S8500 双机热备份典型组网配置指导V10Word格式文档下载.docx

1、2.10 路由协议的配置 92.11 聚合链路的配置 93 问题排查 93.1 双机组网的特点 93.2 问题排查的基本步骤 104 附录 104.1 附录A 各种情况下数据的转发路径 104.2 附录B 组网配置实例 11关键词：S8500，双机，典型组网，配置指导摘 要：本文描述了采用S8500 双机热备份时的典型组网方案，并对网络设备的配置列出了注意事项，通过优化配置来减少由于引入冗余链路导致的网络不稳定性。希望大家正确配置双机网络，防范于未然，交付给用户一个稳定、可靠、快速的网络。缩略语：缩略语英文全名中文解释STPSpanning Tree Protocol生成树RSTPRapid

2、Spanning Tree Protocol快速生成树MSTPMultiple Spanning Tree Protocol多实例生成树VLANVirtual Local Area Network虚拟LANVRRPVirtual Router Redundancy Protocol虚拟路由冗余协议ACLAccess Control List访问控制列表OSPFOpen Shortest Path First开放最短路由优先协议RIPRouting Information Protocol路由信息协议IS-ISIntermediate System-to-Intermediate System

3、intra-domain routing information exchange protocol中间系统到中间系统的域内路由信息交换协议GARPGeneric Attribute Registration Protocol通用属性注册协议GVRPGARP VLAN Registration Protocol基于GARP的VLAN注册协议ARPAddress Resolution Protocol地址解析协议DHCPDynamic Host Configuration Protocol动态主机配置协议BPDUBridge Protocol Data Unit桥协议数据单元1 双机典型组网图政

4、府机关、集团公司总部等对网络可用性很高的单位往往采用双机热备份方案来组网，2层交换机的2条千兆链路分别上行到主备85，主备85应用VRRP为用户PC提供虚拟网关，应用STP来切断冗余链路组成的环路。双机热备份组网常用的有2种，见图1和图2：图1 典型组网图1图2 典型组网图22个典型组网的主要差别是服务器群的位置和连接广域网分支机构的方式有所不同，主备85互连以及主备85与2层交换机的连接与配置是完全一样的，下面介绍组网的配置以及注意事项。2 典型配置2.1 端口类型的配置6506与主备85之间是采用OSPF的环走3层，所以相关端口可以配置为Access类型，主备85之间由于要2层互通，必须配

5、置为Trunk类型，3050与主备85之间由于要有多个VLAN通过，都必须配置为Trunk类型。2层交换机的下行口一般配置为Access类型，如果下面再挂2层交换机并且需要通过多个VLAN，必须配置为Trunk类型。注：8500系列产品使用的软件版本应该为S8500-VRP3.10-1128或其以后更新版本； 3050系列交换机要求使用软件版本为0021或其以后更新版本； 最新的版本信息，请关注www.huawei-网站上的版本更新信息。2.2 管理地址的配置主备85和所有的2层交换机配置同一个管理VLAN（设定为888），并分别配置1个同一网段的管理IP地址（设定为76.68.39.*/24

6、），掩码一般可以用24位，不仅容易计算，数量也足够了；最好不要用26、28等位的掩码，感觉不好计算；最好也不要用8、16等短掩码，因为一些网管软件是全网段扫描来搜索网元的，使用短掩码搜索范围太大，不仅慢而且会有大量报文冲击85造成网络异常。65与主备85之间是采用OSPF的环，为了保证不会形成2层环路，65与主备85就不能采用原来的管理VLAN了，设定65与主用85之间用VLAN666连接，65与备用85之间用VLAN777连接，两端都分别配置一个IP地址，这些IP地址不仅用于网管，也用于65与主备85之间的3层转发，所以可以从网管IP地址段中取出一部分来作为这地址（分别设定为76.68.39

