飞塔防火墙Link Monitor功能实战：配置与故障排除指南

1. 飞塔防火墙Link Monitor功能入门指南

第一次接触飞塔防火墙的Link Monitor功能时，我完全被它的实用性惊艳到了。简单来说，这就像给你的网络线路装了个24小时值班的"健康检测员"，随时监控线路质量，发现问题立刻自动切换备用线路。对于像我这样管理着多条互联网接入的企业网管来说，简直是救命稻草。

Link Monitor的工作原理其实很直观：通过定期向目标服务器发送探测包（通常是Ping），根据响应情况判断线路质量。如果连续多次探测失败，就会触发预设的故障转移动作。最常用的是自动将问题线路的相关路由从路由表中移除，让流量自动切换到备用线路。等线路恢复后，又会自动把路由加回来，整个过程完全无需人工干预。

这个功能特别适合以下场景：

• 企业有主备双线接入，需要自动切换
• 关键业务需要保证网络高可用性
• 需要监控特定线路的实时质量
• 多ISP接入环境下的智能路由选择

2. Link Monitor详细配置步骤

2.1 基础配置实战

配置Link Monitor其实比想象中简单很多。我以最常见的Ping探测为例，带大家一步步完成配置。先登录飞塔防火墙的CLI界面，输入以下命令：

config system link-monitor edit "WAN1_Monitor" set srcintf "port1" set server "8.8.8.8" set gateway-ip 192.168.1.1 set source-ip 192.168.1.2 set interval 500 set failtime 3 set recoverytime 5 next end

我来解释下每个参数的作用：

• srcintf：指定监控哪个物理接口
• server：设置探测的目标服务器IP（建议选稳定的公网IP如DNS服务器）
• gateway-ip：该线路的网关地址
• source-ip：探测包使用的源IP（必须是该接口的IP）
• interval：探测间隔，单位毫秒（500ms是个比较平衡的值）
• failtime：连续多少次探测失败才判定为故障
• recoverytime：连续多少次探测成功才判定为恢复

2.2 高级参数调优

基础配置能满足大多数需求，但有些特殊场景需要更精细的控制。比如：

config system link-monitor edit "WAN1_Monitor" set ha-priority 50 set update-cascade-interface enable set update-static-route disable set packet-size 64 next end

这里有几个实用技巧：

• ha-priority：在高可用集群中设置优先级
• update-cascade-interface：是否联动更新级联接口状态
• update-static-route：是否自动更新静态路由（默认启用）
• packet-size：自定义探测包大小，用于模拟真实流量

3. 典型故障排查指南

3.1 常见问题诊断

配置完成后，最常用的诊断命令是：

diagnose sys link-monitor status

输出结果类似这样：

Source interface: port1 (3) Source IP: 192.168.1.2 Gateway: 192.168.1.1 Interval: 500 ms Peer: 8.8.8.8(8.8.8.8) Route: 192.168.1.2->8.8.8.8/32, gwy(192.168.1.1) #protocol: ping, state: alive Packet lost: 0.000% Recovery times(5/5) Fail Times(0/3) Packet sent: 1256, received: 1256

关键指标解读：

• state：当前线路状态（alive/die）
• Packet lost：丢包率
• Recovery times：恢复计数（当前值/阈值）
• Fail Times：失败计数（当前值/阈值）

3.2 疑难问题解决

在实际使用中，我遇到过几个典型问题：

问题1：探测一直失败但线路实际正常可能原因：

• 防火墙策略阻止了ICMP探测
• 源IP设置错误
• 网关配置不正确

解决方法：

1. 检查安全策略是否允许探测流量通过
2. 确认source-ip确实是接口IP
3. 测试从该接口直接ping目标服务器是否通

问题2：路由没有按预期切换可能原因：

• link-monitor-exempt被启用
• 路由优先级设置问题
• 探测参数过于宽松

解决方法：

1. 检查相关静态路由配置：

config router static edit 1 get end

2. 确认没有设置link-monitor-exempt enable
3. 调整failtime为更严格的值（如从5改为3）

4. 实际应用案例分享

4.1 双线自动切换方案

去年我给一家零售企业部署了基于Link Monitor的双线自动切换方案。他们有一条电信专线和一条联通宽带，要求专线故障时自动切到宽带。配置要点：

1. 为每条线路分别配置Link Monitor
2. 设置不同的路由优先级（专线优先级更高）
3. 配置策略路由将关键业务绑定到专线

当专线故障时，整个过程完全自动：

1. Link Monitor检测到专线故障
2. 专线路由被自动移除
3. 所有流量自动走联通宽带
4. 专线恢复后，路由自动加回，流量切回专线

4.2 链路质量监控实践

除了故障切换，Link Monitor还能用于链路质量分析。我们曾用这个功能诊断过一家酒店的WiFi卡顿问题。配置方法：

config system link-monitor edit "WIFI_Quality" set srcintf "wlan-port" set server "114.114.114.114" set interval 100 set failtime 1 set diffservcode 000000 set probe-timeout 100 next end

通过分析diagnose输出的丢包率和延迟数据，最终定位是AP负载过高导致的间歇性丢包。调整AP密度后问题解决。

5. 最佳实践与注意事项

经过多个项目的实战，我总结了这些经验：

1. 目标服务器选择：

   • 不要用业务服务器作为探测目标
   • 推荐使用多个公共DNS（如8.8.8.8+114.114.114.114）
   • 可以同时监控多个目标提高可靠性

2. 参数调优建议：

   • 生产环境interval建议300-1000ms
   • failtime通常3-5次比较合适
   • 移动线路可以适当放宽条件

3. 特殊场景处理：

   • 对于SD-WAN等复杂环境，可能需要禁用自动路由更新
   • 关键路由可以设置link-monitor-exempt防止误切
   • 高可用集群中注意ha-priority配置

4. 监控与告警：

   • 定期检查diagnose输出
   • 配置日志告警监控状态变化
   • 记录历史数据用于质量分析

配置完成后，建议先用execute link-monitor restart WAN1_Monitor手动重启监控，然后立即检查状态确认配置生效。在实际运行中，保持飞塔系统版本更新也很重要，我们遇到过旧版本的Link Monitor在某些特殊场景下的bug，升级后都得到了解决。