vrrp演算法
1. Keepalive和lvs
keepalive起初是為LVS設計的,專門用來監控lvs各個服務節點的狀態,後來加入了vrrp的功能,因此除了lvs,也可以作為其他服務(nginx,haproxy)的高可用軟體。VRRP是virtual router rendancy protocal(虛擬路由器冗餘協議)的縮寫。VRRP的出現就是為了解決靜態路由出現的單點故障,它能夠保證網路可以不間斷的穩定的運行。所以keepalive一方面具有LVS cluster node healthcheck功能,另一方面也具有LVS director failover。
keepalive的兩大功能:
healthcheck和failover
LVS cluster node healthcheck
keepalive高可用服務原理介紹:
keepalive director高可用之間的故障切換轉移,是通過VRRP協議實現的。
在keepalive director工作時,主節點會不斷的向備節點發送心跳消息,告知自己還活著,當主節點故障時,備節點無法接收主節點的心跳消息,此時就會啟用自身的服務接管程序將主節點的IP和服務資源接管過來。當主節點恢復工作之後,又會釋放IP資源和服務,恢復至備節點的角色。
VRRP協議原理簡單介紹:
VRRP是通過一種競選協議協議機制來將路由的任務交給VRRP的路由器。在一VRRP的虛擬路由中,有多台物理的VRRP路由器,但是這多台路由器不同時工作,而是由一台Master負責路由工作,其他的都是backup,master是由backup競爭而來的,當master失去響應時,會從餘下的backup中選出master來接管IP地址和服務資源。
VRRP協議的所有報文都是通過IP多播的形式傳遞消息,在一個虛擬路由器中,只有作為Master的VRRP路由器會一直發送VRRP廣播包,當其他backup沒有收到廣播包時候,會迅速搶佔master(誰的有限級高,誰就會搶占成功),處於安全性考慮VRRP協議傳輸數據時候進行了加密。
VRRP是virtual router rendancy protocal(虛擬路由器冗餘協議)的縮寫。
小結:
1,VRRP是virtual router rendancy protocal(虛擬路由器冗餘協議)的縮寫。
2,VRRP是通過一種競選協議協議機制來將路由的任務交給VRRP的路由器。
3,VRRP協議的所有報文都是通過IP多播的形式傳遞消息
4,處於安全性考慮VRRP協議傳輸數據時候進行了加密。
官方網站: http://www.keepalived.org/
編譯安裝yum安裝都可
全局配置:
VRRPD 配置:
virtual_server
VRRP同步組
兩個vrrp_instance同屬於一個vrrp_rsync_group,那麼其中一個vrrp_instance發生故障切換時,另一個vrrp_instance也會跟著切換(即使這個instance沒有發生故障)。
VRRP實例
1,Round-robin(RR)輪詢:當新請求到達時候,從服務列表中選擇一個Real Server,將請求重定向給這台Real Server。
2,Weighted round-robin(WRR)加權輪詢:給每台Real Server分配一個權重/位列,權重越大,分到的請求數越多。
3,Destination hashing (DH)目標散列:來自於同一個IP地址的請求都被重定向到同一台Real Server上(保證目標地址不變)。
4,Source hashing(SH)源地址散列:Director必須確保響應的數據包必須通過請求數據包所經過的路由器或者防火牆(保證原地址不變)。
動態調度演算法:通過檢查伺服器上當前連接的活動狀態來重新決定下一步調度方式該如何實現。
5,Lease Connection (LC) 最少連接 哪一個Real Server上的連接數少就將下一個連接請求定向到那台Real Server上去。
【演算法:連接數=活動連接數 256+非活動連接數】
6,Weight Least-Connection(WLC) 加權最少連接 在最少連接的基礎上給每台Real Server分配一個權重。
【演算法:連接數=(活動連接數 256+非活動連接數)÷權重】 一種比較理想的演算法。
7,Shortest Expected Delay (SED) 最短期望延遲 不再考慮非活動連接數
【演算法:連接數=(活動連接數+1) *256 ÷權重】
8,Never Queue (NQ) 永不排隊演算法,對SED的改進,當新請求過來的時候不僅要取決於SED演算法所得到的值,還要取決於Real Server上是否有活動連接。
9,Locality-Based Least-Connection (LBLC) 基於本地狀態的最少連接,在DH演算法的基礎上還要考慮伺服器上的活動連接數。
10,Locality-Based Least-Connection with Replication Scheling (LBLCR) 帶復制的基於本地的最少連接 LBLC演算法的改進
TCP
UDP
ESP (Encapsulation Security Payload)
IPsec 封裝安全負載
AH (Authentication Header)
keepalived是實現伺服器級別的接管,服務不可用無法切換keepalive,所以需要做好應用層的監控
參考鏈接:
https://www.cnblogs.com/qq78292959/archive/2012/05/31/2528524.html
http://www.keepalived.org/
2. 虛擬路由器的體系結構及實現畢業論文
虛擬路由器即Virtual Router,是指在軟、硬體層實現物理路由器的功能模擬,屬於一種邏輯設備。每個VR應該具有邏輯獨立的路由表和轉發表,這樣就使不同VPN間的地址空間可以重用,並保證了VPN內部路由和轉發的隔離性。
用以建設骨幹IP網路的設備中出現的新進展,尤其是虛擬骨幹路由技術的出現,為Internet服務分配中的全面變化創造了條件。
虛擬路由器將使與其他網路用戶相隔離並提供對網路性能、Internet地址與路由管理以及管理和安全性的新型Internet服務成為可能。虛擬骨幹網路由器在邏輯上將一台物理路由器分為多台虛擬路由器。每台虛擬路由器運行路由協議不同的實例並具有專用 的I/O埠、緩沖區內存、地址空間、 路由表以及網路管理軟體。
基於虛擬骨幹路由器的服務無需增加投資,就可使客戶機具有運行專用骨幹網的控制權和安全性。控制和管理虛擬路由功能的軟體是模塊化的軟體。軟體的多個實例(對應於多個虛擬路由器)在真正的多處理器操作系統(如Unix)上執行。
每個虛擬路由器進程利用操作系統中固有的進程與內存保護功能與其他進程相隔離,這就保證了高水平的數據安全性,消除了出故障的軟體模塊損壞其他虛擬路由器上的數據的可能性。
當連接到高速SONET/SDH介面時,為獲得線速性能,許多運營商級路由器具有的包轉發功能是通過硬體實現的。在具有虛擬路由功能的系統中,這類硬體功能可以在邏輯上被劃分並被靈活地分配給一個特定的虛擬路由器。
