迪普双机技术方案20131230.docx

基础建设和农电信息化建设技术方案1 项目原则a)覆盖率：对区域内主要节点（220KV及以上变电所）、一般性节点（110KV及以下变电所）、办公区域（主办公楼以外办公地点）实现网络全覆盖；b)实用性：以满足现有需求为出发点适度超前，应在要求与投资间权衡，以获得较高的性能价格比；c)开放性：应遵循国际、国内及相关行业的技术标准，采用开放技术、开放的体系结构、开放的组件、开放的用户接口，实现平台、应用的互联互通和资源共享；d)统一性：应按照统一标准、同一平台的要求，科学地统一规划设计、选型；e)可扩展性：应随着需求的变化，充分留有扩充余地，能在规模和性能两个方面上进行扩展；f)安全性：网络系统应是一个安全的系统，应具备各种安全保卫手段和措施，应注意重点保证整个系统的安全可控性；g)可管理性：网络应具有良好的管理手段和界面，降低运行维护成本。2 项目目标: 此次基础建设和农电信息化建设基础建设部分旨在完成110KV及以下具备联网条件的变电所联网，依托变电所良好的链路条件完成对供电所的信息网络覆盖，推进信息系统应用，提高地市局网络覆盖率。增强县局本部核心设备负载能力、边界防控能力、应用安全防护能力。3 项目必要性2013年是黑龙江省公司信息化发展、建设的关键年，在网络基础建设、信息化发展、信息安全建设已经取得的成果的基础上，进一步改善龙江网络基础环境，强化薄弱环节是为省公司“三集五大”项目、“95598”以及“ERP”项目快速推进、进一步深化应用的关键性基础工作。3.1 地市局现有网络覆盖情况全省十三个地市局当前已完成现有220KV及以上变电所联网工程，覆盖率已达到100%，多数变电所链路带宽能够满足现有业务需求，包括调度MIS、ERP、门户、邮件、桌面管控、防病毒软件等相关系统已经覆盖至桌面。在110KV及以下变电所联网建设方面，大多数地市局都存在联网空白，信息化发展程度低，成为阻碍变电所“无人值守”推进中的一个巨大阻碍。根据黑龙江省电力有限公司“十二五”信息化发展规划等文件要求，进一步加强全省网络建设、提高网络覆盖率，是“十二五”期间信息化发展的重点方向，依托于通讯链路的不断建设，增强节点的网络覆盖能力，提高单点信息传输能力都是有效加快全省信息化发展的关键因素。通过构建一个健壮、安全、稳定的网络结构，为越来越多的业务系统应用搭建平台，提供深化应用、业务拓展的良好平台。 3.2 项目必要性及可行性“基础建设和农电信息化建设基础建设部分”主要针对地市局现有已具备联网条件（链路条件、机房条件）的未联网变电所，进一步扩大网络覆盖率，加强供电区域内边缘单位的网络建设，提高变电所网络辐射能力。变电所具有良好的通讯链路条件，能够满足由变电所形成星型网络覆盖的要求，对于连接农电县局、农垦电业局、供电区内边远供电所都具有极大的优势。黑龙江省电力在借鉴国家电网公司SG186建设成果和经验，即将建设集人、财、物一体化管理的信息化平台，加强对农电县局、农垦电业局生产、营销、人资的管理力度，使省公司、地市局、农电县局（农垦电业局）三级信息贯通管理，提高全省一体化水平，形成覆盖全省的大农电体系。农电县局、农垦电业局自有变电所场地环境较为恶劣，存在较多影响信息设备安全、稳定运行的外界因素，因此在考虑变电所联网设备时不仅要考虑设备运行稳定、高效的必要因素，还需要同时涉及对设备外在运行环境的综合因素，因此需要为农电县局、农垦电业局变电所选取能够足够抵御外界环境干扰的设备，能够在外界环境发生大幅度变化时依然保证网络安全、稳定。4 实施计划本次工程计划配置网络设备如下表：设备厂商设备型号设备描述设备数量迪普（dptech）DPX13华为S7706网络交换机，200Mpps，4个万兆，48个千兆光，48个千兆电46H3CS5500网络交换机，100Mpps，2个万兆，48个千兆电255H3CS7506E网络交换机，200Mpps，4个万兆，48个千兆光，48个千兆电，千兆防火墙业务板模块，千兆入侵防御系统模块，secbladeIPS应用特征识别库74华为NE40E-X8网络路由器，400Mpps，2个155MPOS，4个万兆，8个千兆2华为NE20E-X6网络路由器，100Mpps，2个155MPOS，8个千兆光，8个千兆电2H3CS6608-X网络路由器，100Mpps，2个155MPOS，8个千兆光，8个千兆电2H3CSR8808网络路由器，400Mpps，8个万兆，20个千兆2小型机4PCServer204.1 设备使用明细4.1.1 五大农垦五大农垦基础建设和农电信息化建设设备清单：所属地区使用单位HUAWEINE40E-X8HUAWEINE20E-X6H3CSR8808H3CSR6608-XH3CS7506EH3CS5500DPtechDPX8000-A5五大农垦地区宝泉岭2220红兴隆2242兴凯湖251建三江2230九三222宝泉岭电业局宝泉岭电业局配置华为（HUAWEI）路由器NE40E-X8两台，替换现有宝泉岭核心路由器H3C MSR30-40路由器，形成双冗余备份结构。