張 慧，邢培振

(1．中州大學(xué)信息工程學(xué)院，鄭州450044;2．華北水利水電學(xué)院 水利職業(yè)學(xué)院，鄭州450011)

隨著網(wǎng)絡(luò)應(yīng)用的不斷深化，日常辦公越來越依賴企業(yè)網(wǎng)絡(luò)，這就為企業(yè)網(wǎng)絡(luò)的可用性提出了更高的要求。網(wǎng)絡(luò)系統(tǒng)的可用性是保證網(wǎng)絡(luò)正常運轉(zhuǎn)的基本條件，一旦出現(xiàn)意外造成網(wǎng)絡(luò)不能正常運轉(zhuǎn)，需要具備及時自我恢復(fù)的能力。一個可靠的網(wǎng)絡(luò)系統(tǒng)，應(yīng)該保證能夠長期的穩(wěn)定運轉(zhuǎn)，出現(xiàn)故障的概率極低。高可用性的設(shè)備和可用性技術(shù)是保證以上可用性的基礎(chǔ)。

1．企業(yè)網(wǎng)可用性分析

隨著社會生產(chǎn)力的提高和信息化技術(shù)的發(fā)展，數(shù)據(jù)通信網(wǎng)絡(luò)在人們?nèi)粘Ｉa(chǎn)、生活中占據(jù)著越來越重要的地位。由于網(wǎng)絡(luò)通信中斷而造成的各種損失十分巨大，人們?nèi)找骊P(guān)注如何提高網(wǎng)絡(luò)通信系統(tǒng)的可用性。

一般而言，可用性(availability)是指系統(tǒng)平均正常運行時間占總運行時間的比例，可用性指標(biāo)指明了系統(tǒng)為客戶提供一定水平服務(wù)的能力?？捎眯灾笜?biāo)的定量計算要用到如下兩個基本概念:

(1)MTBF(Mean Time Between Failure)，即平均無故障時間，是指設(shè)備運行的無故障性或壽命，它是描述整個系統(tǒng)可用性的重要指標(biāo)。

(2)MTTR(Mean Time To Repair)，即系統(tǒng)平均恢復(fù)時間，是描述整個系統(tǒng)容錯能力的指標(biāo)。當(dāng)網(wǎng)絡(luò)中的組件出現(xiàn)故障時，網(wǎng)絡(luò)從故障狀態(tài)恢復(fù)到正常狀態(tài)所需的平均時間。

表示系統(tǒng)可用性的公式為:AVAILABILITY=MTBF/(MTBF+MTTR)*100%。

分析系統(tǒng)可用性公式可知，提高網(wǎng)絡(luò)可用性可采取的措施是提高平均無故障時間(MTBF)或降低系統(tǒng)平均恢復(fù)時間(MTTR)。影響網(wǎng)絡(luò)可用性的因素主要包括軟、硬件設(shè)備故障、網(wǎng)絡(luò)鏈路故障、用戶操作失誤等。但是，網(wǎng)絡(luò)中出現(xiàn)故障是不可避免的，采用從故障中快速恢復(fù)的技術(shù)以縮小MTTR指標(biāo)，也是提升網(wǎng)絡(luò)可用性水平的手段。采用VRRP+MSTP技術(shù)可有效縮小MTTR指標(biāo)。

2．以太網(wǎng)中的VRRP技術(shù)

在局域網(wǎng)內(nèi)，終端用戶都設(shè)置一條相同的以網(wǎng)關(guān)為下一跳的缺省路由。主機(jī)發(fā)往其他網(wǎng)段的報文將通過缺省路由發(fā)往網(wǎng)關(guān)，再由網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)，從而實現(xiàn)主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)網(wǎng)關(guān)發(fā)生故障時，本網(wǎng)段內(nèi)所有以網(wǎng)關(guān)為下一跳缺省路由的主機(jī)與外部網(wǎng)絡(luò)的通信將中斷。為了避免網(wǎng)絡(luò)中斷，需要通過在主機(jī)上設(shè)置多個網(wǎng)關(guān)，多網(wǎng)關(guān)的配置會給網(wǎng)絡(luò)的管理和應(yīng)用帶來新的問題。為了更好地解決上述網(wǎng)絡(luò)中斷的問題，可以采用虛擬路由冗余協(xié)議(VRRP)。該協(xié)議的作用是對以太網(wǎng)上終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)信息(如IP和MAC)進(jìn)行冗余備份，從而在當(dāng)前路由設(shè)備宕機(jī)時，能自動、及時啟用備份路由設(shè)備接管轉(zhuǎn)發(fā)工作，實現(xiàn)對用戶的透明切換，提高網(wǎng)絡(luò)服務(wù)質(zhì)量。

