高可靠性和高利用率園區網設計方案研究

彭求明

摘? 要：在園區網的規劃設計中，既要考慮網絡的可靠性，通過主備切換，避免單點故障的風險;又要考慮資源的利用率，不同的流量在不同的鏈路上傳輸，鏈路得到充分利用，提供流量的負載分擔。該文提出了園區網高可靠性、高利用率的總體架構，通過MSTP+LACP+VRRP技術分析了從接入層到匯聚層的高可靠性、高利用率設計方案，筆者已在華為eNSP模擬器上做實驗驗證，實驗結果表明：這種設計方案既保證了主備切換的高可靠性，又實現負載分擔的高利用率。

關鍵詞：園區網? ?高可靠性? ?高利用率? ?MSTP? ?LACP? ?VRRP

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：1672-3791（2021）07（c）-0016-04

Abstract： In the planning and design of the campus network， we should not only consider the reliability of the network， but also avoid the risk of single point of failure through active and standby switching; We should also consider the utilization of resources. Different traffic is transmitted on different links， and the links are fully utilized to provide traffic load sharing. This paper puts forward the overall architecture of high reliability and high utilization of the campus network， and analyzes the design scheme of high reliability and high utilization from the access layer to the aggregation layer through MSTP+LACP+VRRP technology. The author has done experimental verification on Huawei eNSP simulator. The experimental results show that this design scheme not only ensures the high reliability of master-slave switching， but also realizes the high utilization of load sharing.

Key Words： Enterprise campus network; High reliability; High utilization; MSTP; LACP; VRRP

1? 高可靠性和高利用率園區網的必要性

無論是向數字化轉型的傳統企事業單位（政府、金融、能源、交通、醫療、電力、教育等行業）還是IT互聯網企業，數字化辦公已經成為各行各業的標配，每個企業都搭建了自己的園區網絡，企業的各種業務對網絡的依賴越來越高。為了保障業務7×24 h×365 d連續不中斷，必須提高網絡的可靠性，通過主備切換，避免單點故障的風險;昂貴的網絡設備如果沒有得到充分利用，一些設備或端口長期閑置，資源沒有得到充分利用，就會造成資金的浪費，因此要提高資源的利用率，不同的流量在不同的鏈路上傳輸，鏈路得到充分利用，實現流量的負載分擔。

2? 高可靠性和高利用率園區網的總體架構

園區網絡采用分層設計方案，大型園區網交換網絡分為3個層級：接入層（Access Layer）、匯聚層（Aggregation Layer，也稱為分布層）、核心層（Core Layer），中小型園區網可以合并匯聚層和核心層，不單獨部署匯聚層，采用接入層和核心層兩層結構[8]。各層部署的交換機分別為接入層交換機、匯聚層交換機、核心層交換機，接入層交換機一方面連接著終端設備，例如：PC、服務器或者無線AP（Wireless Access Point，無線接入點）等，另一方面通過雙鏈路上行連接兩臺匯聚層交換機;兩臺匯聚層交換機之間使用聚合鏈路互聯，每臺匯聚層交換機通過雙鏈路上行連接兩臺核心層交換機;兩臺核心層交換機之間使用聚合鏈路互聯，每臺核心層交換機通過雙鏈路上行連接兩臺出口路由器或防火墻;整個交換網絡的每一層都部署了冗余的鏈路或設備。出口路由器或防火墻作為園區網的出口連接運營商的網絡，也部署了兩臺冗余的出口路由器或防火墻，每臺雙鏈路上行連接數據網絡運營商甲和乙接入互聯網。在園區網的每一層都部署了冗余的鏈路或設備，冗余的設計有兩個目的：一是提供鏈路備份，任意一條主用鏈路發生故障或斷開，通過網絡技術讓流量自動切換到備用鏈路繼續轉發數據，避免單點故障的風險，提高了網絡的可靠性;二是提供流量負載分擔，不同的流量在不同的鏈路上傳輸，資源沒有閑置，鏈路得到充分利用，提高了資源的利用率。冗余鏈路是為了提高網絡的可靠性（主備切換）和利用率（負載分擔），可靠性是指兩條冗余鏈路只有一條工作，另一條處于熱備份監控狀態，不轉發用戶流量，主用鏈路發生故障自動切換到備用鏈路，主用鏈路恢復后又從備用鏈路自動切換到主用鏈路;利用率是指兩條冗余鏈路同時工作，都轉發用戶流量，如果一條鏈路出現故障，流量在其他鏈路上都轉發，充分利用每條鏈路，實現流量的負載分擔。在園區網絡中，每一層都部署了冗余的鏈路，其可靠性和利用率的作用不同，采用的網絡技術也就不同：從接入層到匯聚層采用MSTP協議+二層LACP協議+VRRP協議;核心層兩臺交換機的兩條或多條鏈路采用三層鏈路聚合;匯聚層、核心層、出口路由器或防火墻上采用等價的靜態或動態路由（RIP、OSPF）;在出口路由器或防火墻配置ACL和策略路由，通過源IP地址/目的IP地址、源端口號/目的端口號、協議類型等控制不同的用戶或業務走不同的運營商出口[1]。限于篇幅，該文重點分析從接入層到匯聚層采用MSTP協議+二層LACP協議+VRRP協議來保證園區網的高可靠性和高利用率。

