園區(qū)網(wǎng)中負(fù)載分擔(dān)和可靠性保障實(shí)驗(yàn)分析

◆蘇進(jìn)勝 鄭開濤 周偉

（廣州大學(xué)華軟軟件學(xué)院網(wǎng)絡(luò)技術(shù)系 廣東 510990）

網(wǎng)絡(luò)可靠性是指網(wǎng)絡(luò)在特定條件下保持正常提供服務(wù)的能力。其中冗余設(shè)計(jì)是網(wǎng)絡(luò)可靠性設(shè)計(jì)最重要的手段。網(wǎng)絡(luò)冗余設(shè)計(jì)的目的有兩個：一是提供網(wǎng)絡(luò)鏈路備份，二是提供網(wǎng)絡(luò)負(fù)載分擔(dān)或者負(fù)載分擔(dān)。網(wǎng)絡(luò)鏈路備份和負(fù)載均衡在冗余設(shè)計(jì)的物理結(jié)構(gòu)上完全一致，但是完成的功能完全不同，工作模式也完全不同。冗余鏈路用于網(wǎng)絡(luò)備份時(shí)，兩條冗余鏈路只有一條工作，另一條處于熱備監(jiān)控狀態(tài)；冗余鏈路用于負(fù)載分擔(dān)時(shí)，多條冗余鏈路同時(shí)工作，既保證了鏈路的冗余又提供了鏈路的利用率[1-2]。

不同的網(wǎng)絡(luò)，其可靠性的設(shè)計(jì)目標(biāo)是不同的。網(wǎng)絡(luò)解決方案的可靠性需要根據(jù)實(shí)際需求進(jìn)行設(shè)計(jì)。高可靠性的網(wǎng)絡(luò)不但涉及網(wǎng)絡(luò)架構(gòu)、設(shè)備選型、協(xié)議選擇、業(yè)務(wù)規(guī)劃等技術(shù)層面的問題，還受用戶現(xiàn)有網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)投資預(yù)算、用戶管理水平等因素影響，因此在規(guī)劃可靠性網(wǎng)絡(luò)時(shí)需要因地制宜，綜合考慮各方面的影響因素。

網(wǎng)絡(luò)結(jié)構(gòu)一般分為三層：核心層、匯聚層和接入層。網(wǎng)絡(luò)層次越高，其可靠性要求也越高。在網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)方案中，較多采用層次化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，不同層次解決不同級別的可靠性要求。在進(jìn)行網(wǎng)絡(luò)規(guī)劃時(shí)，應(yīng)根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)、類型及層次，分析網(wǎng)絡(luò)具體業(yè)務(wù)模型，確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，明確對網(wǎng)絡(luò)可靠性最佳的關(guān)鍵節(jié)點(diǎn)和鏈路，合理規(guī)劃和部署各種網(wǎng)絡(luò)可用技術(shù)。

可靠的接入層應(yīng)提供以下主要特性：

（1）使用冗余引擎和冗余電源獲得系統(tǒng)級冗余，為關(guān)鍵用戶群提供高可靠性；

（2）與具備冗余系統(tǒng)的匯聚層進(jìn)行雙歸屬連接，獲得缺省網(wǎng)關(guān)冗余，支持在匯聚層的主備交換機(jī)間快速實(shí)現(xiàn)故障切換；

（3）通過鏈路匯聚提高帶寬利用率，同時(shí)降低復(fù)雜性；

（4）通過配置802.1X，動態(tài)ARP 檢查及IP 源地址保護(hù)等功能增加安全性，有效防止非法訪問。

三角形連接方式是接入層到匯聚層的最常用的方式，連接特點(diǎn)是接入交換機(jī)與匯聚交換機(jī)之間有冗余鏈路、VLAN 可以跨匯聚層交換機(jī)，部署靈活。三角形組網(wǎng)提供了更高的接入可靠性和更靈活的網(wǎng)絡(luò)擴(kuò)展空間。接入層三角形組網(wǎng)方式存在二層環(huán)路隱患，所以需要在交換機(jī)上運(yùn)行生成樹協(xié)議消除環(huán)路，多生成樹協(xié)議MSTP 對以將多個VLAN 映射到一個實(shí)例，是首選的消除環(huán)路協(xié)議。匯聚層交換機(jī)部署虛擬路由器冗余協(xié)議VRRP，將VRRP 組的虛擬IP 地址作為服務(wù)器網(wǎng)關(guān)。