在VRRP中，VRRP路由器是運行VRRP的物理路由器;虛擬路由器是VRRP協(xié)議創(chuàng)建的邏輯概念上的路由器。一臺虛擬路由器由一組協(xié)同工作的VRRP路由器構(gòu)成。該虛擬路由器具有唯一固定IP地址和MAC地址。該虛擬路由器中的VRRP路由器要么是主控路由器，要么是備份路由器，且只有一臺處于主控角色的路由器負(fù)責(zé)ARP應(yīng)答和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對終端設(shè)備的影響。備份路由器可以有多個。虛擬路由器中的主控路由器是通過VRRP路由器唯一標(biāo)識的值產(chǎn)生的，VRID取值范圍為［0，255］，且值越大優(yōu)先級越高;其他VRRP路由器均作為備份路由器。只有當(dāng)由于某種原因主控路由器發(fā)生故障時，備份路由器能在不用改變IP地址和MAC地址且在幾秒鐘的時延后升級為主路由器。

3．以太網(wǎng)中的MSTP技術(shù)

生成樹協(xié)議是一種二層管理協(xié)議，它通過有選擇性地阻塞網(wǎng)絡(luò)冗余鏈路來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的，同時具備鏈路的備份功能。它掌管著端口的轉(zhuǎn)發(fā)大權(quán)，端口狀態(tài)的變化，將影響上層路由協(xié)議的路由選擇。

生成樹協(xié)議和其他協(xié)議一樣，是隨著網(wǎng)絡(luò)的不斷發(fā)展而不斷更新?lián)Q代的。通常把生成樹協(xié)議的發(fā)展劃分為三個時代。第一代生成樹協(xié)議是STP/RSTP，第二代生成樹協(xié)議是PVST/PVST+，第三代生成樹協(xié)議是MSTP。

MSTP(Multiple Spanning Tree Protocol，多生成樹協(xié)議)在IEEE802．1s中定義與之前版本相比，引入了“實例(INSTANCE)”，即MSTP是基于實例的。多個VLAN對應(yīng)的一個集合構(gòu)成一個“實例(INSTANCE)”，有著相同“實例(INSTANCE)”配置的設(shè)備就組成一個MST域(MST Region)，運行獨立的生成樹(這個內(nèi)部的生成樹稱為IST，Internal Spanning－tree);這個MST region組合就相當(dāng)于一個大的設(shè)備整體，與其他MST Region再進(jìn)行生成樹算法運算，得出一個整體的生成樹，稱為CST(Common Spanning Tree)。實例 0具有特殊的作用，稱為CIST，即公共與內(nèi)部生成樹，其他實例則稱為MSTI，即多生成樹實例。

MSTP協(xié)議在計算生成樹時使用的算法和原理與STP/RSTP大同小異，只是因為在MSTP中引入了域和內(nèi)部路徑開銷等參數(shù)，故MSTP中的優(yōu)先級向量是7維，而STP/RSTP是5維。MSTP中的優(yōu)先級向量是{CIST根橋標(biāo)識符，CIST外部根路徑開銷，CIST域根標(biāo)識符，CIST內(nèi)部根路徑開銷，CIST指定橋標(biāo)識符，CIST指定端口標(biāo)識符，CIST接收端口標(biāo)識符}，MSTP中的CIST域根標(biāo)識符有兩種情況，一種是總根所在域內(nèi)，BPDU報文中該字段是參考總根的標(biāo)識符，另一種情況是不包含總根的域中，BPDU報文該字段是參考主設(shè)備的標(biāo)識符。運行MSTP的實體初始化時認(rèn)為自己是總根、域根，通過交互配置消息，按照上面介紹的7維向量的優(yōu)先級計算CIST生成樹和MSTI。