新增核心交换机两台，H3C S7506E（FW+IPS），形成双冗余备份结构。内网核心升级改造后结构图如下：宝泉岭电业局在改造后根据本局实际情况将现有三层核心地址迁移至新增两台核心交换机上，两台核心交换机做双机热备。红兴隆电业局红兴隆电业局配置H3C路由器SR8808两台，替换现有红兴隆核心路由器H3C MSR30-40路由器，形成双冗余备份结构。新增核心交换机两台，H3C S7506E（FW+IPS），形成双冗余备份结构。内网核心升级改造后结构图如下：红兴隆电业局按照实际情况，将两台SR8808路由器、DPX和7506E合理安排在两个办公楼的机房内，形成南、北楼互备结构，南楼办公区单路由、单核心，北楼办公区单路由、单核心。现有内网核心交换机H3C S5500移至下属变电所或供电所作为接入交换机使用。兴凯湖电业局兴凯湖电业局新增内网核心路由器华为（HUAWEI）NE20E-X6路由器两台，替换现有核心路由器H3C MSR30-40，同时新增内网Dptech DPX-8000-A5一台，形成双冗余备份路由器、交换机结构。兴凯湖电业局现有cisco6509交换机已经配置透明防火墙，进入方式为在全局模式下输入session slot 9 process 1，在配置过程中需注意H3C S7506E防火墙与现有cisco6509交换机防火墙在策略配置需要同步。建三江电业局建三江电业局配置H3C路由器SR6608两台，替换现有建三江核心路由器H3C MSR30-40路由器，形成双冗余备份结构。新增两台核心交换机、H3C S6608-X一台替换现有核心交换机cisco C3560，形成双核心冗余备份结构。建三江电业局利用新申请至红兴隆变链路形成双冗余备份结构，共享富锦、同江、抚远10M链路。九三电业局九三电业局新增H3C S7506E内网核心交换机，与原九三电业局内网核心HUAWEI S9306核心交换机形成双冗余备份结构。九三电业局利用新增核心对当前核心配置进行调整，通过合理配置路由进行选路，利用新增核心的防火墙与IPS功能模块提高对本局内部的信息保护。4.1.2 哈市地区哈尔滨地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500哈尔滨地区尚志电业局29五常电业局2呼兰电业局2阿城电业局2延寿电业局2双城电业局2宾县电业局28肇东电业局215哈市地区现有农电县局联网结构：哈市地区农电县局数量较多，上行方式经过多级变电所跳接，针对哈市地区两家通道质量、带宽较好的单位本次改造将其升级为双核心结构，其他节点采用单核心机构。将原有在Dptech上的tunnel隧道重新布置在现有核心，完成上联操作。哈市地区升级改造后的典型配置结构：哈市地区农电县局内网核心升级后，可以使用H3C S7506E自带防火墙配置县局本地安全策略，加强县局边界安全。4.1.3 齐齐哈尔地区齐齐哈尔地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500齐齐哈尔地区泰来电业局2讷河电业局22富裕电业局2龙江电业局2甘南电业局2齐齐哈尔地区现有农电县局联网结构：齐齐哈尔地区通道资源优良，县局上行链路均为光纤通道，有利于作为本次农电县局升级改造的示范性地区，通过提高县局本部网络设备的性能，进一步提高齐齐哈尔地区县局的信息网络建设发展水平。齐齐哈尔地区升级改造后的典型配置结构：4.1.4 牡丹江地区牡丹江地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500DPtechDPX8000-A5牡丹江地区东宁电业局62海林电业局2宁安电业局2牡丹江市郊局2穆棱电业局2林口电业局2牡丹江地区现有农电县局联网结构：牡丹江地区牡丹江市郊区、东宁县电业局、宁安县电业局分别部署两台DPX8000A5，宁安电业局、穆棱电业局、林口电业局分别部署两台H3C S7506E高端交换机，完成局本部网络核心升级。牡丹江地区农电县局上行链路分别接入牡丹江、鸡西两个地市局的三台核心，因此在升级过程中需要同牡丹江及鸡西做好配置对比。牡丹江地区升级改造后的典型配置结构：牡丹江地区农电县局内网核心升级后，可以使用H3C S7506E自带防火墙配置县局本地安全策略，加强县局边界安全。4.1.5 佳木斯地区佳木斯地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500佳木斯地区富锦电业局方正电业局桦南电业局佳市郊电业局2通河电业局5依兰电业局抚远电业局6同江电业局汤原电业局桦川电业局佳木斯地区现有农电县局联网结构：佳木斯地区升级改造后的典型配置结构：佳木斯地区县局均采用H3C S7506E双核心结构，根据设备兼容情况制定双核心冗余配置方案。