HSRP技术打造稳定的企业网络

摘要:该文主要阐述通过利用CISCO路由器的HSRP功能实现企业局域网络核心交换机双机热备,为企业信息化建设提供可靠的网络平台。

关键词:网络;交换机;互备;HSRP

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)16-4363-03

Building Stable Enterprise Network Using HSRP Technology

DENG Duo-hong

(Jiangsu Shagang Group Co., Ltd., Zhangjiagang 215625, China)

Abstract: This paper focuses on providing a reliable network platform for the information construction of enterprises, by the implement of making core switches of enterprise local area network high available using the HSRP function of CISCO router.

Key words: network; switch; dual active; HSRP

1 问题提出

随着企业信息化建设的高速发展,基于网络的应用日益普及,企业的生产运营以及办公对网络的依赖性也越来越强,这也对网络的稳定性和可靠性提出了更高的要求。

某企业原先的网络架构为单核心设备(Cisco公司的catalyst 6509交换机,以下简称A交换机)独立运行,交换机架设在科技大楼中心机房。尽管Cisco产品的可靠性较高,但为了防止设备老化、误操作、停电等不可预见的意外而影响全局网络的运行,如何制定一套稳定可靠的全天候不间断运营网络系统,为企业信息化建设提供可靠的网络平台,是刻不容缓急需解决的问题。

我们想到了基于网络设备的备份结构,就像在服务器中为提高系统的安全性而采用双机热备一样。核心交换机是整个网络的中枢和心脏,如果核心交换机发生致命性的故障,将导致本地网络乃至全网交互的瘫痪,所造成的损失也是难以估计的,因此,对核心交换机采用热备份是提高网络健壮性的必然选择。在核心交换机热备份的情况下,如果一台核心交换机完全不能工作,它的全部功能便被系统中的另一个备份核心交换机完全接管,直至出现问题的核心交换机恢复正常。通过这样的备份措施,能够保障整个企业内部的生产运营系统和办公系统的持续、稳定的运行,终端的用户甚至察觉不到核心网络的异常变化。

该企业行政办公大楼的网络核心配置了一台Cisco公司的catalyst 6509交换机(以下简称B交换机),主要负责该大楼的所有联网需求。同样的配置,异地的环境,这为我们实施双核心热备份工作提供了便利条件。经过多种技术的对比,我们决定采用Cisco公司的热备份路由协议(Hot Standby Router Protocal,HSRP)来实现核心网络的冗余热备。

2 解决方案

2.1 理论依据

2.1.1 HSRP协议概述

实现HSRP的条件是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变,所以主机仍然保持连接,没有受到故障的影响,这样就解决了路由器切换的问题。

为了减少网络的数据流量,在设置完活动路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP报文,备份路由器之间没有数据通信。如果活动路由器失效,备份路由器中将选举一台权限高的路由器接管成为活动路由器;如果备份路由器失效或者变成了活动路由器,将有另外的路由器被选为备份路由器。

在实际的一个特定的局域网中,可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能配置为一样。当在一个局域网上有多个热备份组存在时,把主机分布到不同的热备份组,可以使负载得到分担,从而实现整个网络的负载优化。

2.1.2 HSRP的工作原理

HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。

通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送Hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。

所有参与HSRP的路由器共享虚拟的IP地址,网络中的工作站将缺省网关指向该虚拟地址,被选出的主动路由器负责转发由工作站发到虚拟地址的数据包。

Hello消息是基于UDP的信息包,配置了HSRP的路由器将会周期性的广播Hello消息包,并利用Hello消息包来选择主动路由器和备用路由器及判断路由器是否失效。

2.2 网络改造

2.2.1 网络现状

在改造之前,网络中的核心设备A交换机放置在科技大楼中心机房,配置了双引擎和双电源,拥有一定的容灾能力,但如果发生线路故障,断电等情况,仍然会造成全网瘫痪。

汇聚层Cisco 4507R交换机,由单路光纤连接核心A交换机,再下层接有Cisco 2950 G、Cisco 3560等接入层交换机,整体网络结构,都为单点连接,可靠性较低。

因为整个网络划分为若干个VLAN(虚拟局域网),VLAN间的交换数据均由下级交换机层层转发到A交换机来处理,最关键也是负载最大的就是核心交换机。而汇聚层的4507R交换机,由于不参与数据处理,负载较小,故障率也较低,即使有故障,影响范围也不是很大。因此从成本与实效多重考虑,决定目前仅针对核心A交换机(Cisco 6509交换机)做HSRP备份。

原网络拓扑结构如图1。

2.2.2 网络改造

从原有的网络拓扑图可以看出,两个大楼的核心交换机(A交换机、B交换机)仅仅充当了所在大楼的汇聚设备,两个大楼间信息点的数据交换必须通过两台核心交换机的单路光纤,存在网络瓶颈并造成了严重的资源浪费。

而行政办公大楼和科技大楼之间的光缆已经布好,所以只需要在所有的汇聚设备上增加一个光纤接口,通过光纤将汇聚设备分别连接到两台核心设备(A交换机、B交换机)上,就可以形成核心到汇聚的全冗余架构,有效的提高了核心网络的性能以及冗余。

