55858写 网络冗余保护技术的研究与实现[完整]

1、网络冗余保护技术的研究与实现摘要.现在网络服务的安全性和可靠性变的越来越重要,如果网络中的网关设备出现问题,将会导致网络不能提供正常的服务。本文利用集群技术一一虚拟路由冗余协议(virtualrouterredundaneyprotoeol,简称vrrp)来实现网关的高可用性,使得在一台网关设备宕机时,另外一个备份网关会及时接管转发工作,不会造成互联网业务中断,提高了网络服务质量。本文首先介绍高可用性的基本技术,对常用的数据链路层和网络层冗余保护技术进行了论述,并对它们各自的不足进行了分析。然后详细说明了vrrp协议的工作原理,包括协议中所用到概念的定义、协议运行所需参数的确定、协议运行的内在

2、机制、网关的选举策略和选举实施。在研究vrrp协议同步过程中可能出现的安全性和稳定性问题后,给出了优化该协议的改进方案。关键字:高可靠性;虚拟路由;冗余保护;负载均衡;vrr卫实例abstractnow the security and reliability of the network service become more and more important, if there is a problem in the network gateway equipment, will cause the network cannot provide the normal service.

3、in this paper, using cluster technology one one virtual router redundancy protocol (virtualrouterredundaneyprotoeol, referred to as vrrp) high availability to achieve the gateway, the gateway device in a crash, another backup gateway will promptly take forward work, will not cause the internet servi

4、ce interruption, improve the quality of network service.this paper first introduces the basic technology for high availability, the data link layer and network layer redundancy protection techniques are discussed, and their respective shortcomings were analyzed. then a detailed description of the wo

5、rking principle of vrrp protocol, including the protocol used in the definition of the concept, the protocol required parameters, protocol operation mechanism, gateway strategy and the implementation of the election campaign. security and stability problems may arise in the study of vrrp protocol sy

6、nchronization process, gives the methods to optimize the protocol.keywords: high reliability; virtual router redundancy; protection; load balancing; vrr wei examples目 录摘要iabstractii第一章概述11第二章构建冗余保护网络的基本方法22223334第三章 vrrp应用设计与实现4445553.2.18016的软、硬件配置567889202021参考文献22致谢23第一章概述网关冗余技术是保证网络ha归ighavallab

7、ility)门高可用性的一种重要方法。随着互联网快速普及和网络应用的日益深入,各种增值业务在网络上得到了广泛部署,网络高可用性日益成为客户关注的焦点。电信运营级路由交换设备应满足以下网络可用性指标:(l)单个路由器发生故障不会影响用户数据的传输和控制管理。(2)每年发生故障的时间的期望值小于5.2分钟。(3)由网络子卡、交换阵列、控制处理子卡提供容错,监视备份。(4)网络服务的衡量标准为可靠性a二m化f/(mtbf+mttr)。.99999,即通常所说的五九标准28。其中,附bf(mean叭mebetweenfailures,平均故障间隔时间),mttr(meantimetorepair,平均

8、恢复时间)。所有运营商都希望能以最低的设备和运营成本给用户提供最好、最可靠的服务。据统计,路由器的软硬件故障、拒绝服务dos攻击、路由器软硬件升级等是导致服务中断的主要原因。而在重要的路由器上适当地运用一些网关冗余技术就可以避免上述的绝大多数情况。提高网络的可用性,一方面需要提高构成网络的各个组件(网络节点、链路等)的可靠性,减少故障出现的概率;另一方面要确保网络出现故障时能够快速恢复。,网络总是能在不中断业务的情况下恢复,对多数用户,就其业务体验来说甚至可以认为是无故障的。目前的高可用性技术,基本都是确保网络从故障中快速恢复的技术。要让网络能从故障中快速恢复,首先是要能快速发现故障。其次,最

9、好能有备份的转发链路和路径,一旦发现故障,就可以把业务流量快速切换到备份路径或链路上。对于备份的链路或路径,可以是已经构建好的,也可以是故障后重新计算获取的,当然前者的恢复时间会更短。ha技术从应用范围方面分两类,一类是保障单个网络节点可靠性,如硬件冗余备份、热补丁;另一类是保障整网可靠性:链路备份、信令快速收敛、流量工程、自愈环。从具体实施方面分三类,一是在物理层对关键硬件进行冗余备份,形链路或链路捆绑和备份;如电源备份、双主控、热插拔;二是在链路层形成环三是正转发层的信令协议的快速收敛级流量工程,如vrrp、ospf、eigrp等。网关冗余技术3,便是目前常见的一种备份转发形式的容灾技术。

