专线用户出口备份方案

专线用户出口备份方案第1页,共10页专线用户出口备份方案1概述目前，本单位向大客户用户（单位用户）提供了专线上网业务。这些用户通过光纤接入到我们的IP网络，从而可以获得高速的上网服务，其接入速度一般都是100M。在提供了令用户满意的上网速度的同时，我们开始考虑如何保障网络稳定运行。我们的专线上网用户在正常情况下，是通过恒敦的网络出口接入IP骨干网的。只有一个网络出口的风险在于，一旦此出口的网络发生故障，所有的专线上网业务就会受到影响甚至完全中断。这样就会大大降低用户满意度，对我们的业务发展造成巨大冲击。所以，目前迫切需要解决的问题就是：如何在恒敦网络出口发生故障时，可以在最短时间内切换到其他网络出口，恢复专线上网业务。本方案所实现的就是，当恒敦出口出现故障时，可以在最短时间内把专线上网业务切换到另一IP骨干网出口，即网通出口。专线用户出口备份方案第2页,共10页2技术方案2.1组网情况Cisco3550单位上网NAT外经贸网吧单位1单位2…………200.1.1.141/30vlan16：200.1.2.193/27200.1.1.142/30vlan5专线用户vlan12专线用户200.1.1.225/28200.1.1.193/27200.1.1.65/28200.1.1.81/29恒敦出口vlan7：200.1.2.129/29vlan8：200.1.2.254/28vlan9：200.1.2.241/28vlan10：200.1.2.65/28Cisco2950恒敦RS3000图1目前专线用户出口组网图1描述了目前专线用户出口组网情况。vlan5专线用户、vlan12专线用户、单位1、单位2等用户线路汇聚到Cisco2950交换机，然后接入单位上网NAT服务器。vlan5和vlan12的专线用户是使用公网IP地址的，对于这些用户，NAT服务器提供路由转发功能。单位1、单位2等用户使用私网IP地址，此时NAT服务器进行IP地址转换，把私网IP地址转换为公网IP地址，然后路由到下一级——Cisco3550三层交换机。Cisco3550三层交换机在这里当成了路由器来使用，网吧和一些业务量大的单位（如：外经贸）都直接接入到此路由器。然后下一级就是恒敦出口路由器RS3000，专线上网用户就是最终都是通过这里接入IP骨干网的。很显然，这个单出口的组网方式，业务中断的风险比较大。专线用户出口备份方案第3页,共10页Cisco3550单位上网NAT外经贸网吧单位1单位2…………200.1.1.141/30vlan16：200.1.2.193/27200.1.1.142/30vlan5专线用户vlan12专线用户200.1.1.225/28200.1.1.193/27200.1.1.65/28200.1.1.81/29恒敦出口vlan7：200.1.2.129/29vlan8：200.1.2.254/28vlan9：200.1.2.241/28vlan10：200.1.2.65/28Cisco2950恒敦RS3000网通出口vlan6：172.16.18.2/30172.16.18.1/30出口备份NAT220.1.1.13/29220.1.1.9/29路由器监控机图2增加网通出口后专线用户组网图2描述了增加网通出口后专线用户出口组网情况。所有用户接入部分的网络没有改变，只是在Cisco3550三层交换机上增加了一个连接到出口备份NAT服务器。出口备份NAT服务器下一级连接到网通出口路由器，接入网通的IP骨干网。因为网通出口的公网IP地址和恒敦出口的IP地址不是同一段，而通过网通接入骨干网时，就必须使用网通的IP地址段，所以备份NAT服务器要把专线用户IP地址转换为网通地址220.1.1.13。Cisco3550作为路由器，位于专线用户和整个网络出口之间，正常情况下，此路由器的缺省出口路由是200.1.1.141，通过恒敦的RS3000连入恒敦出口。当恒敦出口中断时，把Cisco3550的缺省路由设置为172.16.18.1，指向备份NAT服务器，备份NAT服务器把IP地址转换为220.1.1.13，然后通过网通路由器连入网通出口，从而恢复专线用户上网业务。2.2切换方式当恒敦网络出口发生故障时，我们要把Cisco3550的缺省路由修改为网通出口。如何能及时监控到恒敦出口故障，并且在最短时间内完成切换呢？最好的方式就是把Cisco3550换成负载均衡设备，如LinkProof设备或者f5的BigIP等。负载均衡设备能够自动检测到出口故障，并及时停止故障出口，专线用户出口备份方案第4页,共10页把业务分流到正常的备用出口，保障上网业务的正常。而在两个出口都正常的情况下，负载均衡设备还可以同时使用两个出口，达到充分利用出口带宽的效果。不过采购负载均衡设备增加了运营成本，我们目前不考虑这种方式，只考虑在利用现有设备的情况下，如何实现出口切换。具体的切换方式包括两种：人工切换和自动切换。2.2.1人工切换如图2所示，在Cisco3550增加一连接到监控机。监控机上安装了SMonitor监控软件，在此软件中设置对比较稳定的大型网站（如：新浪）进行监测，其监测方法是通过ping命令发送ICMP包，一旦该网站没有回响应包，此软件就发出告警信号。值班人员就可及时检查网络情况，例如：检查是否能访问其他大型网站、跟踪网站路由等，判断是否恒敦出口故障，如果是，就手工修改Cisco3550的缺省路由到网通出口，恢复业务。具体切换步骤如下：（1）telnet上Cisco3550；（2）修改出口路由设置为172.16.18.1。命令如下：conftnoiproute0.0.0.00.0.0.0200.1.1.141iproute0.0.0.00.0.0.0172.16.18.1end然后值班人员排查恒敦出口故障。等恒敦出口恢复正常后，要把Cisco3550的缺省路由修改到恒敦出口，恢复从恒敦出口接入骨干网。