alcatelquidways8500雙機熱備份典型組網(wǎng)配置指導

1、quidway s8500雙機熱備份典型組網(wǎng)呢置指導華為三康技術有限公司huawei-3com technologies co., ltd.版權所有侵權必究all rights reserved2.1端口類型的配置62.2管理地址的配置62.3業(yè)務vlan和虛接口地址的配置2.4vrrp的配置72.5stp的配置72.5stp timer的配置72.5.2關于配置負載均衡82.6防病毒acl規(guī)則的配置82.7廣播抑制的配置82.82層交換機的配置92.9強制雙工和速率的配置92.10路由協(xié)議的配置92.11聚合鏈路的配置93問題排查93.1雙機組網(wǎng)的特點93.2問題排查的基木步驟104附錄10

2、4.1附錄a各種情況下數(shù)據(jù)的轉發(fā)路徑4.2附錄b組網(wǎng)配逍實例111雙機典型組網(wǎng)圖52典型配置610quidway s8500雙機熱備份典型組網(wǎng)配置指導關鍵詞：s8500,雙機，典型組網(wǎng)，配置指導摘要：本文描述了采用s8500雙機熱備份時的觀型組網(wǎng)方案，并対網(wǎng)絡設備的配置列出 了注意事項，通過優(yōu)化配置來減少由于引入冗余鏈路導致的網(wǎng)絡不穩(wěn)定性。希望大家止確配 置雙機網(wǎng)絡，防范于未然，交付給用戶一個穩(wěn)定、可靠、快速的網(wǎng)絡?？s略語： 縮略語stprstp英文全名中文解釋spanning tree protocol生成樹rapid spanning tree protocol快速牛成樹mstpmulti

3、ple spanning tree protocol多實例生成樹vlanvirtual local area network虛擬 lanvrrpvirtual router redundancy protocol虛擬路由冗余協(xié)議aclaccess control list訪問控制列表ospfopen shortest path first開放最短路由優(yōu)先協(xié)議riprouting infoitnation protocol路由信息協(xié)議is-isintermediate systcm-to-intcrmcdiatc system intra-domain routing informationex

4、change protocol中間系統(tǒng)到中間系統(tǒng)的域內(nèi)路山信息交換協(xié)議garpgeneric attribute registration protocol通丿 ij屬性注冊協(xié)議gvrpgarp vlan registration protocol基于 garp 的 vlan 注冊協(xié)議arpaddress resolution protocol地址解析協(xié)議dhcpdynamic host configuration protocol動態(tài)主機配置協(xié)議bpdubridge protocol data unit橋協(xié)議數(shù)據(jù)單元1雙機典型組網(wǎng)圖政府機關、集團公司總部等對網(wǎng)絡可用性很高的單位往往采用雙機熱

5、備份方案來組網(wǎng)，2層 交換機的2條千兆鏈路分別上行到主備85,主備85應用vrrp為用八pc提供虛擬網(wǎng)關， 應用stp來切斷兀余鏈路組成的壞路。雙機熱備份紐網(wǎng)常用的有2種，見圖1和圖2：圖1典型組網(wǎng)圖1圖2典型組網(wǎng)圖22個典型組網(wǎng)的主要差別是服務器群的位置和連接廣域網(wǎng)分支機構的方式有所不同，主備85 互連以及主備85與2層交換機的連接與配置是完全一樣的，下血介紹組網(wǎng)的配置以及注意 事項。2典型配置2.1端口類型的配置6506少主備85 z間是采用ospf的環(huán)走3層，所以相關端口可以配置為access類型,主備 85之間由于要2層互通，必須配置為trunk類型，3050與主備85之間由于要有多個

6、vlan 通過，都必須配置為trunk類型。2層交換機的卜-行口一般配置為access類型，如果卜-面再 掛2層交換機并且需要通過多個vlan,必須配置為trunk類型。注：8500系列產(chǎn)品使用的軟件版木應該為s8500-vrp3.10-1128或其以后更新版木；3050系列交換機要求使用軟件版木為0021或其以后更新版本；最新的版本信息，請關注www.huawei-網(wǎng)站上的版本更新信息。2.2管理地址的配置主備85和所有的2層交換機配置同一個管理vlan （設定為888）,并分別配置1個同一網(wǎng) 段的管理1p地址（設定為76.68.39.*/24）,掩碼一般可以用24位，不僅容易計算，數(shù)量也

