1雙機(jī)熱備雙機(jī)熱備是一種概念�,各種設(shè)備均可以采用此概念進(jìn)行部署,比如三層交換機(jī) �����、路由器��、防火墻、服務(wù)器等����。如果僅部署一臺(tái)設(shè)備,難免會(huì)有單點(diǎn)故障的風(fēng)險(xiǎn)���,所以部署兩臺(tái),一主一備較為保險(xiǎn)���,一臺(tái)壞了�,另一臺(tái)自動(dòng)“頂上”�����,保證業(yè)務(wù)不中斷��,這就是雙機(jī)熱備�����。最常見的雙機(jī)熱備就是同時(shí)帶著同一品牌的兩臺(tái)手機(jī)���,A壞了��,B登錄A的賬號(hào)�����,通訊錄與郵箱會(huì)同步過(guò)來(lái)����,與保證業(yè)務(wù)不中斷。 NOTE: 等保三級(jí)以上要求必須要有冗余設(shè)備����,關(guān)鍵設(shè)備必須是一主一備的,這樣才能保證業(yè)務(wù)的穩(wěn)定性����。雙機(jī)熱備是網(wǎng)絡(luò)工程師必須熟練掌握的技術(shù)之一。 防火墻的雙機(jī)熱備其它設(shè)備不同��,防火墻的雙機(jī)熱備需要一條專門的備份通道��,用于兩臺(tái)防火墻之間的協(xié)商主備狀態(tài)���,以及會(huì)話等狀態(tài)信息�。雙機(jī)熱備主要包括主備備份和負(fù)載分擔(dān)兩個(gè)場(chǎng)景�。主備備份指正常情況下僅由主用設(shè)備處理業(yè)務(wù)����,備用設(shè)備空閑�;當(dāng)主用設(shè)備接口、鏈路或整機(jī)故障時(shí)���,備用設(shè)備切換為主用設(shè)備���,接替主用設(shè)備處理業(yè)務(wù)���。負(fù)載分擔(dān)也可以稱為“互為主備”���,即兩臺(tái)設(shè)備同時(shí)處理業(yè)務(wù)。當(dāng)其中一臺(tái)設(shè)備發(fā)生故障時(shí)��,另外一臺(tái)會(huì)立即承擔(dān)其業(yè)務(wù)����,保證業(yè)務(wù)不中斷。
2鏈路聚合講雙機(jī)熱備之前�,必須先講鏈路聚合和VRRP,因?yàn)殡p機(jī)熱備是在這兩個(gè)技術(shù)的基礎(chǔ)上進(jìn)行實(shí)現(xiàn)的�����。 2.1鏈路聚合的基本概念因?yàn)橐蕴W(wǎng)的信息傳輸率主要有:10Mbit/s、100Mbit/s���、1000Mbit/s(1Gibt/s)����、10Gibt/s�����、100Gibt/s����,它們之間的關(guān)系呈10倍遞增。 l 發(fā)送/接收速率為10Mbit/s的以太網(wǎng)端口稱為標(biāo)準(zhǔn)以太網(wǎng)端口�。 l 發(fā)送/接收速率為100Mbit/s的以太網(wǎng)端口稱為快速以太網(wǎng)端口,簡(jiǎn)稱FE(fast ethernet)��。 l 發(fā)送/接收速率為1000Mbit/s的以太網(wǎng)端口稱為千兆以太網(wǎng)端口��,1000兆達(dá)到了吉�����,所以也稱GE(gigabit ethernet)。 l 發(fā)送/接收速率為10Gbit/s的以太網(wǎng)端口稱為萬(wàn)兆以太網(wǎng)端口�����,一吉等于1000兆�,十吉就等于十個(gè)1000兆,十個(gè)1000就是一萬(wàn)��,所以這種接口就被稱為萬(wàn)兆以太網(wǎng)端口�。 l 發(fā)送/接收速率為100Gbit/s的以太網(wǎng)端口稱為百吉端口。 如果一條鏈路的兩頭端口是GE端口��,那么這條鏈路就是GE鏈路�����;如果一條鏈路的兩頭端口是FE口���,則這條鏈路就是FE鏈路,如此類推���。 