先介紹下分支SRX 做IP 監控的應用場景
1,單機SRX多線接入,需要監控SP的線路質量,特別有IPSec ***的時候用的比較多。
2,雙機HA有多線接入,由於SP線路只能提供一個接入點,SRX上聯需要加交換機,當交換機與SP之間或是SP的線路有故障的時候,SRX是感知不到的,很容易產生網絡不通。
Juniper 的IP監控主要有兩種方式,一種是BFD(雙向轉發檢測),一種是RPM。場景1 一般可以用到BFD和RPM;場景2一般只能用到RPM,因爲BFD是設備都支持,SP那邊的光貓不一定支持BFD。而***設備基本都支持。
BFD的配置比較簡單。
root@# show routing-options | display set
set routing-options static route 192.168.10.0/24 next-hop 192.168.20.1
set routing-options static route 100.200.200.0/24 qualified-next-hop 10.30.30.1
set routing-options static route 100.200.200.0/24 bfd-liveness-detection minimum-interval 200
set routing-options static route 100.200.200.0/24 bfd-liveness-detection neighbor 10.30.30.1
set routing-options static route 100.200.200.0/24 bfd-liveness-detection local-address 10.20.20.1
set routing-options static route 100.200.200.0/24 bfd-liveness-detection minimum-receive-ttl 1
set routing-options static route 100.200.200.0/24 resolve
set routing-options static route 10.30.30.0/24 next-hop 10.20.20.2
需要注意的就是bfd 的interval值建議不要設置過小,不然會消耗過多的設備資源,單位是ms,一般200ms,300ms。interval 值會自動協商,取較大的值。動態協議也可以使用,加快收斂。
RPM的配置相對多點,需要注意的地方也稍微多點。下面的配置是現網中使用的,SH到JP有兩臺SP線路,隱了公網IP,建了兩條***線路,客戶對線路的冗餘性要求比較高。使用RPM做監控,主線路故障,切換到備線路,測試用時20s以內,線路恢復,自動切換到主線路,無丟包。
set routing-options static route 0.0.0.0/0 next-hop 1.1.1.10
set routing-options static route 0.0.0.0/0 qualified-next-hop 2.2.2.10 preference 20
set routing-options static route 192.168.1.100/32 next-hop st0.0
set routing-options static route 192.168.1.100/32 qualified-next-hop st0.1 preference 20
set routing-options static route 8.8.8.8/32 next-hop 1.1.1.10
set routing-options static route 8.8.4.4/32 next-hop 2.2.2.10
set services rpm probe ips-primary test paysvr target address 8.8.8.8
set services rpm probe ips-primary test paysvr probe-count 4
set services rpm probe ips-primary test paysvr probe-interval 5
set services rpm probe ips-primary test paysvr test-interval 5
set services rpm probe ips-primary test paysvr source-address 1.1.1.1
set services rpm probe ips-primary test paysvr thresholds successive-loss 4
set services rpm probe ips-secondary test paysvr target address 8.8.4.4
set services rpm probe ips-secondary test paysvr probe-count 4
set services rpm probe ips-secondary test paysvr probe-interval 5
set services rpm probe ips-secondary test paysvr test-interval 5
set services rpm probe ips-secondary test paysvr source-address 2.2.2.2
set services rpm probe ips-secondary test paysvr thresholds successive-loss 4
set services ip-monitoring policy primay match rpm-probe ips-primary
set services ip-monitoring policy primay then preferred-route route 0.0.0.0/0 next-hop 2.2.2.10
set services ip-monitoring policy primay then preferred-route route 192.168.1.100/32 next-hop st0.1
set services ip-monitoring policy secondary match rpm-probe ips-secondary
set services ip-monitoring policy secondary then preferred-route route 0.0.0.0/0 next-hop 1.1.1.10
set services ip-monitoring policy secondary then preferred-route route 192.168.1.100/32 next-hop st0.0
實際中要注意的有幾點,1,監測的地址最好不要一樣,因爲SRX是session based,會話如果沒有rst,會延長故障恢復時間。
2,建議在master route 裏面加上監測地址的明細路由,線路故障後,ip-monitoring 的policy 會生效,路由表會爲另外一條路由的preference 賦值1,只有默認路由的話,在路由層面也是有點問題。
3,如果使用fbf和rib-group import 的時候有個坑,需要將routing-instance 裏所有相關路由寫到master路由裏面去,這個在使用fbf配置route-based ipsec ***的時候同樣存在,要注意。
4,RPM默認是使用icmp ping,也可以使用tcp、udp協議,可根據客戶需求做相應配置。
由於設備的管理權限已交接給客戶,測試過程中也沒有截圖,下次實施、測試的時候再補上。
同樣的cisco,HUAWEI也有類似的監控方式,cisco的是sla,華爲的還沒有研究,現網中都有比較多的部署。這一功能在多SP部署時自動切換還是非常有效。有需求的童鞋可以私信我細節部分。