雙機熱備
1雙機熱備
雙機熱備是一種概念,各種裝置均可以採用此概念進行部署,比如三層交換機 、路由器、防火牆、伺服器等。如果僅部署一臺裝置,難免會有單點故障的風險,所以部署兩臺,一主一備較為保險,一臺壞了,另一臺自動“頂上”,保證業務不中斷,這就是雙機熱備。最常見的雙機熱備就是同時帶著同一品牌的兩臺手機,A壞了,B登入A的賬號,通訊錄與郵箱會同步過來,與保證業務不中斷。
NOTE:
等保三級以上要求必須要有冗餘裝置,關鍵裝置必須是一主一備的,這樣才能保證業務的穩定性。雙機熱備是網路工程師必須熟練掌握的技術之一。
防火牆的雙機熱備其它裝置不同,防火牆的雙機熱備需要一條專門的備份通道,用於兩臺防火牆之間的協商主備狀態,以及會話等狀態資訊。雙機熱備主要包括主備備份和負載分擔兩個場景。主備備份指正常情況下僅由主用裝置處理業務,備用裝置空閒;當主用裝置介面、鏈路或整機故障時,備用裝置切換為主用裝置,接替主用裝置處理業務。負載分擔也可以稱為“互為主備”,即兩臺裝置同時處理業務。當其中一臺裝置發生故障時,另外一臺會立即承擔其業務,保證業務不中斷。
講雙機熱備之前,必須先講鏈路聚合和VRRP,因為雙機熱備是在這兩個技術的基礎上進行實現的。
2.1鏈路聚合的基本概念
因為乙太網的資訊傳輸率主要有:10Mbit/s、100Mbit/s、1000Mbit/s(1Gibt/s)、10Gibt/s、100Gibt/s,它們之間的關係呈10倍遞增。
l 傳送/接收速率為10Mbit/s的乙太網埠稱為標準乙太網埠。
l 傳送/接收速率為100Mbit/s的乙太網埠稱為快速乙太網埠,簡稱FE(fast ethernet)。
l 傳送/接收速率為1000Mbit/s的乙太網埠稱為千兆乙太網埠,1000兆達到了吉,所以也稱GE(gigabit ethernet)。
l 傳送/接收速率為10Gbit/s的乙太網埠稱為萬兆乙太網埠,一吉等於1000兆,十吉就等於十個1000兆,十個1000就是一萬,所以這種介面就被稱為萬兆乙太網埠。
l 傳送/接收速率為100Gbit/s的乙太網埠稱為百吉埠。
如果一條鏈路的兩頭埠是GE埠,那麼這條鏈路就是GE鏈路;如果一條鏈路的兩頭埠是FE口,則這條鏈路就是FE鏈路,如此類推。
2.2鏈路聚合產生的背景
現在有10臺終端 ,匯聚層交換機與終端連線時使用提FE介面,速率可達100Mbit/s,匯聚層與核心交換機之間使用GE介面,速率可達1000Mbit/s。現在終端增加到20臺,使用者的頻寬總需求是2G,但一條GE鏈路只能最多提供1G的頻寬,怎麼辦呢?
總不能把GE介面從交換機拿出來換一個萬兆的吧?這是不可能實現的。換交換機成本又太高了,這時候就在匯聚層與核心層之間連線兩根GE鏈路,將這兩根鏈路邏輯上繫結到一起,這樣頻寬就可達到2Gbit/s,這樣即滿足了需求,也沒有增加成本,一舉兩得!哦不!應該是一舉三得,為什麼這麼說呢?當一條鏈路壞了之後,另一條鏈路還可以繼續工作,只不過速度稍微慢一些。一得滿足需求,二得不增加成本,三得冗餘。如果空閒的口比較多的話,多個口做聚合也是可以的,這樣速率更高。
理論上兩個GE介面聚合頻寬可達2Gbit/s,但實際的情況是小於2Gbit/s的。
2.3鏈路聚合適用的場景
本文中所講的鏈路聚合針對的僅是乙太網。
鏈路聚合可以應用在交換機與交換機之間、交換機與伺服器之間、交換機與路由器之間,伺服器與伺服器之間等等。伺服器與伺服器做鏈路聚合的情況比較少見,為什麼?從原理上來看,因為伺服器不過就是效能高一點的計算機罷了,我們主要還是利用它的計算效能;但是從應用的角度來看,伺服器的地位就高了,我們要保證伺服器的可靠性,所以伺服器與交換機之間做鏈路聚合的場景比較常見。
2.4 鏈路聚合的原理
從理論上講,同一聚合鏈路中的各成員鏈路的頻寬可以是不同的,但實際上,由於實際難度和實現成本等方面的原因,我們總是要求各成員的鏈路頻寬保持一致。
傳送方交換機:
第一步:來自交換機內部的資料幀進入到eth-trunk口的佇列
第二步:通過幀分發器分發給子介面,這個分發是基於某種演算法,從這個角度來看,幀分發器頗有點負載均衡的意思。
接收方交換機:
第一步:接收方子介面收集來自來自發送方交換機的資料幀
第二步:收集之後統一在幀收集器“集合”,某一個幀完全進入幀收集器之後就把這個幀送到接收佇列。
2.5鏈路聚合的配置思路
-
建立eth-trunk口,兩端的編號要一致。 -
配置模式:手工或者自動 -
將物理介面加入到eth-trunk口當中 -
裝置允許通過的vlan
3VRRP
3.1VRRP的工作過程
VRRP是一種容錯協議,它保證當主機的下一跳路由器(預設閘道器)出現故障時,由備份路由器自動代替出現故障的路由器完成報文轉發任務,從而保持網路通訊的連續性和可靠性。
