1 背景技术
地铁网络具有用户量大、流动频繁等特性,给网络可靠性技术带来极大挑战。现有交通方案Supvlan+VRRP+WEB认证为核心技术,网络规划:认证上收到网络核心,汇聚设备为地铁线路控制中心,每台汇聚设备控制1~2条地铁线路,每台汇聚设备下挂5~7台接入设备,每台接入设备控制6个地铁站,每个地铁站分配一个Subvlan,每个控制中心规划一个Supervlan,如图1所示。
图1 地铁局部网络拓扑图
2 现有轨道交通方案核心设备性能瓶颈及资源使用不均衡问题
当前方案DHCP地址是根据vrrp组来分配,若某个地址池已分配的IP地址超过阈值TH,则新上线的用户会被分配到其他负载较低的地址池中,DHCP-Server轮询所有地址池,最后将符合条件地址池的IP地址分配给用户。这种方法对于已承担大量用户认证的核心设备DHCP-Server压力大,特别是某台核心宕机,大量新用户上线,每一个新用户发送DHCP discover报文,都在所有地址池中轮询一次,导致DHCP-Server性能成瓶颈。从而造成整网中大量新上线的用户无法实时的正确的获取动态IP地址和认证。
另外,现有的技术是由两台核心设备构成2个vrrp备份组且互为主备关系来确保负载均衡。但这与Subvlan毫无关系,在极端情况下,可能会出现所有Subvlan的用户均在1台NAS上获取地址与认证。在大量并发用户认证下,出现某台或某些NAS负担过重,导致出现用户认证缓慢,甚至无法认证的问题。
因此,在现有的地铁网络环境中,如何保证负载均衡和降低核心设备性能瓶颈的风险,是当前亟待解决的问题。
3 设备性能瓶颈及资源使用不均衡解决方法研究
鉴于上述现有方案的缺陷,本文提出了更加稳定、可靠的技术方案:
方案A:“N+1”台核心设备分布式备份。由“N+1”台核心设备组ERPS环,其中N台中每2台分别各启2对vrrp组,即N个用户虚网关,1为冗余核心备机,即用户实网关,所有核心设备通过ERPS环网实现时时热备。当VRRP热备组某台核心设备宕机,其热备组备机会切换为主机,成为双主机,宕机设备上已认证的用户会通过新主机上网。对于新上线用户,采用分布式备份法,首先,DHCP Server为其分配新主机对应地址池的IP地址;其次,当已分配地址数量达到阈值TH,DHCP Server为其分配实网关对应的地址池的IP地址,并在实网关上认证。
方案B:均衡分割。将站台规划的Subvlan分2组,利用MSTP实例功能,其中一组映射为MSTP的实例1,另一组映射为实例2。在汇聚设备上新增REUP协议:可设置其中一个端口为实例1主端口,实例2从端口;另一个端口为实例2主端口,实例1从端口,同时保证主要主端口才会转发用户报文,实现用户均衡地分配到各台核心设备。
3.1 方案A:“N+1”台核心设备分布式备份
如图2所示,本文中N取6,共计7台核心设备组ERPS环,其中设备A/B,C/D,E/F为3个热备组,每个热备组中有2对vrrp组,即6个用户虚网关(IPvrrp1~ IPvrrp6);设备G做冗余备机(IPG),即用户实网关。规划核心设备C/D为DHCP-Server,配置地址池7个(记为地址池1~7),分别与7个网关一一对应,如IPvrrp1为10.1.0.1/16,地址池1为10.1.0.0/16。其他设备均启动DHCP-Snooping,为该设备下联用户DHCP discover报文封装vrrp虚网关地址并透传到DHCP-Server,DHCP-Server根据discover报文中的vrrp信息,分配对应地址池的IP给用户。
图2 “6+1”台核心设备组成ERPS环网
