核心交換機(jī)雙機(jī)熱備解決方案(共7頁(yè))

1、核心交換機(jī)雙機(jī)熱備解決方案一、項(xiàng)目背景穩(wěn)定持續(xù)的系網(wǎng)絡(luò)系統(tǒng)運(yùn)行變得越來(lái)越重要，而原來(lái)有單機(jī)核心三層交換數(shù)據(jù)潛伏巨大的崩潰風(fēng)險(xiǎn)。VRRP（虛擬路由冗余協(xié)議）技術(shù)來(lái)解決該問(wèn)題，以實(shí)現(xiàn)主、備核心三層交換設(shè)備之間動(dòng)態(tài)、無(wú)停頓的熱切換。二、方案設(shè)計(jì)：2.1、簡(jiǎn)要介紹VRRP的基本概念。通常情況下，內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)都設(shè)置一條相同的缺省路由，指向出口網(wǎng)關(guān)（即中的交換機(jī)S9300A），實(shí)現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)出口網(wǎng)關(guān)發(fā)生故障時(shí)，主機(jī)與外部網(wǎng)絡(luò)的通信就會(huì)中斷。圖1 局域網(wǎng)缺省網(wǎng)關(guān) 配置多個(gè)出口網(wǎng)關(guān)是提高系統(tǒng)可靠性的常見(jiàn)方法，但需要解決如何在多個(gè)出口網(wǎng)關(guān)之間進(jìn)行選路的問(wèn)題。VRRP（Virtual Rou

2、ter Redundancy Protocol）是RFC3768定義的一種容錯(cuò)協(xié)議，通過(guò)物理設(shè)備和邏輯設(shè)備的分離，實(shí)現(xiàn)在多個(gè)出口網(wǎng)關(guān)之間選路，很好地解決了上述問(wèn)題。在具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，VRRP提供邏輯網(wǎng)關(guān)確保高利用度的傳輸鏈路，不僅能夠解決因某網(wǎng)關(guān)設(shè)備故障帶來(lái)的業(yè)務(wù)中斷，而且無(wú)需修改路由協(xié)議的配置。2.2、VRRP工作原理：vrrp只定義了一種報(bào)文vrrp報(bào)文，這是一種組播報(bào)文，由主三層交換機(jī)定時(shí)發(fā)出來(lái)通告他的存在。使用這些報(bào)文可以檢測(cè)虛擬三層交換機(jī)各種參數(shù)，還可以用于主三層交換機(jī)的選舉。 VRRP中定義了三種狀態(tài)模型，初始狀態(tài)Initialize，活動(dòng)狀態(tài)Master

3、和備份狀態(tài)Backup，其中只有活動(dòng)狀態(tài)的交換機(jī)可以為到虛擬IP地址的的轉(zhuǎn)發(fā)請(qǐng)求提供服務(wù)。 VRR報(bào)文是封裝在IP報(bào)文上的，支持各種上層協(xié)議，同時(shí)VRRP還支持將真實(shí)接口IP地址設(shè)置為虛擬IP地址。 那么如何從備份組的多臺(tái)交換機(jī)中選舉Master？這項(xiàng)工作由我們?cè)趥浞萁M內(nèi)每臺(tái)交換機(jī)上配置的相同IP地址的虛擬交換機(jī)完成。 虛擬交換機(jī)根據(jù)配置的優(yōu)先級(jí)的大小選擇主交換機(jī)，優(yōu)先級(jí)最大的作為主交換機(jī)，狀態(tài)為Master，若優(yōu)先級(jí)相同（如果交換機(jī)沒(méi)有配置優(yōu)先級(jí)，就采用默認(rèn)值100），則比較接口的主IP地址，主IP地址大的就成為主交換機(jī)，由它提供實(shí)際的路由服務(wù)。其他交換機(jī)作為備份交換機(jī)，隨時(shí)監(jiān)測(cè)主交換機(jī)的狀

