网络高可用性
1.多网卡技术
网卡绑定技术有助于保证高可用性特性并提供其它优势以提高网络性能,Linux双网卡绑定实现就是使用两块网卡虚拟成为一块网卡,这个聚合起来的设备看起来是一个单独的以太网接口设备,通俗点讲就是两块网卡具有相同的IP地址而并行链接聚合成一个逻辑链路工作,以提供负载均衡或者冗余,增加带宽的作用,这样即使其中的一块物理网卡出现故障,也不会导致连接中断。
例如
/etc/modprobe.conf 文件挂接bonding模块;配置/etc/sysconfig/network-scripts目录中的主/从设备接口配置文件。
vim /etc/modprobe.conf
alias bond0 bonding 定义设备名和内核驱动模块的对应关系
options bond0 mode=1 miimon=100 use_carrier=0 定义内核驱动模块的驱动参数
可用参数:
arp_interval=0:指定ARP链路监控频率,单位是ms。如果ARP监控工作于以太兼容模式(模式0和模式2下),需要把SWITCH配置为在所有链路上均分的分发网络包。如果SWITCH被配置为XOR方式分发网络包,所有来自ARP目标的应答将会被同一个链路上的其他设备收到,这将会导致其他设备的失败。ARP监控不应该和miimon同时使用。设定为0将禁止ARP监控。缺省值为0.
arp_ip_target=[ddd.ddd.ddd.ddd,ddd.ddd.ddd.ddd,…..]:指定一组IP地址用于ARP监控的目标,只在arp_interval>0才有效,这些IP是ARP请求的目标,用于判断到达目标地址的链路是否正常工作。最多指定16个IP,缺省是没有IP地址。
downdelay=0:指定一个时间,用于在发现链路故障后,等待一段时间然后禁止一个slave,单位是毫秒ms。该选项只对miimon监控有效。downdelay值应该是miimon值的整数倍,否则它将会被取整到最接近的整数倍。缺省值是0.
max_bonds=1:为bonding驱动指定创建bonding设备的熟练。如果max_bonds=3,而且bonding驱动还没有被加载,那么bond0 bond1 bond2将会被创建。缺省值是1。
lacp_rate=0:指定在802.3ad模式下,我们希望的链接对端传输LACPDU包的速率。可能的选项:slow或0,请求对端每30s传输LACPDU;fast或1,请求对端每1s传输LACPDU;缺省是slow。
miimon=0:指定MII链路监控频率,单位是毫秒ms。这个决定驱动检查每个slave链路状态频率。0表示禁止MII链路监控。100是一个很好的参考值。
mode=1:指定bonding策略。缺省是0(balance-rr,轮循),1(active-backup,激活备份)只有一个slave被激活使用,坏掉才用另一个。
实例:
双网卡绑定技术:
添加上上面说过的两行
[root@mail network-scripts]# cat /etc/modprobe.conf
alias bond0 bonding
options bond0 mode=1 miimon=100 use_carrier=0
alias eth0 pcnet32
alias scsi_hostadapter mptbase
alias scsi_hostadapter1 mptspi
alias scsi_hostadapter2 ata_piix
alias snd-card-0 snd-ens1371
options snd-card-0 index=0
options snd-ens1371 index=0
remove snd-ens1371 { /usr/sbin/alsactl store 0 >/dev/null 2>&1 || : ; }; /sbin/modprobe -r --ignore-remove snd-ens1371
# Added by VMware Tools
install pciehp /sbin/modprobe -q --ignore-install acpiphp; /bin/true
install pcnet32 /sbin/modprobe -q --ignore-install vmxnet;/sbin/modprobe -q --ignore-install pcnet32 $CMDLINE_OPTS;/bin/true
alias char-major-14 es1371
alias eth1 vmxnet
这个文件需要自己手动写,默认不存在,内核低于2.2可能支持不好。
[root@mail network-scripts]# cat ifcfg-bond0
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=static
IPADDR=10.1.1.100
NETMASK=255.255.255.0
GATEWAY=10.1.1.11
两个网卡的参数设置
[root@mail network-scripts]# cat ifcfg-eth0
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
MASTER=bond0
SLAVE=yes
[root@mail network-scripts]# cat ifcfg-eth1
# Advanced Micro Devices [AMD] 79c970 [PCnet32 LANCE]
DEVICE=eth1
BOOTPROTO=static
2.群集的概念
群集由通过输入/输出系统互联的若干服务器构成。这些服务器连接到存储介质中,由分布资源管理软件(DRM) 进行管理。其组成部分处在不断的改进之中:刀片式服务器,快速InfiniBand I/O技术和更为复杂的DRM软件,这些部分组合在一起,使得群集成为IT经理们的实用工具。
主要的应用
服务器群集技术最主要的应用即在于网络负载平衡的功能。 网络负载平衡使用两台或更多台一起工作的主机计算机组成的群集,为服务器提供了高可用性和高伸缩性。Internet 客户端使用一个 IP 地址或一组地址访问群集。客户端无法区别群集和单一服务器。服务器应用程序并不表明它们是在群集上运行的。但是,网络负载平衡群集与运行单个服务器应用程序的单个主机有很大的区别,因为即使在某个群集主机发生故障的情况下,它也可以提供不间断服务。群集对客户端请求的响应也比单个主机快。
3.HSRP和VRRP
HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol),是cisco平台一种特有的技术,是cisco的私有协议。
负责转发数据包的路由器称之为活动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别.