2.2鏈路聚合產(chǎn)生的背景現(xiàn)在有10臺(tái)終端 ����,匯聚層交換機(jī)與終端連接時(shí)使用提FE接口,速率可達(dá)100Mbit/s��,匯聚層與核心交換機(jī)之間使用GE接口���,速率可達(dá)1000Mbit/s?����,F(xiàn)在終端增加到20臺(tái)���,用戶的帶寬總需求是2G,但一條GE鏈路只能最多提供1G的帶寬����,怎么辦呢? 總不能把GE接口從交換機(jī)拿出來(lái)?yè)Q一個(gè)萬(wàn)兆的吧�?這是不可能實(shí)現(xiàn)的。換交換機(jī)成本又太高了����,這時(shí)候就在匯聚層與核心層之間連接兩根GE鏈路,將這兩根鏈路邏輯上綁定到一起����,這樣帶寬就可達(dá)到2Gbit/s�����,這樣即滿足了需求��,也沒有增加成本����,一舉兩得�!哦不!應(yīng)該是一舉三得�����,為什么這么說(shuō)呢�?當(dāng)一條鏈路壞了之后,另一條鏈路還可以繼續(xù)工作����,只不過(guò)速度稍微慢一些��。一得滿足需求���,二得不增加成本���,三得冗余����。如果空閑的口比較多的話���,多個(gè)口做聚合也是可以的����,這樣速率更高�。 理論上兩個(gè)GE接口聚合帶寬可達(dá)2Gbit/s,但實(shí)際的情況是小于2Gbit/s的����。 2.3鏈路聚合適用的場(chǎng)景本文中所講的鏈路聚合針對(duì)的僅是以太網(wǎng)。 鏈路聚合可以應(yīng)用在交換機(jī)與交換機(jī)之間����、交換機(jī)與服務(wù)器之間、交換機(jī)與路由器之間�����,服務(wù)器與服務(wù)器之間等等。服務(wù)器與服務(wù)器做鏈路聚合的情況比較少見���,為什么����?從原理上來(lái)看�,因?yàn)榉?wù)器不過(guò)就是性能高一點(diǎn)的計(jì)算機(jī)罷了,我們主要還是利用它的計(jì)算性能����;但是從應(yīng)用的角度來(lái)看,服務(wù)器的地位就高了��,我們要保證服務(wù)器的可靠性����,所以服務(wù)器與交換機(jī)之間做鏈路聚合的場(chǎng)景比較常見。 2.4 鏈路聚合的原理從理論上講�,同一聚合鏈路中的各成員鏈路的帶寬可以是不同的,但實(shí)際上�����,由于實(shí)際難度和實(shí)現(xiàn)成本等方面的原因���,我們總是要求各成員的鏈路帶寬保持一致���。 發(fā)送方交換機(jī): 第一步:來(lái)自交換機(jī)內(nèi)部的數(shù)據(jù)幀進(jìn)入到eth-trunk口的隊(duì)列 第二步:通過(guò)幀分發(fā)器分發(fā)給子接口,這個(gè)分發(fā)是基于某種算法����,從這個(gè)角度來(lái)看,幀分發(fā)器頗有點(diǎn)負(fù)載均衡的意思��。 接收方交換機(jī): 第一步:接收方子接口收集來(lái)自來(lái)自發(fā)送方交換機(jī)的數(shù)據(jù)幀 第二步:收集之后統(tǒng)一在幀收集器“集合”�,某一個(gè)幀完全進(jìn)入幀收集器之后就把這個(gè)幀送到接收隊(duì)列。 2.5鏈路聚合的配置思路1) 創(chuàng)建eth-trunk口�����,兩端的編號(hào)要一致�。 2) 配置模式:手工或者自動(dòng) 3) 將物理接口加入到eth-trunk口當(dāng)中 4) 設(shè)備允許通過(guò)的vlan 3VRRP3.1VRRP的工作過(guò)程VRRP是一種容錯(cuò)協(xié)議,它保證當(dāng)主機(jī)的下一跳路由器(默認(rèn)網(wǎng)關(guān))出現(xiàn)故障時(shí)�,由備份路由器自動(dòng)代替出現(xiàn)故障的路由器完成報(bào)文轉(zhuǎn)發(fā)任務(wù),從而保持網(wǎng)絡(luò)通信的連續(xù)性和可靠性���。 