核心交換機雙機熱備解決方案

1、精品文檔核心交換機雙機熱備解決方案一、項目背景穩(wěn)定持續(xù)的系網(wǎng)絡(luò)系統(tǒng)運行變得越來越重要，而原來有單機核心三層交換數(shù)據(jù)潛伏巨大的崩潰風(fēng)險。VRRP（虛擬路由冗余協(xié)議）技術(shù)來解決該問題，以實現(xiàn)主、備核心三層交換設(shè)備之間動態(tài)、無停頓的熱切換。一、方案設(shè)計：2.1、 簡要介紹VRRP勺基本概念通常情況下，內(nèi)部網(wǎng)絡(luò)中的所有主機都設(shè)置一條相同的缺省路由，指向出口網(wǎng)關(guān)（即圖1中的交換機S9300A,實現(xiàn)主機與外部網(wǎng)絡(luò)的通信。當(dāng)出口網(wǎng)關(guān)發(fā)生故障時，主機與外部網(wǎng)絡(luò)的通信就會中斷。圖1局域網(wǎng)缺省網(wǎng)關(guān)Gate way: 10,0.0JIPAddress:1D.0.02/24精品文檔Gateway: 1D.0.0.1I

2、P Address:1 0.0.0.3/2410.00 1/24S9300AGateway:10,0.0.1廣I_IPAddress:10.0.0.4/240Ethernet配置多個出口網(wǎng)關(guān)是提高系統(tǒng)可靠性的常見方法，但需要解決如何在多個出口網(wǎng)關(guān)之間進行選路的問題VRRPVirtualRouterRedundancyProtocol）是RFC3768S義的一種容錯協(xié)議，通過物理設(shè)備和邏輯設(shè)備的分離，實現(xiàn)在多個出口網(wǎng)關(guān)之間選路，很好地解決了上述問題。在具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，VRRPS供邏輯網(wǎng)關(guān)確保高利用度的傳輸鏈路，不僅能夠解決因某網(wǎng)關(guān)設(shè)備故障帶來的業(yè)務(wù)中斷，而且無需修改路由

3、協(xié)議的配置。2.2、 VRRPT作原理：vrrp只定義了一種報文一一vrrp報文，這是一種組播報文，由主三層交換機定時發(fā)出來通告他的存在。使用這些報文可以檢測虛擬三層交換機各種參數(shù)，還可以用于主三層交換機的選舉。VRRM定義了三種狀態(tài)模型，初始狀態(tài)Initialize,活動狀態(tài)Master和備份狀態(tài)Backup,其中只有活動狀態(tài)的交換機可以為到虛擬IP地址的的轉(zhuǎn)發(fā)請求提供服務(wù)。VRR報文是封裝在IP報文上的，支持各種上層協(xié)議，同時VRRP支持將真實接口IP地址設(shè)置為虛擬IP地址。那么如何從備份組的多臺交換機中選舉Master?這項工作由我們在備份組內(nèi)每臺交換機上配置的相同IP地址的虛擬交換機完

4、成。虛擬交換機根據(jù)配置的優(yōu)先級的大小選擇主交換機，優(yōu)先級最大的作為主交換機，狀態(tài)為Master,若優(yōu)先級相同（如果交換機沒有配置優(yōu)先級，就采用默認值100）,則比較接口的主IP地址，主IP地址大的就成為主交換機，由它提供實際的路由服務(wù)。其他交換機作為備份交換機，隨時監(jiān)測主交換機的狀態(tài)。當(dāng)主交換機正常工作時，它會每隔一段時間發(fā)送一個VRRP組播報文，以通知組內(nèi)的備份交換機，主交換機除正常工作狀態(tài)。如果組內(nèi)的備份交換機長時間沒有接收到來自主交換機，則將自己狀態(tài)轉(zhuǎn)換為Master。當(dāng)組內(nèi)有多臺備份交換機，將有可能產(chǎn)生多個主交換機。這時每一個主交換機就會比較VRRPffi文中的優(yōu)先級和自己本地的優(yōu)先級

5、，如果本地的優(yōu)先級小于VRRP中的優(yōu)先級，則將自己的狀態(tài)轉(zhuǎn)換為Backup,否則保持自己的狀態(tài)不變。通過這樣一個過程，就會將優(yōu)先級最大的交換機選成新的主交換機，完成VRRP勺備份功能。2.3、S9303核心交換機在組網(wǎng)中的拓撲圖:北電524北電454注核心交換機和接入交換機之間通過光纖連接，接入交換機北電4524和4548分別引兩條光纖到核心交換機S9303A和S9303B核心之間采用VRRPft、議來實現(xiàn)負載均衡和雙機熱備的性能。其中任意一個核心交換機和線路出現(xiàn)問題，都不會影響網(wǎng)絡(luò)的暢通。為網(wǎng)絡(luò)運行提供了更高的安全行能。三、方案分析：介紹VRRPt性在S9300中的支持情況。3.1、 主備備

6、份VRRP這是VRRPS供IP地址備份功能的基本方式。主備備份方式需要建立一個虛擬交換機，該虛擬交換機包括一個Master設(shè)備和若干Backup設(shè)備，這些交換機構(gòu)成一個備份組。正常情況下，業(yè)務(wù)全部由Master承擔(dān)。Master出現(xiàn)故障時，Backup接替工作。3、2、負載分擔(dān)VRRP負載分擔(dān)方式是指建立兩個或更多備份組，多臺交換機同時承擔(dān)業(yè)務(wù)。其中允許一臺交換機為多個備份組作備份，在不同備份組中有不同的優(yōu)先級。通過多虛擬交換機設(shè)置可以實現(xiàn)負載分擔(dān)。每個備份組都包括一個Master設(shè)備和若干Backup設(shè)備。各備份組的Master可以不同。3.2、 、監(jiān)視接口狀態(tài)S9300支持監(jiān)控備份組中接口