佳木斯地区原使用TUNNEL口上行的县局，可以采取双TUNNEL通道备份的方式进行配置，如果是采用三层接口子IP（subip）方式上行的县局，在本次升级过程中需要根据2012年县局联网工程技术方案进行改造。4.1.6 大庆地区大庆地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500大庆地区肇源电业局28安达电业局28肇州电业局212林甸电业局27杜蒙电业局2大庆地区包括杜蒙农电局、林甸农电局、肇源农电局、肇州农电局、安达农电局等5个县局。按照基础建设设备配置计划，对大庆地区各所属县局部署两台H3C S7506E。大庆地区农电县局现有网络结构：大庆地区所属县局当前连接方式除安达电业局外，其他县局均上行接入大庆17楼第三台接入交换机，安达电业局经庆北变、火炬变、中本变、安达供电局上行接入。在本次升级改造中，应按照2012年农电县局农电县局联网技术方案进行联网，使用VPN隧道完成上联，重新定义县局网络结构，划定地市局、农电县局网络区域。大庆地区升级改造后的典型配置结构：升级完成后，大庆地区电业局县局本部均采用双H3C S7506E网络核心配置IRF方式，有效提高设备利用率。改造过程中根据现网结构图制定详细升级计划。4.1.7 绥化地区绥化地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500绥化地区庆安电业局绥棱电业局7巴彦电业局望奎电业局兰西电业局海伦电业局木兰电业局明水电业局24青冈电业局24绥化市郊电业局211绥化地区现有农电县局联网结构：绥化地区，在绥化市郊电业局配备两台H3C S7506E核心交换机，采用IRF结构，其他县局配备单台H3C S7506E交换核心，替换现有迪普（Dptech）安全网关，提高核心负载能力。绥化地区升级改造后的典型配置结构：绥化地区通信通道基础较差，多数以2M链路为主，不适合作为全省县局内网升级基础建设双核心上行地区，绥化市郊因距离绥化局本部在地理位置上具有优势，便于升级链路，因此在绥化市郊电业局部署两台核心交换机作为试点单位。4.1.8 鸡西地区鸡西地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS5500DPtechDPX8000-A5鸡西地区虎林电业局22鸡西市郊局42密山电业局2鸡东电业局鸡西地区现有农电县局联网结构：鸡西地区升级改造后的典型配置结构：鸡西地区典型结构-1鸡西地区通信基础条件良好，利于作为省内县局多种联网结构的典型设计区域。在制定联网方案时采用双迪普DPX8000-A5互相热备两种联网结构。4.1.9 鹤岗地区鹤岗地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506E鹤岗地区萝北电业局2绥滨电业局2鹤岗市郊局2鹤岗地区现有农电县局联网结构：鹤岗地区升级改造后的典型配置结构：在鹤岗地区配备两台H3C S7506E核心交换机，采用IRF结构，替换现有迪普（Dptech）安全网关，以提高核心负载能力。4.1.10 黑河地区黑河地区基础建设和农电信息化建设设备清单：所属地区使用单位华为（HUAWEI）S7706H3CS5500黑河地区逊克电业局22五大连池电业局2克东电业局2克山电业局2依安电业局22拜泉电业局22孙吴电业局2北安电业局2嫩江电业局2黑河地区现有农电县局联网结构：黑河地区升级改造后的典型配置结构：在黑河地区各县电业局部署分别两台Huawei S7706，采用CSS虚拟化结构，替换现有迪普（Dptech）安全网关，以提高核心负载能力。4.1.11 双鸭山地区双鸭山地区基础建设和农电信息化建设设备清单：所属地区使用单位H3CS7506EH3CS5500双鸭山地区集贤电业局2宝清电业局2双鸭山市郊局2友谊电业局27饶河电业局2双鸭山地区现有农电县局联网结构：双鸭山地区升级改造后的典型配置结构：双鸭山地区各县局配置两台H3C S7506E高端交换机作为本次县局本部网络升级核心设备，通过配置IRF提高整体设备性能。4.1.12 七台河地区七台河地区基础建设和农电信息化建设设备清单：所属地区使用单位华为（HUAWEI）S7706H3CS5500七台河地区七台河市郊电业局22勃利电业局2七台河地区现有农电县局联网结构：七台河地区升级改造后的典型配置结构：5 县局改造技术方案省内县局基础建设工程针对县局当前网络进行升级改造，将原有的单核心升级为双核心冗余热备结构，进一步提高县局网络设备可控程度。在实际改造过程中，针对不同的设备以及设备之间的异构组合情况，分别设计设备配置模式，提高设备整机性能、增强网络稳定度。5.1 华为双核心结构（Huawei S7706）华为双核心结构采用华为产品的虚拟化CSS技术，优点在于可以减少日常维护工作量，提高设备性能。5.1.1 CSS虚拟化华为S7706支持业务口和集群子卡两种虚拟化方式，佳木斯地区网络采用集群子卡的方式实现，即通过在交换机主控上插集群子卡。