接收和發送數據包的物理I/O 埠或標記交換路徑被置於組成一台虛擬交換機的軟體模塊的控制之下。包緩沖內存和轉發表受每台虛擬路由器資源的限制,以保證一台虛擬路由器不會影響到另一台虛擬路由器的運行。
虛擬路由技術使每台虛擬路由器執行不同的路由協議軟體(例如,最短路徑優先、邊界網關協議、中間系統到中間系統)和網路管理軟體(例如,SNMP或命令行界面)的實例。因此,用戶可以獨立地監視和管理每台虛擬路由器。
不同的協議實例賦予每台虛擬路由器完全獨立的IP地址域,這些地址域可以獨立地進行配置,不會出現造成沖突的危險。管理功能使每台虛擬路由器可以作為一個獨立的實體進行配置和管理。基於用戶的安全模塊還保證所有的網路管理功能和屬於某一虛擬路由器的信息只 能供一定的訪問特權訪問。
每台虛擬路由器的包轉發路徑與其他虛擬路由器的包轉發路徑相隔離,從而使管理人員可以單獨和獨立地管理每台虛擬路由器的性能。系統中一台虛擬路由器上出現的傳輸流激增不會影響其他的虛擬路由器。這就保證了這種服務的最終用戶得到持續的網路性能。
虛擬路由器還提供獨立的策略和Internet工程任務組差別服務(Diff-Serv)功能,使虛擬路由器可以向最終用戶提交完全的定製服務。分配給每台虛擬路由器的I/O埠可以進行編程以對輸入包進行計數並保證輸入包不超過預先規定的合同。然後包根據自己的服務類型分類進入多條隊列。
隨著虛擬路由功能在骨幹網中變得更加普及,在動態精確地滿足最終用戶的帶寬需要的同時,它所具有的提供最終用戶對帶寬的最大限度的控制和管理的功能將帶來許多在價格上具有競爭力、高度定製的IP服務。這些服務將大大改變提供商和客戶看待購買帶寬世界的方式 。
虛擬路由器冗餘協議(VRRP:Virtual Router Rendancy Protocol)
虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成為了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網路內的所有主機都設置一條預設路由(如圖3-1所示,10.100.10.1),這樣,主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器RouterA,從而實現了主機與外部網路的通信。當路由器RouterA 壞掉時,本網段內所有以RouterA 為預設路由下一跳的主機將斷掉與外部的通信。VRRP 就是為解決上述問題而提出的,它為具有多播或廣播能力的區域網(如:乙太網)設計。我們結合下圖來看一下VRRP 的實現原理。VRRP 將區域網的一組路由器(包括一個Master 即活動路由器和若干個Backup 即備份路由器)組織成一個虛擬路由器,稱之為一個備份組。這個虛擬的路由器擁有自己的IP 地址10.100.10.1(這個IP 地址可以和備份組內的某個路由器的介面地址相同),備份組內的路由器也有自己的IP 地址(如Master的IP 地址為10.100.10.2,Backup 的IP 地址為10.100.10.3)。區域網內的主機僅僅知道這個虛擬路由器的IP 地址10.100.10.1,而並不知道具體的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它們將自己的預設路由下一跳地址設置為該虛擬路由器的IP 地址10.100.10.1。於是,網路內的主機就通過這個虛擬的路由器來與其它網路進行通信。如果備份組內的Master 路由器壞掉,Backup 路由器將會通過選舉策略選出一個新的Master 路由器,繼續向網路內的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通信。關於VRRP 協議的詳細信息,可以參考RFC 2338。
一、 應用實例
最典型的VRRP應用:RTA、RTB組成一個VRRP路由器組,假設RTB的處理能力高於 RTA,則將RTB配置成IP地址所有者,H1、H2、H3的默認網關設定為RTB。則RTB成為主控路由器,負責ICMP重定向、ARP應答和IP報文的轉發;一旦RTB失敗,RTA立即啟動切換,成為主控,從而保證了對客戶透明的安全切換。
在VRRP應用中,RTA在線時RTB只是作為後備,不參與轉發工作,閑置了路由器RTA和鏈路L1。通過合理的網路設計,可以到達備份和負載分擔雙重效果。讓RTA、RTB同時屬於互為備份的兩個VRRP組:在組1中RTA為IP地址所有者;組 2中RTB為IP地址所有者。將H1的默認網關設定為RTA;H2、H3的默認網關設定為RTB。這樣,既分擔了設備負載和網路流量,又提高了網路可靠性。
VRRP協議的工作機理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處。但二者主要的區別是在CISCO的HSRP中,需要單獨配置一個IP地址作為虛擬路由器對外體現的地址,這個地址不能是組中任何一個成員的介面地址。
使用VRRP協議,不用改造目前的網路結構,最大限度保護了當前投資,只需最少的管理費用,卻大大提升了網路性能,具有重大的應用價值。
二、工作原理
一個VRRP路由器有唯一的標識:VRID,范圍為0—255。該路由器對外表現為唯一的虛擬 MAC地址,地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響。
VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP多播數據包進行封裝,組地址為224.0.0.18,發布范圍只限於同一區域網內。這保證了VRID在不同網路中可以重復使用。為了減少網路帶寬消耗只有主控路由器才可以周期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先順序為0的通告後啟動新的一輪VRRP選舉。
在VRRP路由器組中,按優先順序選舉主控路由器,VRRP協議中優先順序范圍是0—255。若 VRRP路由器的IP地址和虛擬路由器的介面IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先順序:255。優先順序0一般用在IP地址所有者主動放棄主控者角色時使用。可配置的優先順序范圍為1—254。優先順序的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中,高優先順序的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現。對於相同優先順序的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先順序搶占策略,如果配置了該策略,高優先順序的備份路由器便會剝奪當前低優先順序的主控路由器而成為新的主控路由器。
為了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證。明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼。適合於避免在區域網內的配置錯誤,但不能防止通過網路監聽方式獲得密碼。 IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等攻擊。
3. 2017華為認證構建安全網路架構模擬真題(附答案)