当设备A下联有大量用户上线,新上线用户发送的DHCP discover报文携带的网关信息为IPvrrp1,首先,DHCP Server为其分配地址池1的地址;其次,当地址池1已分配的IP总数达到阈值TH时,DHCP Server分配地址池7的IP地址给新上线用户。当6台核心设备中的某台核心设备(如A)宕机,设备B立即切换为主机,即设备B为vrrp1,2的双主机,核心 A上已认证的用户会通过核心B上网;对于新上线用户,其DHCP discover报文携带的网关信息为IPvrrp1和IPvrrp2,DHCP Server通过bfd检测到核心A宕机,首先为其分配地址池2的IP地址,其次在地址池2已分配地址数达到阈值TH后,DHCP Server为其分配地址池7的IP地址,并在设备G上认证(以设备A为例,其他核心设备类似,不再赘述)。
下面结合图3和图4,分别在正常和宕机情况下,用户分布式获取IP地址过程给出本解决方案的具体分析。
图3 设备下联用户分布式获取IP地址
图4 宕机设备下联用户分布式获取IP地址
3.2 方案B:均衡分割
如图1所示,将汇聚设备Subvlan分为2组,其中一组映射为MSTP的实例1,另一组映射为实例2。在汇聚设备上配置REUP协议,其中一个端口为实例1主端口,实例2从端口;另一个端口为实例2主端口,实例1从端口。按REUP均衡分割原理,各实例只有主端口转发;当主端口故障从端口切换为新主端口,立即从新主端口转发。从而实现基于REUP对Subvlan的均衡分割和热备,用户均衡地分配到各台核心设备上,避免单台核心出现资源负载瓶颈。
下面结合图5均衡分割和热备过程给出本解决方案具体分析。
图5 Subvlan均衡分割过程
301:用户发送报文,接入设备下联为Access口,该报文携带vlanID上送汇聚设备。汇聚设备收到该报文,得到其对应的Subvlan信息。
302:在汇聚设备上配置REUP协议,作用于两个端口。其中一个端口为实例1的主端口,实例2的从端口;另一个端口为实例2的主端口,实例1的从端口。实例由主端口转发,主端口状态为down时,从端口切换为主端口。
303:一半Subvlan映射为实例1,另一半映射为实例2。汇聚设备根据Subvlan映射的实例,查找对应的主、从端口。
304:查看主端口状态是否为up,若为up,步骤305;否则,步骤307。
305:用户报文在汇聚设备上由主端口转发至NAS。
306:根据用户报文源IP地址对应的NAS(网关),在该NAS上完成认证或上网操作。
307:主端口状态为down,从端口切换为新主端口。
308:查看新主端口的状态是否为up,若为up,步骤309;否则,步骤310。
309:用户报文在汇聚设备上由新主端口转发至NAS。
310:汇聚设备上两个端口的状态均为down,该用户报文被丢弃
4 结语
综上所述,本方案的核心在于,首先,提出“6+1”台核心设备分布式备份,其中1台为冗余备机,当某台主机出现宕机时,原备机切换为新主机,如果新主机对应地址池已分配的地址数量超过阈值时,则直接跳转到冗余备机分配地址,从而解决核心设备由于地址池间地址轮询导致性能瓶颈。其次,基于REUP对Subvlan的均衡分割,使得新上线和已认证用户均衡地分配到各台核心设备上,最终达到提高地铁网络稳定性和可靠性的效果。
参考文献
[1]P. Jhingran a,G. Halwasia.Client Identifier Option in DHCP Server Replies[EB/OL].www.rfc-editor.org/rfc/rfc6842.txt.
[2]P.Hallam-Baker.HTTP Authentication: Basic and Digest Access Authentication[EB/OL].www.rfc-editor.org/rfc/rfc2617.txt.
[3]朱明程,王霄峻.网络规划与优化技术[M].北京:人民邮电出版社,2018.
收稿日期:2018-09-07
作者简介:吴世奇(1977-),男,福建福州人,锐捷网络股份有限公司工程师,研究方向:网络通信。
