可靠型園區網組網，用VRRP仍是堆疊？

點擊領取>>>華爲認證HCIP+HCIE學習資料包 （含肖哥筆記、經常使用軟件安裝、學習視頻、模擬題等）

企業組網很是考驗網工的內功，選擇何種組網方案、選擇合適的網關位置、如何保證網關可靠性等等一系列問題，每一個環節都考驗網工的理論功底和實操經驗。

典型可靠型組網方案

對於大型企業常常須要保證網絡的可靠性，以此來確保生產的穩定性，例如大型醫院、銀行、省市縣政府單位、電廠、汽車行業等等。目前典型可靠型組網方案有以下三種：
① VRRP+MSTP
② 堆疊+鏈路聚合
③ 三層路由（網關放在接入，向上運行三層路由協議）。

目前比較經常使用的是前面兩種。

固然近幾年流行的SDN、Vxlan技術也能夠應用於目前的可靠型園區網絡，咱們暫時將該網絡稱之爲大二層園區網。大二層園區網成本較高且技術普及度低，在園區網中用的並很少，但很是適用於須要進行靈活分區分域多業務隔離的園區網絡如數據中心網絡。隨着SDN、Vxlan技術的普及以及支持SDN、Vxlan硬件設備的價格降低，大二層園區網也許會成爲第四種經常使用的可靠型組網方案。

典型組網方案，如何2選1？

咱們對以上較經常使用的兩種方案進行對比：

參考項	VRRP	堆疊
成本	成本小。傳統公有技術，技術較成熟。能夠跨廠商跨型號對接，方便網絡改造。	成本高。各廠商私有技術。低端交換機不支持。須要10G業務口或堆疊卡互聯。容易被廠商綁架。
利舊	容易實現設備利舊，尤爲是傳統網絡改造。	堆疊的多臺設備須要同廠商、同型號（大版本相同），不利於設備利舊。
技術複雜度	配置量大，技術複雜度高。	配置簡單，邏輯架構簡單。運維管理方便。
收斂	收斂慢	收斂快

二者對比下來，推薦使用堆疊技術。隨着10G光模塊的普及以及硬件設備的降低，近些年堆疊組網的成本愈來愈低，所以新建網絡推薦使用堆疊技術。

方案1：VRRP+MSTP

VRRP爲成熟的標準協議，現有部署案例豐富；支持不一樣廠家不一樣型號的設備對接；兩臺網關設備的規格單獨計算，可支持適量的超額預約。部署VRRP協議提供網關冗餘，當主設備故障時，備設備能夠接管網關功能。

VRRP的部署建議：

一、二層運行MSTP協議，同一VLAN中，MSTP的根橋和VRRP的主要指定爲一臺設備，使二三層拓撲一致。
二、經過優先級參數直接指定VRRP網關的主備。
三、不根據網關設備的上行鏈路狀態來切換VRRP主備，主備設備互聯鏈路參與路由計算，由三層路由牽引流量轉發。
四、網關與接入設備運行MSTP協議，當接入交換機與主網關之間鏈路故障時，由MSTP收斂來完成鏈路切換，VRRP網關不進行切換。
五、有多個VLAN（對應多個網段）在網關終結時，二三層均部署基於VLAN的負載均衡。固然因爲交換環路的影響，爲了配合VRRP基於多Vlan負載分擔，須要使用MSTP技術。MSTP能夠根據vlan生成多個實例，讓不一樣的實例阻塞不一樣的鏈路，以此來實現VRRP基於Vlan的負載分擔。

若是網關設備之間的直連物理鏈路爲三層鏈路，三層鏈路沒法透傳下行交換機的業務VLAN。此時下行鏈路的中斷（以下圖），鏈路沒法依賴STP進行收斂，只能依靠VRRP協議自己檢測。爲了加快VRRP的主備切換，能夠部署BFD for VRRP。

BFD for VRRP的部署建議：

一、在備設備上部署BFD檢測，在VRRP中聯動BFD，BFD故障時快速觸發主備切換。
指定備設備配置爲當即搶佔，主設備配置爲延時搶佔，以免回切時流量丟失。
二、因爲BFD檢測時延短，對設備性能消耗大，當存在多個VLAN的VRRP網關時，能夠部署單獨的管理VRRP來聯動BFD，多個業務VRRP網關再聯動管理VRRP的主備狀態，每一個業務VLAN下的VRRP再也不單獨交互VRRP的主備狀態。
三、部署按VLAN進行VRRP的負載均衡時，須要分別部署兩個管理VRRP，在對應VLAN的VRRP備設備上聯動BFD。

方案2：堆疊+鏈路聚合

堆疊技術也能夠稱爲集羣技術或者網絡虛擬化技術（多虛一）。堆疊邏輯上體現爲一臺設備，具備統一的配置平臺。在單一邏輯設備上部署網關便可。設備故障或鏈路故障的切換機制由集羣機制保障，無需管理員詳細設計。部署集羣/堆疊能夠簡化邏輯拓撲，在邏輯設備上部署單一的網關便可。設備故障或鏈路故障的切換機制由既有的集羣機制去保障，無需管理員詳細設計。

部署建議：

一、兩臺網關設備之間以集羣/堆疊鏈路互聯，部署爲集羣/堆疊，邏輯上體現爲一臺設備，具備統一的配置平臺。
二、在統一的配置平臺上部署業務網關地址。
三、接入交換機到兩臺網關設備的多條鏈路直接配置爲Eth-Trunk鏈路捆綁便可。
四、兩條網關設備之間部署獨立的雙主檢測鏈路，或借用網關與接入交換機之間的鏈路進行雙主檢測。

如下是華爲給出的典型園區網堆疊架構的組網方案：

網關位置如何選擇？

這裏的網關特指終端用戶的網關。

網關做爲園區網絡二層交換、三層路由的分界點，其部署位置能夠根據網絡規模和業務須要而靈活設置。

從理論上講，網關能夠設置在網絡的任何層次。網關部署位置不一樣時，交換與路由域覆蓋範圍有所不一樣，園區中能部署的網絡業務也有區別。

所以，網關位置必須適中，須要綜合衡量網絡業務、網絡性能、管理等多方面的因素。

一、網關選擇在匯聚層

對於經典的三層結構，通用的做法是將網關設置在匯聚層。這樣二層廣播範圍適中，接入的終端數量及對網關設備的ARP/MAC等表項要求也比較合適。

二、網關選擇在覈心層

有些場景中但願對園區內的訪問行爲集中管控，或存在大範圍跨設備的VLAN部署（例如無線漫遊、虛機遷移、Voice VLAN、基於用戶身份的VLAN分配等業務），會將網關直接部署在覈心層。

這種場景全部的終端均以核心層設備做爲網關，對核心層設備的ARP、MAC、用戶數等規格要求較高；同時網關設在覈心層，廣播域較大，須要採起其餘手段來減少廣播域，例如端口隔離或爲每一個端口劃分一個VLAN等方式，若是VLAN規格與終端數量有差距，也可能須要部署QinQ VLAN。

三、網關選擇在接入層

以太網沒有獨立的控制層面，表項大多從轉發面的流量自學習，這就致使以太網絡很難精肯定位故障。基於這種考慮，有些用戶會盡可能減少二層網絡的範圍，將網關部署在接入層。

這樣場景全網三層網絡，故障定位精確；同時，自由選擇各類認證機制，都可簡單實現從接入開始的安全策略。三層網絡範圍較大，須要對路由域進行分區規劃；同時要求接入設備支持三層功能。