基于VRRP的核心交换机冗余系统的设计与应用.doc

基于VRRP的核心交换机冗余系统的设计与应用 12 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 论文之十八: 基于VRRP的核心交换机冗余系统的设计与应用 傅慧斌 ( 福建省厦门超高压输变电局, 福建 厦门 361004) 摘要: 本文经过建设基于VRRP的核心交换机冗余系统, 介绍了VRRP的原理, 分析了系统建设的需求, 阐述了系统建设的整体规划, 提出了系统建设的实施和应用要点。 关键词: VRRP( Virtual Router Redundancy Protocol, 虚拟路由冗余协议) , 端口聚合, 负载均衡 一、 引言 福建省厦门超高压输变电局主要负责福建省厦门、 泉州、 漳州、 龙岩等闽西南四个地区超高压电网的运行、 维护和检修工作, 当前运行在信息网络上的信息系统包括ERP系统、 生产管理信息系统、 防灾减灾系统、 财务管理系统、 办公自动化系统等诸多关键业务系统, 还包括内部网站、 安全录音管理、 两票管理等信息系统。由于网络建设较早且资金有限, 当时只设计了单核心交换机的网络环境。 随着国家电网公司信息化”SG186”工程的不断进展, 各大业务系统全部依靠信息网络来运行, 由于当前大部分业务系统采用集中式管理模式, 服务器部署在省公司层面, 地市局的核心交换机不但负载越来越重, 而且核心交换机的使用率直接关系到生产和管理能否正常运转。为了满足生产及管理的要求, 亟需在原有配置的基础上, 对核心交换机等设备进行冗余设计和改造。 二、 需求分析 1、 现状分析: 网络拓扑图现状见图1。 ( 1) 核心交换机作为整个网络的中心, 没有冗余配置, 一旦发生故障, 将导致整个信息网络瘫痪。 ( 2) 核心交换机与接入层交换机均只有单独一条链路连接, 没有冗余的路由, 一旦出现传输线路问题将导致整个区域或楼层的网络出现故障, 对生产和管理工作影响很大。 从以上两点能够看出, 当前我局的网络环境比较脆弱, 存在单点故障的情况, 需要对核心交换机等设备进行冗余配置, 以更好的适应生产和管理的需要。 图1、 网络拓扑图现状( 单核心) 2、 设计思路 ( 1) 充分利用现有的设备和资源, 避免无谓的浪费。 ( 2) 充分考虑网络安全的要求, 并兼顾带宽、 实时性的要求。 ( 3) 增加一台核心交换机, 设计冗余线路, 实现接入层交换机和核心交换机的设备、 线路的冗余连接并实现负载均衡。 综上所述, 本着保护现有投资的角度考虑, 我们需要在可靠性和经济性方面找到平衡点, 基于VRRP的方案就是一种较好的解决方案。 三、 VRRP原理和概述 在基于TCP/IP协议的网络中, 当前常见的指定路由的方法有两种: 一种是静态配置, 另一种是经过路由协议( 比如: 内部路由协议RIP和OSPF) 动态学习。在每一个终端都运行动态路由协议是不现实的, 大多客户端操作系统平台都不支持动态路由协议, 即使支持也受到管理开销、 收敛度、 安全性等许多问题的限制。因此大家在终端设备普遍采用静态路由配置, 一般是给终端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复杂度, 减轻了终端设备的管理开销, 可是它依然有一个缺点: 如果作为默认网关的路由器损坏, 所有使用该网关为下一跳主机的通信必然要中断, 即便配置了多个默认网关, 如不重新启动终端设备, 也不能切换到新的网关。采用VRRP能够很好的避免静态指定网关的缺陷。 在VRRP协议中, 有两组重要的概念: VRRP路由器和虚拟路由器, 主控路由器( Master) 和备份路由器( Backup) 。VRRP路由器是指运行VRRP的路由器, 是物理实体, 虚拟路由器是指由VRRP协议所创立的逻辑路由器, 一组VRRP路由器协同工作, 共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色: 主控路由器和备份路由器, 一个VRRP组中有且只有一台处于主控角色的路由器, 能够有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控, 负责ARP响应和转发IP数据包, 组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时, 备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址, 故对终端使用者系统是透明的。 四、 核心交换机冗余的网络规划 1、 网络总体规划 当前我局计算机局域网采用以太网技术, 支持分布式的三层交换; 在结构层次上, 采用分层结构设计, 网络主要由核心层和接入层组成, 提供了千兆骨干, 百兆到桌面的局域网网络。 本次网络规划在结构上依然采用原有的核心层与接入层的结构设计, 考虑到合理的利用原有设备, 改造后的网络核心配置2台相同型号互为冗余的高性能网络核心交换机, 为保障网络的可靠性, 两台核心交换机采用VRRP技术, 提供两台核心交换机之间的冗余和负载均衡。同时为了增大核心交换机互连带宽, 我们采用端口聚合技术, 实现核心交换机之间的2*千兆互联。接入层交换机采用10/100/1000M智能三层以太网交换机。核心交换机到接入层交换机采用两路千兆以太网/光纤进行连接。