出口交换机双机热备与双运营商配置方案分享
在防火墙双机热备(如 VGMP、VRRP-A)+ 双运营商出口的场景中,出口交换机是否需要堆叠、以及具体配置,核心取决于冗余可靠性需求、流量转发效率和运维复杂度。
一、核心决策:出口交换机是否需要堆叠?
出口交换机的核心作用是 “连接防火墙双机与双运营商链路”,需解决链路冗余、故障自动切换、流量不中断三大问题。堆叠与非堆叠方案的对比及适用场景如下:
| 方案 | 核心优势 | 核心劣势 | 适用场景 |
|---|---|---|---|
| 堆叠(推荐) | 1. 简化管理:2 台交换机虚拟为 1 台,统一配置;2. 冗余可靠:单交换机故障时,堆叠组自动接管,无链路闪断;3. 转发高效:统一转发表,避免跨交换机转发的 “次优路径”;4. 链路聚合兼容:可与防火墙、运营商链路做跨设备 LACP 聚合 | 1. 堆叠线依赖:需专用堆叠线(或高速以太网线),且不能断;2. 版本要求:2 台交换机需同型号、同固件版本 | 中小网络(如企业出口)、追求简化运维和高冗余的场景 |
| 非堆叠(VRRP+LACP) | 1. 灵活度高:支持不同型号交换机(需同厂商);2. 无堆叠线依赖:故障点更少 | 1. 管理复杂:2 台交换机需独立配置,需保证配置一致性;2. 故障切换慢:依赖 VRRP 定时器(默认 1-3 秒),可能有短暂丢包;3. 转发表分散:跨交换机流量需通过备份链路转发,效率低 | 大型复杂网络(如 IDC 出口)、需兼容不同型号交换机的场景 |
结论:绝大多数中小网络(企业 / 园区出口)优先选堆叠方案—— 运维更简单、故障切换更流畅,且 “两台交换机之间的一根线” 可直接作为堆叠线(需确认线速和类型)。
二、方案 1:出口交换机做堆叠(推荐)
1. 堆叠前的小准备
-
硬件检查:
-
确认两台交换机型号、固件版本一致(用
display version查看); -
确认连接的线为 “堆叠专用线”(如华为堆叠卡 + DAC 线)或 “高速以太网线”(建议 10Gbps 及以上,如 SFP + 线缆),避免用普通千兆线(影响堆叠稳定性);
-
规划堆叠角色:SW1 为 “主交换机(Master)”,SW2 为 “备交换机(Standby)”。
2. 配置堆叠
步骤 1:配置 SW1(主交换机)的堆叠成员
\# 进入系统视图
\<SW1> system-view
\# 配置堆叠成员编号(建议SW1为1,SW2为2)
\[SW1] stack member 1 priority 200 # 优先级高于SW2,确保成为Master
\# 配置堆叠成员端口(假设用0/23、0/24作为堆叠端口,根据实际接线调整)
\[SW1] interface stack-port 1/1
\[SW1-stack-port1/1] port member-group interface GigabitEthernet 0/23 to 0/24 # 将23-24口划入堆叠端口组
\[SW1-stack-port1/1] quit
\# 保存配置
\[SW1] save
步骤 2:配置 SW2(备交换机)的堆叠成员
\<SW2> system-view
\[SW2] stack member 2 priority 100 # 优先级低于SW1
\[SW2] interface stack-port 2/1
\[SW2-stack-port2/1] port member-group interface GigabitEthernet 0/23 to 0/24 # 与SW1的堆叠端口对应
\[SW2-stack-port2/1] quit
\[SW2] save
步骤 3:重启两台交换机,生效堆叠
\# SW1和SW2分别执行重启(顺序无要求,重启后自动组建堆叠)
\[SW1] quit
\<SW1> reboot
\<SW2> reboot
步骤 4:验证堆叠状态
\# 登录任意一台交换机(堆叠后IP统一,用原SW1的IP即可)
\<Stack-SW> display stack # 查看堆叠成员状态
正常输出:
Member ID : 1(Master), Status : Normal
Member ID : 2(Standby), Status : Normal
Stack Port 1/1 : GigabitEthernet0/23-0/24(Up)
Stack Port 2/1 : GigabitEthernet0/23-0/24(Up)
3. 堆叠后核心配置(连接防火墙 + 双运营商)
堆叠后的交换机视为 “单台设备”,配置重点是链路聚合(冗余)、VLAN 隔离(区分运营商)、路由指向(转发流量)。
(1)链路聚合:连接防火墙双机(LACP 动态聚合)
