民航河北空管分局OA办公网络可靠性改造方案设计与实现
2018-09-12刘彤
刘彤
【摘 要】民航空管生产运行管理信息系统,简称OA办公网,是由民航局统一规划、统一部署,各地独立运行的保障模式。网络承载了公文处理、视频监控、电子值班、管制考勤、气象预警和集中监控等多项重要业务,另外很多信号传输系统的搭建都是基于OA网进行的,因此OA网在民航空管安全管理和生产办公中起着举足轻重的作用。随着分局的业务类型及用户数量的不断增加,网络的可靠性、安全性体现的尤为重要。在最初的OA网设计中,所有节点都采用单一布置,网络核心层无任何冗余设备,存在设备故障或线路中断导致网络瘫痪的隐患。对此,为保证OA网络系统能够长期稳定运行,故对原有网络结构进行部分升级改造。
【关键词】冗余;MSTP;可靠性;VRRP;光纤
中图分类号: V243.1 文献标识码: A 文章编号: 2095-2457(2018)13-0013-003
DOI:10.19694/j.cnki.issn2095-2457.2018.13.006
1 網络现状
河北空管分局OA办公网络,按照各个机房地理位置的不同,由若干接入层交换机以及核心层交换机、路由器、防火墙等设备共同组成。接入层交换机为用户提供接入网络的接口,数据流量经接入层交换机传输至核心层交换机,并由核心层交换机完成安全防护和路由转发。
在最初的OA网网络结构中,核心层仅有唯一一台H3C S7503E核心交换机来完成数据流量的转发,无任何备份冗余设备。由于核心层是整个网络拓扑的高速主干,需要可靠迅速转发大量数据流,因此核心层的可用性很关键。而核心层单一设备部署易导致网络的单点故障,即一旦核心交换机出现故障将导致分局整个OA网瘫痪,将严重影响分局各项重要业务。为提升OA网的稳定性,故做此次网络升级改造。
2 网络改造方案
2.1 方案设计
提高网络可靠性最佳方案即增加冗余,额外增加一台核心交换机与原核心交换机互为冗余备份。这样,当其中一台设备出现问题时,冗余设备即可接管相应业务,保证网络的正常运行。
方案一,新增加一台核心交换机并作冷备份,一旦原核心交换机出现故障,人为干预,手动切换线路,恢复网络正常运行。但该方案资源利用率低,响应速度慢,无法自动恢复,不符合分局对网络性能的需求。
方案二,启用VRRP和MSTP,两台核心交换机同时工作,当主用设备出现故障时,可立刻自动切换到备用设备,保证网络的不间断运行,此次改造采用该方案。
2.2 VRRP介绍
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是一种容错协议,它通过把几台路由设备联合组成一台虚拟的路由设备,并通过一定的机制来保证当主机的下一跳设备出现故障时,可以及时将业务切换到其它设备,从而保持通讯的连续性和可靠性。使用VRRP协议优势在于,既不需要改变组网情况,也不需要在主机上配置任何动态路由或者路由发现协议,就可以获得更高可靠性的缺省路由。
VRRP工作原理
VRRP将可以承担网关功能的一组路由器加入到一个备份组中,并共同虚拟出一台路由器作为网关。由VRRP内部选举机制来决定承担数据转发任务的路由器,负责数据转发的路由器被称作Master路由器,其余路由器被称作Backup路由器,局域网内的主机只需将虚拟网关的IP地址设置为默认网关即可。当Master路由器不可用时,VRRP协议通过选举产生新的Master路由器来提供动态的故障转移机制,实现内部网络和外部网络不间断通信。利用VRRP建立备份链路,可极大提高网络的安全性,能有限避免单一链路发生故障后网络中断问题出现。