4、態(tài)。當(dāng)主交換機(jī)正常工作時(shí)，它會(huì)每隔一段時(shí)間發(fā)送一個(gè)VRRP組播報(bào)文，以通知組內(nèi)的備份交換機(jī)，主交換機(jī)除正常工作狀態(tài)。如果組內(nèi)的備份交換機(jī)長(zhǎng)時(shí)間沒(méi)有接收到來(lái)自主交換機(jī)，則將自己狀態(tài)轉(zhuǎn)換為Master。當(dāng)組內(nèi)有多臺(tái)備份交換機(jī)，將有可能產(chǎn)生多個(gè)主交換機(jī)。這時(shí)每一個(gè)主交換機(jī)就會(huì)比較VRRP報(bào)文中的優(yōu)先級(jí)和自己本地的優(yōu)先級(jí)，如果本地的優(yōu)先級(jí)小于VRRP中的優(yōu)先級(jí)，則將自己的狀態(tài)轉(zhuǎn)換為Backup，否則保持自己的狀態(tài)不變。通過(guò)這樣一個(gè)過(guò)程，就會(huì)將優(yōu)先級(jí)最大的交換機(jī)選成新的主交換機(jī)，完成VRRP的備份功能。2.3、S9303核心交換機(jī)在組網(wǎng)中的拓?fù)鋱D：核心交換機(jī)和接入交換機(jī)之間通過(guò)光纖連接，接入交換機(jī)北電4

5、524和4548分別引兩條光纖到核心交換機(jī)S9303A和S9303B，核心之間采用VRRP協(xié)議來(lái)實(shí)現(xiàn)負(fù)載均衡和雙機(jī)熱備的性能。其中任意一個(gè)核心交換機(jī)和線路出現(xiàn)問(wèn)題，都不會(huì)影響網(wǎng)絡(luò)的暢通。為網(wǎng)絡(luò)運(yùn)行提供了更高的安全行能。三、方案分析：介紹VRRP特性在S9300中的支持情況。3.1、主備備份VRRP這是VRRP提供IP地址備份功能的基本方式。主備備份方式需要建立一個(gè)虛擬交換機(jī)，該虛擬交換機(jī)包括一個(gè)Master設(shè)備和若干Backup設(shè)備，這些交換機(jī)構(gòu)成一個(gè)備份組。正常情況下，業(yè)務(wù)全部由Master承擔(dān)。Master出現(xiàn)故障時(shí)，Backup接替工作。3、2、負(fù)載分擔(dān)VRRP負(fù)載分擔(dān)方式是指建立兩個(gè)或

6、更多備份組，多臺(tái)交換機(jī)同時(shí)承擔(dān)業(yè)務(wù)。其中允許一臺(tái)交換機(jī)為多個(gè)備份組作備份，在不同備份組中有不同的優(yōu)先級(jí)。通過(guò)多虛擬交換機(jī)設(shè)置可以實(shí)現(xiàn)負(fù)載分擔(dān)。每個(gè)備份組都包括一個(gè)Master設(shè)備和若干Backup設(shè)備。各備份組的Master可以不同。3.2、監(jiān)視接口狀態(tài)S9300支持監(jiān)控備份組中接口的狀態(tài)，當(dāng)接口狀態(tài)變化時(shí)，交換機(jī)的優(yōu)選級(jí)自動(dòng)調(diào)整，從而使備份組中各交換機(jī)優(yōu)選級(jí)高低順序發(fā)生變化，VRRP重新確定Master設(shè)備。3.3、VRRP快速切換S9300實(shí)現(xiàn)雙向轉(zhuǎn)發(fā)檢測(cè)BFD（Bidirectional Forwarding Detection）機(jī)制，能夠快速檢測(cè)、監(jiān)控網(wǎng)絡(luò)中鏈路或者IP路由的連通狀況，

7、VRRP通過(guò)監(jiān)視BFD會(huì)話狀態(tài)實(shí)現(xiàn)主備快速切換，可以配置8個(gè)BFD Session，主備切換的時(shí)間控制在1秒以?xún)?nèi)。結(jié)合使用BFD會(huì)話的檢測(cè)結(jié)果，可以加快VRRP主備倒換的速度。3.4、虛擬IP地址Ping開(kāi)關(guān)由于VRRP備份組使用虛擬IP地址，不能Ping通虛擬IP地址，會(huì)給監(jiān)控虛擬交換機(jī)的工作情況帶來(lái)一定的麻煩，能夠Ping通虛擬IP地址可以比較方便的監(jiān)控虛擬交換機(jī)的工作情況，但是帶來(lái)可能遭到ICMP攻擊的隱患。在S9300中，提供了控制Ping通虛擬IP地址的開(kāi)關(guān)命令，用戶(hù)可以選擇是否打開(kāi)。3.5、VRRP的安全功能對(duì)于安全程度不同的網(wǎng)絡(luò)環(huán)境，可以在報(bào)頭上設(shè)定不同的認(rèn)證方式和認(rèn)證字。在一個(gè)

