|
冗余技術(shù)簡介 隨著 Internet 的發(fā)展�,大型園區(qū)網(wǎng)絡(luò)從簡單的信息承載平臺(tái)轉(zhuǎn)變成一個(gè)公共服務(wù)提供平臺(tái)。作為終端用戶����,希望能時(shí)時(shí)刻刻保持與網(wǎng)絡(luò)的聯(lián)系,因此健壯,高效和可靠成為園區(qū)網(wǎng)發(fā)展的重要目標(biāo)�����,而要保證網(wǎng)絡(luò)的可靠性����,就需要使用到冗余技術(shù)。高冗余網(wǎng)絡(luò)要給我們帶來的體驗(yàn)��,就是在網(wǎng)絡(luò)設(shè)備���、鏈路發(fā)生中斷或者變化的時(shí)候�����,用戶幾乎感覺不到��。 為了達(dá)成這一目標(biāo)��,需要在園區(qū)網(wǎng)的各個(gè)環(huán)節(jié)上實(shí)施冗余���,包括網(wǎng)絡(luò)設(shè)備,鏈路和廣域網(wǎng)出口����,用戶側(cè)等等。大型園區(qū)網(wǎng)的冗余部署也包含了全部的三個(gè)環(huán)節(jié)���,分別是:設(shè)備級冗余����,鏈路級冗余和網(wǎng)關(guān)級冗余�����。本文將對這三種冗余技術(shù)的基本原理和實(shí)現(xiàn)進(jìn)行詳細(xì)的說明�。 設(shè)備級冗余技術(shù) 設(shè)備級的冗余技術(shù)分為電源冗余和管理板卡冗余,由于設(shè)備成本上的限制����,這兩種技術(shù)都被應(yīng)用在中高端產(chǎn)品上。下圖是某廠商交換機(jī)的電源冗余技術(shù): 如圖所示��,某廠商設(shè)備內(nèi)置了兩個(gè)電源插槽����,通過插入不同模塊,可以實(shí)現(xiàn)兩路AC電源或者兩路DC電源的接入����,實(shí)現(xiàn)設(shè)備電源的 1+ 1 備份�����。工程中最常見配置情況是同時(shí)插入兩塊 P6800-AC 模塊來實(shí)現(xiàn) 220v 交流電源的 1+1 備份���。 電源模塊的冗余備份實(shí)施后,在主電源供電中斷時(shí)�,備用電源將繼續(xù)為設(shè)備供電,不會(huì)造成業(yè)務(wù)的中斷�����。 注意:在實(shí)施電源的1+1冗余時(shí)����,請使用兩塊相同型號(hào)的電源模塊來實(shí)現(xiàn)。如果一塊是交流電源模塊 P6800-AC��,另一塊是直流電源模塊 P6800-DC 的話�,將有可能造成交換機(jī)損壞 。 交換機(jī)的管理板卡冗余技術(shù) 如圖 所示����,某款交換機(jī)提供了兩個(gè)管理卡插槽���,M6806-CM為RG-S6806E 的主管理模塊。承擔(dān)著系統(tǒng)交換���、系統(tǒng)狀態(tài)的控制、路由的管理����、用戶接入的控制和管理、網(wǎng)絡(luò)維護(hù)等功能����。管理模塊插在機(jī)箱母板插框中間的第 M1,M2 槽位中,支持主備冗余����,實(shí)現(xiàn)熱備份,同時(shí)支持熱插拔。 簡單來說管理卡冗余也就是在交換機(jī)運(yùn)行過程中���,如果主管理板出現(xiàn)異常不能正常工作�,交換機(jī)將自動(dòng)切換到從管理板工作�,同時(shí)不丟失用戶的相應(yīng)配置,從而保證網(wǎng)絡(luò)能夠正常運(yùn)行�,實(shí)現(xiàn)冗余功能����。 在實(shí)際工程中使用雙管理卡的設(shè)備都是自動(dòng)選擇主管理卡的��,先被插入設(shè)備中將會(huì)成為主管理卡�,后插入的板卡自動(dòng)處于冗余狀態(tài),但是也可以通過命令來選擇哪塊板卡成為主管理卡����。