蔣永叢　王晉晉

摘要：在校園網(wǎng)絡(luò)的三層架構(gòu)（核心層、匯聚層、接入層）中，核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，核心層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。本文詳細(xì)闡述如何在兩臺(tái)核心交換機(jī)配置熱備份路由協(xié)議，以實(shí)現(xiàn)校園網(wǎng)核心層的高穩(wěn)定性和流量的負(fù)載均衡，從而優(yōu)化校園網(wǎng)絡(luò)。

關(guān)鍵詞：核心層；HSRP；冗余；優(yōu)化

1關(guān)于熱備份路由協(xié)議：

熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。

2某學(xué)校校園網(wǎng)概況

該學(xué)校有教學(xué)樓、男女宿舍樓、辦公樓，網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)縮如下圖：雙鏈路接入Internet,核心層使用兩臺(tái)神州數(shù)碼DCRS-5526S互為備份，核心層與匯聚層采用全網(wǎng)狀互聯(lián)，四臺(tái)DCS-3526分別雙鏈路接入核心層，網(wǎng)絡(luò)的穩(wěn)定性強(qiáng)。同時(shí)為了管理方便和提

高安全性，將四臺(tái)DCS-3526的接入用戶劃分到不同的VLAN。此時(shí)，對(duì)每個(gè)用戶而言，都可以通過(guò)雙鏈路接入網(wǎng)絡(luò)，然而，每個(gè)用戶存在雙網(wǎng)關(guān)。下面通過(guò)配置HSRP解決網(wǎng)關(guān)的備份問(wèn)題并探討該協(xié)議的流量負(fù)載均衡問(wèn)題。

3網(wǎng)關(guān)冗余備份：

HSRP協(xié)議將網(wǎng)絡(luò)中兩臺(tái)三層交換機(jī)（5526A、5526B）組成HSRP備份組，針對(duì)于網(wǎng)絡(luò)中每一個(gè)VLAN接口，備份組都擁有一個(gè)虛擬缺省網(wǎng)關(guān)地址。如圖以VLAN11為例，HSRP備份組設(shè)置VLAN11的虛擬IP地址（譬如：192.168.11.3）,備份組中S1、S2同時(shí)分別擁有自己的VLAN11的接口IP（譬如分別為：192.168.11.1，192.168.11.2），VLAN11內(nèi)主機(jī)的默認(rèn)網(wǎng)關(guān)則設(shè)為HSRP備份組VLAN11的虛擬IP地址（192.168.11.3）。VLAN11內(nèi)的主機(jī)通過(guò)這個(gè)虛擬IP訪問(wèn)VLAN11之外的網(wǎng)絡(luò)資源，但實(shí)際的數(shù)據(jù)處理有備份組內(nèi)活動(dòng)（Active）交換機(jī)執(zhí)行。如果活動(dòng)交換機(jī)發(fā)生了故障，HSRP協(xié)議將自動(dòng)由備份交換機(jī)（Standby）來(lái)替代活動(dòng)交換機(jī)。由于網(wǎng)絡(luò)內(nèi)的終端配置了HSRP虛擬網(wǎng)關(guān)地址，發(fā)生故障時(shí)，虛擬交換機(jī)沒(méi)有改變，主機(jī)仍然保持連接，網(wǎng)絡(luò)將不會(huì)受到單點(diǎn)故障的影響，這樣就很好地解決了網(wǎng)絡(luò)中核心交換機(jī)切換的問(wèn)題,實(shí)現(xiàn)網(wǎng)關(guān)的冗余。

