张 慧,邢培振
(1.中州大学信息工程学院,郑州450044;2.华北水利水电学院 水利职业学院,郑州450011)
随着网络应用的不断深化,日常办公越来越依赖企业网络,这就为企业网络的可用性提出了更高的要求。网络系统的可用性是保证网络正常运转的基本条件,一旦出现意外造成网络不能正常运转,需要具备及时自我恢复的能力。一个可靠的网络系统,应该保证能够长期的稳定运转,出现故障的概率极低。高可用性的设备和可用性技术是保证以上可用性的基础。
随着社会生产力的提高和信息化技术的发展,数据通信网络在人们日常生产、生活中占据着越来越重要的地位。由于网络通信中断而造成的各种损失十分巨大,人们日益关注如何提高网络通信系统的可用性。
一般而言,可用性(availability)是指系统平均正常运行时间占总运行时间的比例,可用性指标指明了系统为客户提供一定水平服务的能力。可用性指标的定量计算要用到如下两个基本概念:
(1)MTBF(Mean Time Between Failure),即平均无故障时间,是指设备运行的无故障性或寿命,它是描述整个系统可用性的重要指标。
(2)MTTR(Mean Time To Repair),即系统平均恢复时间,是描述整个系统容错能力的指标。当网络中的组件出现故障时,网络从故障状态恢复到正常状态所需的平均时间。
表示系统可用性的公式为:AVAILABILITY=MTBF/(MTBF+MTTR)*100%。
分析系统可用性公式可知,提高网络可用性可采取的措施是提高平均无故障时间(MTBF)或降低系统平均恢复时间(MTTR)。影响网络可用性的因素主要包括软、硬件设备故障、网络链路故障、用户操作失误等。但是,网络中出现故障是不可避免的,采用从故障中快速恢复的技术以缩小MTTR指标,也是提升网络可用性水平的手段。采用VRRP+MSTP技术可有效缩小MTTR指标。
在局域网内,终端用户都设置一条相同的以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信。当网关发生故障时,本网段内所有以网关为下一跳缺省路由的主机与外部网络的通信将中断。为了避免网络中断,需要通过在主机上设置多个网关,多网关的配置会给网络的管理和应用带来新的问题。为了更好地解决上述网络中断的问题,可以采用虚拟路由冗余协议(VRRP)。该协议的作用是对以太网上终端IP设备的默认网关信息(如IP和MAC)进行冗余备份,从而在当前路由设备宕机时,能自动、及时启用备份路由设备接管转发工作,实现对用户的透明切换,提高网络服务质量。
在VRRP中,VRRP路由器是运行VRRP的物理路由器;虚拟路由器是VRRP协议创建的逻辑概念上的路由器。一台虚拟路由器由一组协同工作的VRRP路由器构成。该虚拟路由器具有唯一固定IP地址和MAC地址。该虚拟路由器中的VRRP路由器要么是主控路由器,要么是备份路由器,且只有一台处于主控角色的路由器负责ARP应答和转发IP数据包,这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。备份路由器可以有多个。虚拟路由器中的主控路由器是通过VRRP路由器唯一标识的值产生的,VRID取值范围为[0,255],且值越大优先级越高;其他VRRP路由器均作为备份路由器。只有当由于某种原因主控路由器发生故障时,备份路由器能在不用改变IP地址和MAC地址且在几秒钟的时延后升级为主路由器。
生成树协议是一种二层管理协议,它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路的备份功能。它掌管着端口的转发大权,端口状态的变化,将影响上层路由协议的路由选择。
生成树协议和其他协议一样,是随着网络的不断发展而不断更新换代的。通常把生成树协议的发展划分为三个时代。第一代生成树协议是STP/RSTP,第二代生成树协议是PVST/PVST+,第三代生成树协议是MSTP。
MSTP(Multiple Spanning Tree Protocol,多生成树协议)在IEEE802.1s中定义与之前版本相比,引入了“实例(INSTANCE)”,即MSTP是基于实例的。多个VLAN对应的一个集合构成一个“实例(INSTANCE)”,有着相同“实例(INSTANCE)”配置的设备就组成一个MST域(MST Region),运行独立的生成树(这个内部的生成树称为IST,Internal Spanning-tree);这个MST region组合就相当于一个大的设备整体,与其他MST Region再进行生成树算法运算,得出一个整体的生成树,称为CST(Common Spanning Tree)。实例 0具有特殊的作用,称为CIST,即公共与内部生成树,其他实例则称为MSTI,即多生成树实例。
MSTP协议在计算生成树时使用的算法和原理与STP/RSTP大同小异,只是因为在MSTP中引入了域和内部路径开销等参数,故MSTP中的优先级向量是7维,而STP/RSTP是5维。MSTP中的优先级向量是{CIST根桥标识符,CIST外部根路径开销,CIST域根标识符,CIST内部根路径开销,CIST指定桥标识符,CIST指定端口标识符,CIST接收端口标识符},MSTP中的CIST域根标识符有两种情况,一种是总根所在域内,BPDU报文中该字段是参考总根的标识符,另一种情况是不包含总根的域中,BPDU报文该字段是参考主设备的标识符。运行MSTP的实体初始化时认为自己是总根、域根,通过交互配置消息,按照上面介绍的7维向量的优先级计算CIST生成树和MSTI。
