Quidway S8500 双机热备份典型组网配置指导.docx

1、Quidway S8500 双机热备份典型组网配置指导Quidway S8500 双机热备份典型组网配置指导华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有 XXAll rights reserved目 录1 双机典型组网图 52 典型配置 62.1 端口类型的配置 62.2 管理地址的配置 62.3 业务VLAN和虚接口地址的配置 72.4 VRRP的配置 72.5 STP的配置 72.5.1 STP timer的配置 72.5.2 关于配置负载均衡 82.6 防病毒ACL规则的配置 82.7 广播抑制的配置 82.8 2层交换机的配置 92.

2、9 强制双工和速率的配置 92.10 路由协议的配置 92.11 聚合链路的配置 93 问题排查 93.1 双机组网的特点 93.2 问题排查的基本步骤 104 附录 104.1 附录A 各种情况下数据的转发路径 104.2 附录B 组网配置实例 11Quidway S8500 双机热备份典型组网配置指导关键词：S8500，双机，典型组网，配置指导摘 要：本文描述了采用S8500 双机热备份时的典型组网方案，并对网络设备的配置列出了注意事项，通过优化配置来减少由于引入冗余链路导致的网络不稳定性。希望大家正确配置双机网络，防范于未然，交付给用户一个稳定、可靠、快速的网络。缩略语：缩略语英文全名中

3、文解释STPSpanning Tree Protocol生成树RSTPRapid Spanning Tree Protocol快速生成树MSTPMultiple Spanning Tree Protocol多实例生成树VLANVirtual Local Area Network虚拟LANVRRPVirtual Router Redundancy Protocol虚拟路由冗余协议ACLAccess Control List访问控制列表OSPFOpen Shortest Path First开放最短路由优先协议RIPRouting Information Protocol路由信息协议IS-ISIn

4、termediate System-to-Intermediate System intra-domain routing information exchange protocol中间系统到中间系统的域内路由信息交换协议GARPGeneric Attribute Registration Protocol通用属性注册协议GVRPGARP VLAN Registration Protocol基于GARP的VLAN注册协议ARPAddress Resolution Protocol地址解析协议DHCPDynamic Host Configuration Protocol动态主机配置协议BPDUB

5、ridge Protocol Data Unit桥协议数据单元1 双机典型组网图政府机关、集团公司总部等对网络可用性很高的单位往往采用双机热备份方案来组网，2层交换机的2条千兆链路分别上行到主备85，主备85应用VRRP为用户PC提供虚拟网关，应用STP来切断冗余链路组成的环路。双机热备份组网常用的有2种，见图1和图2：图1 典型组网图1图2 典型组网图22个典型组网的主要差别是服务器群的位置和连接广域网分支机构的方式有所不同，主备85互连以及主备85与2层交换机的连接与配置是完全一样的，下面介绍组网的配置以及注意事项。2 典型配置2.1 端口类型的配置6506与主备85之间是采用OSPF的环

6、走3层，所以相关端口可以配置为Access类型，主备85之间由于要2层互通，必须配置为Trunk类型，3050与主备85之间由于要有多个VLAN通过，都必须配置为Trunk类型。2层交换机的下行口一般配置为Access类型，如果下面再挂2层交换机并且需要通过多个VLAN，必须配置为Trunk类型。注：8500系列产品使用的软件版本应该为S8500-VRP3.10-1128或其以后更新版本； 3050系列交换机要求使用软件版本为0021或其以后更新版本； 最新的版本信息，请关注www.huawei-网站上的版本更新信息。2.2 管理地址的配置主备85和所有的2层交换机配置同一个管理VLAN（设定

7、为888），并分别配置1个同一网段的管理IP地址（设定为76.68.39.*/24），掩码一般可以用24位，不仅容易计算，数量也足够了；最好不要用26、28等位的掩码，感觉不好计算；最好也不要用8、16等短掩码，因为一些网管软件是全网段扫描来搜索网元的，使用短掩码搜索范围太大，不仅慢而且会有大量报文冲击85造成网络异常。65与主备85之间是采用OSPF的环，为了保证不会形成2层环路，65与主备85就不能采用原来的管理VLAN了，设定65与主用85之间用VLAN666连接，65与备用85之间用VLAN777连接，两端都分别配置一个IP地址，这些IP地址不仅用于网管，也用于65与主备85之间的3层

8、转发，所以可以从网管IP地址段中取出一部分来作为这地址（分别设定为76.68.39.100/252和76.68.39.104/252），当然也可以另外规划2个网段。2.3 业务VLAN和虚接口地址的配置根据规划分别在3050和主备85上配置需要的业务VLAN，并配置相应的虚接口地址，并在端口上指定允许通过的VLAN，这里着重要说明的是千万不要对端口配置trunk permit vlan all或trunk permit vlan 2 to 200之类，必须老老实实的一个一个指定允许通过的VLAN，也千万不要配置GVRP。这里多化几秒钟，就可以极大地减少网络中的广播报文，极大地提高网络的稳定性，

