VRRP網絡升級改造

2016-11-26 11:27:14

網絡安全和信息化 2016年6期

引言：我校升級前的網絡中心設備單一，終端通過接入層、匯聚層、單核心層和防火墻接入區教育網。核心交換機采用的是華為S7712，雖然性能還可以，但單一的核心存在單點故障，且不能為各個業務負載分擔。為此網絡中心另購置一臺S7712，采用VRRP技術，配合STP技術做雙核心冗余備份和負載分擔。

我校局域網共劃分了14個VLAN，對于由多個VLAN構成的局域網來說，每個VLAN的網關設備多是由核心交換機來承擔的，一旦核心交換機出現故障，則多個VLAN的網關都將出現問題，這些VLAN之間的通信將處于中斷狀態。為了避免這種情況的發生，大多數核心交換機都會提供冗余網關協議，使得網絡中至少兩臺交換機成為各個VLAN的網關，避免網關的單點故障效應。常見的冗余網關協議包括虛擬路由冗余協議（VRRP）、熱備份路由協議（HSRP）和網關負載均衡協議（GLBP）。

基本理論

圖1 改造之前的拓撲圖

由互聯網工程任務組（IETF）組織制定的VRRP，是為具有多播或廣播能力的局域網設計的容錯協議。在網絡中啟用VRRP之前，首先要創建一個備份組，組內的路由設備均運行VRRP。同處于一個VRRP備份組的路由器共同形成一個虛擬路由器，虛擬路由器對外表現為一個具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器（Master）和備份路由器（Backup）。一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或多個處于備份角色的路由器。VRRP使用選擇策略從路由器組中選舉一臺作為主控路由器，負責ARP響應和轉發IP數據包，組中的其它路由器將作為備份路由器處于待命狀態。若某種原因使得主控路由器發生故障時，備份路由器升級為主控路由器。由于此狀態切換時間較短（通常不超過5S），而且無須改變終端設備的TCP/IP協議配置和ARP表，因此對于終端用戶而言，網絡的業務應用幾乎是連續的、穩定的。

原有網絡情況和存在問題

我校原有網絡接入層為華為S5700-58C-SI交換機，匯聚層為華為S5700-24CEI交換機，核心層為華為S7712交換機，匯聚層到核心層、核心層到防火墻均為單鏈路，如圖1所示。

核心交換機S7712配置了二塊萬兆12光口擴展模塊，型號為ES0D0X12SA00，分別安裝在第8和10擴展槽上；一塊千兆48電口擴展模塊，型號為ES0D0G48TA00，安裝在第6擴展槽上。

這種網絡存在以下幾個問題：

1．只有一臺核心交換機，為單核心結構，沒有冗余備份，如果這臺核心交換機宕機，則整個網絡中斷。

2．由于只有單核心，所以各個配線間的匯聚層到核心層為單鏈路，如果這條鏈路出現故障，則該匯聚層其下的網絡都將中斷。

3．在單核心的情況下，因特網、一卡通（消費、考勤、門禁）、數字廣播和監控等業務都由單核心來交換數據，負載過大。

升級中的物理和邏輯設計

物理設計

新購置一臺同型號核心交換機S7712，配置和原來一樣的擴展模塊，且安裝在對應的擴展槽上。2臺S7712之間通過兩條光纖跳線做鏈路聚合，使其帶寬擴展為20G。23個樓宇配線間的匯聚交換機各增加一個萬兆單模光纖模塊，和核心擴展插槽上的單模光纖模塊成對，從原24芯的光纖鏈路中取用2芯作為到第二核心S7712-2的鏈路。新的拓撲結構圖如2所示。

生成樹協議設計

雖然現在成為雙核心和雙鏈路的健壯性網絡，但是S7712-1、S7712-2和匯聚交換機三者形成了一個環路。生成樹協議（STP）能夠在邏輯上通過阻斷網絡中存在的冗余鏈路來消除物理網絡中可能存在的環路，并且在當前活躍路徑發生故障時，激活被阻斷的冗余備份鏈路來恢復網絡的連通性，從而保證業務的不間斷服務。

根據實際中子網和VLAN的分布，創建2個實例，instance 1和 instance 2，實例1承載Internet的VLAN116～119和255業務；實例2承載一卡通、廣播和無線網等業務，其對應VLAN為vlan 30 39 41 to 52 128 ；數據流量相對比較大的安防監控劃分為2個 VLAN，為 VLAN201和VLAn202，分別分配到2個實例中。實例1以S7712-1為根橋，以S7712-2為備份橋；實例2以S7712-2為根橋，以S7712-1為備份橋