1. HWTACACS僅僅只能對密碼部分進行加密而Radius協議除Radius報文頭以外,同時對報文主體全部進行加密。( )
True False
2. 負載均衡實現了將訪問不同IP地址的用戶流量分配到同一伺服器上的功能。( )
True False
3. 以下哪個不是IP-link的探測時發送的報文? ( )
(Select 2 Answers)
A. ARP報文
B. IGMP報文
C. ICMP報文
D. Hello報文
4. USGA與USGB配置了靜態BFD會話,下列關於BFD會話建立和拆除的過程,說法正確的是?( )
(Select 2 Answers)
A. USG A和USG B各自啟動BFD狀態機,初始狀態為Down,發送狀態為Down的BFD報文,Your Discriminator的值是0。
B. USG B本地BFD狀態為Init後,如果接下來繼續接收到狀態為Down的報文,重新進行處理更新自己的本地狀態。
C. USG B收到狀態為Init的BFD報文後,本地狀態切換至Up。
D. USG A和USG B發生“DOWN => INIT”的狀態遷移後,會啟動一個超時定時器。如果定時器超時仍未收到狀態為Init或Up的BFD報文,則本地狀態自動切換回Down。
5.USG系列防火牆雙機熱備不包括以下那些協議:( )
A. HRP
B.VRRP
C. VGMP
D. IGMP
6. 在配置USG雙機熱備時,(假設備份組號是1)虛擬地址的配置命令,正確的是哪項?( )
A. vrrp vrid 1 virtual-ip ip address master
B. vrrp virtual-ip ip address vrid 1 master
C. vrrp virtual-ip ip address master vrid 1
D. vrrp master virtual-ip ip address vrid 1
7. 下列關於VRRP和VGMP的協議報文,說法正確的是什麼? ( )
(Select 2 Answers)
A. VGMP管理組與VRRP備份組之間使用VGMP Hello報文通信
B. VGMP管理組之間通過VGMP Hello報文通信
C. VGMP管理組之間通過VRRP報文通信
D. VGMP管理組與VRRP備份組之間使用VGMP報文通信
8.在一個Eth-Trunk介面中,通過在各成員鏈路上配置不同的權重,可以實現流量負載分擔。( )
True False
9. 虛擬防火牆技術特點不包括以下哪項?( )
A. 提供路由多實例、安全多實例、配置多實例、NAT多實例、VPN多實例,應用靈活,可滿足多種組網需要。
B. 每個虛擬防火牆均可以獨立支持TRUST、UNTRUST、DMZ等 4個安全區域,介面靈活劃分和分配。
C. 從技術上保證了每一個虛系統和一個獨立防火牆從實現上是一樣的,而且非常安全,各個虛系統之間可以直接實現訪問。
D. 每個虛系統提供獨立的管理員許可權。
10. 以下不提供加密功能的VPN協議有哪些? ( )
(Select 3 Answers)
A. ESP
B. AH
C. L2TP
D. GRE
11. 在IPSec VPN中,以下哪個報文信息不存在?( )
A. AH報文頭
B. AH報文尾
C. ESP報文頭
D. ESP報文尾
12. IPSec VPN做NAT穿越的情況下,必須使用IKE的野蠻模式。( )
True False
13.下列關於IPSec和IKE的說法正確的是:( )
(Select 3 Answers)
A. IPSec有兩種協商方式建立安全聯盟,一種是手工方式(manual),一種是IKE 自動協商(isakmp)方式。
B. IKE 野蠻模式可以選擇根據協商發起端的IP 地址或者ID,來查找對應的身份驗證字並最終完成協商。
C. NAT 穿越功能刪去了IKE協商過程中對UDP 埠號的驗證過程,同時實現了對VPN 隧道中NAT 網關設備的發現功能,即如果發現NAT 網關設備,則將在之後的IPSec 數據傳輸中使用UDP 封裝。
D. IKE 的安全機制包括DH Diffie-Hellman 交換及密鑰分發,完善的前向安全性(Perfect Forward Secrecy PFS)以及SHA1等加密演算法。
14. 如果建立IPSec VPN隧道雙方,一方的IP地址不固定,則以下哪些配置方法不能適用在IP地址不固定的網關? ( )
A. 策略模板
B. 策略
C. 野蠻模式下的Name認證
D. 野蠻模式下的pre-share key認證
15. 網路攻擊的分類有流量型攻擊、掃描窺探攻擊、畸形報文攻擊和特殊報文攻擊。 ( )
True False
16. IP-MAC地址綁定配置如下:
[USG] firewall mac-binding 202.169.168.1 00e0-fc00-0100
當數據包通過華為防火牆設備時候,不考慮其他的策略情況(如包過濾,攻擊防範),下列數據能通過防火牆的有? ( )
(Select 2 Answers)
A. 數據包源IP:202.169.168.1
數據包源MAC:FFFF-FFFF-FFFF
B. 數據包源IP:202.169.168.2
數據包源MAC:00e0-fc00-0100
C. 數據包源IP:202.1.1.1
數據包源MAC:00e0-fc11-1111
D. 數據包源IP:202.169.168.1
數據包源MAC:00e0-fc00-0100
17. CC攻擊是哪種攻擊方式?( )
A. 拒絕服務型攻擊
B. 掃描窺探攻擊
C. 畸形報文攻擊
D. 基於系統漏洞的攻擊
18. DHCP Snooping功能需要維護綁定表,其綁定表的內容包括哪些?( )
A. MAC
B. Vlan
C. 介面
D. DHCP Server的IP
19. 在DDos攻擊防範中,如果通過服務學習功能,發現正常流量中根本沒有某種服務或某種服務流量很小,則可以在Anti-DDos設備上分別採用阻斷或限流方法來防禦攻擊。 ( )
True False
20. HTTPS Flood源認證防禦原理是,Anti-DDos設備代替SSL伺服器與客戶端完成TCP三次握手。如能完成TCP三次握手,表示HTTPS Flood源認證檢查成功。( )
True False
【參考答案】
1.F 2.F 3.BD 4.CD 5.D 6.A 7.BD 8.T 9.C 10.BCD 11.B 12.F 13.ABC 14.A 15.T 16.CD 17.A 18.ABC 19.T 20.F
4. lvssyncdaemonswap腳本在哪兒
keepalived.conf內容說明如下
●全局定義塊
1、email通知。作用:有故障,發郵件報警。
2、Lvs負載均衡器標識(lvs_id)。在一個網路內,它應該是唯一的。
3、花括弧「{}」。用來分隔定義塊,因此必須成對出現。如果寫漏了,keepalived運行時,不會得到預期的結果。由於定義塊內存在嵌套關系,因此很容易遺漏結尾處的花括弧,這點要特別注意。
●VRRP定義塊
1、同步vrrp組vrrp_sync_group。作用:確定失敗切換(FailOver)包含的路由實例個數。即在有2個負載均衡器的場景,一旦某個負載均衡器失效,需要自動切換到另外一個負載均衡器的實例是哪些?