將兩臺路由器的的下行介面劃分在一起,形成一個VRRP備份組。VRRP備份組就相當於一臺虛擬路由器,這個虛擬路由器有自己的IP和MAC,VRID是VRRP備份組的ID。所以,區域網的主機可以將預設閘道器設定為VRRP備份組的虛擬IP地址。在區域網的主機看來,它們就是與虛擬路由器進行通訊的,然後通過虛擬路由器與外部網路進行通訊。
VRRP備份組的多個路由器會根據管理員指定的備份組優先順序確定各自的狀態。優先順序高的是master,其它的為backup。VRRP備份組的狀態決定了路由器的主備狀態。VRRP備份組狀態為master的路由器為master路由器,VRRP備份組狀態為backup的路由器為backup路由器。Master正常時,master工作,master故障之後,backup路由器立刻頂上。
管理員在路由器配置完VRRP備份組和優先順序之後,VRRP備份組會短暫的工作在initialize(初始化)狀態,如果介面狀態正常的話並收到介面up的訊息之後,會立即切換成backup狀態,在bakcup狀態等待計時器超時,超時之後立馬切換為master,所以誰的等待計時器最短,誰就成為master,這其實裡面並沒有優先順序的事兒。只不過,優先順序越大,計時器越短,所以通常是優先順序大的成為master!
選舉成功之後,master路由器會立即週期性的向VRRP備份組內的所有bakcup成員組播宣告自己的優先順序和master狀態,宣告自己已經這個組內的“王”。
同時,master還會發送ARP報文,將VRRP備份組的虛擬IP和MAC通知給與它連線的交換機。
當master路由器發生故障之後,它將無法傳送VRRP報文通知backup路由器。如果backup路由器在定時器超時後仍然收不到master傳送的VRRP報文,則認為master路由器故障,從而將自身的狀態切換為master。還有一種情況:當master路由器主動放棄master地位(如master路由器退出vrrp備份組)時,會立即傳送優先順序為0的VRRP報文,使用backup路由器快速切換成master路由器。
當VRRP備份組的狀態切換完成後,新的master路由器會立即傳送攜帶VRRP備份組虛擬MAC地址和虛擬IP地址資訊的免費ARP報文,重新整理與它連線裝置(下行交換機)中的MAC地址表。
當原master路由器故障恢復之後,優先順序肯定會高於現在的master路由器。如果配置搶佔功能,原master會在搶佔定時器超時後將狀態切換成為master,重新成為新的master路由器;如果沒有配置搶佔功能,原master路由器將仍然保持backup狀態。
3.2VRRP的不足
當兩組VRRP同時執行時,會導致來回的流量往返的路徑不一致,而導致業務流量中斷。
VRRP備份組之間的相互獨立的,當一臺裝置出現多個VRRP備份組時,它們之間的狀態無法同步。網路裝置和安全安全裝置為了解決這個問題走向了兩條不同的道路,我們主要還是介紹防火牆如何解決這個問題的。
VGMP的產生解決了這個問題,VGMP被稱做是組管理協議,用來實現對VRRP備份組的統一管理,保證多個VRRP備份組狀態的一致性。我們將防火牆的所有VRRP組加入到多個VGMP組當中,由VGMP組來集中監控並管理所有的VRRP備份組狀態。如果VGMP級檢測到一個VRRP組的狀態發生變化,則VGMP組會控制組當中所有的VRRP備份組統一進行狀態切換,保證各個VRRP備份組狀態的一致性。
VGMP組有狀態和優先順序兩個基本屬性,並且有三條基本的執行原則:
-
兩臺防火牆的VGMP組狀態是通過相互比較優先順序的方式來決定的,優先順序更高的VGMP組為active,優先順序低的VGMP組為standby。 -
VGMP組的狀態決定了組內VRRP備份組的狀態,也決定了防火牆的主備狀態。 -
VRRP備份組的狀態變化會影響到VGMP的優先順序,一旦VRRP備份組內的線路故障則會導致此VRRP組所在的VGMP組優先順序降低,並且VGMP的狀態也會發生改變,VGMP的優先順序為降低2.
總結:
VGMP剛啟動的時候,VGMP的狀態決定了VRRP組的狀態,在VGMP執行的過程當中,VRRP組的狀態又決定了VGMP組的狀態,只是一個先後問題,並不存在衝突。
我們在FW1上將VRRP備份組1和VRRP備份組2都加入到狀態為active的VGMP組裡,在FW2將VRRP備份組1和VRRP備份組2加入到狀態為standby的VGMP組裡面。由於VGMP組的狀態會決定組內VRRP備份組的狀態,也決定了防火牆的主備狀態,因此,狀態為active的VGMP組裡面的FW1在兩個VRRP備份組的狀態就都為active,這個active是即代表是備份組1的active,也代表了是備份組2的active,FW2則反之,所以上下行的業務流量都會被引導到主用裝置FW1轉發。