VRRP和BGP在校園網(wǎng)中的應(yīng)用研究

孫光懿 劉 睿

(1.天津音樂學(xué)院網(wǎng)絡(luò)安全和信息化辦公室,天津 300171;2.天津音樂學(xué)院人事處,天津 300171)

0 引 言

隨著教育信息化近20 a的發(fā)展,當(dāng)今校園網(wǎng)已成為各院校重要的基礎(chǔ)教學(xué)設(shè)施.不僅各類應(yīng)用系統(tǒng)需要依托其運行(如在線教學(xué)平臺、教務(wù)和自動化辦公等系統(tǒng)),而且其還對廣大師生日常的生活、學(xué)習(xí)以及教學(xué)方式產(chǎn)生了深遠(yuǎn)影響.當(dāng)前天津音樂學(xué)院(以下簡稱天音)校園網(wǎng)雖已初具規(guī)模,但也存在著如下急需解決的問題:(1)作為校園網(wǎng)樞紐中心的核心層存在明顯的單點故障(目前只有1臺路由器),一旦出現(xiàn)故障必然造成整個校園網(wǎng)癱瘓.(2)校園網(wǎng)出口鏈路單一(只有中國教育科研網(wǎng)1條出口鏈路)且?guī)挷蛔?已無法滿足廣大校園網(wǎng)用戶對互聯(lián)網(wǎng)資源進(jìn)行訪問的需求.(3)校園網(wǎng)對網(wǎng)絡(luò)故障的自適應(yīng)能力較差,無論出口鏈路發(fā)生故障或核心層網(wǎng)絡(luò)設(shè)備發(fā)生故障,都極有可能造成校園網(wǎng)用戶數(shù)據(jù)流發(fā)生堵塞,從而出現(xiàn)訪問互聯(lián)網(wǎng)資源延遲較大甚至無法正常訪問的現(xiàn)象.

為了有效解決上述問題,同時也為了最大限度的保證校園網(wǎng)能夠安全穩(wěn)定運行,擬計劃采取如下措施:首先,在校園網(wǎng)出口處分別引入中國教育科研網(wǎng)和中國聯(lián)通2條出口鏈路(每條鏈路帶寬為500 M);其次,在校園網(wǎng)核心層部署2臺高性能路由器;最后,在校園網(wǎng)核心層中聯(lián)合實施基于虛擬路由冗余協(xié)議(virtual router redundancy protocol,VRRP[1-5])和邊界網(wǎng)關(guān)協(xié)議(border gateway protocol,BGP)的網(wǎng)絡(luò)設(shè)計方案.應(yīng)用VRRP主要是為了實現(xiàn)3層網(wǎng)關(guān)冗余與流量負(fù)載均衡(在網(wǎng)絡(luò)正常情況下,校園網(wǎng)內(nèi)不同網(wǎng)段用戶的數(shù)據(jù)流轉(zhuǎn)發(fā)任務(wù),將分別由不同的路由器來負(fù)責(zé);如果某臺路由器出現(xiàn)故障,那么另一臺路由器將承擔(dān)起全網(wǎng)用戶數(shù)據(jù)流轉(zhuǎn)發(fā)任務(wù)),從而有效提高校園網(wǎng)核心層的可靠性和2臺路由器的利用率.而應(yīng)用BGP主要是為了對校園網(wǎng)用戶數(shù)據(jù)流進(jìn)行路由.這樣做既可以使網(wǎng)絡(luò)管理人員更便捷地對校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流進(jìn)行有效控制(按照目標(biāo)地址來選擇出口鏈路),進(jìn)而提高校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的速度,又可以大幅提高校園網(wǎng)出口鏈路的可靠性.