如上图所示,分局虚拟路由器的组网环境如下:VLAN 48构成一个VRRP备份组,H3C7503E上VLAN 48接口IP地址设置为10.5.48.254,H3C7503E-S上VLAN 48接口IP地址设置为10.5.48.253,并将VLAN 48备份组虚拟IP地址设置为10.5.48.1。VLAN 48网段的主机利用10.5.48.1这个虚拟IP地址就能与外部网络通信。具体工作机制如下:(1)根据优先级的大小挑选Master设备:比较优先级的大小,优先级高者当选Master,基于此机制,在交换机配置中直接将H3C7503E 在VLAN 48备份组中的优先级设置为105,H3C7503E-S 在VLAN 48备份组中的优先级未做设置即默认100,前者高于后者,因此H3C7503E为Master,负责转发流量,H3C7503E-S即为Backup。(2)同时H3C7503E-S作为备份路由器时随时监听H3C7503E状态。当H3C7503E正常工作时,它会按时在VLAN 48这个VRRP组发送一个VRRP组播报文,以通知组内H3C7503E-S,主路由器处于正常工作状态;当组内的H3C7503E-S一段时间没有收到来自H3C7503E主路由器的报文时,它会将自己转为Master路由器。如果一个VRRP组里有多台备份路由器时,短时间内可能产生多个Master时,路由器会将收到的VRRP报文中的优先级与本地优先级做比较,从而选取优先级高的路由器做Master。
VRRP报文结构
VRRP通告报文发布范围只限于同一局域网内,而且只有Master路由器才可以周期性的发送VRRP通告报文。Backup路由器在收不到VRRP通告或收到优先级为0的通告后将启动新的一轮VRRP选举。VRRP报文封装在IP报文中。下图通过抓取协议报文,浅析VRRP报文格式:
各字段解释如下:
Virtual Rtr ID(VRID):虚拟路由器号(即备份组号),取值范围1~255。此为VLAN 48备份组。
Priority:路由器在备份组中的优先级,取值范围0~255,数值越大表明优先级越高。此处取值为105。
Addr Count:备份组虚拟IP地址的个数。此处取1代表每個备份组只有1个虚拟IP地址。
Adver Int:发送通告报文的时间间隔。此处默认为1秒。
IP Address:备份组虚拟IP地址。此处代表VLAN 48备份组虚拟IP地址为10.5.48.1。
VRRP工作过程
备份组中的路由器根据优先级确定自己在备份组中的角色。优先级高的路由器成为Master路由器;优先级低的成为Backup路由器。Master路由器定期发送VRRP通告报文,通知备份组内的其他路由器自己工作正常;Backup路由器则启动定时器等待通告报文的到来。VRRP工作方式可分为抢占模式和非抢占模式。
在抢占模式下,一旦备份组内的Backup路由器发现自己的优先级比当前Master路由器优先级高,就会抢占Master角色,成为Master路由器,这样原来的Master路由器会成为Backup角色。在非抢占模式下,只要Master路由器处于正常工作状态下,备份组中的路由器始终保持Backup状态,即使被配置了更高的优先级,也不会成为Master路由器。而此次分局OA网改造是将每一个VLAN都创建了一个VRRP备份组,同时每个备份组内的交换机被默认设置为抢占模式,即H3C7503E通过优先级设置配置为Master路由器,而H3C7503E-S配置为Backup路由器。如果H3C7503E-S没有按时收到H3C7503E路由器发送来的VRRP通告报文,则认为H3C7503E路由器已经无法正常工作,此时H3C7503E-S路由器会转换为Master角色,并对外发送VRRP通告报文。而当H3C 7503E恢复正常时,H3C 7503E会抢占成为Master,使H3C 7503E自动切回主用。
2.3 MSTP介绍
生成树协议是一种二层管理协议,它通过选择性的阻塞网络中的冗余链路来消除二层环路,同时还能实现链路备份的目的。随着网络的不断发展,生成树协议也由最初的STP到RSTP,再到最新的MSTP。而MSTP既兼容了STP和RSTP的功能,也弥补了STP和RSTP的因局域网中所有VLAN共享一棵生成树而无法实现VLAN间数据流量的负载均衡的缺陷。MSTP既可以快速收敛,又提供了数据转发的多条冗余路径从而实现VLAN数据的负载均衡。
BPDU介绍