7、足夠了；最好不要用26、28等位的掩碼，感覺不好計算；最好也不要用8、16等短掩碼， 因為一些網(wǎng)管軟件是全網(wǎng)段掃描來搜索網(wǎng)元的，使用短掩碼捜索范圍太大，不僅慢而fl會冇 大量報文沖擊85造成網(wǎng)絡異常。65與主備85之間是采用ospf的環(huán)，為了保證不會形成2層環(huán)路，65與主備85就不能采 用原來的管理vlan 了，設定65與主用85 z間用vlan666連接，65與備用85 z間用 vlan777連接，兩端都分別配置一個ip地址，這些ip地址不僅用于網(wǎng)管，也用于65與主 備85 zi'可的3層轉發(fā)，所以可以從網(wǎng)管ip地址段中取出一部分來作為這地址（分別設定為 00/2

8、52和04/252）,當然也可以另外規(guī)劃2個網(wǎng)段。2.3業(yè)務vlan和虛接口地址的配置根據(jù)規(guī)劃分別在3050和主備85上配置需要的業(yè)務vlan,并配置相應的虛接口地址，并在 端口上指定允許通過的vlan,這里著重耍說明的是千萬不耍對端口配置trunk permit vlan all或trunk permit vlan 2 to 200 z類,必須老老實實的一個一個指定允許通過的vlan,也 千力不耍配置gvrpo這里多化兒秒鐘，就可以極人地減少網(wǎng)絡屮的廣播報文，極人地提高 網(wǎng)絡的穩(wěn)定性，切記，切記!！唯一例外的是主備85 z間的聚合鏈路，可以不必一個一個指定，例如可用tru

9、nk permit vlan 2 to 665 667 to 776 778 to 4094指定，這樣以后增加vlan也不用一個一個添加，避免遺漏 產(chǎn)生問題；但是千萬記得要排除與65相連的2個vlan,因為在vrrp的track中需要監(jiān) 控某一 vlan interface是否down,如果沒有排除岀來，這個vlan interface永遠不會 down就起不到監(jiān)控作用了。2.4 vrrp的配置ping網(wǎng)關往往是診斷網(wǎng)絡故障的第一步，所以在vrrp配置前，必須在全局模式下先配置 vrrp ping-enable,因為這個命令在配置vrrp后就不能再配置了。主備85 z間每一組vrrp都會以ad

10、vertise配査的時間間隔發(fā)送報文，默認值是1秒鐘，如 果有多個vrrp組，每秒同一吋刻就會有較多的vrrp報xi： cpu,為了避免這種情況， 可以將vrrp組分為4組，每組分別以則數(shù)間隔（2、3、5、7秒）配置advertise,這樣就 可以使得vrrp報文分散上cpuovrrp通過priority來配置主備，主備配置必須與stp的配置相一致，否則會使得數(shù)據(jù)多經(jīng) 過1個交換機加重網(wǎng)絡負荷。可以配置vrrp的track來跟蹤上行鏈路，當上行鏈路發(fā)生故障吋及吋進行vrrp的主備切 換。2.5 stp的配置主用85配置為stp的根，備用85配置為stp的備用根，一般不用設置stp的模式，可以

11、運行在默認的mstp模式下，如果明確2層交換機不能兼容mstp才需要強制設置為stp 模式。2層交換機強烈建議啟用stp協(xié)議，只耍直接啟用stp,不用進行其它stp配置。（冃 前交換機缺省都是stp,并不是mstp配置）如果主備85之間采用聚合鏈路，一般不需要 配置鏈路的花費，如果不是聚介鏈路，則最好配置鏈路花費，但是必須注意鏈路花費的值不 耍設置錯誤，鏈路花費越小優(yōu)先級越高。連接65或直接連接服務器的端口一般可以不啟用 stp,配置為 stp disableo2.5.1 stp timer 的配置stp timer定時器有3個，分別為hello timer、forward delay和max

12、 timeh默認配置分別為 2秒、15秒和2()秒，一般不需耍修改；因為局域網(wǎng)線路比較穩(wěn)定，這幾個定時器也可以分 別延長至4秒、3()秒和4()秒。stp另一個比較重要的配瓷超時時間因子，默認為3,也可以適當大一些。2.5.2 關于配置負載均衡按照前而vrrp和stp的配置，主備85是熱備份方式，正常情況下備用85無任何業(yè)務， 只能在網(wǎng)絡發(fā)生故障如主用85當機或2層交換機連接主用85的光纖down時，業(yè)務才會 全部或部分切換到備用85o有用戶提出要進行主備85 zi'可的負荷分擔，如果2層交換機全 部或部分支持mstp,負荷分擔是完全可以實現(xiàn)的，只要配置mstp的幾個實例，將不同的 v