8、安全的網(wǎng)絡(luò)中，可以采用缺省設(shè)置：交換機(jī)對(duì)要發(fā)送的VRRP報(bào)文不進(jìn)行任何認(rèn)證處理，收到VRRP報(bào)文的交換機(jī)也不進(jìn)行任何認(rèn)證，認(rèn)為收到的都是真實(shí)的、合法的VRRP報(bào)文。這種情況下，不需要設(shè)置認(rèn)證字。在有可能受到安全威脅的網(wǎng)絡(luò)中，VRRP提供簡(jiǎn)單字符認(rèn)證，可以設(shè)置長(zhǎng)度為18的認(rèn)證字。3.6、VRRP平滑倒換功能在配置了VRRP備份組的網(wǎng)絡(luò)中，在Master設(shè)備主備倒換期間，由于Master和Backup之間不能及時(shí)通信，在原Master發(fā)生倒換時(shí)，Backup切換成為Master。當(dāng)原Master倒換完成后，由于其優(yōu)先級(jí)高于原Backup，它又會(huì)搶占成為Master。由于倒換過(guò)程中報(bào)文處理較為繁忙，

9、Master發(fā)送的免費(fèi)ARP表項(xiàng)報(bào)文被阻塞或者處理異常，則必須等待后續(xù)報(bào)文刷新下游交換機(jī)MAC表項(xiàng)，在此期間將導(dǎo)致用戶(hù)報(bào)文丟失。配置VRRP平滑倒換功能后，在Master主備倒換前，會(huì)將VRRP廣播報(bào)文時(shí)間間隔設(shè)置為一個(gè)較大的值并通過(guò)VRRP報(bào)文將該值告知Backup。Backup收到該報(bào)文后，將學(xué)習(xí)這個(gè)新的時(shí)間間隔。這樣可以確保在Master主備倒換期間以及主備倒換完成后數(shù)據(jù)平滑期間VRRP備份組狀態(tài)穩(wěn)定，避免用戶(hù)報(bào)文丟失。使能了平滑倒換功能后，學(xué)習(xí)功能優(yōu)先于搶占功能，即如果收到的協(xié)議報(bào)文時(shí)間間隔和自己當(dāng)前的不一致，并且報(bào)文中攜帶的優(yōu)先級(jí)低于自己當(dāng)前的配置優(yōu)先級(jí)，這種情況VRRP首先考慮的是

10、學(xué)習(xí)功能和重置定時(shí)器，而后才會(huì)考慮是否搶占。VRRP整機(jī)平滑倒換功能還依賴(lài)于系統(tǒng)本身，如果設(shè)備自身從主備倒換一開(kāi)始系統(tǒng)便非常繁忙，無(wú)法調(diào)度VRRP模塊運(yùn)行的情況，VRRP整機(jī)平滑倒換功能無(wú)效。VRRP加入了VGMP之后，VRRP的運(yùn)行將依賴(lài)于VGMP，此時(shí)的VRRP將不受平滑倒換的影響。該功能不能用于業(yè)務(wù)VRRP。3.7、VRRP管理組在一些嚴(yán)格要求會(huì)話的來(lái)回路徑一致（即同一個(gè)會(huì)話來(lái)回的報(bào)文要通過(guò)同一臺(tái)設(shè)備）的應(yīng)用中，VRRP提供的路由備份功能存在局限性，即如果發(fā)生了主備狀態(tài)切換，將不能保證同一個(gè)會(huì)話來(lái)回路徑一致。嚴(yán)格要求會(huì)話來(lái)回路徑一致的應(yīng)用有：· 基于狀態(tài)防火墻的可靠性組網(wǎng)· 基于NAT網(wǎng)關(guān)的可靠性組網(wǎng)· 基于Proxy服務(wù)器的可靠性組網(wǎng)華為公司在VRRP的基礎(chǔ)上自主開(kāi)發(fā)了擴(kuò)展協(xié)議VGMP（VRRP Group Management Protocol），即VRRP組管理協(xié)議?；赩GMP協(xié)議建立的VRRP管理組負(fù)責(zé)統(tǒng)一管理加入其中的各VRRP備份組的狀態(tài)，保證一臺(tái)交換機(jī)上的接口同時(shí)處于主用或備用狀態(tài)，實(shí)現(xiàn)交換機(jī)VRRP狀態(tài)的一致性。四、成功案例新鄉(xiāng)市長(zhǎng)垣縣宏力學(xué)校主核心采用的就是S9300系列的交換機(jī)做雙機(jī)熱備。網(wǎng)絡(luò)拓?fù)鋱D如下：五、設(shè)備清單：序號(hào)設(shè)備名稱(chēng)設(shè)備型號(hào)產(chǎn)品描述單位數(shù)量1核心交換LE0KS9303S9303總裝機(jī)箱