分享是一种生活态度,求知,求真,分享工作,分享生活!

华为防火墙可靠性-BFD实验

华为 iqianyue 1744次浏览 0个评论 扫描二维码

  BFD实验

实验目的

通过配置静态路由绑定BFD检测链路是否发生故障。

组网设备

USG 防火墙2台,交换机一台。

实验拓扑图

bfd

实验步骤(命令行 )

配置USG_A

  1. 配置各接口的IP地址(略)。
  2. 进入Trust区域视图,并将接口加入安全区域。

[USG_A] firewall zone trust

[USG_A-zone-trust] add interface GigabitEthernet1/0/0

[USG_A-zone-trust] quit

  1. 配置Local和Trust的域间安全策略。

[USG_A] policy interzone local trust outbound

[USG_A-policy-interzone-local-trust-outbound] policy 0

[USG_A-policy-interzone-local-trust-outbound-0] policy source any

[USG_A-policy-interzone-local-trust-outbound-0] action permit

[USG_A-policy-interzone-local-trust-outbound-0] quit

[USG_A] policy interzone local trust inbound

[USG_A-policy-interzone-local-trust-inbound] policy 0

[USG_A-policy-interzone-local-trust-inbound-0] policy source any

[USG_A-policy-interzone-local-trust-inbound-0] action permit

[USG_A-policy-interzone-local-trust-inbound-0] quit

  1. 在USG_A上配置与USG_B之间的BFD Session。

[USG_A] bfd

[USG_A-bfd] quit

[USG_A] bfd aa bind peer-ip 1.1.1.2

[USG_A-bfd-session-aa] discriminator local 10

[USG_A-bfd-session-aa] discriminator remote 20

[USG_A-bfd-session-aa] commit

[USG_A-bfd-session-aa] quit

配置USG_B

  1. 进入Trust区域视图,并将接口加入安全区域。

[USG_B] firewall zone trust

[USG_B-zone-trust] add interface GigabitEthernet1/0/0

[USG_B-zone-trust] add interface POS2/0/0

[USG_B-zone-trust] quit

  1. 配置Local和Trust的域间安全策略。

[USG_B] policy interzone local trust outbound

[USG_B-policy-interzone-local-trust-outbound] policy 0

[USG_B-policy-interzone-local-trust-outbound-0] policy source any

[USG_B-policy-interzone-local-trust-outbound-0] action permit

[USG_B-policy-interzone-local-trust-outbound-0] quit

[USG_B] policy interzone local trust inbound

[USG_B-policy-interzone-local-trust-inbound] policy 0

[USG_B-policy-interzone-local-trust-inbound-0] policy source any

[USG_B-policy-interzone-local-trust-inbound-0] action permit

[USG_B-policy-interzone-local-trust-inbound-0] quit

  1. 在USG_B上配置与USG_A之间的BFD Session。

[USG_B] bfd

[USG_B-bfd] quit

[USG_B] bfd bb bind peer-ip 1.1.1.1

[USG_B-bfd-session-bb] discriminator local 20

[USG_B-bfd-session-bb] discriminator remote 10

[USG_B-bfd-session-bb] commit

[USG_B-bfd-session-bb] quit

  1. 配置静态缺省路由并绑定BFD会话

# 在USG_A上配置到外部网络的静态缺省路由,并绑定BFD会话aa。

[USG_A] ip route-static 0.0.0.0 0 1.1.1.2 track bfd-session aa

 

 

验证结果

# 配置完成后,在USG_A和USG_B上执行display bfd session all命令,可以看到BFD会话已经建立,且状态为Up。在系统视图下执行display current-configuration | include bfd命令,可以看到静态路由已经绑定BFD会话。

以USG_A上的显示为例。

[USG_A] display bfd session all

——————————————————————————–

Local  Remote PeerIpAddr      State     Type      InterfaceName

——————————————————————————–

10    20     1.1.1.2         Up                       –

——————————————————————————–

Total UP/DOWN Session Number : 1/0

[USG_A] display current-configuration | include bfd

bfd

bfd aa bind peer-ip 1.1.1.2

ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 track bfd-session aa

# 在USG_A上查看IP路由表,静态路由存在于路由表中。

[USG_A] display ip routing-table

Route Flags: R – relay, D – download to fib

——————————————————————————

Routing Tables: Public

Destinations : 3        Routes : 3

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

0.0.0.0/0   Static 60   0          RD  1.1.1.2         GigabitEthernet1/0/0

1.1.1.0/24  Direct 0    0           D  1.1.1.1         GigabitEthernet1/0/0

1.1.1.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0

# 对USG_B的接口GE1/0/0执行shutdown命令模拟链路故障。

[USG_B] interface GigabitEthernet 1/0/0

[USG_B-GigabitEthernet1/0/0] shutdown

# 查看USG_A的路由表,发现静态缺省路由0.0.0.0/0也不存在了。因为静态缺省路由绑定了BFD会话,当BFD检测到故障后,就会迅速通知所绑定的静态路由不可用。

[USG_A] display ip routing-table

Route Flags: R – relay, D – download to fib

——————————————————————————

Routing Tables: Public

Destinations : 1        Routes : 1

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

1.1.1.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址