华为防火墙-了解双机热备与BFD或IP-Link联动

2026年 5月 12日网络安全 SE_YT

配置双机热备与BFD或IP-Link联动之前请先了解联动的实现原理等相关信息。

链路可靠性是指当设备之外的网络链路发生故障（下文称远端接口故障）时，设备可以及时感知并作出相应的转发或路由的调整，并将业务流量发送至健康的链路或网络中，以此来保证当网络本身故障时，业务流量可以及时切换到备份链路上继续运行。双机热备功能可以保证网络中主用设备出现故障时，备用设备能够平衡地接替主用设备的工作，从而实现业务的不间断运行。但是，如果设备之外的网络链路发生故障，则就需要引入链路可靠性技术，及时触发双机切换。

BFD和IP-Link就是保证链路可靠性的两种技术：

BFD是一种轻负荷的快速故障检测机制，能实现毫秒级别的设备与相邻设备间的链路缺陷检测。由于其实现了双向检测，且检测报文体积小，只需占用少量网络资源就可以实现快速循环发送，所以故障感应更加灵敏。BFD与双机热备联动就是通过VGMP管理组监控静态BFD会话，使VGMP管理组优先级随着BFD会话的状态而变化，从而实现对远端接口故障的监控，及时触发设备的主备状态切换。
IP-Link是指设备可以对网络中任一IP地址的可达性进行实时的侦测，当该IP地址由可达变为不可达时，可以认为通往该IP地址的链路发生故障，以此通知设备调整路由或主备状态，将业务流量切换至健康的备份链路中。IP-Link与双机热备联动就是通过VGMP管理组监控到与FW不直接相连的接口或链路状态，使VGMP管理组优先级随着IP-Link的状态而变化，从而实现对远端接口故障的监控，及时触发设备的主备状态切换。

但是，需要注意的是，双机热备与BFD、IP-Link联动的功能，只能用于FW业务接口工作在三层的组网，因为只有业务接口工作在三层，才有IP地址，才能对远端设备发送BFD和IP-Link的探测报文。

通过BFD监控远端接口状态

FW通过BFD监控远端接口状态的实现方法是通过BFD探测远端接口，VGMP管理组监控BFD状态。当BFD探测的远端接口故障时，BFD的状态变成Down，VGMP管理组感知到BFD的状态变化，从而将自身的优先级降低2。

如图1所示，FW_A与FW_B形成双机热备状态，FW_A为主用设备，FW_B为备用设备。为使FW可以监控到非直连链路的状态，需要在FW_A（FW_B）上使用BFD会话10探测R1（R2）的GE1/0/1接口（非直连的远端接口），然后将BFD会话10加入VGMP管理组，由VGMP管理组监控BFD会话10的状态。

如果R1的GE1/0/1接口故障，则BFD会话会检测到故障（由Up转为Down），并将故障上报给FW_A的VGMP管理组。FW_A的VGMP管理组优先级会降低2，低于FW_B的VGMP管理组优先级，进而导致双机主备状态切换，使FW_A成为备用设备，FW_B成为主用设备。

图1 VGMP管理组通过BFD监控远端接口状态
华为防火墙-了解双机热备与BFD或IP-Link联动

双机热备与BFD联动的关键配置如表1所示（配置的前提条件是已配置完成双机热备功能）。

表1 FW_A和FW_B上与BFD联动相关的关键配置
FW_A	FW_B
bfd 1 bind peer-ip 1.1.1.1 /建立BFD会话监控1.1.1.1/ discriminator local 10 /本地标识符为10/ discriminator remote 20 /对端标识符为20/ hrp track bfd-session 10 /将BFD会话加入VGMP管理组/	bfd 1 bind peer-ip 2.2.2.1 /建立BFD会话监控2.2.2.1/ discriminator local 10 /本地标识符为10/ discriminator remote 20 /对端标识符为20/ hrp track bfd-session 10 /将BFD会话加入VGMP管理组/

表1 FW_A和FW_B上与BFD联动相关的关键配置

FW_A

FW_B

bfd 1 bind peer-ip 1.1.1.1 /*建立BFD会话监控1.1.1.1*/ 
 discriminator local 10    /*本地标识符为10*/
 discriminator remote 20   /*对端标识符为20*/
hrp track bfd-session 10   /*将BFD会话加入VGMP管理组*/

bfd 1 bind peer-ip 2.2.2.1 /*建立BFD会话监控2.2.2.1*/
 discriminator local 10    /*本地标识符为10*/
 discriminator remote 20    /*对端标识符为20*/ 
hrp track bfd-session 10   /*将BFD会话加入VGMP管理组*/

通过IP-Link监控远端接口状态

FW通过IP-Link监控远端接口状态的实现方法是建立IP-Link探测远端接口，然后VGMP管理组监控IP-Link状态。当IP-Link探测的接口故障时，IP-Link的状态变成Down，VGMP管理组感知到IP-Link的状态变化，从而将自身的优先级降低2。

如图2所示，FW_A与FW_B形成双机热备状态，FW_A为主用设备，FW_B为备用设备。为使FW可以监控到非直连链路的状态，需要在FW_A（FW_B）上使用IP-Link1探测R1（R2）的GE1/0/1接口（非直连的远端接口），然后将IP-Link1加入VGMP管理组，由VGMP管理组监控IP-Link1的状态。

如果R1的GE1/0/1接口故障，则IP-Link会检测到故障（由Up转为Down），并将故障上报给FW_A的VGMP管理组。FW_A的VGMP管理组优先级会降低2，低于FW_B的VGMP管理组优先级，进而导致双机主备状态切换，使FW_A成为备用设备，FW_B成为主用设备。

图2 VGMP管理组通过IP-Link监控远端接口状态
华为防火墙-了解双机热备与BFD或IP-Link联动

双机热备与IP-Link联动的关键配置如表1所示（配置的前提条件是已配置完成双机热备功能）。

表2 FW_A和FW_B上与IP-Link联动相关的关键配置
FW_A	FW_B
ip-link check enable /启用IP-Link功能/ ip-link name 1 /建立IP-Link1探测1.1.1.1/ destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp hrp track ip-link 1 /将IP-Link1加入VGMP管理组/	ip-link check enable /启用IP-Link功能/ ip-link name 1 /建立IP-Link1探测2.2.2.1/ destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp hrp track ip-link 1 /将IP-Link1加入VGMP管理组/

表2 FW_A和FW_B上与IP-Link联动相关的关键配置

FW_A

FW_B

ip-link check enable /*启用IP-Link功能*/ 
 ip-link name 1      /*建立IP-Link1探测1.1.1.1*/
  destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp
 hrp track ip-link 1 /*将IP-Link1加入VGMP管理组*/

ip-link check enable /*启用IP-Link功能*/
 ip-link name 1      /*建立IP-Link1探测2.2.2.1*/
  destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp
 hrp track ip-link 1 /*将IP-Link1加入VGMP管理组*/

作者：SE_YT

链接：https://www.cnesa.cn/11697.html

文章版权归作者所有，未经允许请勿转载。