1 VRRP簡介

VRRP是一種在局域網(wǎng)中廣泛應(yīng)用的標(biāo)準(zhǔn)網(wǎng)關(guān)容錯協(xié)議,可有效提高3層網(wǎng)關(guān)的可靠性.其工作原理與思科私有協(xié)議(HSRP)相類似,也是將1組路由器虛擬成1臺路由器,并將這臺虛擬路由器的IP地址(該IP地址既可以與VRRP組中路由器的真實IP地址相同,又可不同)作為該網(wǎng)段各終端主機(jī)的默認(rèn)網(wǎng)關(guān).通常VRRP具有如下幾個特點:(1)與HSRP不同,VRRP是一種開放標(biāo)準(zhǔn)協(xié)議,擁有更高的可擴(kuò)展性與兼容性.如可將VRRP部署在多廠商網(wǎng)絡(luò)設(shè)備環(huán)境中,而HSRP只能將其部署在思科網(wǎng)絡(luò)設(shè)備中.(2)VRRP最多可支持建立255個VRRP組,但是每個VRRP組只允許有1臺活躍路由器(該路由器負(fù)責(zé)處理發(fā)送到虛擬路由器上的數(shù)據(jù)包和數(shù)據(jù)幀),而備用路由器則沒有具體數(shù)量限制(1臺或多臺均可以).(3)VRRP擁有較高的安全性,不僅支持明文認(rèn)證而且還支持IP頭認(rèn)證(IP頭認(rèn)證可有效防止報文在傳輸過程中被修改).需要特別注意的是,VRRP組中的路由器只有先建立鄰接關(guān)系,備用路由器才會收到活躍路由器發(fā)送的公告.

2 BGP簡介[6-9]

現(xiàn)實中的互聯(lián)網(wǎng)是由多自治系統(tǒng)互聯(lián)所構(gòu)成的,而自治系統(tǒng)之間的通信則是通過 BGP來實現(xiàn)的.BGP是一種運行于TCP上的域間路由協(xié)議,具有高可靠性、高可擴(kuò)展性、支持無類域間路由、可變長子網(wǎng)掩碼和增量更新等特點.其主要任務(wù)就是確保自治系統(tǒng)之間能夠在無環(huán)路的情況下交換路由信息.BGP按照運行位置的不同又可進(jìn)一步劃分為EBGP和IBGP.二者的主要區(qū)別在于:(1)EBGP無法傳遞本地優(yōu)先級屬性,而 IBGP可以傳遞;(2)EBGP不涉及 BGP同步問題,而 IBGP需要考慮BGP同步問題;(3)EBGP鄰居路由器之間必須存在物理鏈接,而IBGP鄰居路由器之間只需存在邏輯鏈接即可;(4)二者避免路由環(huán)路所采取的措施不同(IBGP通過不允許將從IBGP鄰居學(xué)到的路由再轉(zhuǎn)發(fā)給其他IBGP鄰居這條規(guī)則來避免路由環(huán)路;而EBGP則是通過AS路徑屬性來避免路由環(huán)路).需要特別注意的是:網(wǎng)絡(luò)管理人員在實際部署B(yǎng)GP時,不僅要考慮路由器CPU及內(nèi)存的負(fù)載能力(是否能滿足日常處理BGP更新的需要),而且還要考慮自身對BGP的掌握程度.

3 仿真實驗

3.1 網(wǎng)絡(luò)拓?fù)錁?gòu)建

通過GNS3網(wǎng)絡(luò)仿真平臺,虛擬構(gòu)建出擁有天音校園網(wǎng)(AS32)、中國教育科研網(wǎng)(AS30)、中國聯(lián)通(AS31)3個自治系統(tǒng)的大型網(wǎng)絡(luò).其中,天音校園網(wǎng)自治系統(tǒng)由2臺核心路由器 R3、R4,1臺2層交換機(jī)SW1以及2臺終端計算機(jī)C1、C2所組成;中國教育科研網(wǎng)自治系統(tǒng)由其1臺邊界路由器R1所組成;中國聯(lián)通自治系統(tǒng)由其1臺邊界路由器R2所組成.網(wǎng)絡(luò)拓?fù)淙鐖D1所示.從該網(wǎng)絡(luò)拓?fù)渲胁浑y看到:首先,校園網(wǎng)內(nèi)共有 VLAN100、VLAN101 2個網(wǎng)段且各網(wǎng)段用戶之間可以正常通信.核心層路由器R3、R4之間不僅運行 VRRP,而且還采用全互聯(lián)的方式運行IBGP.需要說明的是:通過運行VRRP,路由器 R3成為VLAN100網(wǎng)段的活躍路由器,同時又成為VLAN101網(wǎng)段的備用路由器.路由器R4成為VLAN101網(wǎng)段的活躍路由器,同時又成為VLAN100網(wǎng)段的備用路由器.在校園網(wǎng)正常情況下,VLAN100網(wǎng)段用戶數(shù)據(jù)包的轉(zhuǎn)發(fā)任務(wù)由核心層路由器R3來負(fù)責(zé),而VLAN101網(wǎng)段用戶數(shù)據(jù)包的轉(zhuǎn)發(fā)任務(wù)則由核心層路由器R4來負(fù)責(zé).采用全互聯(lián)的方式運行IBGP可以有效地避免路由黑洞、減少校園網(wǎng)中IGP傳播的路由,最大限度地節(jié)省校園網(wǎng)帶寬.其次,ISP邊界路由器與校園網(wǎng)核心層2臺路由器之間通過物理直連的方式運行EBGP.之所以要運行 EBGP主要是為了讓上述3個自治系統(tǒng)能夠相互交換各自路由信息.另外,為了實現(xiàn)對校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流進(jìn)行有效控制(在出口鏈路正常的情況下:當(dāng)校園網(wǎng)用戶訪問中國教育科研網(wǎng)資源時,數(shù)據(jù)流經(jīng)中國教育科研網(wǎng)邊界路由器R1對目標(biāo)地址進(jìn)行訪問;當(dāng)校園網(wǎng)用戶訪問其他互聯(lián)網(wǎng)資源時,數(shù)據(jù)流經(jīng)中國聯(lián)通邊界路由器R2對目標(biāo)地址進(jìn)行訪問.在某條出口鏈路出現(xiàn)故障的情況下:校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流會從另一條出口鏈路對目標(biāo)地址進(jìn)行訪問).因此,還需在校園網(wǎng)核心層IBGP路由器中修改本地優(yōu)先級及權(quán)重屬性.