13、lan劃分到不同的實例屮，配置不同的實例有不同的根，并相應配置vrrp的主川，這 樣不同的實例走不同的85,起到負荷分擔的作用；但是在實際應用中，局域網(wǎng)的流量并不 大，采用雙機更多的是處于可靠性的考慮，配置負荷分擔并不能提高網(wǎng)絡的性能，反而增加 了配置的復雜性，潛在的也降低了網(wǎng)絡的穩(wěn)定性，畢竟越是復雜穩(wěn)定性越難以保證，所以一 般情況下不建議配置主備85之間的負荷分擔。這里配置負載分擔應該可以通過配置幾個vrrp組在備用850()上為master,但是需耍同時 修改mstp,配置確實比較復雜對于第二種組網(wǎng)，交換機業(yè)務并不為空，如果全部跑到左邊的設備上去運行，才多定了一臺 設備。2.6防病毒acl

14、規(guī)則的配置病毒攻擊產(chǎn)牛人量的未知單播報文沖擊85,造成網(wǎng)絡振蕩和設備故障，所以必須在所有交 換機配置防病毒acl規(guī)則對病毒報文進行過慮，但是由于一些應用程序和某些病毒使用同 樣的端口，如果不加選擇的屏蔽某些端口會導致止常的業(yè)務不能運行，啟用防病wacl規(guī) 則后應該測試各種應用。常用的過慮端口有以下一些(不斷完善中)，請謹慎選用：acl name anti-virus advanced rule 46 deny tcp destination-port eq 593rule 42 deny tcp destination-port eq 135 不能使用）rule 43 deny tcp des

15、tination-port eq 137 不能使用）rule 44 deny tcp destination-port cq 138 不能使用）rule 45 deny tcp destination-port eq 139 不能使用）(網(wǎng)上鄰居使用，如果關閉nj能會導致網(wǎng)絡打卬機等(網(wǎng)上鄰居使用，如果關閉可能會導致網(wǎng)絡打印機等(網(wǎng)上鄰屈使用，(網(wǎng)上鄰居使用,如果關閉可能會導致網(wǎng)絡打印機等如果關閉可能會導致網(wǎng)絡打印機等rule 47 deny tcp destination-port cq 445 （防展蕩波病毒）rule 48 deny tcp destination-port cq 444

16、4rule 49 deny udp destination-port eq netbios-nsrule 50 deny udp destination-port eq 445 （防震蕩波病毒） rule 51 deny udp destination-port eq 1434rule 52 deny udp destination-port eq 4444rule 53 deny tep destination-port eq 1022rule 54 deny tep destination-port eq 1023rule 55 deny tep destination-port eq 5

17、554（防震蕩波病毒）rule 56 deny udp destination-port eq 6666rule 57 deny tep destination-port eq 9996（防震蕩波病毒）2.7廣播抑制的配置由于網(wǎng)絡中存在物理環(huán)路，在受到攻擊時會造成stp的bpdu報文丟失，使得stp計算錯 誤就會導致網(wǎng)絡風暴，大量的廣播報文沖擊不僅會使得網(wǎng)絡很難口愈，并且有可能沖壞2、 3層交換機，使得網(wǎng)絡長時間不能恢復。在使用上面的各種方法防止環(huán)路形成外，可以在配 置所有端口配置廣播抑制，一般配置到最小值5%就已經(jīng)能夠遠遠超出正常的需要（網(wǎng)絡屮 正常的廣播報文并不多，一般只有arp和dhcp

18、報文），這樣就是產(chǎn)生環(huán)路，網(wǎng)絡中的廣 播報文也不會很多，網(wǎng)絡可以很快恢復正常切斷環(huán)路。2.8 2層交換機的配置2層交換機的配置相對比較簡單，除了上面提到的需要配置管理vlan和虛接口，配置業(yè)務 vlan,配置端口類型，啟用stp,防病毒acl規(guī)則，廣播抑制外，另外盂要配置的地方 不多，一是配置一條默認路由指向管理網(wǎng)段的vrrp虛接口，二是配置snmp以便網(wǎng)管軟 件使用，三是配置用戶登錄方式和密碼以提供telnet登錄。一般情況下2層交換機不用配置端口壞路檢測功能，特別是在上行端口，千萬不耍啟用壞路 檢測功能；在下行口可以根據(jù)實際悄況決定是否啟用，如果2層交換機下可能再掛交換機和 hub,可以考