10、其中ietf推出的vrrp(virtualrouterredundaneyprotoeol)虚拟路由器冗余协议以其简洁的设计被广泛应用。本文中就vrrp协议的实际应用引入了一个工程实例,通过这个例子,详细阐述了vr丑卫协议在专网接入工程中的组网、配置、实现的全过程。并引入了两个v和妞备份组,尝试使闲置的链路资源得到充分的使用。通过vrrp理论与实际工程实例的紧密结合,使该协议在实际工作中产得到了充分应用。文章的最后,由经济角度分析了该个项目的实际价值。第二章构建冗余保护网络的基本方法上文中已经提到,构建可靠网络的基本方法:.一是在物理层对关键硬件进行冗余备份,如电源备份、双主控、热插拔;.二是

11、在链路层形成环形链路或链路捆绑和备份;.三是ip转发层的信令协议的快速收敛级流量工程,如vrrp、ospf、eigrp等。物理层的备份技术在此文中不作过多的赘述,下面就常用的数据链路层方法及网络层方法加以论述。stp(spanningtreeprotocol)是生成树协议的英文缩写7,它也是一种基于数据链路层的协议。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。stp的基本原理是,通过在交换机之间传递一种特殊的协议报文(在ieee802.id中这种协议报文被称为/配置消息)来确定网络的拓扑结构。配置消息中包含

12、了足够的信息来保证交换机完成生成树计算。相对与数据链路层与物理层的单调,网络层的冗余保护机制更加复杂、更加智能。在ip网盛行的今天,基于网络层的路由保护方法也不胜枚举。正tf一(互联网工程任务组一thelntemetenginee血9taskforce)把它定位于路由研究领域(rtg一routingarea),即认为它是一种三层的链路保护机制,此研究领域主要负责制订如何在网络中确定传输路径以将ip包传送到目的地的相关标准。由于路由协议在网络中的重要地位,因此此研究领域也成为ietf的重要领域。bgp、1515、ospf、mpls等重要路由协议均属于这个研究领域的研究范围。iop(interio

13、roatewayprotoeols)内部网关协议在同一个自治系统内交换路由信息,咫p,ospf和is一is都属于igp。igp的主要目的是发现和计算自治域内的路由信息。igp发现和规划路由是自动的,即在使用相同路由协议的域中,一旦路由器配置完善,他们对网络拓扑及数据流向是智能控制的。本节试用最常用的ospf协议,来简述igp如何实现搭建可靠网络。第三章 vrrp应用设计与实现众所周知,ip网络本身是不可靠的,而且不面向联接圈,但是由于ip网络灵活、资源可复用的特点,目前正网络不仅可以承载非实时性业务,而且越来越多的承载语音、ngn、3g等实时性要求很高的业务22。所有这些业务不但要求网络能够及

14、时、有效的将数据转发到所需要的位置,而且对网络的可靠性、稳定性提出了更加严格的要求,要求网络具有比较高的容灾性,一旦某个网络设备或者链路出现故障,整个网络可以自动、迅速的恢复。这就要求网络设计者在网络结构冗余备份、主机冗余备份等多个方面进行考虑。随着基础运营商市场竞争的日益加剧,网络的健壮性已经成为服务质量的先迭条件,摇茸商的,撼域网倚靠动态路由协议及网络的备份节点可以实现动态的网络结构补偿。但对于电业、广电这样的专网用户,他们一方面可以为电信运营商带来巨大的收入,但另一方面,他们技术力量薄弱,人员专业性差,网络结构单一,出于路由规划及网络安全的考虑,往往只能与运营商进行静态路由的域间对接。在

15、使用静态路由的前提下,如运营商转发设备公网侧端口出现故障,专网设备无法感知故障,仍认为主设备状态正常,并不能自动倒换路由;且静态路由方法无法可靠的进行数据流量的负载分担,一旦出现关守设备死机,线路意外中断等现象后果不堪设想,乃至直接导致双方合作破裂。当然,我们可以使用mstp技术23,基于sdh平台进行二层的保护,但对于大型专网,出口带宽要求通常达到千兆,设备包转发速度达到几十乃至几百兆比特每秒。ms仰设备需将以太信号复用为sdh信号并反复封装,ip包转发效、率低,且满足这样系统性能的sdh设备两端至少要十几万,所以此方案的优劣显而易见。专网作为鞍山最大的企业专网,与鞍山电信对接的设备为一台思