具體配置如下 注意:在交換機(jī)運(yùn)行過程中,如果用戶進(jìn)行了某些配置后執(zhí)行主管理卡的切換�����,一定要記得保存配置��,否則會(huì)造成用戶配置丟失�。 在實(shí)際項(xiàng)目中, S65和 S68系列的高端交換機(jī)一般都處于網(wǎng)絡(luò)的核心或區(qū)域核心位置�����,承載著園區(qū)網(wǎng)絡(luò)中關(guān)鍵的業(yè)務(wù)流量�����。 為了提供更可靠的網(wǎng)絡(luò)平臺(tái)。 鏈路級冗余技術(shù) 在大型園區(qū)網(wǎng)絡(luò)中往往存在多條二層和三層鏈路��,使用鏈路級冗余技術(shù)可以實(shí)現(xiàn)多條鏈路之間的備份�����,流量分擔(dān)和環(huán)路避免��。本章將對幾種主要的鏈路冗余技術(shù)進(jìn)行闡述��。 二層鏈路冗余的實(shí)現(xiàn): 在二層鏈路中實(shí)現(xiàn)冗余的方式主要有兩種��,生成樹協(xié)議和鏈路捆綁技術(shù)���。其中生成樹協(xié)議是一個(gè)純二層協(xié)議,但是鏈路捆綁技術(shù)在二層接口和三層接口上都可以使用��。首先介紹的是鏈路捆綁技術(shù)( Aggregate- port)��。 二層鏈路捆綁技術(shù) AP 技術(shù)的基本原理 把多個(gè)二層物理鏈接捆綁在一起形成一個(gè)簡單的邏輯鏈接�,這個(gè)邏輯鏈接我們稱之為一aggregate port(簡稱AP)。AP是鏈路帶寬擴(kuò)展的一個(gè)重要途徑�,符合 IEEE 802.3ad 標(biāo)準(zhǔn)。 它可以把多個(gè)端口的帶寬疊加起來使用�����,形成一個(gè)帶寬更大的邏輯端口,同時(shí)當(dāng)AP中的一條成員鏈路斷開時(shí)��,系統(tǒng)會(huì)將該鏈路的流量分配到 AP 中的其他有效鏈路上去����,實(shí)現(xiàn)負(fù)載均衡和鏈路冗余。AP技術(shù)一般應(yīng)用在交換機(jī)之間的骨干鏈路�,或者是交換機(jī)到大流量的服務(wù)器之間。 二層 AP 技術(shù)的基本應(yīng)用和配置 下面來看一個(gè)簡單的AP應(yīng)用實(shí)例: 在圖中兩臺(tái)交換機(jī)存在兩條百兆鏈路形成了環(huán)路����,如果要避免環(huán)路的話必須要啟用生成樹協(xié)議,這樣會(huì)導(dǎo)致其中一條鏈路被阻塞掉��,既造成了帶寬的浪費(fèi)�,同時(shí)也違背了使用兩條鏈路實(shí)現(xiàn)冗余加負(fù)載分擔(dān)的設(shè)計(jì)初衷。 在這種情況下使用 AP 技術(shù)可以園滿的解決這個(gè)問題���,通過捆綁兩條鏈路形成一個(gè)邏輯端口 AggregatePort ����,帶寬被提升至 200M ,同時(shí)在兩條鏈路中的一條發(fā)生故障時(shí)��,流量會(huì)被自動(dòng)轉(zhuǎn)往另一條鏈路����,從而實(shí)現(xiàn)了帶寬提升,流量分擔(dān)和冗余備份的目的�。 具體的設(shè)備配置以其中 S3550-1 為例: 配置完成后使用命令檢查結(jié)果如下: S3550-1#show aggregatePort 1 summary AggregatePort MaxPorts SwitchPort Mode Ports ------------- -------- ---------- ------ ----------------------- Ag1 8 Enabled Access Fa0/1 , Fa0/2 可以看到 Ag1 已經(jīng)被正確配置, F0/1 和 F0/2 成為 AP 組 1 的成員���。 