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 (Hello)报文 (Resign)报文 (Coup)报文
VRRP有一种报文
VRRP广播报文:由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止***者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地***的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
在cisco的静态路由协议中,有个扩展的浮动静态路由。浮动静态路由主要是作备份链路用。首先要了解一下AD,这里的AD不是微软中的活动目录。这里的AD是指的路由器的管理距离。默认的静态路由的AD值为1.浮动的意思就是把它变大。比如说,在一个网络中,运行的是EIGRP路由协议,EIGRP的默认AD为90.如果配置了静态路由的话,那么路由器就会选择AD小的那个,用静态路由协议。浮动静态路由就是把自身的AD由1改到大于90或更高的值。使路由器开始就选择EIGRP。当一个网络环境中的EIGRP出现问题的时候,那么,路由器就可以用是先配置好的浮动静态路由了。这样就保证了网络的畅通。现实生活中,毕竟还是用得比较少。主要是考虑到企业的成本。不过,我们可以在实验室中来玩玩,感受一下浮动静态路由带来的好处~
1.4台路由器和两台PC机。用路由器R2、R3、R4模拟一个运营商。
PC2是一个目标服务器。路由协议就用EIGRP和浮动静态路由。R1-R3-R4配置EIGRP。R1-R2-R4配置静态路由。
2.配置参考如下:
R1:(假设R1为一个企业)
enable
configure terminal
hostname R1
no ip domain-lookup
line console 0
logging synchronous
exit
配置IP:
interface ethernet 0
ip address 192.168.0.1 255.255.255.0
no shutdown
exit
interface serial 0
ip address 192.168.1.1 255.255.255.252
clock rate 64000
no shutdown
exit
interface serial 1
ip address 192.168.2.1 255.255.255.252
clock rate 64000
no shutdown
exit
配置路由:
router eigrp 1
network 192.168.0.0
network 192.168.1.0
no auto-summary
exit
ip route 192.168.5.0 255.255.255.0 serial 1 130(这一条就是浮动静态路由,把AD改为了130)
以下都是模拟运营商的了。
R2:
enable
configure terminal
hostname R2
no ip domain-lookup
line console 0
logging synchronous
exit
interface serial 0
ip address 192.168.3.1 255.255.255.252
clock rate 64000
no shutdown
exit
interface serial 1
ip address 192.168.2.2 255.255.255.252
clock rate 64000
no shutdown
exit
ip route 192.168.0.0 255.255.255.0 serial 1
ip route 192.168.5.0 255.255.255.0 serial 0
R3:
enable
configure terminal
hostname R3
no ip domain-lookup
line console 0
logging synchronous
exit
interface serial 0
ip address 192.168.1.2 255.255.255.252
clock rate 64000
no shutdown
exit
interface serial 1
ip address 192.168.4.1 255.255.255.252
clock rate 64000
no shutdown
exit
router eigrp 1
network 192.168.1.0
network 192.168.4.0
no auto-summary
R4:
enable
configure terminal
hostname R4
no ip domain-lookup
line console 0
logging synchronous
exit
interface ethernet 0
ip address 192.168.5.1 255.255.255.0
no shutdown
exit
interface serial 0
ip address 192.168.3.2 255.255.255.252
clock rate 64000
no shutdown
exit
interface serial 1
ip address 192.168.4.2 255.255.255.252
clock rate 64000
no shutdown
exit
router eigrp 1
network 192.168.4.0
network 192.168.5.0
no auto-summary
ip route 192.168.0.0 255.255.255.0 serial 0
以上内容部分来自互联网