2、實例組group。至少包含一個vrrp實例。
3、Vrrp實例vrrp_instance。實例名出自實例組group所包含的那些名字。
(1) 實例狀態state。只有MASTER和BACKUP兩種狀態,並且需要大寫這些單詞。其中MASTER為工作狀態,BACKUP為備用狀態。當 MASTER所在的伺服器失效時,BACKUP所在的系統會自動把它的狀態有BACKUP變換成MASTER;當失效的MASTER所在的系統恢復 時,BACKUP從MASTER恢復到BACKUP狀態。
(2)通信介面interface。對外提供服務的網路介面,如eth0,eth1.當前主流的伺服器都有2個或2個以上的介面,在選擇服務介面時,一定要核實清楚。
(3)lvs_sync_daemon_inteface。 負載均衡器之間的監控介面,類似於HA HeartBeat的心跳線。但它的機制優於Heartbeat,因為它沒有「裂腦」這個問題,它是以優先順序這個 機制來規避這個麻煩的。在DR模式中,lvs_sync_daemon_inteface 與服務介面interface 使用同一個網路介面。
(4)虛擬路由標識virtual_router_id。這個標識是一個數字,並且同一個vrrp實例使用唯一的標識。即同一個vrrp_stance,MASTER和BACKUP的virtual_router_id是一致的,同時在整個vrrp內是唯一的。
(5)優先順序priority。這是一個數字,數值愈大,優先順序越高。在同一個vrrp_instance里,MASTER 的優先順序高於BACKUP。若MASTER的priority值為150,那麼BACKUP的priority只能是140或更小的數值。
(6)同步通知間隔advert_int。MASTER與BACKUP負載均衡器之間同步檢查的時間間隔,單位為秒。
(7)驗證authentication。包含驗證類型和驗證密碼。類型主要有PASS、AH兩種,通常使用的類型為PASS,據說AH使用時有問題。驗證密碼為明文,同一vrrp實例MASTER與BACKUP 使用相同的密碼才能正常通信。
4、 虛擬ip地址virtual_ipaddress。可以有多個地址,每個地址佔一行,不需要指定子網掩碼。注意:這個ip必須與我們在lvs客戶端設定的vip相一致!
●虛擬伺服器virtual_server定義塊
虛擬伺服器定義是keepalived框架最重要的項目了,是keepalived.conf必不可少的部分。
1、虛擬伺服器virtual_server。這個ip來自於vrrp定義塊的第「4」步,後面一個空格,然後加上埠號。定義一個vip,可以實現多個tcp埠的負載均衡功能。
(1)delay_loop。健康檢查時間間隔,單位是秒。
(2)lb_algo。負載均衡調度演算法,互聯網應用常使用wlc或rr。
(3)lb_kind。負載均衡轉發規則。一般包括DR、NAT、TUN3種,在我的方案中,都使用DR的方式。
(4)persistence_timeout。 會話保持時間,單位是秒。這個選項對動態網站很有用處:當用戶從遠程用帳號進行登陸網站時,有了這個會話保持功能,就能把用戶的請求轉發給同一個應用服務 器。在這里,我們來做一個假設,假定現在有一個lvs 環境,使用DR轉發模式,真實伺服器有3個, 負載均衡器不啟用會話保持功能。當用戶第一次訪問的時候,他的訪問請求被負載均衡器轉給某個真實伺服器,這樣他看到一個登陸頁面,第一次訪問完畢;接著他 在登陸框填寫用戶名和密碼,然後提交;這時候,問題就可能出現了---登陸不能成功。因為沒有會話保持,負載均衡器可能會把第2次的請求轉發到其他的伺服器。
(5)轉發協議protocol。一般有tcp和udp兩種。實話說,我還沒嘗試過udp協議類的轉發。
2、真實伺服器real_server,也即伺服器池。Real_server的值包括ip地址和埠號,多個連續的真實ip。
(1)權重weight,權重值是一個數字,數值越大,權重越高。使用不同的權重值的目的在於為不同性能的機器分配不同的負載,性能較好的機器,負載分擔大些;反之,性能差的機器,則分擔較少的負載,這樣就可以合理的利用不同性能的機器資源。
(2)Tcp檢查tcp_check。
第③版更新內容如下:
每台伺服器都有二塊網卡,分別連接內外網;後端的mysql資料庫與web連接採用內網方式,整個網路環境採用內網;
增加了keepalived.conf語法內容;
刪除了lvs.sh腳本內容,直接讓keepalived內容更直接明了;
lvs主從機上的keepalived.conf文件我直接從生產伺服器上download下來了,可方便大家使用。
※值得注意的是:
1、你必須向你的伺服器所在機房IDC多申請一個IP供VIP使用;多關注/var/log/messages和ipvsadm -ln,利用其有效信息排錯。
2、伺服器的iptables、Selinux均關閉;在生產環境中,我就遇到了iptables的NAT轉發問題,導致了lvs失敗。
3、 keepalived的啟動過程並不會對配置文件進行語法檢查,就算沒有配置文件,keepalived的守護進程照樣能夠被運行起來。在默認狀態下,即 不指定配置文件的位置--keepalived先查找文件/etc/keepalived/keepalived.conf。
4、session的過程默認是以文件的形式存在,在瀏覽器關閉或重啟時刪除;會話保持我建議寫成120秒,如果這個值設置得不合理,用戶將得到非常糟糕的訪問效果。
5、 keepalived是lvs的擴展項目,因此它們之間具備良好的兼容性,這點應該是keepalived部署比其他類似工具能更簡潔的原因 吧,lvs+keepalived目前是一個應用於生產環境的成熟架構,實現了真正意義上的負載均衡高可用,尤其適用於bbs和blog(它們均是訪問頻 繁,用戶量大的對象),建議熟練掌握。
LVS 演算法說明
LVS的常見八種調度演算法:
一:輪叫調度(Round-Robin Scheling)
輪叫調度(Round Robin Scheling)演算法就是以輪叫的方式依次將請求調度不同的伺服器,即每次調度執行i = (i + 1) mod n,並選出第i台伺服器。演算法的優點是其簡潔性,它無需記錄當前所有連接的狀態,所以它是一種無狀態調度。
二:加權輪叫調度(Weighted Round-Robin Scheling)