16、科7200路由器,其提供一个pos接口与鞍山电信的传输网连接,并通过鞍山电信的sdh网络接入鞍山电信城域网。鞍山电信护网络层次划分按照网络扁平化设计原则,统一规划,统一产设,统一管理。整个城域网络划分为核心层、汇聚层、接入层。鞍山城域网核心层交换设备为2台华为根据城域网地域特性和具体地理分布的情况换机作为汇聚城交换设备。58016型三层交换机。城域网汇聚层,在若千点使用华为8505或6506交换设备。城域网核心设备通过ip路由模式与下级汇聚节点进行通信,并将所收敛的流量通过路由方式转发给省网核心设备。目前辽宁省干核心路由器之间运行is一is25路由协议,鞍山ip城域网核心之间同时也运行ospf

17、路由协议,ospf截止到会聚层,为了防止过多的路由条目,在每个58505上启动summary功能,过滤掉细致的路由条目,接入层则大量使用静态路由。在此城域网基础上,为实现此项目的改造目标,我公司由sdh复用保护改为使用两对裸光纤,开通ge端口将用户路由器直接引入至核心1及核心2骨干交换机58016上(下文中分别称为sso16a和58016b),此放案中使用私网地址段作为示意,为保密略去真实地址段。我公司和用户需更改互联地址,但默认网关不用改变。3.2.18016的软、硬件配置系统使用的交换机8016软、硬件信息如下26:xxxxxxxxxxxxxxxxxx又只xxxxxxxxxxxxdispl

18、ayverhuaweiversatileroutingplatformsoftwarevrp皿)software,version3.10困ssa),release5338sp01cop州ght(e)2001一2012huawei犯chco.,ltd.quidway58016uptime153week(s),0day(s),16hour(s),41minute(s)quidway580161ppc750processorsdram512mbytesflash16mbytesnvram51zkbyteshardwareversion:cr0lmpubver003logiebootromversio

19、n:004version:128slotz:mlpuhardwareversion:cr0llpubver002version:128version:009scbio哑fsu卿slot31mlpuhardwareversion:cr01lpubver002xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxvrrp协议是/一主多备0的形式,即采用多台路由器组成vri备份组,一台为master,其他为backup。本例中为一主一备模式洲。如上图,图中网络用户使用172.16.3.x网段,它的默认网关护是172.16.3.254,这是一个虚拟路由器,它由两台华为交换机sso16a和ss

20、o16b备份而成。对于网络用户来说,只看得到虚拟路由器172.17.3.254,并不关心s8016a和58016b谁在工作,谁是master,谁是backup。主要实现以下要点.创建一个备份组,ro号为103.58016a为mas花r,s8016b为backup.认证方式为mds方式,认证关键字为/asdx.,.设置报文间隔.监视上行端口配置58016a:#创建一个备份组。#设置备份组的优先级。为master#设置备份组的认证字。#设置maste:发送vrrp报文的间隔时间为5秒。s8016a.vi丽f2:vrrpvrid103timeradvertises#设置监视接口。配置58016b:#

21、创建一个备份组。#设置备份组的优先级。它是backup#设置备份组的认证字。s8016b.vi耐几:vrrpauthentieation一modemdsasdx#设置maste:发送vrrp报文的间隔时间为5秒。s8016b.vi耐f2v即vrid103timeradvertises#设置监视接口。s8016b.vi沉几v即vrid103traekvlanif22redueed30vrrp采用一种一主多备的组网形式。如果只有一个备份组,就意味着任何时候都只有一台路由器工作,其他路由器其实是处于一种闲置状态。很显然,路由器通常价格不菲,这无疑是一种巨大的浪费。那么实际组网中,怎样的应用可以避免此

22、问题呢?两个网络分别配置网关172.16.3.254和172.16.4.254。这是两个虚拟路由器,而且都由s8016a和58016b组成,其实是两个vrrp备份组,各有一台真实路由器担当master。比如对于vrrp备份组1来说,58016a是master,s8016b是backup;而对于vrrp备份组2来说,s8016a是backup,s8016b是master。这样一来实际上是58016a承担172.17.3.x的转发业务,sso16b承担172.17.4.x的转发业务。但是一旦58016a坏掉,并不影响172.17.3.x的网络业务。因为58016b会成为172.17.3.x的mas

