文/刘臣平
随着Internet的高速发展,网络支持的业务和应用日渐增多,传统的网络性能分析方法(如Ping、Tracert等)已经不能满足用户对业务多样性和监测实时性的要求。
NQA(Network Quality Analyzer) 是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计,通过发送测试报文,对网络性能或服务质量进行分析,为用户提供网络性能参数,如时延抖动、HTTP的总时延、通过DHCP获取IP地址的时延、TCP连接时延、FTP连接时延和文件传输速率等。利用NQA的测试结果,用户可以:
及时了解网络的性能状况,针对不同的网络性能,进行相应的处理;
对网络故障进行诊断和定位。
NQA还提供了与Track和应用模块联动的功能,实时监控网络状态的变化,及时进行相应的处理,从而避免通信的中断或服务质量的降低。
NQA具有以下几个特点:
支持多种测试类型
传统的Ping功能是使用ICMP(Internet Control Message Protocol,互联网控制报文协议)测试数据包在本端和指定目的端之间的往返时间。NQA是对Ping功能的扩展和增强,它提供了更多的功能。
目前NQA支持11种测试类型:ICMP-echo、DHCP、DNS、FTP、HTTP、UDP-jitter、SNMP、TCP、UDP-echo、Voice和DLSw测试。
支持多测试组并发
NQA模块支持多个测试组并发,用户可以根据需求手工配置并发个数。但对于DHCP测试,同一时刻只允许有一个测试组进行测试。
支持联动功能
联动功能是指NQA提供探测功能,把探测结果通知其他模块,其他模块再根据探测结果进行相应处理的功能。目前实现了与VRRP、静态路由、备份中心和策略路由的联动。
H3C公司提供的中国移动WAP(综合)网关防火墙解决方案,主要采用VRRP技术来实现两台防火墙设备的主备备份和自动检测倒换,实现双机高可靠性部署。
在设计方案中,防火墙机框即S95E机框与CMNET侧接入交换机通过两个不同VRRP互联,分别指导GRE入流量和NAT后出流量的转发;与网关内网交换机也通过一或两个VRRP(看客户要求)互联,指导去往的入LB流量和通过WAP服务器代理后访问Internet需经防火墙NAT的出流量转发。
防火墙上VRRP设计:
CMCC VRRP,与CMNET接入交换机公网互联,将虚IP设置为与远端GGSN建立GRE隧道的终结地址,由CMNET向外发布。此VRRP引导由GGSN封装入GRE隧道的各种PS域上网流量,将这些流量引导至交换机机框后匹配策略路由分发至不通的防火墙板卡处理。
Untrust VRRP,与CMNET接入交换机公网互联,接入Internet,对回程流量提供统一网关。
Trust vrrp,与WAP网关内网交换机互联,提供访问Internet和回程至手机终端的网关。
从方案规划的VRRP来看,对于WAP网关内网和外网CMNET,防火墙机框上都启用VRRP互联,但VRRP之间没有任何关联,如何实现在上行链路故障情况下,下行VRRP也感知到并与上行VRRP同时倒换,就需要使用NQA技术来实现不同VRRP组的倒换同步。
通过NQA技术探测对上行、下行以及各防火墙板卡的可达性,联动track状态,再通过track与vrrp组的联动触发vrrp优先级变化,完成vrrp主备倒换,每个VRRP组可同时联动多个与NQA探测绑定的track,这样就可以同时监控多条链路,任何一条故障都可触发所有VRRP组的倒换。VRRP与NQA的规划设计是为中国移动WAP(综合)网关防火墙解决方案的核心内容。
在中国移动WAP(综合)网关防火墙解决方案中,上下行的VRRP对于各个可能出现故障的链路都需要监控,对于每个VRRP对端互联设备以及每块防火墙板卡的可达性都需要探测。
这样在WAP(综合)网关防火墙解决方案中,需配置的NQA探测组数目一般情况为:3+N(N为防火墙插卡数量)。
解决方案中典型配置:
nqa entry cmnet 1 #配置探测组
type icmp-echo #探测模式为icmp-echo
destination ip 192.168.122.114 #配置探测目的地址
frequency 1000 #配置两个探测周期之间时间间隔
probe count 3 #每个探测周期发送探测报文个数
probe timeout 1000 #每个探测报文超时时间
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
#连续3个探测报文超时,触发联动
source ip 192.168.122.117 #配置探测源地址
vpn-instance untrust #绑定VPN
track 1 nqa entry cmnet 1 reaction 1 #配置NQA与track项联动
interface Vlan-interface200
description TO-CMNET
ip binding vpn-instance untrust
ip address 192.168.122.117 255.255.255.248
vrrp vrid 200 virtual-ip 192.168.122.116
vrrp vrid 200 priority 105
vrrp vrid 200 track 1 #配置VRRP与track绑定
vrrp vrid 200 track 2
vrrp vrid 200 track 3
vrrp vrid 200 track 4
vrrp vrid 200 track 5
vrrp vrid 200 track 6
nqa schedule cmnet 1 start-time now lifetime forever #启用NQA探测