此时网络实际上已经形成了一个环路,还需要在所有的交换机上配置生成树协议来避免环路。但在HSRP配置过程中我们发现,如果采用默认的生成树协议,在主链路断开后,需要几十秒时间完成链路切换,尽管几十秒时间不算长,但对于分秒必争的生产型企业,时间就是效益。因此我们研究了Cisco的快速生成树协议,该协议的收敛速度快,切换时间少于1秒,用户几乎可以认为网络根本没有中断。

采用HSRP热备后,新的拓扑图如图2。

在一切准备工作完成的基础上,我们选定了网络较为空闲的时间段,提前通知企业所有生产部门后,一次性完成本次升级改造,网络中断时间仅有几分钟,由于提前做好准备工作,对企业的生产运营和办公没有造成影响。

2.2.3 主要技术手段

在网络改造中我们改变并配置了主要交换机的配置。

A交换机配置为主交换机,在每一个VLAN接口上,配置如下:

(需要重复配置到所有的VLAN)

(config)#interface Vlan xxx(xxx代表vlan号)

(config-if)#ip address a.b.0.253 255.255.255.0 //设置该vlan接口的IP地址

(config-if)#standby xxx ip a.b.0.254//激活HSRP,设置该vlan接口的虚拟网关

(config-if)#standby xxx priority 110//用于设定接口的HSRP优先级,具有最高备份优先级的HSRP成员将成为激活路由器,默认为100

(config-if)#standby xxx preempt //表明当本地路由器的备份优先级超过当前激活路由器时,它就将接管控制权,成为激活路由器,即开启抢占模式

(config-if)#standby xxx track f1/0/4//用于设置允许路由器端口根据另一端口的可用性而修改自己的HSRP优先级值(即监视端口状态)

B交换机配置为备用交换机,主要配置命令如下:

(需要重复配置到所有的VLAN)

(config)#interface Vlan xxx(xxx代表vlan号)

(config-if)#ip address a.b.0.252 255.255.255.0//设置该vlan接口的IP地址

(config-if)#standby xxx ip a.b.0.254 //激活HSRP,设置该vlan接口的虚拟网关

(config-if)#standby xxx preempt//开启抢占模式

B交换机不需要做其他配置,默认的priority为100,权限低于科技大楼的A交换机,可以认为备用交换机。

HSRP配置完后,要想交换机能自动检测某条链路断开,将standby ip映射到另外一台交换机上,还需要设置生成树协议。这次改造,我们选用的是rstp(Rapid Spanning-Tree Protocol,快速生成树协议)。

所有交换机(包含核心交换机、汇聚交换机、接入交换机)配置如下:

Switch(config)#spanning-tree(启用生成树协议)

Switch(config)#spanning-tree mode rstp(使用快速生成树协议)

A交换机修改spanning tree权限:

Switch(config)#spanning-tree priority 4096

B交换机修改spanning tree权限:

Switch(config)#spanning-tree priority 8192

这里是输入交换机优先级,默认是32768,这个数值可以是0或者4096的倍数,越低,优先级越高,我们让A交换机的优先级是4096,作为根桥,B交换机的优先级是8192。这样一旦检测到某个端口不通了,那么该端口的所有数据流量均转发到备用交换机,确保了网络的稳定运行。

3 改造后的测试

每个VLAN配置完成后,做了一些简单测试,以确保升级完全成功。

在两台核心交换机上分别插2台笔记本电脑,ping两台核心的真实地址,standby地址,确认都可以ping通。

准备一台3560交换机,分别链接2路光纤到2台6509核心交换机,划分出2个新的vlan,每个vlan接一台笔记本电脑,确认可以ping通,断开任意一条链接6509的光纤,依然可以ping通。

telnet到汇聚的Cisco 4507R设备上,执行以上操作,同样正常。

经测试验证了现有配置下网络的连通性,同时单条链路断开后,能够快速的进行网络切换,证明此次核心交换机热备改造成功。

4 网络改造的优点

高度的可靠性:两台核心交换机之间采用了HSRP(热备份冗余协议)协议,来保证两台核心交换机中的任意一台发生故障或核心交换机中的某个端口故障,都会迅速切换到另外一台核心交换机上(链路切换或者地址切换)。

有效的实现了负载均衡:在下级网络上划分出各自的VLAN,某些VLAN在A交换机中上的HSRP的优先级较高;另外一些VLAN在B交换机中的HSRP的优先级较高。充分利用了带宽资源,而且实现了负载均衡。

不存在单点故障:双机热备环境成功建立,确保了企业网络的高可靠性和稳定性,最大可能的保障了企业的生产运行和办公环境。

参考文献:

[1] (美)弗鲁姆.西瓦萨布拉玛尼安.弗拉姆.组建cisco多层交换网络[M].刘大伟,张芳,译.北京:人民邮电出版社,2007.

[2] (美)George C.Sackett.Cisco路由器手册[M].李志,李如豹,译.北京:机械工业出版社,2002.