具体恢复步骤如下：（1）telnet上Cisco3550；（2）修改出口路由设置为200.1.1.141。命令如下：conftnoiproute0.0.0.00.0.0.0172.16.18.1iproute0.0.0.00.0.0.0200.1.1.141end2.2.2自动切换其原理和组网和人工切换方式一样，只是监控和切换功能由编写的小软件自动完成。此小软件在监控机上运行，发现恒敦出口中断时，除产生告警提示外，还自动telnet上Cisco3550，修改缺省路由设置为172.16.18.1。然后值班人员排查恒敦出口故障。等恒敦出口恢复正常后，要把Cisco3550的缺省路由修改到恒敦出口，恢复从恒敦出口接入骨干网。恢复过程还是使用了手工方式，原因是避免网络出口不稳定时，监控软件切换出口路由频繁，使专线上网业务更不稳定。专线用户出口备份方案第5页,共10页具体恢复步骤如下：（1）telnet上Cisco3550；（2）修改出口路由设置为200.1.1.141。命令如下：conftnoiproute0.0.0.00.0.0.0172.16.18.1iproute0.0.0.00.0.0.0200.1.1.141end软件监测恒敦出口网络的方法，也是通过对比较稳定的大型网站（如：新浪）进行监测。其软件主流程如图3所示。正常情况下，软件对被监测的网站每隔t0秒发送1个ICMP包，一旦该网站没有回响应包，则把无响应次数Count加1，并且把监测时间间隔缩短为t1秒，当连续无响应次数到达n时，则认为恒敦出口中断，软件产生告警并修改出口路由。如果在无响应次数达到n之前，该软件收到ICMP响应包，则把监测时间间隔恢复为t0秒，同时把无响应记录次数Count清零。其中，t0、t1和n值可以设置，通常t0t1。开始Count=0T=t0每隔T秒向检测网站发ICMP请求收到ICMP响应？是Count=Count+1T=t1Count=n?否网络中断告警修改出口路由是结束否图3专线用户出口监控软件流程图假设n=3、t0=30、t1=15，专线用户出口监控软件的网络消息流程图如图4所示。正常情况下，监控机每隔30秒向监测网站发送ICMP请求包，并且及时得到响应。当网络中断时，监控机收不到网专线用户出口备份方案第6页,共10页站的ICMP响应包，此时把监控时间间隔修改为15秒，当连续3次没有收到响应包时，则断定出口故障，采取相应措施。采取措施时，距离网络中断时的最大时间间隔为30+15+15=60。即故障发生后，最迟在60秒内就能把网络切换到备用的出口，及时恢复了业务。监控机网站网站监控机ICMP请求ICMP响应每隔30秒ICMP请求隔15秒ICMP请求ICMP请求隔15秒正常情况出口中断情况图4专线用户出口监控消息图3方案实施3.1增加出口备份NAT服务器3.1.1设置备份NAT服务器备份NAT服务器是一台PC服务器，其配置为：CPUP3/内存512M/硬盘4G/网卡100M，安装了Linux操作系统，其性能可以满足目前的业务要求。具体的NAT功能，是通过Linux上的iptables软件实现，其配置命令如下：#设置接口IP地址和路由/sbin/ifconfigeth1172.16.18.1netmask255.255.255.252/sbin/ifconfigeth2220.1.1.13netmask255.255.255.248/sbin/iprouteadddefaultvia220.1.1.9/sbin/iprouteadd200.1.1.0/24via172.16.18.2/sbin/iprouteadd200.1.2.0/24via172.16.18.2专线用户出口备份方案第7页,共10页#设置网通出口NAT/sbin/iptables-tnat-APOSTROUTING-s200.1.1.0/24-oeth2-jSNAT--to220.1.1.13/sbin/iptables-tnat-APOSTROUTING-s200.1.2.0/24-oeth2-jSNAT--to220.1.1.13另外，备份NAT服务器还通过Extreme6808和内网（10.0.0.0网段和192.168.0.0网段）互联，如图5所示。当专线用户访问有线宽带网的内网时，通过Cisco3550路由到备份NAT服务器，备份NAT服务器把IP地址转换为10.1.17.1，然后访问内网，这样就可以访问到江门有线以及五邑各市有线网络的服务器了。增加这部分功能是为了充分利用备份NAT服务器的资源，在恒敦出口正常的情况下，也提供了运营业务。备份NAT服务器上这部分的配置命令如下：#设置接口IP地址和路由/sbin/ifconfigeth010.1.17.1netmask255.255.255.252/sbin/iprouteadd192.168.0.0/16via10.1.17.2/sbin/iprouteadd10.0.0.0/8via10.1.17.2/sbin/iprouteadd210.77.1.224/27via10.1.17.2/sbin/iprouteadd210.156.1.0/28via10.1.17.2/sbin/iprouteadd210.1.1.0/24via10.1.17.2#设置内网访问NAT/sbin/iptables-tnat-APOSTROUTING-s200.1.1.0/24-oeth0-jSNAT--to10.1.17.1/sbin/iptables-tnat-APOSTROUTING-s200.1.2.0/24-oeth0-jSNAT--to10.1.17.1专线用户出口备份方案第8页,共10页Cisco3550单位上网NAT外经贸网吧单位1单位2…………200.1.1.141/30vlan16：200.1.2.193/27200.1.1.142/30vlan5专线用户vlan12专线用户200.1.1.225/28200.1.1.193/2720