MSTP 把一個交換網(wǎng)絡(luò)劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨(dú)立。每棵生成樹叫作一個多生成樹實(shí)例MSTI（Multiple Spanning Tree Instance），每個域叫作一個MST 域（MST Region：Multiple Spanning Tree Region）。所謂生成樹實(shí)例就是多個VLAN 的一個集合。通過將多個VLAN 映射到一個實(shí)例，可以節(jié)省通信開銷和資源占用率。MSTP 各個實(shí)例拓?fù)涞挠?jì)算相互獨(dú)立，在這些實(shí)例上可以實(shí)現(xiàn)負(fù)載分擔(dān)?？梢园讯鄠€相同拓?fù)浣Y(jié)構(gòu)的VLAN 映射到一個實(shí)例里，這些VLAN 在端口上的轉(zhuǎn)發(fā)狀態(tài)取決于端口在對應(yīng)MSTP 實(shí)例的狀態(tài)[1-2]。

VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是通過把幾臺路由設(shè)備聯(lián)合組成一臺虛擬路由設(shè)備，將虛擬路由設(shè)備的IP 地址作為用戶的默認(rèn)網(wǎng)關(guān)地址來實(shí)現(xiàn)與外部的通訊。當(dāng)網(wǎng)關(guān)設(shè)備發(fā)生故障時(shí)，VRRP 協(xié)議能夠快速選舉新的網(wǎng)關(guān)設(shè)備承擔(dān)數(shù)據(jù)流量，保障網(wǎng)絡(luò)的可靠通信[1，2，5]。

1 案例拓?fù)?/h2>

典型的園區(qū)網(wǎng)三層結(jié)構(gòu)[2-5]如圖1所示。

圖1 典型的園區(qū)網(wǎng)三層結(jié)構(gòu)

整個園區(qū)網(wǎng)多個地方需要考慮可靠性和進(jìn)行流量負(fù)載分擔(dān)。本文僅分析總公司網(wǎng)絡(luò)的接入層到匯聚層的可靠性及進(jìn)行流量負(fù)載的均衡，網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 園區(qū)網(wǎng)的接入層和匯聚層簡化結(jié)構(gòu)

2 配置過程實(shí)驗(yàn)分析

在圖2 的網(wǎng)絡(luò)拓?fù)渲?，接入層交換機(jī)SW3 通過雙鏈路分別上行鏈接匯聚層交換機(jī)SW1 及SW2，兩臺匯聚層交換機(jī)之間使用聚合鏈路互聯(lián)，這兩臺交換機(jī)將作為PC 的網(wǎng)關(guān)設(shè)備。有幾個問題需要考慮：首先是PC 的網(wǎng)關(guān)冗余性，其可以通過在兩臺匯聚層交換機(jī)上部署VRRP 解決。當(dāng)然，為了充分利用好這兩臺交換機(jī)及鏈路帶寬，可以考慮結(jié)合多組VRRP 實(shí)現(xiàn)負(fù)載分擔(dān)；其次是二層環(huán)路問題，兩臺匯聚層交換機(jī)與接入層交換機(jī)構(gòu)成了一個三角形的二層環(huán)路，對于任何一個網(wǎng)絡(luò)而言，二層環(huán)路的存在始終是非常危險(xiǎn)的，因此消除環(huán)路是必須考慮的一個問題。在傳統(tǒng)的園區(qū)網(wǎng)絡(luò)中，生成樹協(xié)議是用于消除二層環(huán)路的常用技術(shù)，大型網(wǎng)絡(luò)中VLAN 的數(shù)量往往非常多，而二層流量的負(fù)載分擔(dān)需求又使得我們必須針對特定的VLAN 進(jìn)行生成樹規(guī)劃，于是MSTP 也就成為多數(shù)大型園區(qū)網(wǎng)絡(luò)的選擇[1-2]。