23、ter,一切仍然正常运作。这种vrrp网方式广泛应用,以保证用户网络的可用性和可靠性,又兼顾了路由器的使用效率,达到了成本和稳定性的双赢。在实际应用中,用户可能会租用两条以上的工ntemet链路实现高可靠性和流量分担。斥资对网络设备进行更新,然后通过多备份组的解决方案固然很好,但从保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。对于有两条出口的局域网,可以使用两台路由器实现双备份组,具体方法是:把网络中的主机划为两部分,一部分主机使用备份组,1作为默认网关,另一部分主机使用备份组2作为默认网关,两个备份组的master互为对方备份组的backup。对于有n条出口

24、的局域网,可以使用n+1台路由器实现多备份组,具体方法是:按照网络规模把主机划为n个部分,每部分使用一台路由器作为备份组的master,再用一台路由器作为所有备份组的backup。在但备份组基础上,继续配置.创建一个备份组,ro号为104sso16b为master,认证方式为mds方式设置报文间隔监视上行端口s8016a为backup,认证关键字为/asdxz,配置sso16a:#创建一个备份组。#设置备份组的优先级。为buckup#设置备份组的认证字。#设置master发送vrrp报文的间隔时间为5秒。s8016a.vlalil几v即vrid104timeradvertises#设置监视接口

25、。配置58016b:#创建一个备份组。#设置备份组的优先级。它是masters8016b.vi翻f2v即vrid104priority150#设置备份组的认证字。、s8016b.vi面几vrrpautheniieation一modemdsasdxz#设置master发送v刃汗报文的间隔时间为5秒。#设置监视接口。104timeradvertises103traekvlanif22redueed3o#sysname58016a#domaindefaultenablesystem#-temperature一limit01070temper川卫re一limit21070#poepowermax一va

26、lue2400#link一aggregationgroup1modemanual#v即ping一enable#radiussehemesystemuser一nae一forlllatwithout一domain#domainsystemvlan一assig刊meni一modeintegeraecess一limitdisablestateaetive.idle一elltdisableself-serviee一urldisablemessengertimedisable#stptc一protectionenable#vlan#vlan22nametouplin#kvlan101#vlan102#vl

27、an103#vlan104#interfaeevlan一interfaee22#ierfaeevlan一interfaeel02#ierfaeevlan一inierfaeel03,vvrid103priority150vauthentieation一modemdsasdxv即vrid103timeradvertisesvvrid103traekvlanif22redueed30#illterfaeevlan一inierfaee104vrrpvrid104priority130vautheniieation一modemdsasdxvvrid104timeradvertisesvvrid104tr

28、aekvif22redueed30#illterfaceauxo/0/0#inierfaeem一etherneto/0/o.,j#,.#interfaeegigabitethemeto/0/1portaeeessvlan22#interfaeegigabitethemeto/0/2#interfaeegigabitetherneto/0/3#interfaeegigabitetherneto/0/4#inteeegigabitethemetz/0/l#interfaeegigabi正themetz/0/2#intecegigabitethernetz/0/3#interfaeegigabite

29、thernetz/o/4#inierfaeegigabitethemetz/0/5portlink一typetrmporttrunkpermitvlanall#interfaeegigabitethernetz/0/6#interfaeegigabitethemetz/0/7portlink一typetrunkporttrpermitvlanall#interfaeegigabitethernetz/0/8portaeeessvlan101#interfaeegigabitethernetz/0/9portaeeessvlan101#interfaeegigabitethemetz/0/10p

30、ortaeeessvlan101#inierfacegigabithemetz/0/11#interfaeegigabithemetz/o/12#inierfaeegigabitethemetz/0/13#interfaeegigabitethemetz/0/14#interfacegigabitethemetz/0/15#interfaeegigabitethemetz/0/16#interfaeegigabitethemetz/0/17#inierfaeegigabitethernetz/0/18#inierfaeegigabitethemetz/0/19portaceessvlan101

31、portlink一aggregationgroupi#interfaeegigabitethemetz/0/20portaeeessvlan101portlink一aggregationgroupi#interfacenullo#ospflimport一routedireet#snlllp一agentsnmp一ageniloeal一engineid800007db000fe218cc346877snmp一agentcommunityreadpublicsnmp一agenieommunitywriteyantaisnmp一agenisys一infoversionall#user一interfae

32、eauxoauthentieation一modepasswordsetauthentieationpasswordeipherin=,y6qsw(00ia+$yq1、user一inierfaeevty04userprivilegelevel3setauthentieationpasswordeipherin=,y6qsw(00i八+$yql、#returll备份交换机配置:#sysnames8016b#domaindefaultenablesystem#temperature一limit01070temperature一limit21070#poepowermax一value2400#link

