VRRP网络升级改造

2016-11-26

网络安全和信息化 2016年6期

引言：我校升级前的网络中心设备单一，终端通过接入层、汇聚层、单核心层和防火墙接入区教育网。核心交换机采用的是华为S7712，虽然性能还可以，但单一的核心存在单点故障，且不能为各个业务负载分担。为此网络中心另购置一台S7712，采用VRRP技术，配合STP技术做双核心冗余备份和负载分担。

我校局域网共划分了14个VLAN，对于由多个VLAN构成的局域网来说，每个VLAN的网关设备多是由核心交换机来承担的，一旦核心交换机出现故障，则多个VLAN的网关都将出现问题，这些VLAN之间的通信将处于中断状态。为了避免这种情况的发生，大多数核心交换机都会提供冗余网关协议，使得网络中至少两台交换机成为各个VLAN的网关，避免网关的单点故障效应。常见的冗余网关协议包括虚拟路由冗余协议（VRRP）、热备份路由协议（HSRP）和网关负载均衡协议（GLBP）。

基本理论

图1 改造之前的拓扑图

由互联网工程任务组（IETF）组织制定的VRRP，是为具有多播或广播能力的局域网设计的容错协议。在网络中启用VRRP之前，首先要创建一个备份组，组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器，虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器（Master）和备份路由器（Backup）。一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或多个处于备份角色的路由器。VRRP使用选择策略从路由器组中选举一台作为主控路由器，负责ARP响应和转发IP数据包，组中的其它路由器将作为备份路由器处于待命状态。若某种原因使得主控路由器发生故障时，备份路由器升级为主控路由器。由于此状态切换时间较短（通常不超过5S），而且无须改变终端设备的TCP/IP协议配置和ARP表，因此对于终端用户而言，网络的业务应用几乎是连续的、稳定的。

原有网络情况和存在问题

我校原有网络接入层为华为S5700-58C-SI交换机，汇聚层为华为S5700-24CEI交换机，核心层为华为S7712交换机，汇聚层到核心层、核心层到防火墙均为单链路，如图1所示。

核心交换机S7712配置了二块万兆12光口扩展模块，型号为ES0D0X12SA00，分别安装在第8和10扩展槽上；一块千兆48电口扩展模块，型号为ES0D0G48TA00，安装在第6扩展槽上。

这种网络存在以下几个问题：

1．只有一台核心交换机，为单核心结构，没有冗余备份，如果这台核心交换机宕机，则整个网络中断。

2．由于只有单核心，所以各个配线间的汇聚层到核心层为单链路，如果这条链路出现故障，则该汇聚层其下的网络都将中断。

3．在单核心的情况下，因特网、一卡通（消费、考勤、门禁）、数字广播和监控等业务都由单核心来交换数据，负载过大。

升级中的物理和逻辑设计

物理设计

新购置一台同型号核心交换机S7712，配置和原来一样的扩展模块，且安装在对应的扩展槽上。2台S7712之间通过两条光纤跳线做链路聚合，使其带宽扩展为20G。23个楼宇配线间的汇聚交换机各增加一个万兆单模光纤模块，和核心扩展插槽上的单模光纤模块成对，从原24芯的光纤链路中取用2芯作为到第二核心S7712-2的链路。新的拓扑结构图如2所示。

生成树协议设计

虽然现在成为双核心和双链路的健壮性网络，但是S7712-1、S7712-2和汇聚交换机三者形成了一个环路。生成树协议（STP）能够在逻辑上通过阻断网络中存在的冗余链路来消除物理网络中可能存在的环路，并且在当前活跃路径发生故障时，激活被阻断的冗余备份链路来恢复网络的连通性，从而保证业务的不间断服务。

根据实际中子网和VLAN的分布，创建2个实例，instance 1和 instance 2，实例1承载Internet的VLAN116～119和255业务；实例2承载一卡通、广播和无线网等业务，其对应VLAN为vlan 30 39 41 to 52 128 ；数据流量相对比较大的安防监控划分为2个 VLAN，为 VLAN201和VLAn202，分别分配到2个实例中。实例1以S7712-1为根桥，以S7712-2为备份桥；实例2以S7712-2为根桥，以S7712-1为备份桥