圖1 校園網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

3.2 相關(guān)設(shè)備IP地址分配

本次仿真實驗校園網(wǎng)核心層路由器R3的S2/0接口與S2/1接口,分別與路由器 R1的S2/0接口和路由器R2的S2/1接口相連;核心層路由器R4的S2/1接口與 S2/3接口,分別與路由器 R1的 S2/1接口和路由器R2的S2/3接口相連.相關(guān)設(shè)備IP地址分配方案如表1所示.

表1 相關(guān)設(shè)備IP地址分配方案

3.3 在校園網(wǎng)核心層路由器中部署VRRP[10-12]

3.3.1 建立VRRP組

在校園網(wǎng)核心層路由器R3、R4中部署VRRP,并隨之建立了VRRP100組與VRRP101組.需要說明的是:VRRP100組的IP地址既為VLAN100網(wǎng)段用戶的默認(rèn)網(wǎng)關(guān)地址,同理 VRRP101組的 IP地址既為VLAN101網(wǎng)段用戶的默認(rèn)網(wǎng)關(guān)地址.當(dāng)校園網(wǎng)用戶對外發(fā)起訪問時,首先需將數(shù)據(jù)包發(fā)往所屬網(wǎng)段的默認(rèn)網(wǎng)關(guān),而后會由VRRP組中的活躍路由器對這些數(shù)據(jù)包進(jìn)行進(jìn)一步的處理.本文給出路由器R3中的VRRP協(xié)議配置過程(路由器R4的配置過程與其類似,故省略):

R3(config-if)#int f0/0.1

R3(config-subif)#vrrp 100 ip 192.168.100.1/設(shè)置VLAN 100的網(wǎng)關(guān)地址

R3(config-if)#int f0/0.2

R3(config-subif)#vrrp 101 ip 192.168.101.1/設(shè)置VLAN 101的網(wǎng)關(guān)地址

3.3.2 配置VRRP優(yōu)先級和搶占特性

為了實現(xiàn)3層網(wǎng)關(guān)冗余及流量負(fù)載均衡,在這里分別將路由器R3、R4設(shè)置為 VRRP100組與 VRRP101組的活躍路由器,同時又分別將二者設(shè)置為VRRP101組與VRRP100組的備用路由器.這樣不僅校園網(wǎng)3層網(wǎng)關(guān)的可靠性有了大幅度提高,而且校園網(wǎng)流量也實現(xiàn)了負(fù)載均衡.另外,為了避免當(dāng)VRRP組中活躍路由器出現(xiàn)故障時,擁有最高優(yōu)先級的備用路由器無法成為活躍路由器情況的出現(xiàn).因此,有必要為 VRRP組中的路由器配置搶占特性.在這里只給出路由器 R3的配置過程(路由器R4的配置過程與其類似,故省略):

R3(config-subif)#vrrp 100 priority 110//路由器R3上的vrrp 100組優(yōu)先級為110

R3(config-subif)#vrrp 100 preempt//配置搶占特性

R3(config-subif)#vrrp 101 priority 105//路由器R3上的vrrp 101組優(yōu)先級為105

R3(config-subif)#vrrp 101 preempt//配置搶占特性

上述配置完成后,查看路由器R3中VRRP組的工作狀態(tài)(圖2).