7、的狀態(tài)，當(dāng)接口狀態(tài)變化時，交換機的優(yōu)選級自動調(diào)整，從而使備份組中各交換機優(yōu)選級高低順序發(fā)生變化，VRR印新確定Master設(shè)備。3.3、 VRR映速切換S9300實現(xiàn)雙向轉(zhuǎn)發(fā)檢測BFD(BidirectionalForwardingDetection)機制，能夠快速檢測、監(jiān)控網(wǎng)絡(luò)中鏈路或者IP路由的連通狀況，VRRP!過監(jiān)視BFg話狀態(tài)實現(xiàn)主備快速切換，可以配置8個BFDSession，主備切換的時間控制在1秒以內(nèi)。結(jié)合使用BF必話的檢測結(jié)果，可以加快VRR印備倒換的速度。3.4、 、虛擬IP地址Ping開關(guān)由于VRR咯份組使用虛擬IP地址，不能Ping通虛擬IP地址，會給監(jiān)控虛擬交換機的工作

8、情況帶來一定的麻煩，能夠Ping通虛擬IP地址可以比較方便的監(jiān)控虛擬交換機的工作情況，但是帶來可能遭到ICMP攻擊的隱患。在S9300中，提供了控制Ping通虛擬IP地址的開關(guān)命令，用戶可以選擇是否打開。3.5、 VRRP勺安全功能對于安全程度不同的網(wǎng)絡(luò)環(huán)境，可以在報頭上設(shè)定不同的認證方式和認證字。在一個安全的網(wǎng)絡(luò)中，可以采用缺省設(shè)置：交換機對要發(fā)送的VRRP艮文不進行任何認證處理，收到VRRP艮文的交換機也不進行任何認證，認為收到的都是真實的、合法的VRRP艮文。這種情況下，不需要設(shè)置認證字。在有可能受到安全威脅的網(wǎng)絡(luò)中，VRRPI供簡單字符認證，可以設(shè)置長度為18的認證字。3.6、 VRR

9、W滑倒換功能在配置了VRR咯份組的網(wǎng)絡(luò)中，在Master設(shè)備主備倒換期間，由于Master和Backup之間不能及時通信，在原Master發(fā)生倒換時，Backup切換成為Master。當(dāng)原Master倒換完成后，由于其優(yōu)先級高于原Backup，它又會搶占成為Master。由于倒換過程中報文處理較為繁忙，Master發(fā)送的免費ARP8項報文被阻塞或者處理異常，則必須等待后續(xù)報文刷新下游交換機MACS項，在此期間將導(dǎo)致用戶報文丟失。配置VRRW滑倒換功能后，在Master主備倒換前，會將VRRPT播報文時間問隔設(shè)置為一個較大的值并通過VRRP艮文將該值告知Backup。Backup收到該報文后，將

10、學(xué)習(xí)這個新的時間間隔。這樣可以確保在Master主備倒換期間以及主備倒換完成后數(shù)據(jù)平滑期間VRR咯份組狀態(tài)穩(wěn)定，避免用戶報文丟失。使能了平滑倒換功能后，學(xué)習(xí)功能優(yōu)先于搶占功能，即如果收到的協(xié)議報文時間間隔和自己當(dāng)前的不一致，并且報文中攜帶的優(yōu)先級低于自己當(dāng)前的配置優(yōu)先級，這種情況VRRPT先考慮的是學(xué)習(xí)功能和重置定時器，而后才會考慮是否搶占。VRRP8機平滑倒換功能還依賴于系統(tǒng)本身，如果設(shè)備自身從主備倒換一開始系統(tǒng)便非常繁忙，無法調(diào)度VRRP真塊運行的情況，VRRP5機平滑倒換功能無效。VRR助口入了VGM之后，VRRP勺運行將依賴于VGMP此時的VRRP等不受平滑倒換的影響。該功能不能用于業(yè)

11、務(wù)VRRP。3.7、 VRRPf理組在一些嚴(yán)格要求會話的來回路徑一致（即同一個會話來回的報文要通過同一臺設(shè)備）的應(yīng)用中，VRRP!供的路由備份功能存在局限性，即如果發(fā)生了主備狀態(tài)切換，將不能保證同一個會話來回路徑一致。嚴(yán)格要求會話來回路徑一致的應(yīng)用有：?基于狀態(tài)防火墻的可靠性組網(wǎng)?基于NAT網(wǎng)關(guān)的可靠性組網(wǎng)?基于Proxy服務(wù)器的可靠性組網(wǎng)華為公司在VRRP勺基礎(chǔ)上自主開發(fā)了擴展協(xié)議VGMPVRRPGroupManagementProtocol）,即VRRPS管理協(xié)議?；赩GM初議建立的VRRPf理組負責(zé)統(tǒng)一管理加入其中的各VRR咯份組的狀態(tài)，保證一臺交換機上的接口同時處于主用或備用狀態(tài)，實現(xiàn)交換機VRRP犬態(tài)的一致性。四、成功案例新鄉(xiāng)市長垣縣宏力學(xué)校主核心采用的就是S9300系列的交換機做雙機熱備網(wǎng)絡(luò)拓撲圖如下:五、設(shè)備清單:在舁廳P設(shè)備名稱設(shè)備型號產(chǎn)品描述單位數(shù)量1核心交換LE0KS9303S