二層 AP 技術(shù)的負(fù)載均衡 AP技術(shù)的配置和應(yīng)用環(huán)境都并不復(fù)雜�,但是在實(shí)際項(xiàng)目使用AP的時(shí)候���,很多人往往忽視了一個(gè)問題,那就是如何用好AP的負(fù)載均衡模式�����。 二層AP有兩種負(fù)載均衡模式: 基于源MAC或者是基于目的MAC進(jìn)行幀轉(zhuǎn)發(fā)���。在實(shí)際項(xiàng)目中��,靈活運(yùn)用這兩種模式才能使得AP發(fā)揮最大的功效�。 在圖中可以看到在核心和匯聚之間存在一條由三個(gè)百兆組成的AP鏈路,缺省情況下二層 AP 基于源 MAC 地址進(jìn)行多鏈路負(fù)載均衡���。這樣做在用戶側(cè)交換機(jī)上是沒有任何問題的�,因?yàn)閿?shù)據(jù)來自不同的用戶主機(jī)��, 源 MAC 不同��;但是如果在核心交換機(jī)上也根據(jù)源 MAC來投包的話��,僅僅會(huì)利用上三條鏈路中的一條��,因?yàn)楹诵慕粨Q機(jī)發(fā)往用戶數(shù)據(jù)幀的源 MAC只有一個(gè)�,就是本身的 SVI 接口 MAC 。因此為了能夠充分利用 AP 的所有成員鏈路��, 必須在核心交換機(jī)上更改成基于目的 MAC 的負(fù)載均衡方式���。 調(diào)整二層 AP 負(fù)載均衡模式的配置以 S3550 為例: 生成樹技術(shù) 本章節(jié)主要介紹如何在實(shí)際項(xiàng)目中運(yùn)用生成樹技術(shù)實(shí)現(xiàn)二層鏈路的冗余和流量分擔(dān)�����,對于生成樹技術(shù)原理不會(huì)做過多的描述����,如果對生成樹技術(shù)有興趣的讀者請自行查閱資料。 生成樹協(xié)議 802.1D STP 作為一種純二層協(xié)議���, 通過在交換網(wǎng)絡(luò)中建立一個(gè)最佳的樹型拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)了兩個(gè)重要功能:環(huán)路避免和冗余��。但是純粹的生成樹協(xié)議 IEEE 802.1D 在實(shí)際應(yīng)用中并不多����,因?yàn)槠溆袔讉€(gè)非常明顯的缺陷 :,收斂慢�,而且浪費(fèi)了冗余鏈路的帶寬。 作為STP 的升級版本�����, IEEE 802.1W RSTP解決了收斂慢的問題�����, 但是仍然不能有效利用冗余鏈路做負(fù)載分擔(dān)�。因此在實(shí)際工程應(yīng)用中��,往往會(huì)選用 802.1S MSTP 技術(shù)��。 MSTP技術(shù)除保留了RSTP快速收斂的優(yōu)點(diǎn)外���,同時(shí)MSTP能夠使用 instance(實(shí)例)關(guān)聯(lián) VLAN 的方式來實(shí)現(xiàn)多鏈路負(fù)載分擔(dān)���。下面我們來看一個(gè)實(shí)例: 使用STP實(shí)現(xiàn)鏈路冗余 如圖是一種常見的二層組網(wǎng)方式����,三臺(tái)交換機(jī)上都擁有兩個(gè)VLAN �, VLAN10和VLAN20 。接入層交換機(jī)到匯聚交換機(jī)有兩條鏈路���,如果使用802.1D STP技術(shù)來進(jìn)行鏈路冗余的話��,會(huì)導(dǎo)致下圖中的結(jié)果: 從圖中可以很清楚的看出使用 802.1D STP 或 802.1W RSTP����,雖然能夠?qū)崿F(xiàn)鏈路冗余����,但是無論如何都會(huì)導(dǎo)致 S2126G 的某條上行鏈路被阻塞,從而導(dǎo)致鏈路帶寬的浪費(fèi)��。 使用MSTP實(shí)現(xiàn)鏈路冗余和負(fù)載分擔(dān) 如果使用 802.1S MSTP 的話��,就可以同時(shí)達(dá)到冗余和流量分擔(dān)的目的?