引言： 我校升級前的網(wǎng)絡中心設備單一，終端通過接入層、匯聚層、單核心層和防火墻接入?yún)^(qū)教育網(wǎng)。核心交換機采用的是華為S7712，雖然性能還可以，但單一的核心存在單點故障，且不能為各個業(yè)務負載分擔。為此網(wǎng)絡中心另購置一臺S7712，采用VRRP技術，配合STP技術做雙核心冗余備份和負載分擔。

我校局域網(wǎng)共劃分了14個VLAN，對于由多個VLAN構成的局域網(wǎng)來說，每個VLAN的網(wǎng)關設備多是由核心交換機來承擔的，一旦核心交換機出現(xiàn)故障，則多個VLAN的網(wǎng)關都將出現(xiàn)問題，這些VLAN之間的通信將處于中斷狀態(tài)。為了避免這種情況的發(fā)生，大多數(shù)核心交換機都會提供冗余網(wǎng)關協(xié)議，使得網(wǎng)絡中至少兩臺交換機成為各個VLAN的網(wǎng)關，避免網(wǎng)關的單點故障效應。常見的冗余網(wǎng)關協(xié)議包括虛擬路由冗余協(xié)議（VRRP）、熱備份路由協(xié)議（HSRP）和網(wǎng)關負載均衡協(xié)議（GLBP）。

基本理論

圖1 改造之前的拓撲圖

由互聯(lián)網(wǎng)工程任務組（IETF）組織制定的VRRP，是為具有多播或廣播能力的局域網(wǎng)設計的容錯協(xié)議。在網(wǎng)絡中啟用VRRP之前，首先要創(chuàng)建一個備份組，組內的路由設備均運行VRRP。同處于一個VRRP備份組的路由器共同形成一個虛擬路由器，虛擬路由器對外表現(xiàn)為一個具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器（Master）和備份路由器（Backup）。一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或多個處于備份角色的路由器。VRRP使用選擇策略從路由器組中選舉一臺作為主控路由器，負責ARP響應和轉發(fā)IP數(shù)據(jù)包，組中的其它路由器將作為備份路由器處于待命狀態(tài)。若某種原因使得主控路由器發(fā)生故障時，備份路由器升級為主控路由器。由于此狀態(tài)切換時間較短（通常不超過5S），而且無須改變終端設備的TCP/IP協(xié)議配置和ARP表，因此對于終端用戶而言，網(wǎng)絡的業(yè)務應用幾乎是連續(xù)的、穩(wěn)定的。

原有網(wǎng)絡情況和存在問題

我校原有網(wǎng)絡接入層為華為S5700-58C-SI交換機，匯聚層為華為S5700-24CEI交換機，核心層為華為S7712交換機，匯聚層到核心層、核心層到防火墻均為單鏈路，如圖1所示。

核心交換機S7712配置了二塊萬兆12光口擴展模塊，型號為ES0D0X12SA00，分別安裝在第8和10擴展槽上；一塊千兆48電口擴展模塊，型號為ES0D0G48TA00，安裝在第6擴展槽上。

這種網(wǎng)絡存在以下幾個問題：

1．只有一臺核心交換機，為單核心結構，沒有冗余備份，如果這臺核心交換機宕機，則整個網(wǎng)絡中斷。

2．由于只有單核心，所以各個配線間的匯聚層到核心層為單鏈路，如果這條鏈路出現(xiàn)故障，則該匯聚層其下的網(wǎng)絡都將中斷。

3．在單核心的情況下，因特網(wǎng)、一卡通（消費、考勤、門禁）、數(shù)字廣播和監(jiān)控等業(yè)務都由單核心來交換數(shù)據(jù)，負載過大。

升級中的物理和邏輯設計

物理設計

新購置一臺同型號核心交換機S7712，配置和原來一樣的擴展模塊，且安裝在對應的擴展槽上。2臺S7712之間通過兩條光纖跳線做鏈路聚合，使其帶寬擴展為20G。23個樓宇配線間的匯聚交換機各增加一個萬兆單模光纖模塊，和核心擴展插槽上的單模光纖模塊成對，從原24芯的光纖鏈路中取用2芯作為到第二核心S7712-2的鏈路。新的拓撲結構圖如2所示。

生成樹協(xié)議設計

雖然現(xiàn)在成為雙核心和雙鏈路的健壯性網(wǎng)絡，但是S7712-1、S7712-2和匯聚交換機三者形成了一個環(huán)路。生成樹協(xié)議（STP）能夠在邏輯上通過阻斷網(wǎng)絡中存在的冗余鏈路來消除物理網(wǎng)絡中可能存在的環(huán)路，并且在當前活躍路徑發(fā)生故障時，激活被阻斷的冗余備份鏈路來恢復網(wǎng)絡的連通性，從而保證業(yè)務的不間斷服務。

根據(jù)實際中子網(wǎng)和VLAN的分布，創(chuàng)建2個實例，instance 1和 instance 2，實例1承載Internet的VLAN116～119和255業(yè)務；實例2承載一卡通、廣播和無線網(wǎng)等業(yè)務，其對應VLAN為vlan 30 39 41 to 52 128 ；數(shù)據(jù)流量相對比較大的安防監(jiān)控劃分為2個 VLAN，為 VLAN201和VLAn202，分別分配到2個實例中。實例1以S7712-1為根橋，以S7712-2為備份橋；實例2以S7712-2為根橋，以S7712-1為備份橋

冗余網(wǎng)關VRRP設計

在VRRP配置中，實例1以S7712-1為Master設備，以S7712-2為Backup設備；實例2以S7712-2為Master設備，以S7712-1為Backup設備。這樣在任一設備宕機后，另一設備都能承擔對方的業(yè)務。在正常情況下，2臺交換機都正常運行，分別承擔各自的業(yè)務。

核心交換機中的具體配置

核心之間的鏈路聚合配置

兩臺核心交換機的生成樹協(xié)議配置

生成樹實例配置如下

VRRP在Vlanif接口中的配置

這里只以其中一個VLAN配置為例，其它不在贅述：

查看運行結果和效果

配置完成后，檢查運行結果和效果是必不可少的，以下為主要的查看命令和顯示結果：

1.查看VRRP摘要信息（為省篇幅，只復制部分內容）：

2、查看某VLAN的VRRP詳細信息

3．查看STP根橋信息

運行效果

查看運行效果的方法可以使用軟、硬兩種方法，軟方法就是通過命令，使某端口shoudown；硬方法就是直接關機或拔插線路。

在網(wǎng)絡中任選一臺具有代表性的PC機，使用帶-t參數(shù)的Ping命令，然后關閉其中一臺核心交換機，查看其連通性；或者直接拔掉某些跳線，觀察網(wǎng)絡的連通性。通過測試，VRRP和STP都能達到預期的效果。