华三F100 系列防火墙 - 浮动路由联动NQA 实现双线路自动切换

公司 有两条公网线路，一条移动作为日常主用线路，一条联通作为备用线路。

为了实现主备线路自动切换，配置了浮动路由 但浮动路由只能在 主用接口为down状态时才能浮出接管默认路由。如果故障为非物理链路故障，比如光纤异常，光猫损坏等情况下，因为主用线路的接口还是up状态，所以浮动路由永远不会生效，也就失去了其存在的意义。

介于此，使用NQA检测机制，对移动公网网关进行持续的ICMP检测。并将主默认路由进行NQA联动，当检测失败次数达到阀值后 自动down掉主默认路由，使浮动路由能够生效，发挥效用。

一、配置接口

将两个公网出接口均配置NAT，以免切换后因为没有NAT导致无法正常上网。

interface GigabitEthernet1/0/3
 port link-mode route 
 description WAN-yidong
 ip address 192.168.1.1 255.255.255.0
 nat outbound 3000

interface GigabitEthernet1/0/4
 port link-mode route 
 description WAN-liantong
 ip address 192.168.2.2 255.255.255.0
 nat outbound 3000

二、配置NQA规则

nqa entry admin ydgw 　　----admin为创建用户、ydgw为自定义名称
type icmp-echo　　-----配置NQA类型为ICMP
description ip 117.158.226.193　　----备注信息
destination ip 117.158.226.193　　----对端IP地址
frequency 5000　　----检测间隔时间（毫秒）
history-record enable　　----使能NQA历史记录功能
history-record number 10　　-----配置历史记录条目为最近10条
next-hop ip 117.158.226.193　　----配置下一跳地址
probe count 10　　----检测次数
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only　　----配置触发器，本例为检测失败5次便触发
source interface GigabitEthernet1/0/3　　----配置源接口，避免通过联通网关检测移动网关的情况
ttl 1　　----配置TTL为1，也是用于避免通过其他网关检测的问题

三、配置关联

track 1 nqa entry admin ydgw reaction 1　　----关联器1 关联NQA admin ydgw 触发器1

四、启动NQA检测

nqa schedule admin ydgw start-time now lifetime forever　　----永久启动NQA检测

undo nqa schedule admin ydgw　　----关闭NQA检测

display nqa history　　----查看NQA历史记录

display nqa result　　----查看NQA检测结果详细信息

五、配置默认路由及浮动路由并关联NQA

ip route-static 0.0.0.0 0 192.168.1.254 track 1 description admin ydgw　　----配置一条默认路由，并关联到NQA
ip route-static 0.0.0.0 0 192.168.2.254 preference 80　　----配置优先级为80的（只要大于默认路由的优先级即可）的浮动路由

至此，NQA及浮动路由联动全部配置完毕。当NQA检测失败超过阀值时，默认路由会立即失效，浮动路由将立即顶替原默认路由进行转发，因事先配过NAT，上网流量会马上通过备用线路转发，业务恢复。