加權輪叫調度 (Weighted Round-Robin Scheling)演算法可以解決伺服器間性能不一的情況,它用相應的權值表示伺服器的處理性能,伺服器的預設權值為1。假設伺服器A的權值為1,B的權值為2,則表示伺服器B的處理性能是A的兩倍。加權輪叫調度演算法是按權值的高低和輪叫方式分配請求到各伺服器。權值高的伺服器先收到的連接,權值高的伺服器比權值低的伺服器處理更多的連接,相同權值的伺服器處理相同數目的連接數。
三:最小連接調度(Least-Connection Scheling)
最 小連接調度(Least- Connection Scheling)演算法是把新的連接請求分配到當前連接數最小的伺服器。最小連接調度是一種動態調 度演算法,它通過伺服器當前所活躍的連接數來估計伺服器的負載情況。調度器需要記錄各個伺服器已建立連接的數目,當一個請求被調度到某台伺服器,其連接數加1;當連接中止或超時,其連接數減一。
四:加權最小連接調度(Weighted Least-Connection Scheling)
加權最小連接調 度(Weighted Least-Connection Scheling)演算法是最小連接調度的超集,各個伺服器用相應的權值表示其處理性能。伺服器的預設權值為1,系統管理員可以動態地設置伺服器的權值。加權最小連接調度在調度新連接時盡可能使伺服器的已建立連接數和其權值成比例。
五:基於局部性的最少鏈接(Locality-Based Least Connections Scheling)
基 於局部性的最少鏈接調度(Locality-Based Least Connections Scheling,以下簡稱為LBLC)演算法是針對請 求報文的目標IP地址的負載均衡調度,目前主要用於Cache集群系統,因為在Cache集群中客戶請求報文的目標IP地址是變化的。這里假設任何後端服 務器都可以處理任一請求,演算法的設計目標是在伺服器的負載基本平衡情況下,將相同目標IP地址的請求調度到同一台伺服器,來提高各台伺服器的訪問局部性和 主存Cache命中率,從而整個集群系統的處理能力。LBLC調度演算法先根據請求的目標IP地址找出該目標IP地址最近使用的伺服器,若該伺服器是可用的 且沒有超載,將請求發送到該伺服器;若伺服器不存在,或者該伺服器超載且有伺服器處於其一半的工作負載,則用「最少鏈接」的原則選出一個可用的伺服器,將 請求發送到該伺服器。
六: 帶復制的基於局部性最少鏈接(Locality-Based Least Connections with Replication Scheling)
帶 復制的基於局部性最少鏈接調度(Locality- Based Least Connections with Replication Scheling,以下簡稱為LBLCR)演算法也是針對目標 IP地址的負載均衡,目前主要用於Cache集群系統。它與LBLC演算法的不同之處是它要維護從一個目標IP地址到一組伺服器的映射,而LBLC演算法維護 從一個目標IP地址到一台伺服器的映射。對於一個「熱門」站點的服務請求,一台Cache 伺服器可能會忙不過來處理這些請求。這時,LBLC調度演算法會 從所有的Cache伺服器中按「最小連接」原則選出一台Cache伺服器,映射該「熱門」站點到這台Cache伺服器,很快這台Cache伺服器也會超 載,就會重復上述過程選出新的Cache伺服器。這樣,可能會導致該「熱門」站點的映像會出現在所有的Cache伺服器上,降低了Cache伺服器的使用 效率。LBLCR調度演算法將「熱門」站點映射到一組Cache伺服器(伺服器集合),當該「熱門」站點的請求負載增加時,會增加集合里的Cache服務 器,來處理不斷增長的負載;當該「熱門」站點的請求負載降低時,會減少集合里的Cache伺服器數目。這樣,該「熱門」站點的映像不太可能出現在所有的 Cache伺服器上,從而提供Cache集群系統的使用效率。LBLCR演算法先根據請求的目標IP 地址找出該目標IP地址對應的伺服器組;按「最小連 接」原則從該伺服器組中選出一台伺服器,若伺服器沒有超載,將請求發送到該伺服器;若伺服器超載;則按 「最小連接」原則從整個集群中選出一台伺服器,將 該伺服器加入到伺服器組中,將請求發送到該伺服器。同時,當該伺服器組有一段時間沒有被修改,將最忙的伺服器從伺服器組中刪除,以降低復制的程度。
七:目標地址散列調度(Destination Hashing Scheling)
目 標地址散列調度 (Destination Hashing Scheling)演算法也是針對目標IP地址的負載均衡,但它是一種靜態映射演算法,通過 一個散列(Hash)函數將一個目標IP地址映射到一台伺服器。目標地址散列調度演算法先根據請求的目標IP地址,作為散列鍵(Hash Key)從靜態分 配的散列表找出對應的伺服器,若該伺服器是可用的且未超載,將請求發送到該伺服器,否則返回空。
八:源地址散列調度(Source Hashing Scheling)
源 地址散列調度(Source Hashing Scheling)演算法正好與目標地址散列調度演算法相反,它根據請求的源IP地址,作為散列鍵 (Hash Key)從靜態分配的散列表找出對應的伺服器,若該伺服器是可用的且未超載,將請求發送到該伺服器,否則返回空。它採用的散列函數與目標地址 散列調度演算法的相同。它的演算法流程與目標地址散列調度演算法的基本相似,除了將請求的目標IP地址換成請求的源IP地址,所以這里不一一敘述。在實際應用 中,源地址散列調度和目標地址散列調度可以結合使用在防火牆集群中,它們可以保證整個系統的唯一出入口。
5. keepalived怎麼重新載入配置文件
keepalived.conf內容說明如下
●全局定義塊
1、email通知。作用:有故障,發郵件報警。
2、Lvs負載均衡器標識(lvs_id)。在一個網路內,它應該是唯一的。
3、花括弧「{}」。用來分隔定義塊,因此必須成對出現。如果寫漏了,keepalived運行時,不會得到預期的結果。由於定義塊內存在嵌套關系,因此很容易遺漏結尾處的花括弧,這點要特別注意。
●VRRP定義塊
1、同步vrrp組vrrp_sync_group。作用:確定失敗切換(FailOver)包含的路由實例個數。即在有2個負載均衡器的場景,一旦某個負載均衡器失效,需要自動切換到另外一個負載均衡器的實例是哪些?