將兩臺(tái)路由器的的下行接口劃分在一起����,形成一個(gè)VRRP備份組。VRRP備份組就相當(dāng)于一臺(tái)虛擬路由器�,這個(gè)虛擬路由器有自己的IP和MAC,VRID是VRRP備份組的ID���。所以��,局域網(wǎng)的主機(jī)可以將默認(rèn)網(wǎng)關(guān)設(shè)置為VRRP備份組的虛擬IP地址����。在局域網(wǎng)的主機(jī)看來(lái)����,它們就是與虛擬路由器進(jìn)行通信的,然后通過(guò)虛擬路由器與外部網(wǎng)絡(luò)進(jìn)行通信�。 VRRP備份組的多個(gè)路由器會(huì)根據(jù)管理員指定的備份組優(yōu)先級(jí)確定各自的狀態(tài)。優(yōu)先級(jí)高的是master�����,其它的為backup�。VRRP備份組的狀態(tài)決定了路由器的主備狀態(tài)。VRRP備份組狀態(tài)為master的路由器為master路由器���,VRRP備份組狀態(tài)為backup的路由器為backup路由器��。Master正常時(shí)�����,master工作��,master故障之后�,backup路由器立刻頂上�����。 管理員在路由器配置完VRRP備份組和優(yōu)先級(jí)之后��,VRRP備份組會(huì)短暫的工作在initialize(初始化)狀態(tài)����,如果接口狀態(tài)正常的話并收到接口up的消息之后,會(huì)立即切換成backup狀態(tài)�����,在bakcup狀態(tài)等待計(jì)時(shí)器超時(shí)��,超時(shí)之后立馬切換為master��,所以誰(shuí)的等待計(jì)時(shí)器最短,誰(shuí)就成為master���,這其實(shí)里面并沒有優(yōu)先級(jí)的事兒��。只不過(guò)�����,優(yōu)先級(jí)越大�����,計(jì)時(shí)器越短��,所以通常是優(yōu)先級(jí)大的成為master����! 選舉成功之后�����,master路由器會(huì)立即周期性的向VRRP備份組內(nèi)的所有bakcup成員組播宣告自己的優(yōu)先級(jí)和master狀態(tài)�,宣告自己已經(jīng)這個(gè)組內(nèi)的“王”。 同時(shí),master還會(huì)發(fā)送ARP報(bào)文,將VRRP備份組的虛擬IP和MAC通知給與它連接的交換機(jī)�����。 當(dāng)master路由器發(fā)生故障之后���,它將無(wú)法發(fā)送VRRP報(bào)文通知backup路由器�。如果backup路由器在定時(shí)器超時(shí)后仍然收不到master發(fā)送的VRRP報(bào)文�����,則認(rèn)為master路由器故障����,從而將自身的狀態(tài)切換為master��。還有一種情況:當(dāng)master路由器主動(dòng)放棄master地位(如master路由器退出vrrp備份組)時(shí)��,會(huì)立即發(fā)送優(yōu)先級(jí)為0的VRRP報(bào)文�,使用backup路由器快速切換成master路由器。 當(dāng)VRRP備份組的狀態(tài)切換完成后��,新的master路由器會(huì)立即發(fā)送攜帶VRRP備份組虛擬MAC地址和虛擬IP地址信息的免費(fèi)ARP報(bào)文����,刷新與它連接設(shè)備(下行交換機(jī))中的MAC地址表�����。 當(dāng)原master路由器故障恢復(fù)之后����,優(yōu)先級(jí)肯定會(huì)高于現(xiàn)在的master路由器����。