(1)BPDU是交换机之间发送的用于构建无环路拓扑的消息称为网桥协议数据单元。
(2)BPDU是二层报文。
(3)BPDU中包括用于计算生成树的参数信息:Root Bridge ID(BID)即本交换机认为的根桥ID;Root Path Cost 即本交换机认为的根路径开销;Bridge ID 即本交换机的桥ID;Port ID即发送该BPDU的端口ID。
MSTP工作过程
(1)选举根桥(RootBridge)
每个网络只能有一个根桥,根据Bridge ID选择根桥,Bridge ID由2字节的网桥优先级(取值范围0-65535,缺省32768)和6字节网桥的MAC地址组成。谁的优先级小,则为根桥。如相同,则比较MAC地址,谁小谁为根桥。
(2)选举根端口
计算出其他交换设备到根桥的最短路径,为每个非根交换设备选举一个根端口。
(3)每个网段选举指定端口
每个网段通过该口连接到根桥,负责发送和接收该网段和根桥之间的流量,保证每个网段到达根桥只有一条通路,无环路。
(4)将所有根端口和指定端口设为转发状态。
(5)将其他端口设为阻塞状态?。
2.4 具体实现
网络拓扑图如上,其中红色虚线部分为新增加设备及相应链路。
(1)选取设备
在网络核心层增加一台核心交换机,与原交换机形成备份。新设备与原设备在配电方面使用不同供电电源,以保证部分供电出现故障时不会使两件设备同时断电,造成网络中断。同时,为达到更好的兼容性,以及节省资金投入,通过比较,最终选择了H3C S7503E-S型号交换机。该交换机为原S7503E的标准版,价格低于S7503E,但设备性能和S7503E相仿。
(2)搭建链路
新设备接线与原设备完全相同,同时新旧设备采用双线互联方式,以实现物理线路上的冗余备份。另外用光纤替换部分接入层和核心层的原双绞线线缆,新设备与各接入层交换机之间全部使用光纤互联,以保证设备间长距离传输时链路的稳定性和可靠性,进一步提升网络带宽,形成核心千兆,接入百兆的结构。另一方面也消除了雷电对设备造成损坏的隐患。
(3)添加配置
(a)MSTP协议
H3C 7503E交换机配置
stp instance 0 root primary------配置根桥,指定H3C 7503E设备为整个CIST(CIST指连接网络内所有交换机的一棵完整的生成树)的根桥
stp enable------启用MSTP协议,默认情况下,当全局启用了MSTP协议后,所有端口上的MSTP协议将处于开启状态
H3C 7503E-S交换机配置
stp instance 0 root secondary-----配置备份根桥,指定H3C 7503E-S设备为整个CIST(CIST指连接网络内所有交换机的一棵完整的生成树)的备份根桥
stp enable------启用MSTP协议,默认情况下,当全局启用了MSTP协议后,所有端口上的MSTP协议将处于开启状态
功能实现:MSTP实现二层数据链路层的主备切换。当H3C 7503E和H3C 7503E-设备均正常时,H3C 7503E端口状态为转发,H3C 7503E-S端口状态为阻塞;当H3C 7503E设备故障时,H3C 7503E端口状态为阻塞,H3C 7503E-S端口状态为转发,即由H3C 7503E自动切换至H3C 7503E-S上工作;当H3C 7503E恢复正常时,H3C 7503E端口状态为转发,H3C 7503E-S端口状态为阻塞,即又自动切回H3C 7503E上工作。
(b)VRRP协议
H3C 7503E交换机配置
track 1 interface GigabitEthernet2/0/48------配置track 1关联,直接关联H3C 7503E交换机与防火墙级联的端口2/0/48的物理状态
#
interface Vlan-interface48
ip address 10.5.48.254 255.255.255.0------配置VLAN 48 接口IP地址为 10.5.48.254