集群卡上的集群口连接是固定的，所有集群口都要插上集群线缆，不能随意连接。设备上需要配置的主控板、集群卡和线缆型号如下表所示。表1设备需要配置的主控板和集群卡型号设备型号主控板集群卡线缆S7700SRUA、SRUB单台设备上必须配置两块同类型的主控板，即都是SRUA或SRUB；两台设备之间可配不同类型的主控板。LE0D0VSTSA00QSFP+ - QSFP+高速线缆QSFP+光模块和光纤S7700集群卡连接每块LE0D0VSTSA00集群卡上有4个集群口。两台设备都有两块主控板的情况下，按照图1规则连接起来。 集群建立时，成员交换机间相互发送集群竞争报文，选举出主交换机，负责集群系统的管理，另一台交换机成为备交换机。主交换机选举规则如下（依次从第一条开始判断，直至找到最优的交换机才停止比较）：1. 运行状态比较，已经运行的交换机优先处于启动状态的交换机竞争为主交换机。2. 集群优先级比较，集群优先级高的交换机优先竞争为主交换机。3. MAC地址比较，MAC地址小的交换机优先竞争为主交换机。4. 集群ID比较，集群ID小的交换机优先级竞争为主交换机。集群系统建立之前，每台交换机都是单独的实体，每台交换机有自己独立的IP地址，用户需要独立的管理所有的交换机；集群建立后集群成员对外体现为一个统一的逻辑实体，用户使用一个IP地址对集群中的所有交换机进行管理和维护。集群系统的IP地址和MAC地址为集群系统首次建立时，集群主交换机的IP地址和MAC地址。*配置集群连接方式、集群ID和集群优先级*集群中的两台设备拥有不同的集群ID，分别为1或者2，相同ID的两台设备不能建立集群。缺省情况下，设备的集群ID都为1，所以在建立集群前，需要手工配置集群中的一台设备集群ID为2。# 配置SwitchA的集群优先级为200，集群连接方式为集群卡连接方式。 system-viewQuidway sysname SwitchASwitchA set css priority 200SwitchA set css mode css-card# 配置SwitchB的集群ID为2，集群优先级为100，集群连接方式为集群卡连接方式。 system-viewQuidway sysname SwitchBSwitchB set css id 2SwitchB set css priority 100SwitchB set css mode css-card*使能集群功能*# 使能SwitchA的集群功能并重新启动SwitchA。SwitchA css enableWarning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? Y/N:y# 使能SwitchB的集群功能并重新启动SwitchB。SwitchB css enableWarning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? Y/N:y5.1.2 实施区域所属地区使用单位华为（HUAWEI）S7706黑河地区逊克电业局2五大连池电业局2克东电业局2克山电业局2依安电业局2拜泉电业局2孙吴电业局2北安电业局2嫩江电业局2七台河地区七台河市郊电业局2勃利电业局25.2 H3C双核心结构（H3C S7506E）5.2.1 IRF虚拟化IRF概述IRF（Intelligent Resilient Framework，智能弹性架构）是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备通过IRF物理端口连接在一起，进行必要的配置后，虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护。为了便于描述，这个“虚拟设备”也称为IRF。所以，本文中的IRF有两层意思，一个是指IRF技术，一个是指IRF设备。 IRF的优点IRF主要具有以下优点： 简化管理。IRF形成之后，用户通过任意成员设备的任意端口都可以登录IRF系统，对IRF内所有成员设备进行统一管理。 高可靠性。IRF的高可靠性体现在多个方面，例如：IRF由多台成员设备组成，Master设备负责IRF的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证业务不中断；此外，成员设备之间的IRF链路支持聚合功能，IRF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了IRF的可靠性。 扩展设备的转发能力。通过增加成员设备，扩展了IRF的端口数、带宽。因为各成员设备都有CPU，因此能够独立处理协议报文、进行报文转发。 组网图图1-14 IRF典型配置组网图（BFD MAD检测方式） 配置思路 Device A处于局域网的汇聚层，为了将汇聚层的转发能力提高一倍，需要另外增加一台设备Device B。 