����,F(xiàn)在來看看在這種拓?fù)浣Y(jié)構(gòu)下,如何正確使用 MST 實(shí)現(xiàn)以上功能 . (1)在三臺(tái)交換機(jī)上全部啟用MST���,并建立VLAN 10到 Instance 10 和 VLAN 20 到Instance 20 的映射���,這樣就把原來的物理拓?fù)洌ㄟ^ Instance 到 VLAN 的映射關(guān)系邏輯上劃分成兩個(gè)拓?fù)?��,分別對應(yīng)VLAN 10 和VLAN 20 �。 (2)調(diào)整S3550-1 在 VLAN10 中的橋優(yōu)先級為 4096�����,保證其在 VLAN 10 的邏輯拓?fù)渲斜贿x舉為根橋����。 同時(shí)調(diào)整在 VLAN20 中的橋優(yōu)先級為 8192��,保證其在VLAN20 的邏輯拓?fù)渲械膫溆酶鶚蛭恢谩?/p> (3)S3550-2 的調(diào)整方法和 S3550-1 類似�����,也是要保證在 VLAN20 中 ,S3550-2 成為根橋�����,在 VLAN10 中�����,其成為備用根橋�����。 下圖非常形象的描述了本案例使用 MSTP 的實(shí)現(xiàn)過程 MSTP的配置實(shí)例: S2126G 配置如下 S3550-1 配置如下 S3550-2 配置如下 注意:由于 MST 的配置較為復(fù)雜����, 因此在下面列出了 MST 的配置中一些經(jīng)常出現(xiàn)的錯(cuò)誤����。 (1) Spanning-tree 模式?jīng)]有選擇。 (2) 各個(gè)交換機(jī) Instance 映射關(guān)系不一致�����,從而導(dǎo)致交換機(jī)間的鏈路被錯(cuò)誤阻塞����。 (3) 很多工程師在配置完 S3550-1 在 Instance10 中的根橋優(yōu)先級后��, 沒有將其設(shè)置成另一個(gè)實(shí)例的備用根橋���。 這是非常危險(xiǎn)的操作, 因?yàn)橐坏┏霈F(xiàn) Instance20 的主用鏈路失效后可能導(dǎo)致 S2126G 被選舉為根橋���, 使得 VLAN20 的所有流量都必須經(jīng)過 S2126G 這種接入層交換機(jī)�,在極端情況下可能導(dǎo)致 S2126G 當(dāng)機(jī)�����。 (4) MST 的配置順序問題�, 應(yīng)該在配置完MST的參數(shù)后再打開生成樹,否則有可能出現(xiàn)MST工作異常的情況��。 (5) 沒有指定VLAN到Instance關(guān)聯(lián)VLAN都被歸納到Instance0�,在實(shí)際工程中需要注意 Instance0 的根橋指定。 三層鏈路冗余技術(shù) 三層鏈路冗余技術(shù)較二層鏈路冗余技術(shù)豐富很多�����,依靠各種路由協(xié)議可以輕松實(shí)現(xiàn)三層鏈路冗余和負(fù)載均衡�。另外三層鏈路捆綁技術(shù)也提供了路由協(xié)議之外的一種選擇。由于在當(dāng)前的大型園區(qū)網(wǎng)絡(luò)中����,絕大部分情況使用的路由協(xié)議都是OSPF,因此在討論基于路由協(xié)議的冗余技術(shù)時(shí)���,只考慮使用OSPF 的情況�����。 三層鏈路捆綁技術(shù) 三層鏈路的AP和二層鏈路AP技術(shù)的本質(zhì)都是一樣�,都是通過捆綁多條鏈路形成一個(gè)邏輯端口來實(shí)現(xiàn)增大帶寬�����,保證冗余和負(fù)載分擔(dān)的目的�����。在本節(jié)中就只介紹三層 AP 的基本配置��。 如圖所示����,兩臺(tái) S3550 需要建立三層 AP,以 S3550-1 為例����,其配置如下: 注意:建立三層 AP 需要首先手動(dòng)建立匯聚端口���,并將其設(shè)置為三層接口。