7、.100/252和76.68.39.104/252），当然也可以另外规划2个网段。2.3 业务VLAN和虚接口地址的配置根据规划分别在3050和主备85上配置需要的业务VLAN，并配置相应的虚接口地址，并在端口上指定允许通过的VLAN，这里着重要说明的是千万不要对端口配置trunk permit vlan all或trunk permit vlan 2 to 200之类，必须老老实实的一个一个指定允许通过的VLAN，也千万不要配置GVRP。这里多化几秒钟，就可以极大地减少网络中的广播报文，极大地提高网络的稳定性，切记，切记!唯一例外的是主备85之间的聚合链路，可以不必一个一个指定，例如可用tr

8、unk permit vlan 2 to 665 667 to 776 778 to 4094指定，这样以后增加VLAN也不用一个一个添加，避免遗漏产生问题；但是千万记得要排除与65相连的2个VLAN，因为在VRRP的track中需要监控某一VLAN interface是否DOWN，如果没有排除出来，这个VLAN interface永远不会DOWN就起不到监控作用了。2.4 VRRP的配置ping网关往往是诊断网络故障的第一步，所以在VRRP配置前，必须在全局模式下先配置vrrp ping-enable，因为这个命令在配置VRRP后就不能再配置了。主备85之间每一组VRRP都会以adverti

9、se配置的时间间隔发送报文，默认值是1秒钟，如果有多个VRRP组，每秒同一时刻就会有较多的VRRP报文上CPU，为了避免这种情况，可以将VRRP组分为4组，每组分别以则数间隔（2、3、5、7秒）配置advertise，这样就可以使得VRRP报文分散上CPU。VRRP通过priority来配置主备，主备配置必须与STP的配置相一致，否则会使得数据多经过1个交换机加重网络负荷。可以配置VRRP的track来跟踪上行链路，当上行链路发生故障时及时进行VRRP的主备切换。2.5 STP的配置主用85配置为STP的根，备用85配置为STP的备用根，一般不用设置STP的模式，可以运行在默认的MSTP模式下

10、，如果明确2层交换机不能兼容MSTP才需要强制设置为STP模式。2层交换机强烈建议启用STP协议，只要直接启用STP，不用进行其它STP配置。（目前交换机缺省都是STP，并不是MSTP配置）如果主备85之间采用聚合链路，一般不需要配置链路的花费，如果不是聚合链路，则最好配置链路花费，但是必须注意链路花费的值不要设置错误，链路花费越小优先级越高。连接65或直接连接服务器的端口一般可以不启用STP，配置为stp disable。2.5.1 STP timer的配置STP timer 定时器有3个，分别为Hello timer、Forward delay和Max timer，默认配置分别为2秒、15

11、秒和20秒，一般不需要修改；因为局域网线路比较稳定，这几个定时器也可以分别延长至4秒、30秒和40秒。STP另一个比较重要的配置超时时间因子，默认为3，也可以适当大一些。2.5.2 关于配置负载均衡按照前面VRRP和STP的配置，主备85是热备份方式，正常情况下备用85无任何业务，只能在网络发生故障如主用85当机或2层交换机连接主用85的光纤DOWN时，业务才会全部或部分切换到备用85。有用户提出要进行主备85之间的负荷分担，如果2层交换机全部或部分支持MSTP，负荷分担是完全可以实现的，只要配置MSTP的几个实例，将不同的VLAN划分到不同的实例中，配置不同的实例有不同的根，并相应配置VRR

12、P的主用，这样不同的实例走不同的85，起到负荷分担的作用；但是在实际应用中，局域网的流量并不大，采用双机更多的是处于可靠性的考虑，配置负荷分担并不能提高网络的性能，反而增加了配置的复杂性，潜在的也降低了网络的稳定性，毕竟越是复杂稳定性越难以保证，所以一般情况下不建议配置主备85之间的负荷分担。这里配置负载分担应该可以通过配置几个VRRP组在备用8500上为master，但是需要同时修改MSTP，配置确实比较复杂对于第二种组网，交换机业务并不为空，如果全部跑到左边的设备上去运行，才多走了一台设备。2.6 防病毒ACL规则的配置病毒攻击产生大量的未知单播报文冲击85，造成网络振荡和设备故障，所以必