基于MSTP+VRRP技术的双核心应用方案,一般应用于对网络可用性要求较高的应用环境,比如中小企业园区网、高校校园网、医疗、金融行业等网络环境。该应用方案的用户网关采用VRRP协议进行备份,双核心设备分别承担部分用户流量,实现负载分担。物理链路使用MSTP协议进行备份,提高网络整体可用性。同时,MSTP和VRRP的协同配置,可以使汇聚层到核心层的数据流量实现负载分担,减轻单台核心设备的压力,使网络更加稳定和可靠。
(1)配置VRRP协议时,根据网络规划划分用户网段,每一个网段中用户数一般不超过254个。对每一个用户网段,双汇聚设备使用VRRP进行网关备份。
(2)配置VRRP协议时,最好让双汇聚设备都承担部分网段的用户网关责任,实现负载分担。可以使用分担各50%左右网络流量的比例进行设计。
(3)配置VRRP协议时,一般使用默认值配置即可。如果网络特别容易遭受攻击,导致VRRP振荡,可以适当修改VRRP的通告时间间隔(timer advertise)。比如,默认值是1秒,则VRRP振荡的时间为3秒。如果修改为2秒,那么VRRP振荡的时间就延长为6秒。
(4)配置MSTP协议时,域的配置很重要,要域名、域修正值和Vlan-instance对应关系都一致才认为是在同一个域中。配置时,一般只需要保证双核心设备中Vlan-instance的配置一致,域名和域修正值采用默认值即可。
(5)配置MSTP协议时,在容易遭受BPDU攻击的网络中,接入层设备直接接用户的端口,可以配置BPDU FILTER,过滤掉 BPDU报文。同时配置了BPDU FILTER功能的端口就无需再配置上PORT FAST。因为配置BPDU FILTER功能的端口就是直接Forwarding的,直接转发用户数据。
(6)配置MSTP协议时,在容易发生链路up/down的端口,比如接用户的端口,可以在这些端口上配置Tc Protection,防止这些端口up/down引发MSTP振荡。
(7)配置MSTP协议时,一般将汇聚设备设置为根桥,这通过修改设备的优先级实现。与VRRP协议一起使用时,可以将本设备上VRRP作为用户网关的Vlan对应的instance,根桥也设置在这台设备上。这样的话,接入层的用户数据直接二层转发到用户网关上,不需要经过其他设备中转了,增加了网络稳定性和可用性。
(8)配置MSTP协议时,一般hello时间可以使用默认值,不必修改。如果网络特别容易遭受攻击,导致MSTP振荡,可以适当修改MSTP的hello时间间隔。比如,默认值是1秒,则MSTP振荡的时间为3秒。如果修改为2秒,那么MSTP振荡的时间就延长为6秒。
(9)在双核心拓扑中,汇聚层和接入层互连的端口上,都可以配置TPP(Topology Protection Protocol,拓扑保护协议)。防止设备遭受攻击时,CPU过高导致拓扑振荡。
MSTP+VRRP双核心应用方案是提高网络系统可用性的一个比较优秀的解决方案。其双核心交换机Switch-A和Switch-B上运行VRRP和MSTP,实现路由的冗余,链路的负载均衡。
(1)基于VRRP技术的路由冗余规划方案
核心层交换机上有8个用户Vlan,Vlan id为10,20,…,80。对应svi接口运行VRRP协议。对于经过核心层到Internet的数据流,让Vlan10、Vlan20、Vlan30、Vlan40以Switch-A为Master主路由器,作为用户的网关为用户转发数据,Switch-B为Backup备份路由器;让 Vlan50、Vlan60、Vlan70、Vlan80以Switch-B为Master主路由器,作为用户的网关为用户转发数据,Switch-A为Backup备份路由器。VRRP协议规定优先级数值越大优先级越高,因此Master主路由器的优先级设置为254,backup备份路由器的优先级采用默认值100来实现。
(2)基于MSTP技术的负载均衡规划方案
为了实现链路负载均衡,将核心交换机上运行的MSTP设置2个Vlan-instance实例,域名和域修正值采用默认设置。让 Vlan10、Vlan20、Vlan30、Vlan40对应到实例 instance 1 上,让 Vlan50、Vlan60、Vlan70、Vlan80对应到实例instance 2上。让Switch-A成为实例instance 1的根桥,让Switch-B成为实例instance 2的根桥。MSTP协议规定优先级数值越小优先级越高,因此通过根桥的优先级设置为4096,备份根桥的优先级设置为8192来实现。
(3)方案优化
在接入层交换机连接用户的端口上启用BPDU FILTER功能,可直接过滤BPDU报文,从而有效避免BPDU攻击、防止MSTP信息泄漏,另外端口可以快速Forwarding。交换机接口上开启TPP功能,设置CPU的利用率阀值为60。在交换机CPU利用率超过60%时,能保持VRRP和MSTP不发生振荡。
VRRP+MSTP双核心高可用性应用方案,网络扩容,维护方便,实现用户网关和物理链路的双备份,提高了网络系统的可用性。和其他提高网络可用性的方案相比,该方案可以使用较少的客户投资,获得较高的客户收益。同时,在这个方案的基础上,客户可以组合其他相关技术提高系统可用性。
[1]邹润生.VRRP技术实现网络的路由冗余和负载均衡[J].计算机与信息技术,2006(4):54 -56.
[2]严华.VRRP技术在校园网中的应用[J].福建电脑,2007(12):162-163.
[3]贾娟.一种基于VRRP的核心路由器高可用性方法研究与实现[J].电子技术应用,2007(2):110-112.
[4]邱艳海.MSTP承载以太网业务的组网与应用[J].光通信研究,2007(3):20-22.
[5]江立峰.浅论MSTP技术及应用[J].中国电子商务,2011(8):39.