為了保證網(wǎng)關(guān)的冗余性，可在兩臺匯聚層交換機(jī)上部署VRRP，為了實(shí)現(xiàn)終端用戶上行數(shù)據(jù)的負(fù)載分擔(dān)，需要在每個VLAN 中各部署一組VRRP 并且視情況調(diào)整兩臺交換機(jī)的VRRP 優(yōu)先級。另一方面，使用MSTP 作為消除環(huán)路協(xié)議，同時(shí)也利用MSTP 實(shí)現(xiàn)負(fù)載分擔(dān)。本案例中最關(guān)鍵的點(diǎn)是VRRP 與MSTP 的協(xié)同工作。

SW1 及SW2 擁有到達(dá)外部網(wǎng)絡(luò)的路徑（在圖中用R1 模擬）。內(nèi)網(wǎng)中存在20 個VLAN，它們分別是VLAN11、12、……、30，至于網(wǎng)絡(luò)的需求，從VLAN11-20 這10 個VLAN 的PC 到達(dá)外部網(wǎng)絡(luò)的數(shù)據(jù)通過鏈路1 發(fā)往SW1；從VLAN21-30 這10 個VLAN 的PC 到達(dá)外部網(wǎng)絡(luò)的數(shù)據(jù)則通過鏈路2 發(fā)往SW2。同時(shí)，SW1 及SW2 要求互為熱備份。

2.1 SW3 的配置

2.2 SW1 的配置如下：

2.3 SW2 的配置如下：

2.4 在R1、SW1 和SW2 上配置RIP 如下：

3 實(shí)驗(yàn)分析

在接入層交換機(jī)SW3 上查看交換機(jī)端口狀況，可以看到為了消除環(huán)路，實(shí)例10 阻塞了g0/0/2 端口，實(shí)例20 阻塞了g0/0/1 端口，如圖3所示。

圖3 消除環(huán)路后的端口狀態(tài)

配置后的VRRP 主備狀態(tài)及虛擬IP 情況如圖4 及圖5所示。

圖4 SW1 的VRRP 狀況

圖5 SW2 的VRRP 狀況

PC1 上跟蹤1.1.1.1 路由，可以看出是通過SW1 上行至R1 的，如圖6所示。

圖6 PC1 跟蹤1.1.1.1 路由

PC2 上跟蹤1.1.1.1 路由，可以看出是通過SW1 上行至R1 的，如圖7所示。

圖7 PC1 跟蹤1.1.1.1 路由

關(guān)閉SW1 的端口interface g0/0/2，在PC1 運(yùn)行tracert 1.1.1.1，是通過SW1 及SW2 上行至R1。

[SW1]interface g0/0/2

[SW1-GigabitEthernet0/0/2]shutdown

關(guān)閉SW2 的端口interface g0/0/2，在PC1 運(yùn)行tracert 1.1.1.1，會發(fā)現(xiàn)不可達(dá)R1，如圖8所示。

圖8 關(guān)閉端口后PC1 跟蹤1.1.1.1 路由

[SW2]interface g0/0/2

[SW2-GigabitEthernet0/0/2]shutdown

分析原因是SW2 的G0/0/2 端口鏈路出現(xiàn)故障后，因?yàn)閙aster角色優(yōu)先級高不會被搶占，但是上行鏈路又是故障狀態(tài)，所以無法與ISP 通信，要設(shè)置SW2 的上行接口監(jiān)視：

[SW2]interface vlan21

[SW2-Vlanif21]vrrp vrid 21 track interface g0/0/2 reduced 50

設(shè)置以后VLAN21 中的主備發(fā)生切換，由Master 切換為Backup，通過SW1 上行至R1，如圖9所示。

圖9 上行鏈路監(jiān)視

PC2 上再次跟蹤1.1.1.1，發(fā)現(xiàn)可以正常到達(dá)，網(wǎng)絡(luò)正常，如圖10所示。

圖10 PC2 重新跟蹤1.1.1.1 路由

4 結(jié)束語

本文通過實(shí)驗(yàn)分析，提出了如何解決企業(yè)園區(qū)網(wǎng)中的可靠性與流量分析的技術(shù)問題。在接入層和匯聚層采用三角鏈接連接的網(wǎng)絡(luò)類類型，使MSTP 和VRRP 的協(xié)同工作，保證了網(wǎng)絡(luò)可靠性，實(shí)施了流量分擔(dān)，提高了園區(qū)網(wǎng)的可用性和高效性。