假设防火墙双机(FW1、FW2)的业务口分别连接 SW1 的 0/1-0/2、SW2 的 0/1-0/2,配置 LACP 聚合组(避免单链路故障):
\<Stack-SW> system-view
\# 创建聚合组1(连接防火墙业务口),模式为动态LACP
\[Stack-SW] interface Eth-Trunk 1
\[Stack-SW-Eth-Trunk1] mode lacp-dynamic
\# 将SW1的0/1、SW2的0/1划入聚合组(跨设备聚合,堆叠优势)
\[Stack-SW-Eth-Trunk1] trunkport GigabitEthernet 1/0/1 # SW1的0/1(成员1的0/1)
\[Stack-SW-Eth-Trunk1] trunkport GigabitEthernet 2/0/1 # SW2的0/1(成员2的0/1)
\# 配置聚合组为Trunk,允许防火墙业务VLAN(假设VLAN 100)
\[Stack-SW-Eth-Trunk1] port link-type trunk
\[Stack-SW-Eth-Trunk1] port trunk allow-pass vlan 100
\[Stack-SW-Eth-Trunk1] quit
(2)VLAN 隔离:区分双运营商链路
假设:
-
运营商 A(电信)链路连接 SW1 的 0/3,对应 VLAN 200;
-
运营商 B(联通)链路连接 SW2 的 0/3,对应 VLAN 300;
配置 VLAN 隔离避免流量混跑:
\# 创建运营商A的VLAN 200
\[Stack-SW] vlan 200
\[Stack-SW-vlan200] quit
\# 配置SW1的0/3为Access口,划入VLAN 200(连接运营商A)
\[Stack-SW] interface GigabitEthernet 1/0/3
\[Stack-SW-GigabitEthernet1/0/3] port link-type access
\[Stack-SW-GigabitEthernet1/0/3] port default vlan 200
\[Stack-SW-GigabitEthernet1/0/3] quit
\# 创建运营商B的VLAN 300
\[Stack-SW] vlan 300
\[Stack-SW-vlan300] quit
\# 配置SW2的0/3为Access口,划入VLAN 300(连接运营商B)
\[Stack-SW] interface GigabitEthernet 2/0/3
\[Stack-SW-GigabitEthernet2/0/3] port link-type access
\[Stack-SW-GigabitEthernet2/0/3] port default vlan 300
\[Stack-SW-GigabitEthernet2/0/3] quit
(3)路由配置:指向运营商网关
根据需求选择静态路由(简单) 或动态路由(BGP,适合多运营商负载分担),此处以静态路由为例:
\# 配置到运营商A的静态路由(网关10.0.200.1,VLAN 200的网关)
\[Stack-SW] ip route-static 0.0.0.0 0.0.0.0 10.0.200.1 preference 60 # 优先级60(主用)
\# 配置到运营商B的静态路由(网关10.0.300.1,VLAN 300的网关)
\[Stack-SW] ip route-static 0.0.0.0 0.0.0.0 10.0.300.1 preference 80 # 优先级80(备用,主用故障时生效)
三、方案 2:出口交换机不堆叠(VRRP+LACP)
如果是因设备型号差异或特殊需求不堆叠,需通过VRRP(网关冗余)+ LACP(链路聚合)+ 备份链路实现冗余,两台交换机之间的 “一根线” 作为备份链路(或聚合链路)。
1. 核心配置逻辑
-
两台交换机独立配置,需保证 VLAN、聚合组、VRRP 参数一致;
-
用 VRRP 实现出口网关冗余(两台交换机虚拟为同一网关 IP);
-
用 LACP 实现防火墙到交换机的链路冗余;
-
两台交换机之间的 “一根线” 作为跨交换机备份链路(避免单交换机故障导致另一台无法访问运营商)。
2. 关键配置示例(以 SW1 为例,SW2 配置对称)
(1)链路聚合:连接防火墙(SW1 和 SW2 分别配置 LACP)
\# SW1配置(SW2同,聚合组号一致)
\<SW1> system-view
\[SW1] interface Eth-Trunk 1
\[SW1-Eth-Trunk1] mode lacp-dynamic