13、须在所有交换机配置防病毒ACL规则对病毒报文进行过虑，但是由于一些应用程序和某些病毒使用同样的端口，如果不加选择的屏蔽某些端口会导致正常的业务不能运行，启用防病毒ACL规则后应该测试各种应用。常用的过虑端口有以下一些（不断完善中），请谨慎选用：acl name anti-virus advanced rule 42 deny tcp destination-port eq 135 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 43 deny tcp destination-port eq 137 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 44 d

14、eny tcp destination-port eq 138 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 45 deny tcp destination-port eq 139 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 46 deny tcp destination-port eq 593 rule 47 deny tcp destination-port eq 445 （防震荡波病毒） rule 48 deny tcp destination-port eq 4444 rule 49 deny udp destination-port eq

15、 netbios-ns rule 50 deny udp destination-port eq 445 （防震荡波病毒） rule 51 deny udp destination-port eq 1434 rule 52 deny udp destination-port eq 4444 rule 53 deny tcp destination-port eq 1022 rule 54 deny tcp destination-port eq 1023rule 55 deny tcp destination-port eq 5554（防震荡波病毒） rule 56 deny udp dest

16、ination-port eq 6666rule 57 deny tcp destination-port eq 9996（防震荡波病毒）2.7 广播抑制的配置由于网络中存在物理环路，在受到攻击时会造成STP的BPDU报文丢失，使得STP计算错误就会导致网络风暴，大量的广播报文冲击不仅会使得网络很难自愈，并且有可能冲坏2、3层交换机，使得网络长时间不能恢复。在使用上面的各种方法防止环路形成外，可以在配置所有端口配置广播抑制，一般配置到最小值1就已经能够远远超出正常的需要（网络中正常的广播报文并不多，一般只有ARP和DHCP报文），这样就是产生环路，网络中的广播报文也不会很多，网络可以很快恢复正

17、常切断环路。2.8 2层交换机的配置2层交换机的配置相对比较简单，除了上面提到的需要配置管理VLAN和虚接口，配置业务VLAN，配置端口类型，启用STP，防病毒ACL规则，广播抑制外，另外需要配置的地方不多，一是配置一条默认路由指向管理网段的VRRP虚接口，二是配置SNMP以便网管软件使用，三是配置用户登录方式和密码以提供telnet登录。一般情况下2层交换机不用配置端口环路检测功能，特别是在上行端口，千万不要启用环路检测功能；在下行口可以根据实际情况决定是否启用，如果2层交换机下可能再挂交换机和HUB，可以考虑启用。对于2层交换机务必升级到最新版本，另外对于3050，一定要配置如下命令：qu

18、eue-scheduler wrr 25 25 25 25从而保证BPDU能够百分之百的转发。2.9 强制双工和速率的配置电接口的自协商功能稳定一些，一般采用自协商就可以了，但是在实际使用时需要检查端口是否自协商成功，因为工作在半双工模式会出各种问题；光接口由于光模块的兼容性稍差、某些线路光衰比较大等原因，有些端口自协商会不成功，需要设置为强制双工和强制速率。2.10 路由协议的配置65与主备85之间配置OSPF协议，配置非常简单，一般情况下互连网段的network以及引入直连路由就可以了，需要注意的是配置network时掩码不要配错了。如果不用OSPF，使用其它的路由协议如RIP、ISIS等

19、配置也一样非常简单，不再一一描述。如有必要，还需要配置静态的默认路由，将对外网的访问报文路由出去。2.11 聚合链路的配置链路聚合的配置没有特别之处，按照命令配置就是。（6500的在聚合链路上使用上有些需要注意：必须保证逻辑主端口状态为up，否则会导致二层协议报文如stp报文通不过，这个时候就会导致环路的产生，所以8500和6500在汇聚链路的使用上需要注意）3 问题排查3.1 双机组网的特点在单机树型组网中，在网络设备受到病毒等恶意攻击时，一般表现为网络访问速度变慢或很慢，但是在双机热备份组网中，由于存在物理环路，设备在受到攻击时很容易造成STP的BPDU丢失从而使得STP计算错误，不能正确