19、慮啟用。對于2層交換機務必升級到最新版本，另外對于3050, 一定要配置如下命令： queue-scheduler wrr 25 25 25 25從而保證bpdu能夠百分之百的轉發(fā)。2.9強制雙工和速率的配置電接口的自協(xié)商功能穩(wěn)定一些，-般采用自協(xié)商就可以了，但是在實際使用時需要檢查端口 是否自協(xié)商成功，因為工作在半雙工模式會出各種問題；光接口山于光模塊的兼容性稍差、某些線路光衰比較大等原因，有些端口自協(xié)商會不成功, 需要設置為強制雙工和強制速率。2.10路由協(xié)議的配置65與主備85之間配置ospf協(xié)議，配置非常簡單，一般悄況下互連網(wǎng)段的network以及引 入直連路由就可以了，需要注意的是配

20、置network時掩碼不要配錯了。如果不用ospf,使用其它的路由協(xié)議如rip、isis等配置也一樣非常簡單，不再一一描述。 如有必要，還需要配置靜態(tài)的默認路山，將對外網(wǎng)的訪問報文路山出去。211聚合鏈路的配置鏈路聚合的配置沒有特別之處，按照命令配置就是。(6500的在聚合鏈路上使用上有些需耍注意：必須保證邏輯主端口狀態(tài)為up,否則會導致 二層協(xié)議報文如stp報文通不過，這個時候就會導致環(huán)路的產(chǎn)生，所以850()和6500在匯聚 鏈路的使用上需要注意)3. 問題排查3.1雙機組網(wǎng)的特點在單機樹型組網(wǎng)中，在網(wǎng)絡設備受到病毒等惡意攻擊吋，一般表現(xiàn)為網(wǎng)絡訪問速度變慢或很 慢，但是在雙機熱備份組網(wǎng)中，

21、由于存在物理環(huán)路，設備在受到攻擊時很容易造成stp的 bpdu丟失從而使得stp計算錯誤，不能正確切斷物理壞路，引發(fā)廣播風暴。廣播風眾往 往會占用全部的帶寬，使得用八根木無法訪問網(wǎng)絡資源，同時廣播風暴會使得stp的bpdu 報文更加難以得到處理，網(wǎng)絡很難自愈恢復正常，只能關閉備用主機來取消環(huán)路。期外2、 3層交換機長時間受到巨量廣播報文沖擊，有時轉發(fā)芯片會失效，就是在廣播風暴消失后也 不能正常轉發(fā)數(shù)據(jù)包，必須手工復位交換機。因此，雙機組網(wǎng)和比單機組網(wǎng)顯得脆弱些，跟 交換機本身穩(wěn)定性反而關系不是太大，其它廠商的交換機一樣如此。所以，針對雙機組網(wǎng)， 必須嚴格按照上而描述的步驟進行配置，提供網(wǎng)絡的整

22、體穩(wěn)定性。3.2問題排查的基本步驟一般情況下如果嚴格按照雙機配置指導帖來配置網(wǎng)絡，應該不會再出現(xiàn)stp計算錯誤引起 網(wǎng)絡風暴而導致的網(wǎng)絡不可用的問題；原來已經(jīng)配置的雙機網(wǎng)絡，不符合要求，請及時整改, 防范于未然。如果還沒有來的及整改就發(fā)牛了問題，請按以下步驟定位：1、查看端口的stp狀態(tài)：使用display stp brief命令查看端口的stp狀態(tài)，正常情況下每一 條環(huán)路應該冇一個端口是discarding的，如果所冇端口都是forwarding的，就說明 網(wǎng)絡己經(jīng)形成了壞路；(這里描述應該是講的stp吧，mstp應該在端口上某些vlan為 forwarding, 某些 vlan 為 dis

23、carding)2、對一個形成環(huán)路的每一個端口，使用display stp interface命令查看bpdu收發(fā)報文數(shù)是 否在增長，如果bpdu收發(fā)報文數(shù)有增長，一般情況下網(wǎng)絡會在幾分鐘z后自愈恢復正常。 如果某端口 bpdu收發(fā)報文數(shù)沒有增長，則說明網(wǎng)絡已經(jīng)很難自愈，請立即關閉備用85以 取消環(huán)路，一般情況下重啟備用85是沒有用的，必須下電；3、備用85下電后一般網(wǎng)絡都會恢復正常，如果某些交換機還是不正常，可能芯片己經(jīng)被巨 量廣播報文沖癱了，必須重啟此交換機；4、網(wǎng)絡正常后，可以杳看各端口的流最和廣播流量，如果某些端ii廣播流最特別人，基木 可以確定下掛的pc被病毒感染，可以通過端口鏡像抓包來確認；5、最后按照雙機配置指導止確配置網(wǎng)絡，備用85上電，正確完成配置后一般網(wǎng)絡都不會再 有問題了。附錄4.1 附錄a各種情況下數(shù)據(jù)的轉發(fā)路徑下面通過各種情況下數(shù)