鉴于智能弹性架构IRF 技术具有管理简便、网络扩展能力强、可靠性高等优点，所以本例使用IRF技术构建网络汇聚层（即在Device A和Device B上配置IRF功能），接入层设备通过聚合双链路上行。 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF，需要启用MAD检测功能。因为成员设备比较少，我们采用BFD MAD检测方式来监测IRF的状态。 通过配置IRF优先级，保证DeviceA成为IRF中的Master设备。 当IRF链路出现故障后，首先修复IRF链路，然后重启Recovery状态的设备，使其重新加入IRF。 配置步骤(1) 配置Device A # 设置Device A的成员编号为1，创建IRF端口2，并将它与物理端口Ten-GigabitEthernet3/0/1绑定。 system-view Sysname irf member 1 Info: Member ID change will take effect after the member reboots and operates in IRF mode. Sysname interface ten-gigabitethernet 3/0/1 Sysname-Ten-GigabitEthernet3/0/1 shutdown Sysname-Ten-GigabitEthernet3/0/1 quit Sysname irf-port 2 Sysname-irf-port2 port group interface ten-gigabitethernet 3/0/1 Sysname-irf-port2 quit Sysname interface ten-gigabitethernet 3/0/1 1-38 Sysname-Ten-GigabitEthernet3/0/1 undo shutdown Sysname-Ten-GigabitEthernet3/0/1 quit # 配置Device A的成员优先级为10，保证其在形成IRF后能够被选举为Master。DeviceA irf priority 10 # 将当前配置保存到下次启动配置文件。Sysname quit save # 将设备的运行模式切换到IRF模式。 system-view Sysname chassis convert mode irf设备重启后Device A组成了只有一台成员设备的IRF。(2) 配置Device B # 配置Device B的成员编号为2，创建IRF端口1，并将它与物理端口Ten-GigabitEthernet3/0/1绑定。 system-view Sysname irf member 2 Info: Member ID change will take effect after the member reboots and operates in IRF mode. Sysname interface ten-gigabitethernet 3/0/1 Sysname-Ten-GigabitEthernet3/0/1 shutdown Sysname-Ten-GigabitEthernet3/0/1 quit Sysname irf-port 1 Sysname-irf-port1 port group interface ten-gigabitethernet 3/0/1 Sysname-irf-port1 quit Sysname interface ten-gigabitethernet 3/0/1 Sysname-Ten-GigabitEthernet3/0/1 undo shutdown Sysname-Ten-GigabitEthernet3/0/1 quit # 将当前配置保存到下次启动配置文件。Sysname quit save # 参照图1-14进行物理连线。# 将设备的运行模式切换到IRF模式。 system-view Sysname chassis convert mode irf设备B重启后与设备A形成IRF。(3) 配置BFD MAD检测# 创建VLAN 3，并将Device A（成员编号为1）上的端口1/4/0/1和Device B（成员编号为2）上的端口2/4/0/1加入VLAN中。 system-view Sysname vlan 3 Sysname-vlan3 port gigabitethernet 1/4/0/1 gigabitethernet 2/4/0/1 Sysname-vlan3 quit # 创建VLAN接口3，并配置MAD IP地址。