张韬

关键词：虚拟化技术；可靠性；成员设备；VSL 链路；双主机检测

中图分类号：TP393.1 文献标识码：A

文章编号：1009-3044（2023）10-0081-03

0 引言

在传统园区网中，为了增强网络可靠性，汇聚层交换机通常都要分别连接到各台核心层交换机上，利用MSTP+VRRP的经典组合技术来达到效果，但同时也会带来一些问题。网络规模的不断扩大对高速访问的需求和管理水平也提出了新的挑战，虚拟化技术的优势能有效降低信息化技术的成本，多角度全方位提升系统的可靠性、安全性[1]，这样不仅能够充分挖掘网络带宽资源，使网络系统可以达到更好的转发效率和提升性能，而且方便统一管理。

1 VSU 技术概述

当前在为了进一步提升网络系统整体可靠性和利用率的背景下，锐捷技术人员开发出一种VSU技术。VSU技术本质上是一种网络虚拟化技术，是一种将多台网络设备虚拟成一台设备来管理和使用的技术，相比互备或者热备方案，它更具优势[2]，使用VSU 技术的交换机在逻辑上就相当于一台交换机，从而可以达到更优的效果。VSU技术在接入层、汇聚层、核心层交换机，甚至是路由器等网络设备中都可以进行使用，这样可以解决数据中心内部网络扩展问题，实现大规模二层网络和VLAN的延伸和虚拟机在数据中心内部的大范围迁移[3]，从而完成大二层、扁平化的网络设计，如图1所示。

相比传统组网结构，VSU技术还具有以下优势：

1）简化网络拓扑结构。使用网络虚拟化技术后，多台交换机实际上组合成一台虚拟交换机，其他交换机可以通过聚合链路与VSU交换机建立连接。因为不再存在环路问题，可以不需要开启生成树协议，简化了网络配置；在成员交换机出现故障时，也可以不用再依赖MSTP、VRRP等协议的收敛，提高了可靠性。同时，各种网络控制协议在一台设备上运行，也会减少设备间大量协议报文的交互，网络系统运行性能得到了优化。

2）简化管理。使用VSU技术构成一台虚拟化设备后，管理人员之后只需要登录其中的一台交换机即可进行统一管理，而不再需要单独登录到每台交换机中进行配置和管理。

3）扩展交换机端口数量和转发能力。通过组成VSU虚拟化系统，可以提高用户接入的交换机端口数量和提升网络系统整体转发能力。

4）提升带宽和系统可靠性。当VSU交换机和其他交换机通过聚合链路连接后，既可以增加到达其他交换机的带宽，又能提供链路间的冗余性和负载均衡。如果某条链路出现故障，系统切换到另一条链路进行数据转发的时间将为毫秒级，线路恢复时间将大为缩短。

2 VSU 技术原理

2.1 VSU 组成

1）域编号

域编号用于区分不同VSU系统，它是VSU系统的标识符，只有拥有相同域编号的设备才能形成同一个VSU系统。

2）设备编号

设备编号是每台成员设备在虚拟化系统中的编号，用来管理VSU中各成员设备以及配置成员设备上的接口标识等，必须保证成员设备编号在同一个VSU 系统中具有唯一性。

3）设备优先级

优先级是每台成员设备在选举过程中确定的角色，优先级最高设备为主设备。

4）设备角色

虚拟化系统由多台物理设备组成，成员设备通过选举机制，选择出一台主设备（Active）和一台从设备（Standby），其余设备都是候选设备（Candidate）。主设备负责管理整个虚拟化系统，运行控制层面协议，并参与数据转发；而其他所有成员设备接收到的控制层面数据都将转发给主设备进行处理，不运行控制层面协议，只参与数据报文转发；但从设备作为主设备的备用，也需要实时同步接收主设备状态信息，从而达到同步热备效果。当主设备出现故障时，从设备会自动升级为主设备；当从设备出现故障时，系统会自动从候选设备中选举一个新的从设备。