2、實例組group。至少包含一個vrrp實例。
3、Vrrp實例vrrp_instance。實例名出自實例組group所包含的那些名字。
(1) 實例狀態state。只有MASTER和BACKUP兩種狀態,並且需要大寫這些單詞。其中MASTER為工作狀態,BACKUP為備用狀態。當 MASTER所在的伺服器失效時,BACKUP所在的系統會自動把它的狀態有BACKUP變換成MASTER;當失效的MASTER所在的系統恢復 時,BACKUP從MASTER恢復到BACKUP狀態。
(2)通信介面interface。對外提供服務的網路介面,如eth0,eth1.當前主流的伺服器都有2個或2個以上的介面,在選擇服務介面時,一定要核實清楚。
(3)lvs_sync_daemon_inteface。 負載均衡器之間的監控介面,類似於HA HeartBeat的心跳線。但它的機制優於Heartbeat,因為它沒有「裂腦」這個問題,它是以優先順序這個 機制來規避這個麻煩的。在DR模式中,lvs_sync_daemon_inteface 與服務介面interface 使用同一個網路介面。
(4)虛擬路由標識virtual_router_id。這個標識是一個數字,並且同一個vrrp實例使用唯一的標識。即同一個vrrp_stance,MASTER和BACKUP的virtual_router_id是一致的,同時在整個vrrp內是唯一的。
(5)優先順序priority。這是一個數字,數值愈大,優先順序越高。在同一個vrrp_instance里,MASTER 的優先順序高於BACKUP。若MASTER的priority值為150,那麼BACKUP的priority只能是140或更小的數值。
(6)同步通知間隔advert_int。MASTER與BACKUP負載均衡器之間同步檢查的時間間隔,單位為秒。
(7)驗證authentication。包含驗證類型和驗證密碼。類型主要有PASS、AH兩種,通常使用的類型為PASS,據說AH使用時有問題。驗證密碼為明文,同一vrrp實例MASTER與BACKUP 使用相同的密碼才能正常通信。
4、 虛擬ip地址virtual_ipaddress。可以有多個地址,每個地址佔一行,不需要指定子網掩碼。注意:這個ip必須與我們在lvs客戶端設定的vip相一致!
●虛擬伺服器virtual_server定義塊
虛擬伺服器定義是keepalived框架最重要的項目了,是keepalived.conf必不可少的部分。
1、虛擬伺服器virtual_server。這個ip來自於vrrp定義塊的第「4」步,後面一個空格,然後加上埠號。定義一個vip,可以實現多個tcp埠的負載均衡功能。
(1)delay_loop。健康檢查時間間隔,單位是秒。
(2)lb_algo。負載均衡調度演算法,互聯網應用常使用wlc或rr。
(3)lb_kind。負載均衡轉發規則。一般包括DR、NAT、TUN3種,在我的方案中,都使用DR的方式。
(4)persistence_timeout。 會話保持時間,單位是秒。這個選項對動態網站很有用處:當用戶從遠程用帳號進行登陸網站時,有了這個會話保持功能,就能把用戶的請求轉發給同一個應用服務 器。在這里,我們來做一個假設,假定現在有一個lvs 環境,使用DR轉發模式,真實伺服器有3個, 負載均衡器不啟用會話保持功能。當用戶第一次訪問的時候,他的訪問請求被負載均衡器轉給某個真實伺服器,這樣他看到一個登陸頁面,第一次訪問完畢;接著他 在登陸框填寫用戶名和密碼,然後提交;這時候,問題就可能出現了---登陸不能成功。因為沒有會話保持,負載均衡器可能會把第2次的請求轉發到其他的伺服器。
(5)轉發協議protocol。一般有tcp和udp兩種。實話說,我還沒嘗試過udp協議類的轉發。
2、真實伺服器real_server,也即伺服器池。Real_server的值包括ip地址和埠號,多個連續的真實ip。
(1)權重weight,權重值是一個數字,數值越大,權重越高。使用不同的權重值的目的在於為不同性能的機器分配不同的負載,性能較好的機器,負載分擔大些;反之,性能差的機器,則分擔較少的負載,這樣就可以合理的利用不同性能的機器資源。
(2)Tcp檢查tcp_check。
第③版更新內容如下:
每台伺服器都有二塊網卡,分別連接內外網;後端的mysql資料庫與web連接採用內網方式,整個網路環境採用內網;
增加了keepalived.conf語法內容;
刪除了lvs.sh腳本內容,直接讓keepalived內容更直接明了;
lvs主從機上的keepalived.conf文件我直接從生產伺服器上download下來了,可方便大家使用。
※值得注意的是:
1、你必須向你的伺服器所在機房IDC多申請一個IP供VIP使用;多關注/var/log/messages和ipvsadm -ln,利用其有效信息排錯。
2、伺服器的iptables、Selinux均關閉;在生產環境中,我就遇到了iptables的NAT轉發問題,導致了lvs失敗。
3、 keepalived的啟動過程並不會對配置文件進行語法檢查,就算沒有配置文件,keepalived的守護進程照樣能夠被運行起來。在默認狀態下,即 不指定配置文件的位置--keepalived先查找文件/etc/keepalived/keepalived.conf。
4、session的過程默認是以文件的形式存在,在瀏覽器關閉或重啟時刪除;會話保持我建議寫成120秒,如果這個值設置得不合理,用戶將得到非常糟糕的訪問效果。
5、 keepalived是lvs的擴展項目,因此它們之間具備良好的兼容性,這點應該是keepalived部署比其他類似工具能更簡潔的原因 吧,lvs+keepalived目前是一個應用於生產環境的成熟架構,實現了真正意義上的負載均衡高可用,尤其適用於bbs和blog(它們均是訪問頻 繁,用戶量大的對象),建議熟練掌握。
LVS 演算法說明
LVS的常見八種調度演算法:
一:輪叫調度(Round-Robin Scheling)
