使用ＨＳＲＰ實(shí)現(xiàn)校園網(wǎng)絡(luò)的優(yōu)化

蔣永叢　王晉晉

摘要：在校園網(wǎng)絡(luò)的三層架構(gòu)（核心層、匯聚層、接入層）中，核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，核心層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。本文詳細(xì)闡述如何在兩臺核心交換機(jī)配置熱備份路由協(xié)議，以實(shí)現(xiàn)校園網(wǎng)核心層的高穩(wěn)定性和流量的負(fù)載均衡，從而優(yōu)化校園網(wǎng)絡(luò)。

關(guān)鍵詞：核心層；HSRP；冗余；優(yōu)化

1關(guān)于熱備份路由協(xié)議：

熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說，當(dāng)源主機(jī)不能動態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。

2某學(xué)校校園網(wǎng)概況

該學(xué)校有教學(xué)樓、男女宿舍樓、辦公樓，網(wǎng)絡(luò)結(jié)構(gòu)簡縮如下圖：雙鏈路接入Internet,核心層使用兩臺神州數(shù)碼DCRS-5526S互為備份，核心層與匯聚層采用全網(wǎng)狀互聯(lián)，四臺DCS-3526分別雙鏈路接入核心層，網(wǎng)絡(luò)的穩(wěn)定性強(qiáng)。同時(shí)為了管理方便和提

高安全性，將四臺DCS-3526的接入用戶劃分到不同的VLAN。此時(shí)，對每個(gè)用戶而言，都可以通過雙鏈路接入網(wǎng)絡(luò)，然而，每個(gè)用戶存在雙網(wǎng)關(guān)。下面通過配置HSRP解決網(wǎng)關(guān)的備份問題并探討該協(xié)議的流量負(fù)載均衡問題。

3網(wǎng)關(guān)冗余備份：

HSRP協(xié)議將網(wǎng)絡(luò)中兩臺三層交換機(jī)（5526A、5526B）組成HSRP備份組，針對于網(wǎng)絡(luò)中每一個(gè)VLAN接口，備份組都擁有一個(gè)虛擬缺省網(wǎng)關(guān)地址。如圖以VLAN11為例，HSRP備份組設(shè)置VLAN11的虛擬IP地址（譬如：192.168.11.3）,備份組中S1、S2同時(shí)分別擁有自己的VLAN11的接口IP（譬如分別為：192.168.11.1，192.168.11.2），VLAN11內(nèi)主機(jī)的默認(rèn)網(wǎng)關(guān)則設(shè)為HSRP備份組VLAN11的虛擬IP地址（192.168.11.3）。VLAN11內(nèi)的主機(jī)通過這個(gè)虛擬IP訪問VLAN11之外的網(wǎng)絡(luò)資源，但實(shí)際的數(shù)據(jù)處理有備份組內(nèi)活動（Active）交換機(jī)執(zhí)行。如果活動交換機(jī)發(fā)生了故障，HSRP協(xié)議將自動由備份交換機(jī)（Standby）來替代活動交換機(jī)。由于網(wǎng)絡(luò)內(nèi)的終端配置了HSRP虛擬網(wǎng)關(guān)地址，發(fā)生故障時(shí)，虛擬交換機(jī)沒有改變，主機(jī)仍然保持連接，網(wǎng)絡(luò)將不會受到單點(diǎn)故障的影響，這樣就很好地解決了網(wǎng)絡(luò)中核心交換機(jī)切換的問題,實(shí)現(xiàn)網(wǎng)關(guān)的冗余。