2.2 VSL 链路

VSL虚拟交换链路是VSU系统中最为核心的技术之一[4]，它是VSU系统中各成员设备间传输控制信息和数据流的核心链路，它对应连接的物理端口为VSL成员端口，以太网接口、光口或者堆叠端口都可以作为VSL成员端口，但是否各种端口都支持要看设备具体型号。一般情况下，VSL链路是以聚合链路形式存在，并根据流量平衡算法在聚合组的各个成员之间进行负载均衡。为了降低控制报文丢失的可能性，在VSL链路上，控制报文优先级高于数据报文，会优先传输。

2.3 VSU 報文转发原理

VSU采用分布式转发技术实现报文的转发，充分发挥每个成员设备的处理能力。当VSU系统中的每个成员设备收到待转发的报文时，通过查询本机的转发表将报文从对应成员设备上的某个接口发出去，VSU 系统中所有接口都可以作为出接口。而对于三层数据报文来说，不管它在VSU系统内部传输时经过多少成员设备，实际上只相当于经过了一个三层设备。

3 VSU 组网拓扑技术

3.1 VSU 拓扑结构

VSU系统支持“线形”和“环形”两种拓扑结构。线形拓扑结构连接简单，使用接口和线缆较少，但可靠性较低；环形拓扑结构之间有两条VSL链路，形成链路冗余，提高了VSU系统的可靠性。一般在选择VSU系统拓扑结构时，应尽量选择环形拓扑，因为当环形拓扑中任何单台网络设备或者某条VSL聚合链路出现故障时，网络拓扑只是从环形变为线形，不会导致VSU系统的分裂，数据传输也不会受到影响，而线形结构则会引起VSU系统分裂。

3.2 拓扑发现

VSU系统中的每台成员设备之间都是通过交换Hello报文来收集所有拓扑信息，Hello报文会携带每台设备的优先级等一系列拓扑信息[5]。每个成员会在状态为UP的VSL接口上向虚拟化系统中的其他成员设备洪泛Hello报文，其他成员收到报文后，会将报文从状态为UP的非入口的其他VSL接口再转发出去。通过Hello报文的洪泛，每个成员设备可以逐一学习到整个拓扑信息，当设备收集完拓扑信息后，就开始进行角色选举。在角色选举阶段，所有的设备根据Active角色的选举规则从拓扑中选举出Active；被选为Active的设备从剩下设备中选出Standby。选举完成后，Active设备向整个拓扑发送Convergence报文，通知所有设备一起进行拓扑收敛，然后VSU系统进入管理与维护阶段。

4 VSU 系统实现

文章以两台锐捷S5750-24GT4XS-L千兆交换机组建VSU系统为例进行介绍和实施。

SW1（config）#switch virtual domain 1

//定义当前VSU系统的域编号为1，取值范围是1 到255，缺省是100

SW1（config-vs-domain）#switch 1

//定义当前交换机在VSU系统中的成员编号是1

SW1（config-vs-domain）#switch 1 priority 200

//定义当前交换机的优先级是200，确保在VSU 系统中为active，缺省为100

SW1（config）#vsl-port

//VSL链路一般至少需要2条，一条链路的可靠性会较低，当出现链路震荡时，VSU系统会非常不稳定

SW1（config-vsl-port）#port-member int tenGi 0/27

SW1（config-vsl-port）#port-member int tenGi 0/28

//利用交换机27和28号接口，配置两条VSL链路

SW2（config）#switch virtual domain 1

SW2（config-vs-domain）#switch 2 //定义在VSU 系统中的成员编号是2

SW2（config-vs-domain）#switch 2 priority 160

//定义当前交换机的优先级是160，确保在VSU 系统中为standby

和SW1一样，把SW2上的tenGi 0/27和28号接口也加到VSL链路中。连接好VSL链路后，根据需要，可以先保存两台设备之前的配置，再一起切换为VSU模式。

SW1#switch convert mode virtual

Convert mode will backup and delete config file，and reload the switch. Are you sure to continue[yes/no]：y