vrrp vrid 48 virtual-ip 10.5.48.1------创建备份组VLAN 48,并配置备份组 VLAN 48虚拟IP地址为10.5.48.1
vrrp vrid 48 priority 105------设置H3C 7503E在VLAN 48备份组的优先级为105,高于H3C 7503E-S 所采用的默认的优先级100,以保证H3C 7503E成为Master
vrrp vrid 48 track 1------通过监视track 1关联的物理端口2/0/48的状态来实现主备快速切换功能
#
VLAN49、VLAN50、VLAN51、VLAN52和VLAN63网段同以上配置
H3C 7503E-S交换机配置
track 1 interface GigabitEthernet0/0/28------配置track 1关联,直接关联H3C 7503E交换机与防火墙级联的端口0/0/48的物理状态
#
interface Vlan-interface48
ip address 10.5.48.253 255.255.255.0------配置VLAN 48 接口IP地址為 10.5.48.253
vrrp vrid 48 virtual-ip 10.5.48.1------创建备份组VLAN 48,并配置备份组 VLAN 48虚拟IP地址为10.5.48.1
vrrp vrid 48 track 1------通过监视track 1关联的物理端口0/0/48的状态来实现主备快速切换功能
#
VLAN49、VLAN50、VLAN51、VLAN52和VLAN63网段同以上配置
功能实现:为VLAN48、VLAN49、VLAN50、VLAN51、 VLAN52和VLAN63各创建一个备份组,并分别配置每个备份组的虚拟IP地址,然后通过设置H3C 7503E和H3C 7503E-S的优先级,使H3C 7503E优先级高于H3C 7503E-S,以保证H3C 7503E成为Master(主用),H3C 7503E-S为Backup(备用)。同时H3C 7503E-S作为备份路由器,会随时监听H3C 7503E的状态,当H3C 7503E故障时,H3C 7503E-S会成为Master路由器,则H3C 7503E-S会自动转为主用;当H3C 7503E恢复正常时,H3C 7503E会抢占成为Master,使H3C 7503E自动切回主用。
2.5 方案验证
网络结构改造后,OA办公网络运行正常。测试中,关闭核心层交换机H3C 7503E电源,H3C 7503E-S将立即自动接管所有OA网络中的流量转发业务。用户在经历短暂断网(小于2秒)后,网络即可恢复正常,用户基本无感知。重新开启H3C 7503E后,H3C 7503E又会自动切换为主用,此切换过程不会造成断网现象。
3 总结
可靠性是用来衡量计算机网络系统提供持续服务的能力,是所有网络共同的基础,一个稳定的、容错的网络环境是保证分局OA网用户正常办公的基本前提。此次在网络核心模块增加核心设备,增添链路冗余设计的改造重要性是不言而喻的,因为核心设备一旦出现问题,整个OA网络就有可能会瘫痪,给单位带来巨大的影响,所以在整个升级改造过程中,始终把稳定放在第一位。改造前,科室进行了多次协商,确定方案的可行性以及制定具体实施方案,同时对有可能出现的问题提前做好应急预案,极大程度的保证了改造的顺利实施。
此次改造不仅完成了预期目标,提高了分局OA网络的可靠性和稳定性。同时在实施过程中,所有参与者也受益匪浅,从方案设计到设备部署,从系统理论到实际实施,都积累了宝贵的经验,也锻炼实操能力,这都为日后工作的开展打下了坚实基础。
【参考文献】
[1]王达.H3C交换机配置与管理完全手册第二版.北京:中国水利水电出版社.2013-06.
[2]朱麟,刘源.H3C路由与交换实践教程.电子工业出版社. 2018-02.
[3]杭州华三通信技术有限公司.H3C路由器典型配置指导.北京:清华大学出版社.2013-11.