如果直接將交換機(jī)端口加入的話�,會(huì)出現(xiàn)接口類型不匹配,命令無法執(zhí)行的錯(cuò)誤 ����。 三層AP的負(fù)載均衡模式 和二層AP一樣,三層AP也需要選擇負(fù)載均衡模式�,配置如下: 基于OSPF的三層鏈路冗余技術(shù) 基于OSPF的三層鏈路冗余技術(shù)在大型園區(qū)網(wǎng)絡(luò)中使用廣泛,通過 cost值的調(diào)整可以非常容易的實(shí)現(xiàn)鏈路冗余和負(fù)載分擔(dān)���。 圖中的OSPF網(wǎng)絡(luò)通過cost調(diào)整很好的實(shí)現(xiàn)了鏈路��,核心設(shè)備和出口的冗余備份和負(fù)載分擔(dān)���。其實(shí)對于這種拓?fù)浣涌诘木W(wǎng)絡(luò),使用 OSPF 還有另外一種解決方案��,那就是不修改 cost 值�����,在 S6806E 的兩條上行鏈路做負(fù)載均衡。這種方式看似比前一種方案更合理�。但是在實(shí)際項(xiàng)目中, 由于園區(qū)內(nèi)部使用私有地址��, 在出口路由器上需要做 NAT 轉(zhuǎn)換�����, 因此在這種拓?fù)渲惺遣豢尚械?。對于這種網(wǎng)絡(luò)不可能實(shí)現(xiàn)真正意義上的負(fù)載均衡�,只能通過規(guī)劃設(shè)計(jì)來合理分配鏈路流量。 下面來看看下圖中的網(wǎng)絡(luò)���,這個(gè)OSPF網(wǎng)絡(luò)由于是單出口的拓?fù)浣Y(jié)構(gòu)�, 因此不需要通過人工調(diào)整cost 值來實(shí)現(xiàn)流量分擔(dān)����。只需要更改OSPF 的參考帶寬,OSPF會(huì)自動(dòng)實(shí)現(xiàn)負(fù)載均衡功能�。 網(wǎng)關(guān)級冗余技術(shù)VRRP的實(shí)現(xiàn) 前面談到的冗余技術(shù)保證了園區(qū)網(wǎng)絡(luò)級別的冗余,同樣對于使用網(wǎng)絡(luò)的終端用戶來講�����,也需要一種機(jī)制來保證其與園區(qū)網(wǎng)絡(luò)的可靠連接,這就是網(wǎng)關(guān)級冗余技術(shù)����。 VRRP 是一種容錯(cuò)協(xié)議,它保證當(dāng)主機(jī)的下一跳路由器失效時(shí)��,可以及時(shí)的由另一臺(tái)路由器來替代�����,從而保持通訊的連續(xù)性和可靠性�, VRRP協(xié)議通過交互報(bào)文的方法將多臺(tái)物理路由器模擬成一臺(tái)虛擬路由器,網(wǎng)絡(luò)上的主機(jī)與虛擬路由器進(jìn)行通信�。一旦 VRRP組中的某臺(tái)物理路由器失效,其他路由器自動(dòng)將接替其工作����。 單VLAN的VRRP應(yīng)用 單VLAN中VRRP的典型應(yīng)用如下圖所示,圖中所有設(shè)備和用戶都處于 VLAN10中�,對于用戶來說,其電腦的網(wǎng)關(guān)被設(shè)置為虛擬路由器 S3550-3 的 IP 地址�����,實(shí)際上真正進(jìn)行轉(zhuǎn)發(fā)的設(shè)備是S3550-1 ,S3550-2 作為冗余�。一旦 S3550-1 出現(xiàn)故障, S3550-2 將自動(dòng)接替其工作�,對用戶來說是感知不到這種變化的。 在單VLAN 中��,VRRP的基本配置如下: S3550-1 的配置 S3550-2 的配置 多VLAN中的VRRP路由器負(fù)載分擔(dān): 在多VLAN 的情況下�,如果使用S3550-1作為主網(wǎng)關(guān),S3550-2 僅僅用來做冗余的話實(shí)際上對網(wǎng)絡(luò)資源是一種極大的浪費(fèi)�。