设备重新启动后会自行组建VSU系统。组建完成后，VSU的管理之后也只能在其中的主设备上进行，其他设备Console口默认不能再进行管理。同时，交换机接口编号也从二维模式变為三维模式，第一维表示VSU系统中成员交换机编号。在主设备上使用show switch virtual role命令可以查看到当前S1为AC?TIVE角色，SW2为STANDBY角色等系统中各成员设备的有关信息。

5 双主机检测

VSL链路断开后，会产生VSU系统分裂，导致AC?TIVE设备和STANDBY设备分到不同的VSU系统中，网络上就会出现两个配置相同的VSU系统，且两台设备都为主设备角色，这时两个VSU系统中任何一个虚拟接口的配置相同，就会出现IP地址冲突等许多严重问题，因此必须进行双主机检测。

为了解决这些问题，需要在各台交换机之间建立一条双主机检测链路机制，保证网络系统仍然可用。当VSL链路断开时，两台交换机开始通过双主机检测链路发送检测报文，当收到对端发来的双主机检测报文时，就说明对端仍在正常运行，存在两个系统，最后通过一定的规则，关闭其中一台主机所在的VSU系统，使其进入Recover状态。目前双主机检测有BFD 和聚合口两种方式。

1）基于BFD检测。在双主机之间再建立一条物理链路，即心跳线，BFD的双主机检测端口必须是三层路由口，二层口或SVI口都不能作为BFD的检测端口。BFD检测采用扩展BFD技术，不能通过现有BFD 配置双主机检测口，同时为了减少带宽资源的浪费，建议心跳线的检测接口尽量使用带宽速率低的接口，如图2所示。

ZDXY（config）#interface gigabitEthernet 1/0/24

ZDXY（config-if-GigabitEthernet 1/0/24）#no switch port

//检测端口不需要设置IP地址，但必须为三层物理接口

ZDXY（config）#interface gigabitEthernet 2/0/24

ZDXY（config-if-GigabitEthernet 2/0/24）#no switch port

ZDXY（config）#switch virtual domain 1

ZDXY（config-vs-domain）#dual-active detectionbfd//使用BFD检测方式

ZDXY（config-vs-domain）#dual-active bfd interface gigabitEthernet 1/0/24

ZDXY（config-vs-domain）#dual-active bfd interface gigabitEthernet 2/0/24

//设置1/0/24和2/0/24为BFD双主机检测接口

2）基于聚合口检测。当VSL链路断开后产生双主机时，两个系统之间相互发送聚合口私有报文来进行检测，并且要配置在交换机聚合端口上，而且上联设备也要能转发私有检测报文，如图3所示。

ZDXY（config）#interface range gi 1/0/24，gi 2/0/24

ZDXY（config-if-range）#port-group 1

ZDXY（config）#switch virtual domain 1

ZDXY（config-vs-domain）#dual-active detection ag?gregateport

//使用聚合口检测方式

ZDXY（config-vs-domain）#dual-active interface ag?gregatePort 1

在上联交换机ZDXY_UP 上开启相应聚合口MAD功能

ZDXY_UP（config-if-AggregatePort 1）#dad relay enable

3）例外接口。当检测到双主机系统后，其中一台主机会进入recovery模式，所有成员业务结构会关闭。为了保留某些特殊用途业务接口可以使用，如Telnet，可以将某些接口配置为不关闭的例外接口，但例外接口必须是路由接口，不能是VSL接口。

ZDXY（config-vs-domain）#dual-active exclude in?terface gi1/0/23 //例外口

6 结束语

交换机虚拟化技术可以大大降低网络系统管理复杂度，增加网络的整体性能，提高网络带宽的资源利用率。目前，主流网络设备提供商都提供了相应的网络系统虚拟化技术，除了锐捷的VSU技术外，还有华为的CSS技术、新华三的IRF技术等。未来随着网络业务需求的不断扩大和变化，虚拟化技术将会得到更为广泛的应用和发展。