规划的网络拓扑图见图2。 图2、 规划的网络拓扑图( 双核心) 2、 VLAN及IP地址规划 我局当前的VLAN划分情况如下: 核心交换机和接入层交换机均采用静态的基于端口的VLAN, 接入层交换机与核心交换机之间采用802.1Q跨交换机虚拟网划分协议。经过考虑, 我们继续采用原有的VLAN分配方案以保证网络改造对现有网络用户、 应用系统影响尽可能小。 我局IP地址分配情况: 采用VLAN进行静态IP地址分配。网络改造后, 继续采用原有的分配方案以保证网络改造对现有网络用户、 应用系统影响尽可能小。每个网关占用3个IP地址, 其中2个实际的IP地址, 1个虚拟的IP地址。 VLAN及IP地址规划如下( 由于关系到信息安全, 以下VLAN号及IP地址均为模拟数字, VLAN假定为4个, IP为私有C类地址) : Vlan ID IP段 网关 1 192.168.1.0－192.168.1.31 192.168.1.28 虚拟IP 192.168.1.30 192.168.1.29 2 192.168.1.32－192.168.1.63 192.168.1.60 虚拟IP 192.168.1.62 192.168.1.61 3 192.168.1.64－192.168.1.127 192.168.1.124 虚拟IP 192.168.1.126 192.168.1.125 4 192.168.1.128－ 192.168.1.255 192.168.1.252 虚拟IP 192.168.1.254 192.168.1.253 3、 VRRP规划 按照网络总体规划, 2台核心交换机作为全网的路由节点, 负责所有IP子网之间以及局域网和广域网的之间的路由转发。为保证IP路由的不间断, 在两台核心交换机之间配置VRRP协议, 形成冗余备份、 负载均衡的工作模式, 任何一台核心交换机出现故障, 都不会影响整个网络IP路由的转发, 保证了网络的可靠性。 规划如下: Vlan号 核心交换机1 核心交换机2 1 主( Master) 备( Backup) 2 备( Backup) 主( Master) 3 主( Master) 备( Backup) 4 备( Backup) 主( Master) 经过把不同的VLAN 的VRRP Master分别归属于核心交换机1和核心交换机2, 能够有效的做到负载均衡。 4、 路由协议规划设计 我局网络当前采用基于TCP/IP协议的以太网络, 我们在部署路由协议时还要考虑到省公司的整体规划, 同时考虑路由收敛问题、 设备兼容问题、 路由表的大小问题。基于这些, 在部署本局网络的路由协议时采用OSPF 路由协议, 并划分多个区域, 以减少路由震荡对全网络的影响, 也能够减少边缘路由器路由表的路由条目, 提高路由器的工作性能。当前设计的情况为: 把核心交换机1与省公司的连接划分为骨干区域( AREA 0) , 两台核心交换机、 各接入交换机以及各个接入节点之间划分为区域201( AREA 201) 。 5、 网络安全规划 ( 1) 网络设备自身的访问控制 核心交换机与接入层交换机的口令采用强口令并加密处理, 对可管理配置网络设备的网段及IP地址经过访问控制列表进行限制, 使用SSH等安全方式登录,禁用TELNET方式。 ( 2) 网络的隔离 在核心交换机与接入层交换机上经过访问控制列表对不同网段之间的访问进行限制、 对网段之间( 或主机之间) 的访问端口进行限制、 对网段之间的路由进行限制, 同时在接入层交换机上经过VLAN进行隔离。 ( 3) 用户接入控制 采用IP地址和MAC地址绑定的方式, 在核心交换机上配置IP地址和MAC地址的列表, 配合基于端口的VLAN以及安全策略可严格限制用户对网络的访问。 五、 核心交换机冗余的实施和应用 1、 增加冗余通道, 按照规划设计的要求, 在核心交换机与接入层交换机之间增加冗余光纤通道, 保证每个接入层交换机至少有2对以上的光纤通道能够接入两台核心交换机。 2、 部署第二台核心交换机, 安装调试后, 将第一台核心交换机的配置导入第二台核心交换机, 增加VRRP配置, 并修改相关配置。 3、 双核心交换机联机调试, 选择适当的时机( 最大程度保证业务系统的运行) 计划停机进行双机调试, 包括接入层交换机冗余通道接入, 对第一台核心交换机进行配置修改以及相关的数据备份和标签管理等工作。 4、 测试工作, 包括多网段联通测试, 模拟单核心交换机故障测试, 负载均衡测试等内容。 5、 遗留的问题: 由于我局至省公司物理通道的限制, 我局局域网与省公司广域网的联接依然是用单物理通道进行联接, 给本次网络改造留下一点缺憾, 我们已计划尽快安排冗余通道的实施。 六、 结语 经过核心交换机冗余项目的实施, 提高了我局信息网络的可靠性, 提升了信息网络的性能, 为”SG186”信息化工程的顺利开展打下坚实的基础。 参考文献 [1] 俞黎阳、 张卫、 强志成. 计算机网络工程实验教程[M].北京: 清华大学出版社, [2] mazu. VRRP简介[EB/OL]. , -12-24/ -03-31 作者简介: 姓名: 傅慧斌( 1974年4月) 性别: 男 籍贯: 福建省仙游县 职称: 工程师 职务: 信息化管理 从事的主要工作: 企业信息化、 信息安全 工作单位: 福建省厦门超高压输变电局 电子信箱: 通信地址: 福建省厦门市湖滨西路9号亿力大厦34楼 邮编: 361004 电话: ,