輪叫調度(Round Robin Scheling)演算法就是以輪叫的方式依次將請求調度不同的伺服器,即每次調度執行i = (i + 1) mod n,並選出第i台伺服器。演算法的優點是其簡潔性,它無需記錄當前所有連接的狀態,所以它是一種無狀態調度。
二:加權輪叫調度(Weighted Round-Robin Scheling)
加權輪叫調度 (Weighted Round-Robin Scheling)演算法可以解決伺服器間性能不一的情況,它用相應的權值表示伺服器的處理性能,伺服器的預設權值為1。假設伺服器A的權值為1,B的權值為2,則表示伺服器B的處理性能是A的兩倍。加權輪叫調度演算法是按權值的高低和輪叫方式分配請求到各伺服器。權值高的伺服器先收到的連接,權值高的伺服器比權值低的伺服器處理更多的連接,相同權值的伺服器處理相同數目的連接數。
三:最小連接調度(Least-Connection Scheling)
最 小連接調度(Least- Connection Scheling)演算法是把新的連接請求分配到當前連接數最小的伺服器。最小連接調度是一種動態調 度演算法,它通過伺服器當前所活躍的連接數來估計伺服器的負載情況。調度器需要記錄各個伺服器已建立連接的數目,當一個請求被調度到某台伺服器,其連接數加1;當連接中止或超時,其連接數減一。
四:加權最小連接調度(Weighted Least-Connection Scheling)
加權最小連接調 度(Weighted Least-Connection Scheling)演算法是最小連接調度的超集,各個伺服器用相應的權值表示其處理性能。伺服器的預設權值為1,系統管理員可以動態地設置伺服器的權值。加權最小連接調度在調度新連接時盡可能使伺服器的已建立連接數和其權值成比例。
五:基於局部性的最少鏈接(Locality-Based Least Connections Scheling)
基 於局部性的最少鏈接調度(Locality-Based Least Connections Scheling,以下簡稱為LBLC)演算法是針對請 求報文的目標IP地址的負載均衡調度,目前主要用於Cache集群系統,因為在Cache集群中客戶請求報文的目標IP地址是變化的。這里假設任何後端服 務器都可以處理任一請求,演算法的設計目標是在伺服器的負載基本平衡情況下,將相同目標IP地址的請求調度到同一台伺服器,來提高各台伺服器的訪問局部性和 主存Cache命中率,從而整個集群系統的處理能力。LBLC調度演算法先根據請求的目標IP地址找出該目標IP地址最近使用的伺服器,若該伺服器是可用的 且沒有超載,將請求發送到該伺服器;若伺服器不存在,或者該伺服器超載且有伺服器處於其一半的工作負載,則用「最少鏈接」的原則選出一個可用的伺服器,將 請求發送到該伺服器。
六: 帶復制的基於局部性最少鏈接(Locality-Based Least Connections with Replication Scheling)
帶 復制的基於局部性最少鏈接調度(Locality- Based Least Connections with Replication Scheling,以下簡稱為LBLCR)演算法也是針對目標 IP地址的負載均衡,目前主要用於Cache集群系統。它與LBLC演算法的不同之處是它要維護從一個目標IP地址到一組伺服器的映射,而LBLC演算法維護 從一個目標IP地址到一台伺服器的映射。對於一個「熱門」站點的服務請求,一台Cache 伺服器可能會忙不過來處理這些請求。這時,LBLC調度演算法會 從所有的Cache伺服器中按「最小連接」原則選出一台Cache伺服器,映射該「熱門」站點到這台Cache伺服器,很快這台Cache伺服器也會超 載,就會重復上述過程選出新的Cache伺服器。這樣,可能會導致該「熱門」站點的映像會出現在所有的Cache伺服器上,降低了Cache伺服器的使用 效率。LBLCR調度演算法將「熱門」站點映射到一組Cache伺服器(伺服器集合),當該「熱門」站點的請求負載增加時,會增加集合里的Cache服務 器,來處理不斷增長的負載;當該「熱門」站點的請求負載降低時,會減少集合里的Cache伺服器數目。這樣,該「熱門」站點的映像不太可能出現在所有的 Cache伺服器上,從而提供Cache集群系統的使用效率。LBLCR演算法先根據請求的目標IP 地址找出該目標IP地址對應的伺服器組;按「最小連 接」原則從該伺服器組中選出一台伺服器,若伺服器沒有超載,將請求發送到該伺服器;若伺服器超載;則按 「最小連接」原則從整個集群中選出一台伺服器,將 該伺服器加入到伺服器組中,將請求發送到該伺服器。同時,當該伺服器組有一段時間沒有被修改,將最忙的伺服器從伺服器組中刪除,以降低復制的程度。
七:目標地址散列調度(Destination Hashing Scheling)
目 標地址散列調度 (Destination Hashing Scheling)演算法也是針對目標IP地址的負載均衡,但它是一種靜態映射演算法,通過 一個散列(Hash)函數將一個目標IP地址映射到一台伺服器。目標地址散列調度演算法先根據請求的目標IP地址,作為散列鍵(Hash Key)從靜態分 配的散列表找出對應的伺服器,若該伺服器是可用的且未超載,將請求發送到該伺服器,否則返回空。
八:源地址散列調度(Source Hashing Scheling)
源 地址散列調度(Source Hashing Scheling)演算法正好與目標地址散列調度演算法相反,它根據請求的源IP地址,作為散列鍵 (Hash Key)從靜態分配的散列表找出對應的伺服器,若該伺服器是可用的且未超載,將請求發送到該伺服器,否則返回空。它採用的散列函數與目標地址 散列調度演算法的相同。它的演算法流程與目標地址散列調度演算法的基本相似,除了將請求的目標IP地址換成請求的源IP地址,所以這里不一一敘述。在實際應用 中,源地址散列調度和目標地址散列調度可以結合使用在防火牆集群中,它們可以保證整個系統的唯一出入口。
此文出處撫琴煮酒之網路博客
6. 路由表中包含哪些核心信息 A嚇一跳地址B出介面
目前核心路由器的市場表現非常不錯,高速核心路由器的系統交換能力與處理能力是其有別於一般核心路由器能力的重要體現。