4．基于VRRP+MSTP技術(shù)設(shè)計的企業(yè)網(wǎng)雙核心應(yīng)用方案

基于MSTP+VRRP技術(shù)的雙核心應(yīng)用方案，一般應(yīng)用于對網(wǎng)絡(luò)可用性要求較高的應(yīng)用環(huán)境，比如中小企業(yè)園區(qū)網(wǎng)、高校校園網(wǎng)、醫(yī)療、金融行業(yè)等網(wǎng)絡(luò)環(huán)境。該應(yīng)用方案的用戶網(wǎng)關(guān)采用VRRP協(xié)議進(jìn)行備份，雙核心設(shè)備分別承擔(dān)部分用戶流量，實現(xiàn)負(fù)載分擔(dān)。物理鏈路使用MSTP協(xié)議進(jìn)行備份，提高網(wǎng)絡(luò)整體可用性。同時，MSTP和VRRP的協(xié)同配置，可以使匯聚層到核心層的數(shù)據(jù)流量實現(xiàn)負(fù)載分擔(dān)，減輕單臺核心設(shè)備的壓力，使網(wǎng)絡(luò)更加穩(wěn)定和可靠。

4．1 MSTP+VRRP雙核心應(yīng)用方案中應(yīng)注意的問題

(1)配置VRRP協(xié)議時，根據(jù)網(wǎng)絡(luò)規(guī)劃劃分用戶網(wǎng)段，每一個網(wǎng)段中用戶數(shù)一般不超過254個。對每一個用戶網(wǎng)段，雙匯聚設(shè)備使用VRRP進(jìn)行網(wǎng)關(guān)備份。

(2)配置VRRP協(xié)議時，最好讓雙匯聚設(shè)備都承擔(dān)部分網(wǎng)段的用戶網(wǎng)關(guān)責(zé)任，實現(xiàn)負(fù)載分擔(dān)?？梢允褂梅謸?dān)各50%左右網(wǎng)絡(luò)流量的比例進(jìn)行設(shè)計。

(3)配置VRRP協(xié)議時，一般使用默認(rèn)值配置即可。如果網(wǎng)絡(luò)特別容易遭受攻擊，導(dǎo)致VRRP振蕩，可以適當(dāng)修改VRRP的通告時間間隔(timer advertise)。比如，默認(rèn)值是1秒，則VRRP振蕩的時間為3秒。如果修改為2秒，那么VRRP振蕩的時間就延長為6秒。

(4)配置MSTP協(xié)議時，域的配置很重要，要域名、域修正值和Vlan－instance對應(yīng)關(guān)系都一致才認(rèn)為是在同一個域中。配置時，一般只需要保證雙核心設(shè)備中Vlan－instance的配置一致，域名和域修正值采用默認(rèn)值即可。

(5)配置MSTP協(xié)議時，在容易遭受BPDU攻擊的網(wǎng)絡(luò)中，接入層設(shè)備直接接用戶的端口，可以配置BPDU FILTER，過濾掉 BPDU報文。同時配置了BPDU FILTER功能的端口就無需再配置上PORT FAST。因為配置BPDU FILTER功能的端口就是直接Forwarding的，直接轉(zhuǎn)發(fā)用戶數(shù)據(jù)。

(6)配置MSTP協(xié)議時，在容易發(fā)生鏈路up/down的端口，比如接用戶的端口，可以在這些端口上配置Tc Protection，防止這些端口up/down引發(fā)MSTP振蕩。

(7)配置MSTP協(xié)議時，一般將匯聚設(shè)備設(shè)置為根橋，這通過修改設(shè)備的優(yōu)先級實現(xiàn)。與VRRP協(xié)議一起使用時，可以將本設(shè)備上VRRP作為用戶網(wǎng)關(guān)的Vlan對應(yīng)的instance，根橋也設(shè)置在這臺設(shè)備上。這樣的話，接入層的用戶數(shù)據(jù)直接二層轉(zhuǎn)發(fā)到用戶網(wǎng)關(guān)上，不需要經(jīng)過其他設(shè)備中轉(zhuǎn)了，增加了網(wǎng)絡(luò)穩(wěn)定性和可用性。

(8)配置MSTP協(xié)議時，一般hello時間可以使用默認(rèn)值，不必修改。如果網(wǎng)絡(luò)特別容易遭受攻擊，導(dǎo)致MSTP振蕩，可以適當(dāng)修改MSTP的hello時間間隔。比如，默認(rèn)值是1秒，則MSTP振蕩的時間為3秒。如果修改為2秒，那么MSTP振蕩的時間就延長為6秒。

(9)在雙核心拓?fù)渲?，匯聚層和接入層互連的端口上，都可以配置TPP(Topology Protection Protocol，拓?fù)浔Ｗo(hù)協(xié)議)。防止設(shè)備遭受攻擊時，CPU過高導(dǎo)致拓?fù)湔袷帯?/p>