\[SW1-Eth-Trunk1] trunkport GigabitEthernet 0/1 to 0/2 # SW1的本地端口
\[SW1-Eth-Trunk1] port link-type trunk
\[SW1-Eth-Trunk1] port trunk allow-pass vlan 100
\[SW1-Eth-Trunk1] quit
(2)VLAN 与 VRRP:实现网关冗余
假设防火墙业务 VLAN 100 的虚拟网关为 10.0.100.254,SW1 为主网关(优先级 120),SW2 为备网关(优先级 100):
\# SW1配置
\[SW1] vlan 100
\[SW1-vlan100] quit
\[SW1] interface Vlanif 100
\[SW1-Vlanif100] ip address 10.0.100.252 255.255.255.0 # SW1的真实IP
\[SW1-Vlanif100] vrrp vrid 1 virtual-ip 10.0.100.254 # 虚拟网关IP
\[SW1-Vlanif100] vrrp vrid 1 priority 120 # 主网关优先级
\[SW1-Vlanif100] quit
\# SW2配置(对称)
\[SW2] vlan 100
\[SW2-vlan100] quit
\[SW2] interface Vlanif 100
\[SW2-Vlanif100] ip address 10.0.100.253 255.255.255.0 # SW2的真实IP
\[SW2-Vlanif100] vrrp vrid 1 virtual-ip 10.0.100.254
\[SW2-Vlanif100] vrrp vrid 1 priority 100 # 备网关优先级
\[SW2-Vlanif100] quit
(3)备份链路:两台交换机之间的 “一根线”
将两台交换机的 0/24 口作为备份链路,配置为 Trunk,允许所有业务 VLAN:
\# SW1的0/24口
\[SW1] interface GigabitEthernet 0/24
\[SW1-GigabitEthernet0/24] port link-type trunk
\[SW1-GigabitEthernet0/24] port trunk allow-pass vlan all
\[SW1-GigabitEthernet0/24] quit
\# SW2的0/24口(同SW1)
\[SW2] interface GigabitEthernet 0/24
\[SW2-GigabitEthernet0/24] port link-type trunk
\[SW2-GigabitEthernet0/24] port trunk allow-pass vlan all
\[SW2-GigabitEthernet0/24] quit
(4)路由配置:静态路由或 BGP
与堆叠方案一致,需在两台交换机上分别配置指向运营商的路由,确保故障时流量可切换。
四、注意一下哦
-
堆叠线的可靠性:
堆叠方案中,两台交换机之间的 “一根线” 若为单条堆叠线,存在单点故障风险 —— 建议用 2 条堆叠线(如 0/23+0/24)做聚合,提升堆叠链路冗余。
-
LACP 模式选择:
连接防火墙和交换机的链路聚合,必须用 “动态 LACP 模式”(
mode lacp-dynamic),避免静态聚合(mode manual)的故障切换不及时问题。 -
VLAN 隔离的必要性:
双运营商链路必须用 VLAN 隔离(如 VLAN 200/300),否则运营商 A 的流量可能误发至运营商 B,导致路由黑洞。
-
故障切换测试:
配置完成后,需模拟故障验证:
-
堆叠方案:断开 SW1(主交换机)电源,查看 SW2 是否自动成为 Master,流量是否正常转发;
-
非堆叠方案:断开 SW1 的运营商链路,查看流量是否切换到 SW2 的运营商链路。
-
防火墙与交换机的配合:
防火墙双机热备(如华为 USG 的 VGMP)需与交换机的链路聚合配合 —— 防火墙的 “心跳口” 和 “业务口” 需分别连接交换机,确保防火墙主备切换时,交换机链路同步切换。
五、总结一下下
-
优先选堆叠方案:中小网络推荐出口交换机堆叠,简化管理、故障切换无感知,两台交换机之间的线作为堆叠成员端口;
-
配置核心:堆叠后需做 LACP 链路聚合(连接防火墙)、VLAN 隔离(区分运营商)、静态 / BGP 路由(指向运营商网关);
-
非堆叠方案兜底:仅在设备不兼容时用 VRRP+LACP,需保证两台交换机配置对称,且预留备份链路。
- 点赞
- 收藏
- 关注作者
评论(0)