3.1基本設(shè)置見(jiàn)表1、表2。

3.2DCRS-5526A主要配置：

interface Vlan3

interface vlan 3

ip address 61.211.34.1 255.255.255.0 (給vlan3配置ip地址)

interface Vlan11

interface vlan 11

ip address 192.168.11.1 255.255.255.0

standby 11 ip 192.168.11.3 （備份組11虛擬ip地址，該地址作為vlan 11中主機(jī)的網(wǎng)關(guān)）

standby 11 priority 10（配置本交換機(jī)對(duì)組11優(yōu)先級(jí)為10，從而在該組中作為備份交換機(jī)）

interface Vlan12

interface vlan 12

ip address 192.168.12.1 255.255.255.0

standby 12 ip 192.168.12.3（備份組12虛擬ip地址，該地址作為vlan 12中主機(jī)的網(wǎng)關(guān)）

standby 12 priority 10（配置本交換機(jī)對(duì)組12優(yōu)先級(jí)為10，從而在該組中作為備份交換機(jī)）

interface Vlan13

interface vlan 13

ip address 192.168.13.1 255.255.255.0

standby 13 ip 192.168.13.3（備份組13虛擬ip地址，該地址作為vlan 13中主機(jī)的網(wǎng)關(guān)）

standby 13 priority 20（配置本交換機(jī)對(duì)組13優(yōu)先級(jí)為20，從而在該組中作為活動(dòng)交換機(jī)）

interface Vlan14

interface vlan 14

ip address 192.168.14.1 255.255.255.0

standby 14 ip 192.168.14.3（備份組14虛擬ip地址，該地址作為vlan 14中主機(jī)的網(wǎng)關(guān)）

standby 14 priority 20（配置本交換機(jī)對(duì)組14優(yōu)先級(jí)為20，從而在該組中作為活動(dòng)交換機(jī)。）

ip route 0.0.0.0 0.0.0.0 10.10.1.2（配置路由，實(shí)現(xiàn)兩臺(tái)三層交換機(jī)互通。）

當(dāng)然，接入交換機(jī)DCS-3526A的用戶，如果想接入互聯(lián)網(wǎng)，此時(shí)他的網(wǎng)關(guān)應(yīng)設(shè)置為192.168.11.3，且不論網(wǎng)絡(luò)那一條鏈路斷開(kāi)，都不影響該用戶對(duì)網(wǎng)絡(luò)的使用，網(wǎng)絡(luò)的變化對(duì)用戶是透明的。

這里說(shuō)明了主要配置，其他配置用戶根據(jù)需要自行添加。

4負(fù)載均衡

在某個(gè)局域網(wǎng)內(nèi)，多個(gè)備份組可以共存和重疊。對(duì)于每一個(gè)備份組都有一個(gè)為別人所知的MAC地址，以及一個(gè)IP地址。

在本校網(wǎng)絡(luò)中，因?yàn)樵诓煌瑐浞萁M優(yōu)先級(jí)的不同，三層交換機(jī)5526S-A作為備份組13、14的Active路由器，同時(shí)又為備份組11、12 的Standby路由器。而三層交換機(jī)5526S-B正相反，作為備份組11、12 Active路由器的，并為備份組13、14 的Standby路由器。Vlan11、vlan12主機(jī)使用5526-B作網(wǎng)關(guān)，vlan13、vlan14主機(jī)使用5526S-A作為網(wǎng)關(guān)。這樣，既達(dá)到網(wǎng)關(guān)互相備份，又實(shí)現(xiàn)流量的負(fù)載均衡的目的。

5安全性的考慮

該協(xié)議是比較安全的，外網(wǎng)用戶很難對(duì)該協(xié)議發(fā)動(dòng)攻擊的，因?yàn)榇蠖鄶?shù)路由器不會(huì)轉(zhuǎn)發(fā)到多播地址224.0.0.2的數(shù)據(jù)包，消息中認(rèn)證域?qū)τ诜婪跺e(cuò)誤配置是有用的。但該協(xié)議沒(méi)有提供安全方面的保證，容易受局域網(wǎng)內(nèi)部入侵者攻擊，這可能導(dǎo)致一個(gè)黑洞的產(chǎn)生或拒絕服務(wù)。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）.電子工業(yè)出版社.

[2]神州數(shù)碼試驗(yàn)教材系列之交換試驗(yàn).神州數(shù)碼網(wǎng)絡(luò)大學(xué).

[3]楊威.網(wǎng)絡(luò)工程設(shè)計(jì)與安裝（第2版）.電子工業(yè)出版社.

[4]Cisco Hot Standby Router Protocol.RFC2281.