多VLAN 中的 VRRP 路由器負(fù)載分擔(dān)模式本質(zhì)上是單VLAN中VRRP應(yīng)用模型的拓展。如下圖所示�,針對不同的VLAN中建立相應(yīng)的VRRP組����,通過優(yōu)先級調(diào)整來使得路由器在多個(gè)VLAN 中充當(dāng)不同的角色, 這樣可以讓流量均勻分布到鏈路和設(shè)備上�,從而實(shí)現(xiàn)冗余和流量分擔(dān)的目的。這種應(yīng)用思想和 MST 的多VLAN流量分擔(dān)相似���,也是基于VLAN實(shí)現(xiàn)邏輯拓?fù)涞膭澐帧?/p> 在多VLAN環(huán)境下��,實(shí)現(xiàn)VRRP 路由器負(fù)載分擔(dān)的基本配置如下: S3550-1的配置 S3550-2的配置 經(jīng)過以上配置后��, 最終在 VLAN10 中建立 VRRP 組 1�,S3550-1 被當(dāng)選為主網(wǎng)關(guān), S3550-2成為備用網(wǎng)關(guān)��,而在 VLAN 20 中建立 VRRP 組 2���, S3550-2 被當(dāng)選為主網(wǎng)關(guān)�����, S3550-1 成為備用網(wǎng)關(guān)����。 冗余技術(shù)的綜合使用實(shí)例: MSTP VRRP 由于每種冗余技術(shù)都工作在特定層面上����,所以在網(wǎng)絡(luò)實(shí)際應(yīng)用時(shí)需要多種冗余技術(shù)的結(jié)合使用才能真正保證網(wǎng)絡(luò)的可靠性。下面將為大家介紹一個(gè)冗余技術(shù)綜合運(yùn)用的實(shí)例�,使用MSTP VRRP來實(shí)現(xiàn)基于 VLAN 的鏈路冗余和網(wǎng)關(guān)冗余。 如圖所示����,這是一個(gè)大型園區(qū)網(wǎng)絡(luò)的某個(gè)匯聚節(jié)點(diǎn)的拓?fù)鋱D,共有兩個(gè)用戶VLAN :VLAN10 和 VLAN20 ���,在接入交換機(jī) S2126G 到三層匯聚使用了雙核心和雙鏈路備份���。對于這種類型的網(wǎng)絡(luò)��,設(shè)計(jì)者的意圖很明顯:希望得到最高的安全性和合理的流量分擔(dān)�����。為了實(shí)現(xiàn)這個(gè)目的�����,必須把MSTP和VRRP 結(jié)合使用��。如圖 8-14 所示��。 對于這種案例來說, 其實(shí)把拓?fù)鋱D分解成單個(gè) VLAN 的邏輯拓?fù)浜螅?理解起來是很簡單的�����,無非就是先通過調(diào)整橋優(yōu)先級選出本 VLAN 的根橋��, 然后再調(diào)整 VRRP 的優(yōu)先級使得這臺(tái)根橋同時(shí)成為對應(yīng) VRRP 組的主網(wǎng)關(guān)�。 這樣正常情況下兩個(gè) VLAN 的用戶的數(shù)據(jù)流量分別通過不同的上行鏈路和網(wǎng)關(guān)進(jìn)入園區(qū)網(wǎng)絡(luò),實(shí)現(xiàn)了鏈路和網(wǎng)關(guān)的負(fù)載分擔(dān)�。同時(shí)在故障出現(xiàn)時(shí)�, MSTP 保障二層冗余鏈路切換功能���,而 VRRP 保證備用網(wǎng)關(guān)的倒換��,兩種技術(shù)被有機(jī)的結(jié)合��,從而完美的解決了這類網(wǎng)絡(luò)的冗余問題����。 本案例的具體配置如下: S3550-1在VLAN10和VLAN20中的配置 S3550-2在VLAN10和 VLAN20 中的配置 注意:在實(shí)際工程中做 VRRP MSTP 的配置����,一定要注意一個(gè) VLAN中根橋的位置和VRRP主網(wǎng)關(guān)的位置必須一致,否則會(huì)造成網(wǎng)絡(luò)故障�。
|
