前面我们介绍的VRRP(),两台设备之间处于主备关系,也就是说,当主设备故障之后,流量才会切换到备设备上。这种使用方式一定程度上讲,不太符合经济适用的原则,我们前面介绍过链路聚合()、负载均衡()和策略路由()等等,都是为了在提高可靠性的同时尽可能的提高转发性能。以上个案例为例,如果我们不使用VRRP,我们仍然可以使用策略路由实现两台设备的主备,但是主备切换做到VRRP这种效果还是有点难度的。
今天,我们来简单对比一下VRRP单备份组和策略路由之间主备切换的差异。
组网需求
1、核心交换机CORESW通过虚拟网关10.1.1.1与VRRP备份组互通;
2、手工配置VRRP1为主设备,VRRP2为备设备。当VRRP1正常工作时,PCA发送到ISP的报文经VRRP1转发;当VRRP1出现故障时,PCA发送给Host B的报文通过VRRP2转发。
3、配置VRRP1工作在VRRP抢占模式,以保证VRRP1故障恢复后,能再次抢占成为Master,即只要VRRP1正常工作,就由VRRP1负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为3000厘秒(30秒);
4、实现PCA可以持续访问ISP的业务地址8.8.8.8。
组网图
VRRP配置组网图:
实验环境
Windows 10专业版(1909-18363.1556,16 GB内存)
HCL 3.0.1
MSR 36-20(Version 7.1.064, Release 0821P11)
S5820V2-54QS-GE(Version 7.1.075, Alpha 7571)
配置步骤
上次的实验配置我们保持不变,在CORESW设备上增加策略路由配置如下:
#
acl advanced 3300
rule 0 permit ip
#
policy-based-route vrrp permit node 10
if-match acl 3300
apply loadshare next-hop
apply next-hop 10.1.1.11
apply next-hop 10.1.1.22
#
interface Vlan-interface2
ip address 10.2.1.254 255.255.255.0
ip policy-based-route vrrp
可以看到,我们在PCA的网关下面,应用了策略路由vrrp,策略路由配置为匹配所有转发流量,策略路由的动作配置为负载分担模式,应用的下一跳分别为VRRP1和VRRP2的接口真实IP地址,以此来实现与VRRP现有配置的不冲突。
然后我们在PCA上开始长ping,中间DOWN掉VRRP1的下联口看一下效果。
好家伙,直接断掉了,这是为什么呢?原因也简单,现在CORESW和VRRP1、VRRP2之间是通过二层地址通信的,因为本地的互联接口Vlan-interface1没有DOWN,所以策略路由不会切换。简单来说,就是CORESW不知道VRRP1的互联地址已经不通了。那要怎么解决呢?也简单,一般就是使用NQA和Track进行联动。
NQA全称是Network Quality Analyzer,直译为网络质量分析,NQA通过发送探测报文,对链路状态、网络性能、网络提供的服务及服务质量进行分析,并为用户提供标识当前网络性能和服务质量的参数,本案例中,我们就是要NQA来探测互联地址的可达性。
我们创建一个管理员名为vrrpnqa、操作标签为vrrp1的NQA测试组,配置测试类型为ICMP-echo,配置测试的目的地址和下一跳地址均为10.1.1.11,以便通过NQA检测到VRRP1的连通性。
#
nqa entry vrrpnqa vrrp1
type icmp-echo
destination ip 10.1.1.11
next-hop ip 10.1.1.11
配置测试频率为100 ms,并配置联动项1,设置连续失败5次触发联动。
#
nqa entry vrrpnqa vrrp1
type icmp-echo
frequency 100
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
然后启动NQA探测,配置为立即启动,长期有效。
#
nqa schedule vrrpnqa vrrp1 start-time now lifetime forever
接下来配置Track项1和NQA测试组的关联。
#
track 1 nqa entry vrrpnqa vrrp1 reaction 1
同理,我们再配置一个到VRRP2连通性的NQA检测。
#
nqa entry vrrpnqa vrrp2
type icmp-echo
destination ip 10.1.1.22
next-hop ip 10.1.1.22
frequency 100
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
#
nqa schedule vrrpnqa vrrp2 start-time now lifetime forever
#
track 2 nqa entry vrrpnqa vrrp2 reaction 1
查看一下NQA测试的当前结果。
探测成功,未出现失败告警。
还可以查看NQA测试的统计信息。
通过这些统计数据,我们可以分析当前NQA检测的链路质量信息。
查看一下Track项的状态信息。
状态为Positive,表示状态正常。
接下来,我们配置策略路由和NQA检测的Track联动。
#
policy-based-route vrrp permit node 10
if-match acl 3300
apply next-hop 10.1.1.11 track 1
apply next-hop 10.1.1.22 track 2
我们从PCA上traceroute看一下转发路径。
可以看到有两条转发路径了。
然后,我们再次在PCA上开始长ping,中间分别测试DOWN掉VRRP1和VRRP2的下联口看一下效果。
在DOWN掉VRRP1的下联口时,丢包7个,业务中断14秒左右,然后切换到VRRP2上。
在DOWN掉VRRP2的下联口时,丢包11个,业务中断22秒左右,然后切换到VRRP1上。
经过观察,发现是NQA的检测结果耗时比较长。
现在连续两次探测开始时间的时间间隔我们配置的是100毫秒,已经很快了,但是缺省情况下,探测的超时时间为3000毫秒,比较长,我们将其调整为200毫秒;同时,将连续失败5次触发联动调整为3次。
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
调整后的配置如下:
#
nqa entry vrrpnqa vrrp1
type icmp-echo
destination ip 10.1.1.11
frequency 100
next-hop ip 10.1.1.11
probe timeout 200
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
#
nqa entry vrrpnqa vrrp2
type icmp-echo
destination ip 10.1.1.22
frequency 100
next-hop ip 10.1.1.22
probe timeout 200
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
然后,我们再次在PCA上开始长ping,中间分别测试DOWN掉VRRP1和VRRP2的下联口看一下效果。
我们发现,现在NQA检测的状态变化已经很快了,而且Track状态的变化几乎与NQA检测是同时的,但是转发切换还是要慢一些,初步判断这就是策略路由的问题了。
官方的解释是“策略路由通过查询FIB表中是否存在下一跳或缺省下一跳地址对应的条目,判断设置的报文转发下一跳或缺省下一跳地址是否可用。策略路由周期性检查FIB表,设备到下一跳的路径发生变化时,策略路由无法及时感知,可能会导致通信发生短暂中断。”
好吧,实时证明,策略路由的状态切换确实比VRRP要差很多;使用策略路由时,同时兼顾负载均衡和主备切换的性能要差一些。