4．2 MSTP+VRRP雙核心應(yīng)用方案規(guī)劃

MSTP+VRRP雙核心應(yīng)用方案是提高網(wǎng)絡(luò)系統(tǒng)可用性的一個比較優(yōu)秀的解決方案。其雙核心交換機(jī)Switch－A和Switch－B上運行VRRP和MSTP，實現(xiàn)路由的冗余，鏈路的負(fù)載均衡。

(1)基于VRRP技術(shù)的路由冗余規(guī)劃方案

核心層交換機(jī)上有8個用戶Vlan，Vlan id為10，20，…，80。對應(yīng)svi接口運行VRRP協(xié)議。對于經(jīng)過核心層到Internet的數(shù)據(jù)流，讓Vlan10、Vlan20、Vlan30、Vlan40以Switch－A為Master主路由器，作為用戶的網(wǎng)關(guān)為用戶轉(zhuǎn)發(fā)數(shù)據(jù)，Switch－B為Backup備份路由器;讓 Vlan50、Vlan60、Vlan70、Vlan80以Switch－B為Master主路由器，作為用戶的網(wǎng)關(guān)為用戶轉(zhuǎn)發(fā)數(shù)據(jù)，Switch－A為Backup備份路由器。VRRP協(xié)議規(guī)定優(yōu)先級數(shù)值越大優(yōu)先級越高，因此Master主路由器的優(yōu)先級設(shè)置為254，backup備份路由器的優(yōu)先級采用默認(rèn)值100來實現(xiàn)。

(2)基于MSTP技術(shù)的負(fù)載均衡規(guī)劃方案

為了實現(xiàn)鏈路負(fù)載均衡，將核心交換機(jī)上運行的MSTP設(shè)置2個Vlan－instance實例，域名和域修正值采用默認(rèn)設(shè)置。讓 Vlan10、Vlan20、Vlan30、Vlan40對應(yīng)到實例 instance 1 上，讓 Vlan50、Vlan60、Vlan70、Vlan80對應(yīng)到實例instance 2上。讓Switch－A成為實例instance 1的根橋，讓Switch－B成為實例instance 2的根橋。MSTP協(xié)議規(guī)定優(yōu)先級數(shù)值越小優(yōu)先級越高，因此通過根橋的優(yōu)先級設(shè)置為4096，備份根橋的優(yōu)先級設(shè)置為8192來實現(xiàn)。

(3)方案優(yōu)化

在接入層交換機(jī)連接用戶的端口上啟用BPDU FILTER功能，可直接過濾BPDU報文，從而有效避免BPDU攻擊、防止MSTP信息泄漏，另外端口可以快速Forwarding。交換機(jī)接口上開啟TPP功能，設(shè)置CPU的利用率閥值為60。在交換機(jī)CPU利用率超過60%時，能保持VRRP和MSTP不發(fā)生振蕩。

5．結(jié)束語

VRRP+MSTP雙核心高可用性應(yīng)用方案，網(wǎng)絡(luò)擴(kuò)容，維護(hù)方便，實現(xiàn)用戶網(wǎng)關(guān)和物理鏈路的雙備份，提高了網(wǎng)絡(luò)系統(tǒng)的可用性。和其他提高網(wǎng)絡(luò)可用性的方案相比，該方案可以使用較少的客戶投資，獲得較高的客戶收益。同時，在這個方案的基礎(chǔ)上，客戶可以組合其他相關(guān)技術(shù)提高系統(tǒng)可用性。

［1］鄒潤生．VRRP技術(shù)實現(xiàn)網(wǎng)絡(luò)的路由冗余和負(fù)載均衡［J］．計算機(jī)與信息技術(shù)，2006(4):54 －56．

［2］嚴(yán)華．VRRP技術(shù)在校園網(wǎng)中的應(yīng)用［J］．福建電腦，2007(12):162－163．

［3］賈娟．一種基于VRRP的核心路由器高可用性方法研究與實現(xiàn)［J］．電子技術(shù)應(yīng)用，2007(2):110－112．

［4］邱艷海．MSTP承載以太網(wǎng)業(yè)務(wù)的組網(wǎng)與應(yīng)用［J］．光通信研究，2007(3):20－22．

［5］江立峰．淺論MSTP技術(shù)及應(yīng)用［J］．中國電子商務(wù)，2011(8):39．