Sysname interface vlan-interface 3 Sysname-Vlan-interface3 mad bfd enable Sysname-Vlan-interface3 mad ip address 192.168.2.1 24 member 1 Sysname-Vlan-interface3 mad ip address 192.168.2.2 24 member 2 Sysname-Vlan-interface3 quit # 因为BFD MAD和生成树功能互斥，所以在GigabitEthernet1/4/0/1和GigabitEthernet2/4/0/1上关闭生成树协议。Sysname interface gigabitethernet 1/4/0/1 Sysname-gigabitethernet-1/4/0/1 undo stp enable Sysname-gigabitethernet-1/4/0/1 quit Sysname interface gigabitethernet 2/4/0/1 Sysname-gigabitethernet-2/4/0/1 undo stp enable (4) 当IRF链路出现故障后，系统会输出MAD检测错误，提示用户修复链路。5.2.2 实施区域所属地区使用单位H3C S7506E五大农垦地区宝泉岭2红兴隆2建三江2九三2哈尔滨地区尚志电业局2五常电业局2呼兰电业局2阿城电业局2延寿电业局2双城电业局2宾县电业局2肇东电业局2齐齐哈尔地区泰来电业局2讷河电业局2富裕电业局2龙江电业局2甘南电业局2海林电业局2穆棱电业局2林口电业局2佳市郊电业局2大庆地区肇源电业局2安达电业局2肇州电业局2林甸电业局2杜蒙电业局2明水电业局2青冈电业局2绥化市郊电业局2鹤岗地区萝北电业局2绥滨电业局2鹤岗市郊局2双鸭山地区集贤电业局2宝清电业局2双鸭山市郊局2友谊电业局2饶河电业局25.3 迪普双机热备（Dptech DPX-8000-A5）5.3.1 静默双机热备 拓扑规划 部署方式 农电县局核心部署两台DPX通过上行交换机连接地市局，以实现设备间冗余热备(当前地市局到农电县局多为单条链路)。 DPX成对部署，工作在主备状态时，通过心跳方式保持只有一台为主，当主用设备出现故障时，由备用设备立即接管所有服务。 用户会话在双机之间采取同步机制，主设备上会话建立或表项变化时将相关信息同步保存到备份设备，以保证主设备和备份设备会话表项的完全一致，当主备切换时不会对已有连接和新建连接产生任何影响。 热备状态设备的热备状态有独立运行、同步和静默三种： 独立运行：表示设备刚刚引导启动成功或者设备没有与任何其它设备建立备份连接。 同步：表示设备与对端设备状态协商成功，可以进行主备双机热备状态。 静默：表示设备启动系统已经进入稳定运行状态。 处理流程主备DPX所有配置完全一样（接口IP也一致），正常运行的情况下，逻辑上只能感知到主设备的存在，备设备处于静默的状态，在网络中不可见也不可感知。 主设备通过心跳线定时的发送自己的心跳报文用来通告自己的运行状态。备设备只监听主设备的状态，不发包也不收包，处于静默的状态。当主设备有异常，或备设备在一定时间段之内没有收到主设备的心跳报文，那么备设备就会Wake Up，变成主防火墙，通过连续发送免费ARP的机制，不断刷新交换机上的MAC地址表项，将业务流量牵引过来接替主设备进行转发。从而实现流量双机热备。这种方式不需要借助其他的协议实现，而是通过设备自身检测机制来实现双机热备，相对简单可靠。5.3.2 实施区域所属地区使用单位DPtechDPX8000-A5五大农垦地区兴凯湖1牡丹江地区东宁电业局2宁安电业局2牡丹江市郊局2鸡西地区虎林电业局2鸡西市郊局2密山电业局25.3.3 实施方案 组网需求n 两台DPX开启静默双机热备,保证会话与连接实时同步;n DPX与省公司路由器之间建立GRE隧道;n 在省公司路由器的GRE tunnel接口绑定vrf实例，以实现路由隔离;n 通过Gre隧道之间运行OSPF多实例，达到路由智能计算与选路。 拓扑结构 地址规则本端设备本端端口对端设备对端端口互联IP接口类型Vlan信息聚合组MSR30-40ge0/0S5500-01g0/0/210.1.1.1/30loopack1100.1.1.1/32greDPX8000-A5-01/0220.1.1.1/30DPX8000-A5-01eth3_12S5500-01g0/0/410.1.1.2/30access10eth3_14S5500-02g0/0/210.2.1.1/24access20loopack1101.1.1.1/32eth3_22DPX8000-A5-021.1.1.1/30access1000bond1eth3_23greMSR30-4020.1.1.2/30DPX8000-A5-02eth3_12S5500-01g0/0/410.1.1.2/30access10eth3_14S5500-02g0/0/410.2.1.1/24access20loopack1101.1.1.1/32eth3_22DPX8000-A5-011.1.1.2/30access1000bond1eth3_23greMSR30-4020.1.1.2/30 