20、切断物理环路，引发广播风暴。广播风暴往往会占用全部的带宽，使得用户根本无法访问网络资源，同时广播风暴会使得STP的BPDU报文更加难以得到处理，网络很难自愈恢复正常，只能关闭备用主机来取消环路。另外2、3层交换机长时间受到巨量广播报文冲击，有时转发芯片会失效，就是在广播风暴消失后也不能正常转发数据包，必须手工复位交换机。因此，双机组网相比单机组网显得脆弱些，跟交换机本身稳定性反而关系不是太大，其它厂商的交换机一样如此。所以，针对双机组网，必须严格按照上面描述的步骤进行配置，提供网络的整体稳定性。3.2 问题排查的基本步骤一般情况下如果严格按照双机配置指导书来配置网络，应该不会再出现STP计算错

21、误引起网络风暴而导致的网络不可用的问题；原来已经配置的双机网络，不符合要求，请及时整改，防范于未然。如果还没有来的及整改就发生了问题，请按以下步骤定位：1、 查看端口的STP状态：使用display stp brief命令查看端口的STP状态，正常情况下每一条环路应该有一个端口是DISCARDING的，如果所有端口都是FORWARDING的，就说明网络已经形成了环路；（这里描述应该是讲的STP吧，MSTP应该在端口上某些vlan为forwarding，某些vlan为discarding）2、 对一个形成环路的每一个端口，使用display stp interface命令查看BPDU收发报文数是

22、否在增长，如果BPDU收发报文数有增长，一般情况下网络会在几分钟之后自愈恢复正常。如果某端口BPDU收发报文数没有增长，则说明网络已经很难自愈，请立即关闭备用85以取消环路，一般情况下重启备用85是没有用的，必须下电；3、 备用85下电后一般网络都会恢复正常，如果某些交换机还是不正常，可能芯片已经被巨量广播报文冲瘫了，必须重启此交换机；4、 网络正常后，可以查看各端口的流量和广播流量，如果某些端口广播流量特别大，基本可以确定下挂的PC被病毒感染，可以通过端口镜像抓包来确认；5、 最后按照双机配置指导正确配置网络，备用85上电，正确完成配置后一般网络都不会再有问题了。4 附录4.1 附录A 各种

23、情况下数据的转发路径 下面通过各种情况下数据的转发过程描述VRRP和STP的配合：1、 正常情况下，由于STP的生效，备用85连接2层交换机的端口均被DISCARDING，备用85无业务，只处理主用85、65和2层交换机发送过来的一些协议报文以及主用85通过聚合链路发送过来的广播报文。所有的数据通过主用85转发：PC 2层交换机 主用85 65 服务器 65 主用85 2层交换机 PC；2、 如果某一2层交换机连接备用85的线路故障，数据转发流程基本同上；3、 如果某一2层交换机连接主用85的线路故障，一段时间后备用85连接2层交换机的端口状态切换为FORWARING，此时VRRP并不会切换，

24、故3层终结还是在主用85，备用85参与数据转发。如果需要访问其他2层交换机下的PC机，则通过连接主备85的聚合链路；如果需要访问65下的服务器，则数据转发过程如下：PC 2层交换机 备用85 主用85 65 服务器 65 主用85 备用85 2层交换机 PC；4、 如果主用85连接65的线路故障，VRRP发生切换，将所有2层交换机的网关切换到备用85，但是STP没有切换，故3层终结在备用85，数据转发过程如下：PC 2层交换机主用85 备用85 65 服务器 65 备用85 主用85 2层交换机 PC；5、 如果备用85连接65的线路故障，数据转发流程基本同1；6、 如果主用85连接65的线路故障，同时某一2层交换机连接主用85的线路也故障，则STP和VRRP均发生切换，此2层交换机下的数据转发流程为：PC 2层交换机 备用85 65 服务器 65 备用85 2层交换机 PC；7、 主备85之间的聚合链路基本考虑不会同时发生故障，即使聚合链路同时发生故障，STP也会自动选择一条通过2层交换机的链路作为主链路，对所有2层交换机的数据转发基本无影响。4.2 附录B 组网配置实例