33、一aggregationgroup1modemanual#vriping一enable#radiussehemesystemuse卜name一formatthout一domain#domainsystemvlan一assignjment一modeintegeraeeess一limitdisablestateactiveidle一edisableself-serviee一1disablemessengertimedisable#stptc一proteetionenable#vlanl#vlan22nameto#uplkvlan101#vlan103#vl104#interfacevlan一int

34、erfaeel#inerfaeevlan一interfaeelol#interfaeevlan一inierfaeel03vrrpvrid103priority130vrrpautheniieation一modemdsasdxvnvrid103t加eradvertisesvrrpvrid103trackvlanif22redueed30#ieeevlan一interfaee104vvrid104priority150vautheniieation一modemdsasdxvdio4teradvertisesvnvrid104traekvlanif22redueed30#interfaeeauxo/

35、0/0#interfaeem一ethemeto/0/0#interfacegigabitethemeto/0/lportaceessvlan22#inierfaeegigabitethemeto/0/2#interfacegigabitethemeto/0/3#interfacegigabitetherneto/0/4#inierfaeegigabitethernetz/0/l#interfaeegigabitethernetz/0/2#iniecegigabithemetz/o/3#inierfacegigabitethemetz/0/4#inierfaeegigabitethemetz/o

36、/5portlink一typetrunkporttrunkpermitvlanall#inierfacegigabitethemetz/0/6#inierfacegigabitethemetz/o/7#interfacegigabitethemetz/0/8portaceessvlan101#interfacegigabitethernetz/0/9portaceessvlan101#interfaeegigabithernetz/0/10portaeeessvlan101#interfacegigabitethemetz/0/11#inierfaeegigabitethemetz/0/12#

37、interfaeegigabitethernetz/0/13#interfaeegigabitethemetz/0/14#interfacegigabitethemetz/0/15interfaeegigabitethemetz/0/16#interfaeegigabitethemetz/0/17#inierfaeegigabi正thernetz/0/18#interfaeegigabitethemetz/0/19portaeeessvlan101portlink一aggregationgroupi#interfaeegigabitethernetz/0/20portaeeessvlan101

38、portlink一aggregationgroupi#interfaeenullo#ospflimport一routedirect#snmp一agentsnmp一agentloeal一engineid800007db000fe218cc346877snmp一agenieornunityreadpublies钊mp一agenieommunitywriteyantaisnmp一agentsys一infoversionall#user-inierfaeeauxoauthentieation一modepasswordsetautheniieationpasswordeipherin=,y6qsw(,0

39、ia+$yq1、user-interfaeevty04userprivilegelevel3setauthentieationpasswouleipherin=,y6qsw(,0ia+$yql、#rctllrn根据华为公司提供的产品手册,58016单机可以实现99.999%的系统可用性(或每年小于5分钟的停机时间)。本系统改造后,根据古典概率乘法原理得洲:p(系统故障)二p(核心1故障)np(核心2故障)二3秒/年此系统可以实现每年小于3秒的停机时间,系统可靠性进步提高。上文中两台58016上再添加一个备份组,可以使用轮询方式分担数据流量。比较其他的协议,该方案有一定的负载均衡能力。因鞍山lp

40、网内使用ospf作为igp,为了使数据包通过尽量少的跳数达到目的地,本例中用-,track.方式跟踪上行端口状况,即一旦master设备上行链路出现任何状况,系统制动倒换到备用设备,而不光只观察master设备的下行链路;也有一种情况,可以不应用-,track.,如果上行网络直接应用了bgp侧,由于bgp的运行范围较大,为了尽量使上行网络的路由信息保持稳定,尽量少的产生振荡,可以不应用-,track.,这是一种靠增加局部转发跳数换取整个广域网稳定的作法。工程造价是指进行某项工程建设所花费的全部费用。工程造价是一个广义概念,在不同的场合,工程造价含义不同。由于研究对象不同,工程造价有建设工程造价,单项工程造价,单位工程造价以及建筑安装工程造价等。电信工程造价通常由工程费、设备费和其他费三部分构成。工程造价管理是运用科学、技术原理和方法,在统一目标、各负其责的原则下,为确保建设工程的经济效益和有关各方面的经济权益而对建设工程造价及建安工程价格所进行的全过程、全方位的符合政策和客观规律的