3? 高可靠性和高利用率園區網的設計方案（MSTP+LACP+VRRP）

該文重點分析從接入層到匯聚層的可靠性和利用率，為了能夠闡述清楚，對拓撲圖進行簡化，如圖2所示。

每一臺接入層交換機通過雙鏈路上行連接兩臺匯聚層交換機，兩臺匯聚層交換機之間連接兩條鏈路，這種連接方式稱為雙三角形連接，雙三角形連接部署的冗余鏈路存在二層環路，會引發重復幀、MAC地址表震蕩、廣播風暴等故障現象，從而導致用戶通信質量較差，甚至通信中斷。為解決交換網絡中的二層環路問題，IEEE提出了生成樹協議（Spanning Tree Protocol，STP）：根據一些規則判斷出哪些端口能夠轉發數據，哪些端口不能轉發數據（否則就會構成環路），不能轉發數據的端口將它臨時阻塞起來，生成一顆連通且無環的樹，保證每個節點可達;臨時阻塞的端口會實時監控交換網絡的狀態，當出現故障時，STP會啟用臨時阻塞的端口，讓它轉發數據，以此實現網絡的自我恢復，提高網絡的可靠性。端口從阻塞狀態過渡到轉發狀態，至少要等待30 s，STP收斂速度慢。IEEE就發布了快速生成樹協議（Rapid Spanning Tree Protocol，RSTP）協議，該協議定義的標準能夠在網絡出現變化時，用比傳統STP快得多的效率實現拓撲的收斂。在交換網絡中通常有多個VLAN，STP和RSTP生成的樹是基于交換機，而不是基于VLAN、整個交換網絡只有一棵樹，即阻塞的端口固定，所有VLAN的流量都會走同一組端口，可能造成有的端口流量過大，而有的端口僅僅作為備份存在，不能轉發用戶流量，RSTP雖然能夠保證可靠性，但是鏈路沒有得到充分利用，不能實現流量的負載分擔;IEEE就又發布了多生成樹協議（Multiple Spanning-Tree Protocol，MSTP）：將一個或多個VLAN映射到一個生成樹，一個交換機上就可能有多個生成樹，為了區分，每個生成樹叫作一個多生成樹實例（MST Instance，MSTI），每個MSTI對應一個或多個VLAN，每個VLAN只能對應一個MSTI，每個交換機可以運行多個MSTI，以MSTI為單位進行收斂，每個MSTI收斂成一個獨立的生成樹，即獨立計算根交換機、根端口、指定端口、阻塞端口和狀態遷移，MSTP的收斂機制與RSTP完全相同，也可以實現快速收斂，MSTP解決了多VLAN交換網絡中的二層環路問題，阻塞端口不僅僅作為冗余備份，還能實現流量的負載分擔，既保證了可靠性，又提高了利用率[3-4]。