各局点地址规划东宁电业局本端设备本端端口对端设备对端端口互联IP接口类型Vlan信息聚合组省公司SR88-2ge0/0loopack1gre tunnel 280DPX8000-A5-01/02tunnel 28010.167.48.53/30地市局接入设备ethDPX8000-A5-01/02g0/0/410.167.50.54/30DPX8000-A5-01eth3_12地市局接入设备g0/0/410.167.50.53/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack110.166.90.253/32eth3_22DPX8000-A5-021.1.1.1/30access1000bond1eth3_23gre tunnel280省公司SR88-2tunnel 28010.167.48.54/30DPX8000-A5-02eth3_12地市局接入设备g0/0/410.167.50.53/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack110.166.90.253/32eth3_22DPX8000-A5-011.1.1.2/30access1000bond1eth3_23gre tunnel 280省公司SR88-2tunnel 28010.167.48.54/30宁安电业局本端设备本端端口对端设备对端端口互联IP接口类型Vlan信息聚合组省公司SR88-2ge0/0loopack1gre tunnel 300DPX8000-A5-01/02tunnel 30010.167.48.61/30地市局接入设备ethDPX8000-A5-01/02g0/0/410.167.50.62/30DPX8000-A5-01eth3_12地市局接入设备g0/0/410.167.50.61/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack110.166.89.253/32eth3_22DPX8000-A5-021.1.1.1/30access1000bond1eth3_23gre tunnel 300省公司SR88-2tunnel 30010.167.48.62/30DPX8000-A5-02eth3_12地市局接入设备g0/0/410.167.50.61/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack110.166.89.253/32eth3_22DPX8000-A5-011.1.1.2/30access1000bond1eth3_23gre tunnel 300省公司SR88-2tunnel 30010.167.48.62/30牡丹江市郊电业局本端设备本端端口对端设备对端端口互联IP接口类型Vlan信息聚合组省公司SR88-2ge0/0loopack1gre tunnel 310DPX8000-A5-01/02tunnel 31010.167.48.65/30地市局接入设备ethDPX8000-A5-01/02g0/0/410.167.50.66/30DPX8000-A5-01eth3_12地市局接入设备g0/0/410.167.50.65/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack1eth3_22DPX8000-A5-021.1.1.1/30access1000bond1eth3_23gre tunnel 310省公司SR88-2tunnel 31010.167.48.66/30DPX8000-A5-02eth3_12地市局接入设备g0/0/410.167.50.65/30access10eth3_14县局接入设备g0/0/210.2.1.1/24access20loopack1eth3_22DPX8000-A5-011.1.1.2/30access1000bond1eth3_23gre tunnel 310省公司SR88-2tunnel 31010.167.48.66/30虎林电业局本端设备本端端口对端设备对端端口互联IP接口类型Vlan信息聚合组省公司SR88-2ge0/0loopack1gre tunnel 590DPX8000-A5-01/02tunnel 59010.167.48.177/30地市局接入设备ethDPX8000-A5-01/02g0/0/410.167.50.178/30DPX8000-A5-01eth3_12地市局接入设备g0/0/410.167.50.