如果配置搶占功能,原master會(huì)在搶占定時(shí)器超時(shí)后將狀態(tài)切換成為master�,重新成為新的master路由器;如果沒有配置搶占功能��,原master路由器將仍然保持backup狀態(tài)�。 3.2VRRP的不足當(dāng)兩組VRRP同時(shí)運(yùn)行時(shí),會(huì)導(dǎo)致來(lái)回的流量往返的路徑不一致��,而導(dǎo)致業(yè)務(wù)流量中斷�。 VRRP備份組之間的相互獨(dú)立的,當(dāng)一臺(tái)設(shè)備出現(xiàn)多個(gè)VRRP備份組時(shí)�����,它們之間的狀態(tài)無(wú)法同步。網(wǎng)絡(luò)設(shè)備和安全安全設(shè)備為了解決這個(gè)問(wèn)題走向了兩條不同的道路����,我們主要還是介紹防火墻如何解決這個(gè)問(wèn)題的。 VGMP的產(chǎn)生解決了這個(gè)問(wèn)題�,VGMP被稱做是組管理協(xié)議,用來(lái)實(shí)現(xiàn)對(duì)VRRP備份組的統(tǒng)一管理��,保證多個(gè)VRRP備份組狀態(tài)的一致性���。我們將防火墻的所有VRRP組加入到多個(gè)VGMP組當(dāng)中��,由VGMP組來(lái)集中監(jiān)控并管理所有的VRRP備份組狀態(tài)。如果VGMP級(jí)檢測(cè)到一個(gè)VRRP組的狀態(tài)發(fā)生變化����,則VGMP組會(huì)控制組當(dāng)中所有的VRRP備份組統(tǒng)一進(jìn)行狀態(tài)切換,保證各個(gè)VRRP備份組狀態(tài)的一致性���。 VGMP組有狀態(tài)和優(yōu)先級(jí)兩個(gè)基本屬性����,并且有三條基本的運(yùn)行原則: 1) 兩臺(tái)防火墻的VGMP組狀態(tài)是通過(guò)相互比較優(yōu)先級(jí)的方式來(lái)決定的�����,優(yōu)先級(jí)更高的VGMP組為active,優(yōu)先級(jí)低的VGMP組為standby����。 2) VGMP組的狀態(tài)決定了組內(nèi)VRRP備份組的狀態(tài),也決定了防火墻的主備狀態(tài)����。 3) VRRP備份組的狀態(tài)變化會(huì)影響到VGMP的優(yōu)先級(jí),一旦VRRP備份組內(nèi)的線路故障則會(huì)導(dǎo)致此VRRP組所在的VGMP組優(yōu)先級(jí)降低���,并且VGMP的狀態(tài)也會(huì)發(fā)生改變���,VGMP的優(yōu)先級(jí)為降低2. 總結(jié): VGMP剛啟動(dòng)的時(shí)候,VGMP的狀態(tài)決定了VRRP組的狀態(tài)�,在VGMP運(yùn)行的過(guò)程當(dāng)中,VRRP組的狀態(tài)又決定了VGMP組的狀態(tài)�,只是一個(gè)先后問(wèn)題,并不存在沖突�。 我們?cè)贔W1上將VRRP備份組1和VRRP備份組2都加入到狀態(tài)為active的VGMP組里,在FW2將VRRP備份組1和VRRP備份組2加入到狀態(tài)為standby的VGMP組里面�����。由于VGMP組的狀態(tài)會(huì)決定組內(nèi)VRRP備份組的狀態(tài),也決定了防火墻的主備狀態(tài)�����,因此����,狀態(tài)為active的VGMP組里面的FW1在兩個(gè)VRRP備份組的狀態(tài)就都為active,這個(gè)active是即代表是備份組1的active�,也代表了是備份組2的active,F(xiàn)W2則反之���,所以上下行的業(yè)務(wù)流量都會(huì)被引導(dǎo)到主用設(shè)備FW1轉(zhuǎn)發(fā)���。 來(lái)源:https://www./content-4-259301.html
|