兩臺匯聚層交換機之間連接兩條或多條平行鏈路，本想在所有鏈路上都可以轉發兩臺交換機之間的流量，以增加鏈路帶寬，但是STP協議就會為了避免出現環路而阻塞掉其中的大部分端口，最終能夠傳輸用戶流量的鏈路還是只有一條，所以需要鏈路聚合技術：將多條平行物理鏈路捆綁為一條邏輯鏈路，STP就不會將這些物理鏈路捆綁為一條邏輯鏈路視為環路，所有鏈路的帶寬都可以充分用來轉發兩臺設備之間的流量，流量在捆綁的各個物理鏈路上負載分擔，增加了鏈路帶寬，而且如果一條鏈路出現故障，流量在其他正常的鏈路上轉發。鏈路聚合分為手動模式和LACP模式，LACP模式由LACP（Link Aggregation Control Protocol，鏈路聚合控制協議）協議協商，LACP是由IEEE提出的國際標準化協議，該文采用LACP協議聚合模式[8]。

用匯聚層交換機上的三層VLANIF接口作為PC所在IP網段的網關，網關只能配置一個IP地址，并不存在備用網關，網關設備是連接局域網和外部網絡的橋梁，網關設備出故障也就意味著局域網中所有終端斷開了與外部網絡的通信，考慮到網關設備的重要性，為了避免單點故障，需要部署冗余網關設備，最常用的是VRRP（Virtual Router Redundancy Protocol，虛擬路由器冗余協議）協議，VRRP是由IETF提出的國際標準化協議：就是將多臺物理路由器（接口）在邏輯上合并為一臺虛擬路由器（接口），這個虛擬路由器接口的IP地址作為網關，物理路由器接口分為主用VRRP路由器接口（Master）和備用VRRP路由器接口（Backup），只有Master才會為局域網和外部網絡之間的流量執行路由轉發;Backup只會監聽Master的狀態，這是為了在Master出現故障時能夠及時接替Master。當Master出現故障時，在這個局域網與外部網絡之間路由數據包的操作通過VRRP協議自動由Master遷移到最優的Backup，但是終端設備不需更改網關IP地址，終端設備完全不知道原本的網關設備發生了故障，體現了網絡的可靠性。如果使用單組的VRRP，一個組里只有一個路由器接口充當它們的Master，對應的虛擬IP地址作為終端設備的網關，終端設備的流量通過Master做路由轉發，Backup就會被閑置，資源利用率不高，因此需要用到兩個或多個VRRP組，同一個路由器接口在一個組里是Master或Backup，在另一個組里是Backup或Master，一些終端設備用這個VRRP組對應的虛擬IP地址作為網關，另一些終端設備用那個VRRP組對應的虛擬IP地址作為網關，不同的路由器接口在各自作為Master的VRRP組里路由終端設備的流量，沒有閑置的路由器接口，這樣不僅實現了主備切換，還實現了負載分擔，既保證了可靠性，又提高了利用率。該文是以匯聚層交換機上的三層VLANIF接口作為物理路由器接口[3-6]。

4? 結語

該文提出了高可靠性、高利用率園區網的總體架構，通過MSTP+LACP+VRRP技術分析了從接入層到匯聚層的高可靠性、高利用率設計方案，筆者已在華為eNSP模擬器上做實驗驗證，實驗命令很長，限于篇幅，該文就沒有羅列配置命令，拓撲圖上寫了關鍵命令，實驗結果表明：這種設計方案既保證了主備切換的高可靠性，又實現負載分擔的高利用率。

參考文獻

[1] 田果，劉丹寧，余建威.高級網絡技術[M].北京：人民郵電出版社，2017：3-15.

[2] 吳雙.中型企業網絡設計[J].數字技術與應用，2021，39（5）：36-39

[3] 蘇進勝，鄭開濤，周偉.園區網中負載分擔和可靠性保障實驗分析[J].網絡安全技術與應用，2021（5）：2-5.

[4] 朱仕耿.HCNP路由交換學習指南[M].北京：人民郵電出版社，2017：506-511.

[5] 易麗華.利用VRRP和MSTP技術提升企業網絡可靠性設計[J].數字通信世界，2021（1）：107-109.

[6] 車玲，成行潔.MSTP和VRRP協議在金融企業中的應用[J].南通職業大學學報，2015，29（4）：114-117.

[7] MAHMUD M.Performance Evaluation of First Hop Redundancy Protocols[J].Procedia Computer Science，2020，10（44）：330-337.

[8] 張嵐，王俊良，賈穎.淺談VRRP協議在企業組網中的應用[J].科技創新導報，2010（11）：249，251.