9、切记，切记!唯一例外的是主备85之间的聚合链路，可以不必一个一个指定，例如可用trunk permit vlan 2 to 665 667 to 776 778 to 4094指定，这样以后增加VLAN也不用一个一个添加，避免遗漏产生问题；但是千万记得要排除与65相连的2个VLAN，因为在VRRP的track中需要监控某一VLAN interface是否DOWN，如果没有排除出来，这个VLAN interface永远不会DOWN就起不到监控作用了。2.4 VRRP的配置ping网关往往是诊断网络故障的第一步，所以在VRRP配置前，必须在全局模式下先配置vrrp ping-enable，因为这个

10、命令在配置VRRP后就不能再配置了。主备85之间每一组VRRP都会以advertise配置的时间间隔发送报文，默认值是1秒钟，如果有多个VRRP组，每秒同一时刻就会有较多的VRRP报文上CPU，为了避免这种情况，可以将VRRP组分为4组，每组分别以则数间隔（2、3、5、7秒）配置advertise，这样就可以使得VRRP报文分散上CPU。VRRP通过priority来配置主备，主备配置必须与STP的配置相一致，否则会使得数据多经过1个交换机加重网络负荷。可以配置VRRP的track来跟踪上行链路，当上行链路发生故障时及时进行VRRP的主备切换。2.5 STP的配置主用85配置为STP的根，备用

11、85配置为STP的备用根，一般不用设置STP的模式，可以运行在默认的MSTP模式下，如果明确2层交换机不能兼容MSTP才需要强制设置为STP模式。2层交换机强烈建议启用STP协议，只要直接启用STP，不用进行其它STP配置。（目前交换机缺省都是STP，并不是MSTP配置）如果主备85之间采用聚合链路，一般不需要配置链路的花费，如果不是聚合链路，则最好配置链路花费，但是必须注意链路花费的值不要设置错误，链路花费越小优先级越高。连接65或直接连接服务器的端口一般可以不启用STP，配置为stp disable。2.5.1 STP timer的配置STP timer 定时器有3个，分别为Hello t

12、imer、Forward delay和Max timer，默认配置分别为2秒、15秒和20秒，一般不需要修改；因为局域网线路比较稳定，这几个定时器也可以分别延长至4秒、30秒和40秒。STP另一个比较重要的配置超时时间因子，默认为3，也可以适当大一些。2.5.2 关于配置负载均衡按照前面VRRP和STP的配置，主备85是热备份方式，正常情况下备用85无任何业务，只能在网络发生故障如主用85当机或2层交换机连接主用85的光纤DOWN时，业务才会全部或部分切换到备用85。有用户提出要进行主备85之间的负荷分担，如果2层交换机全部或部分支持MSTP，负荷分担是完全可以实现的，只要配置MSTP的几个实

13、例，将不同的VLAN划分到不同的实例中，配置不同的实例有不同的根，并相应配置VRRP的主用，这样不同的实例走不同的85，起到负荷分担的作用；但是在实际应用中，局域网的流量并不大，采用双机更多的是处于可靠性的考虑，配置负荷分担并不能提高网络的性能，反而增加了配置的复杂性，潜在的也降低了网络的稳定性，毕竟越是复杂稳定性越难以保证，所以一般情况下不建议配置主备85之间的负荷分担。这里配置负载分担应该可以通过配置几个VRRP组在备用8500上为master，但是需要同时修改MSTP，配置确实比较复杂对于第二种组网，交换机业务并不为空，如果全部跑到左边的设备上去运行，才多走了一台设备。2.6 防病毒AC

14、L规则的配置病毒攻击产生大量的未知单播报文冲击85，造成网络振荡和设备故障，所以必须在所有交换机配置防病毒ACL规则对病毒报文进行过虑，但是由于一些应用程序和某些病毒使用同样的端口，如果不加选择的屏蔽某些端口会导致正常的业务不能运行，启用防病毒ACL规则后应该测试各种应用。常用的过虑端口有以下一些（不断完善中），请谨慎选用：acl name anti-virus advanced rule 42 deny tcp destination-port eq 135 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 43 deny tcp destination-port eq 1

15、37 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 44 deny tcp destination-port eq 138 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 45 deny tcp destination-port eq 139 （网上邻居使用，如果关闭可能会导致网络打印机等不能使用） rule 46 deny tcp destination-port eq 593 rule 47 deny tcp destination-port eq 445 (防震荡波病毒) rule 48 deny tcp destination-port eq 4444 rule 49 deny udp destination-port eq netbios-ns rule 50 deny udp destination-port eq 445 (防震荡波病毒) rule 51 deny udp destination-port eq 1434 rule 52 deny udp destination-port eq 4444 rule 53 deny tcp destination-port eq 10