3.1基本設(shè)置見表1、表2。

3.2DCRS-5526A主要配置：

interface Vlan3

interface vlan 3

ip address 61.211.34.1 255.255.255.0 (給vlan3配置ip地址)

interface Vlan11

interface vlan 11

ip address 192.168.11.1 255.255.255.0

standby 11 ip 192.168.11.3 （備份組11虛擬ip地址，該地址作為vlan 11中主機(jī)的網(wǎng)關(guān)）

standby 11 priority 10（配置本交換機(jī)對組11優(yōu)先級為10，從而在該組中作為備份交換機(jī)）

interface Vlan12

interface vlan 12

ip address 192.168.12.1 255.255.255.0

standby 12 ip 192.168.12.3（備份組12虛擬ip地址，該地址作為vlan 12中主機(jī)的網(wǎng)關(guān)）

standby 12 priority 10（配置本交換機(jī)對組12優(yōu)先級為10，從而在該組中作為備份交換機(jī)）

interface Vlan13

interface vlan 13

ip address 192.168.13.1 255.255.255.0

standby 13 ip 192.168.13.3（備份組13虛擬ip地址，該地址作為vlan 13中主機(jī)的網(wǎng)關(guān)）

standby 13 priority 20（配置本交換機(jī)對組13優(yōu)先級為20，從而在該組中作為活動交換機(jī)）

interface Vlan14

interface vlan 14

ip address 192.168.14.1 255.255.255.0

standby 14 ip 192.168.14.3（備份組14虛擬ip地址，該地址作為vlan 14中主機(jī)的網(wǎng)關(guān)）

standby 14 priority 20（配置本交換機(jī)對組14優(yōu)先級為20，從而在該組中作為活動交換機(jī)。）

ip route 0.0.0.0 0.0.0.0 10.10.1.2（配置路由，實(shí)現(xiàn)兩臺三層交換機(jī)互通。）

當(dāng)然，接入交換機(jī)DCS-3526A的用戶，如果想接入互聯(lián)網(wǎng)，此時(shí)他的網(wǎng)關(guān)應(yīng)設(shè)置為192.168.11.3，且不論網(wǎng)絡(luò)那一條鏈路斷開，都不影響該用戶對網(wǎng)絡(luò)的使用，網(wǎng)絡(luò)的變化對用戶是透明的。

這里說明了主要配置，其他配置用戶根據(jù)需要自行添加。

4負(fù)載均衡

在某個(gè)局域網(wǎng)內(nèi)，多個(gè)備份組可以共存和重疊。對于每一個(gè)備份組都有一個(gè)為別人所知的MAC地址，以及一個(gè)IP地址。

在本校網(wǎng)絡(luò)中，因?yàn)樵诓煌瑐浞萁M優(yōu)先級的不同，三層交換機(jī)5526S-A作為備份組13、14的Active路由器，同時(shí)又為備份組11、12 的Standby路由器。而三層交換機(jī)5526S-B正相反，作為備份組11、12 Active路由器的，并為備份組13、14 的Standby路由器。Vlan11、vlan12主機(jī)使用5526-B作網(wǎng)關(guān)，vlan13、vlan14主機(jī)使用5526S-A作為網(wǎng)關(guān)。這樣，既達(dá)到網(wǎng)關(guān)互相備份，又實(shí)現(xiàn)流量的負(fù)載均衡的目的。

5安全性的考慮

該協(xié)議是比較安全的，外網(wǎng)用戶很難對該協(xié)議發(fā)動攻擊的，因?yàn)榇蠖鄶?shù)路由器不會轉(zhuǎn)發(fā)到多播地址224.0.0.2的數(shù)據(jù)包，消息中認(rèn)證域?qū)τ诜婪跺e誤配置是有用的。但該協(xié)議沒有提供安全方面的保證，容易受局域網(wǎng)內(nèi)部入侵者攻擊，這可能導(dǎo)致一個(gè)黑洞的產(chǎn)生或拒絕服務(wù)。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）.電子工業(yè)出版社.

[2]神州數(shù)碼試驗(yàn)教材系列之交換試驗(yàn).神州數(shù)碼網(wǎng)絡(luò)大學(xué).

[3]楊威.網(wǎng)絡(luò)工程設(shè)計(jì)與安裝（第2版）.電子工業(yè)出版社.

[4]Cisco Hot Standby Router Protocol.RFC2281.