目前,高速核心路由器的背板交換能力應達到40Gbps以上,同時系統即使暫時不提供OC-192/STM-64介面,也必須在將來無須對現有介面卡和通用部件升級的情況下支持該介面。在設備處理能力方面,當系統滿負荷運行時,所有介面應該能夠以線速處理短包,如40位元組、64位元組,同時,高速核心路由器的交換矩陣應該能夠無阻塞地以線速處理所有介面的交換,且與流量的類型無關。
指標之一: 吞吐量
吞吐量是核心路由器的包轉發能力。吞吐量與核心路由器埠數量、埠速率、數據包長度、數據包類型、路由計算模式(分布或集中)以及測試方法有關,一般泛指處理器處理數據包的能力。高速核心路由器的包轉發能力至少達到20Mpps以上。吞吐量主要包括兩個方面:
1. 整機吞吐量
整機指設備整機的包轉發能力,是設備性能的重要指標。核心路由器的工作在於根據IP包頭或者MPLS 標記選路,因此性能指標是指每秒轉發包的數量。整機吞吐量通常小於核心路由器所有埠吞吐量之和。
2. 埠吞吐量
埠吞吐量是指埠包轉發能力,它是核心路由器在某埠上的包轉發能力。通常採用兩個相同速率測試介面。一般測試介面可能與介面位置及關系相關,例如同一插卡上埠間測試的吞吐量可能與不同插卡上埠間吞吐量值不同。
指標之二:路由表能力
核心路由器通常依靠所建立及維護的路由表來決定包的轉發。路由表能力是指路由表內所容納路由表項數量的極限。由於在Internet上執行BGP協議的核心路由器通常擁有數十萬條路由表項,所以該項目也是核心路由器能力的重要體現。一般而言,高速核心路由器應該能夠支持至少25萬條路由,平均每個目的地址至少提供2條路徑,系統必須支持至少25個BGP對等以及至少50個IGP鄰居。
指標之三:背板能力
背板指輸入與輸出埠間的物理通路。背板能力是核心路由器的內部實現,傳統核心路由器採用共享背板,但是作為高性能核心路由器不可避免會遇到擁塞問題,其次也很難設計出高速的共享匯流排,所以現有高速核心路由器一般採用可交換式背板的設計。背板能力能夠體現在核心路由器吞吐量上,背板能力通常大於依據吞吐量和測試包長所計算的值。但是背板能力只能在設計中體現,一般無法測試。
指標之四:丟包率
丟包率是指核心路由器在穩定的持續負荷下,由於資源缺少而不能轉發的數據包在應該轉發的數據包中所佔的比例。丟包率通常用作衡量核心路由器在超負荷工作時核心路由器的性能。丟包率與數據包長度以及包發送頻率相關,在一些環境下,可以加上路由抖動或大量路由後進行測試模擬。
指標之五:時延
時延是指數據包第一個比特進入核心路由器到最後一個比特從核心路由器輸出的時間間隔。該時間間隔是存儲轉發方式工作的核心路由器的處理時間。時延與數據包長度和鏈路速率都有關,通常在核心路由器埠吞吐量范圍內測試。時延對網路性能影響較大, 作為高速核心路由器,在最差情況下, 要求對1518位元組及以下的IP包時延均都小於1ms。
指標之六:背靠背幀數
背靠背幀數是指以最小幀間隔發送最多數據包不引起丟包時的數據包數量。該指標用於測試核心路由器緩存能力。具有線速全雙工轉發能力的核心路由器,該指標值無限大。
指標之七:時延抖動
時延抖動是指時延變化。數據業務對時延抖動不敏感,所以該指標通常不作為衡量高速核心路由器的重要指標。對IP上除數據外的其他業務,如語音、視頻業務,該指標才有測試的必要性。
指標之八:服務質量能力
1.隊列管理機制
隊列管理控制機制通常指核心路由器擁塞管理機制及其隊列調度演算法。常見的方法有RED、WRED、 WRR、DRR、WFQ、WF2Q等。
(1)支持公平排隊演算法。
(2)支持加權公平排隊演算法。該演算法給每個隊列一個權(weight),由它決定該隊列可享用的鏈路帶寬。這樣,實時業務可以確實得到所要求的性能,非彈性業務流可以與普通(Best-effort)業務流相互隔離。
(3)在輸入/輸出隊列的管理上,應採用虛擬輸出隊列的方法。
擁塞控制:
(1)必須支持WFQ、RED等擁塞控制機制。
(2)必須支持一種機制,由該機制可以為不符合其業務級別CIR/Burst合同的流量標記一個較高的丟棄優先順序,該優先順序應比滿足合同的流量和盡力而為的流量的丟棄優先順序高。
(3)在有可能存在輸出隊列爭搶的交換環境中,必須提供有效的方法消除頭部擁塞。
2.埠硬體隊列數
通常核心路由器所支持的優先順序由埠硬體隊列來保證。每個隊列中的優先順序由隊列調度演算法控制。
指標之九:網路管理
網管是指網路管理員通過網路管理程序對網路上資源進行集中化管理的操作,包括配置管理、計賬管理、性能管理、差錯管理和安全管理。設備所支持的網管程度體現設備的可管理性與可維護性,通常使用SNMPv2協議進行管理。網管粒度指示核心路由器管理的精細程度,如管理到埠、到網段、到IP地址、到MAC地址等粒度。管理粒度可能會影響核心路由器轉發能力。
指標之十:可靠性和可用性
1.設備的冗餘
冗餘可以包括介面冗餘、插卡冗餘、電源冗餘、系統板冗餘、時鍾板冗餘、設備冗餘等。冗餘用於保證設備的可靠性與可用性,冗餘量的設計應當在設備可靠性要求與投資間折衷。 核心路由器可以通過VRRP等協議來保證核心路由器的冗餘。
2.熱插拔組件
由於核心路由器通常要求24小時工作,所以更換部件不應影響核心路由器工作。部件熱插拔是核心路由器24小時工作的保障。
3.無故障工作時間
該指標按照統計方式指出設備無故障工作的時間。一般無法測試,可以通過主要器件的無故障工作時間計算或者大量相同設備的工作情況計算。
4.內部時鍾精度
擁有ATM埠做電路模擬或者POS口的核心路由器互連通常需要同步。在使用內部時鍾時,其精度會影響誤碼率。在高速路由器技術規范中,高速核心路由器的可靠性與可靠性規定應達到以下要求:
① 系統應達到或超過99.999%的可用性。
② 無故障連續工作時間:MTBF>10萬小時。
③ 故障恢復時間:系統故障恢復時間 < 30 mins。
④ 系統應具有自動保護切換功能。主備用切換時間應小於50ms。
⑤ SDH和ATM介面應具有自動保護切換功能,切換時間應小於50ms。
⑥ 要求設備具有高可靠性和高穩定性。主處理器、主存儲器、交換矩陣、電源、匯流排仲裁器和管理介面等系統主要部件應具有熱備份冗餘。線卡要求m+n備份並提供遠端測試診斷功能。電源故障能保持連接的有效性。
⑦ 系統必須不存在單故障點。