态、网络不可达),则对应Track项的状态为Negative。
🩺如果监测结果无效(如NQA作为监测模块时,与Track项关联的NQA测试组不存在),则对应Track项的状态为NotReady。
✅当Track项状态为Positive时,静态路由的下一跳可达,配置的静态路由将生效;
❌当Track项状态为Negative时,静态路由的下一跳不可达,配置的静态路由无效;
✅当Track项状态为NotReady时,无法判断静态路由的下一跳是否可达,此时配置的静态路由生效。
看一下NQA检测日志
[FW|F1000-AI-80]dis nqa history
NQA entry (admin hk.wan.test, tag 45.89.31.234) history records:
Index Response Status Time
356 14 Succeeded 2025-04-18 17:20:18.6
355 15 Succeeded 2025-04-18 17:20:15.6
354 14 Succeeded 2025-04-18 17:20:12.6
NQA entry (admin sgp.wan.test, tag 212.30.61.206) history records:
Index Response Status Time
352 44 Succeeded 2025-04-18 17:20:17.2
351 45 Succeeded 2025-04-18 17:20:14.2
350 45 Succeeded 2025-04-18 17:20:11.2
可以看到状态是Succeeded,说明nqa通过ping到8.8.4.4是通的
联动路由配置
配置静态路由Track,SGP备份路由的优先级设置为80,低于HK默认值60
[FW|F1000-AI-80]dis cu | inc e-s
ip route-static 0.0.0.0 0 45.89.31.126 track 2 description HK
ip route-static 0.0.0.0 0 212.30.61.126 track 3 preference 80 description SGP
配置检查命令:
[FW|F1000-AI-80]dis cu co nqa
[FW|F1000-AI-80]dis cu co track
配置策略路由关联Track
官方参考文档点这里
假设内网中有一台设备需10.20.0.1要用SGP出口上网,但在SGP网络异常后切换回HK出口上网
要先创建一个acl规则来匹配需要操作的IP
acl basic 2001
description policy-route-use-SGP-Net------
rule 0 permit source 10.20.0.1 0 counting
然后创建策略路由,匹配该acl策略,执行动作为下一跳到SGP网关,如果是直连网关就可以加上direct,关联之前创建好的track 3
policy-based-route UseSGPNetOut permit node 10
if-match acl 2001
apply next-hop 212.30.61.126 direct track 3
apply continue
进入到连接服务器的三层网口或者接交换机的三层网口,这样防火墙收到数据后就匹配到了acl,就能触发策略路由了
interface Vlan-interface10
description trust.net------
ip address 10.1.1.1 255.255.255.252
ip last-hop hold
ip policy-based-route UseSGPNetOut
✅Track项状态为Positive时,表示链路正常工作,与该Track项关联的策略路由操作生效,可以指导转发;
❌Track项状态为Negative时,表示链路出现故障,与该Track项关联的策略路由操作无效,转发时忽略该配置项;
✅Track项状态为NotReady时,与该Track项关联的策略路由操作生效,可以指导转发。
📍目前,支持与Track项关联的策略路由操作包括:
🔌设置报文的出接口
🔌设置报文的下一跳
🔌设置报文的缺省出接口
🔌设置报文的缺省下一跳
本文来自博客园,作者:Ojox,转载请注明原文链接:https://www.cnblogs.com/Ojox/p/18834320
浙公网安备 33010602011771号