可得以下結(jié)論:(1)在VRRP100組中,由于路由器R3的優(yōu)先級(110)高于路由器R4的優(yōu)先級(105),因此路由器R3成為校園網(wǎng)VLAN100網(wǎng)段的活躍路由器;而在VRRP101組中,由于路由器R3的優(yōu)先級(105)低于路由器R4的優(yōu)先級(110),因此路由器R3成為校園網(wǎng)VLAN101網(wǎng)段的備用路由器.(2)校園網(wǎng)VLAN100與VLAN101網(wǎng)段用戶的默認(rèn)網(wǎng)關(guān)地址分別為192.168.100.1和192.168.101.1.

圖2 路由器R3中VRRP組的工作狀態(tài)

3.4 配置BGP[13-15]

3.4.1 建立EBGP鄰居

校園網(wǎng)核心層路由器R3、R4與中國教育科研網(wǎng)邊界路由器R1及中國聯(lián)通邊界路由器R2之間采用物理直連的方式運行EBGP.之所以采用該方式運行EBGP,主要是從2臺路由器之間能夠順利建立EBGP鄰接關(guān)系角度所考慮的.EBGP規(guī)定,必須要滿足以下3項條件路由器之間才可建立EBGP鄰接關(guān)系:(1)EBGP鄰居分別位于不同自治系統(tǒng)之中.(2)EBGP鄰居之間必要先建立TCP會話,再互相交換BGP路由表.(3)neighbor命令中的IP地址必須是可達(dá)的.在這里只給出路由器 R3與 R1、路由器R3與 R2之間的EBGP配置過程,路由器 R4與R1、路由器R4與 R2之間的EBGP配置過程與其類似,故省略.

(1)配置路由器R3.

R3(config)#router bgp 32

R3(config-router)#neigh 11.1.1.1 remote-as 30//指定 EBGP鄰居

R3(config-router)#neigh 12.1.1.1 remote-as 31

R3(config-router)#neigh 11.1.1.1 updatesource s2/0//指定EBGP分組的源IP地址

R3(config-router)#neigh 12.1.1.1 updatesource s2/1

(2)配置路由器R1.

R1(config)#router bgp 30

R1(config-router)#neigh 11.1.1.2 remote-as 32//指定 EBGP鄰居

R1(config-router)#neigh 11.1.1.2 updatesource s2/0//指定EBGP分組的源IP地址

(3)配置路由器R2.

R2(config)#router bgp 31

R2(config-router)#neigh 11.1.1.2 remote-as 32//指定 EBGP鄰居

R2(config-router)#neigh 11.1.1.2 updatesource s2/1//指定EBGP分組的源IP地址

3.4.2 建立IBGP鄰居

受互聯(lián)網(wǎng)BGP路由表包含路由條目數(shù)量眾多的影響,在實際部署 BGP的過程中,往往不會將其重分發(fā)到IGP中.通常的做法是在自治系統(tǒng)內(nèi)的所有路由器中運行IBGP并禁用BGP同步.在這里只給出路由器R3配置IBGP鄰居的過程(路由器R4配置IBGP鄰居的過程與其類似,故省略).

R3(config)#router bgp 32

R3(config-router)#neigh 13.1.1.1 remote-as 32//指定路由器R4為IBGP鄰居

R3(config-router)#neigh 13.1.1.1 updatesource s2/2

R3(config-router)#no synchronizat //關(guān)閉BGP同步

3.4.3 修改BGP下一跳屬性

下一跳屬性是BGP的公認(rèn)強制屬性,因此該屬性必須出現(xiàn)在BGP路由更新之中.需要注意的是:BGP默認(rèn)的下一跳與IGP默認(rèn)的下一跳有所不同.BGP默認(rèn)的下一跳為去往目標(biāo)地址的下一個自治系統(tǒng)入口IP地址,而IGP默認(rèn)的下一跳為去往目標(biāo)地址的下一個路由器接口IP地址.舉例來說,如果目標(biāo)地址位于外部自治系統(tǒng)內(nèi),那么本自治系統(tǒng)內(nèi)的IBGP路由器去往目標(biāo)地址的下一跳就應(yīng)為外部自治系統(tǒng)入口IP地址.但是這樣以來,就極有可能出現(xiàn)IBGP路由器丟掉前往目標(biāo)分組的情況(IBGP路由器的IP路由表中不存在去往外部自治系統(tǒng)入口IP地址的路由).因此,在部署B(yǎng)GP的過程中有必要修改其下一跳屬性,將路由更新的源IP地址作為其下一跳地址.在這里只給出在路由器R3中修改BGP下一跳屬性的配置過程:

R3(config-router)#neigh 11.1.1.1 next-hop-self//將路由更新的源IP地址作為下一跳地址

R3(config-router)#neighbor 12.1.1.1 nexthop-self

R3(config-router)#neighbor 13.1.1.1 nexthop-self

3.4.4 修改本地優(yōu)先級屬性

為了實現(xiàn)對路由器R3中校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流進(jìn)行有效控制,利用路由映射表技術(shù),根據(jù)目標(biāo)地址的不同對其本地優(yōu)先級屬性進(jìn)行了相應(yīng)修改.對于來自中國教育科研網(wǎng)所屬目標(biāo)網(wǎng)段(例如:211.68.192.0/24)的BGP路由更新,路由器R3將本地優(yōu)先級設(shè)置為110;對于來自其他目標(biāo)網(wǎng)段的BGP路由更新,路由器R3將本地優(yōu)先級設(shè)置為180.路由器R3的詳細(xì)配置如下所示:

R3(config-router)#neighbor 11.1.1.1 route-map skk in

R3(config-router)#neighbor 12.1.1.1 route-map lzz in

R3(config)#route-map skk permit 10

R3(config-router-map)#match ip add 10

R3(config-router-map)#set local-prefer 110 //修改本地優(yōu)先級值為110

R3(config)#route-map skk permit 16

R3(config)#access-list 10 permit 211.68.192.0 0.0.0.255

R3(config)#route-map lzz permit 10

R3(config-router-map)#match ip add 11

R3(config-router-map)#set local-prefer 180 //修改本地優(yōu)先級值為180

R3(config)#access-list 11 deny 211.68.192.0 0.0.0.255 R3(config)#access-list 11 permit any

修改本地優(yōu)先級屬性后,路由器R3的BGP路由表如圖3所示.路由器R3去往中國教育科研網(wǎng)目標(biāo)網(wǎng)段211.68.192.0/24時,共有3條路由可供選擇.其中本地優(yōu)先級為110且下一跳地址為11.1.1.1(該地址為中國教育科研網(wǎng)自治系統(tǒng)入口IP地址)的這條路由被選為最佳路由;而去往其他目標(biāo)網(wǎng)段如202.99.96.0/24時,同樣共有3條路由可供選擇.其中本地優(yōu)先級為180且下一跳地址為12.1.1.1(該地址為中國聯(lián)通自治系統(tǒng)入口IP地址)的這條路由被選為最佳路由.

圖3 路由器R3的BGP路由表

3.4.5 修改權(quán)重屬性

BGP有自己獨特的路由選擇過程,它會首選權(quán)重值最高的BGP路由為最佳路由.為了實現(xiàn)對路由器R4中校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流進(jìn)行有效控制,利用路由映射表技術(shù),根據(jù)目標(biāo)地址的不同對其權(quán)重屬性進(jìn)行了相應(yīng)修改.對于來自路由器R1的中國教育科研網(wǎng)所屬目標(biāo)網(wǎng)段(例如:211.68.192.0/24)的 BGP路由更新,路由器 R4將權(quán)重值設(shè)置為300;對于來自路由器R1其他網(wǎng)段的BGP路由更新,路由器R4將采用默認(rèn)權(quán)重值;對于來自路由器R2的中國教育科研網(wǎng)所屬目標(biāo)網(wǎng)段(例如:211.68.192.0/24)的BGP路由更新,路由器R4將權(quán)重值設(shè)置為101;對于來自路由器R2其他網(wǎng)段的BGP路由更新,路由器R4將權(quán)重值設(shè)置為600.路由器R4的詳細(xì)配置如下所示:

R4(config)#access-list 14 permit 211.68.192.0 0.0.0.255

R4(config-router)#neighbor 15.1.1.2 route-map kk in

R4(config-router)#neighbor 14.1.1.2 route-map kl in

R4(config)#route-map kk permit 10

R4(config-router-map)#match ip add 14

R4(config-router-map)#set weig 300 //修改權(quán)重值為300

R4(config)#route-map kk permit 13

R4(config)#route-map kl permit 10

R4(config-router-map)#match ip add 14

R4(config-router-map)#set weig 101 //修改權(quán)重值為101

R4(config)#route-map kl permit 18

R4(config-router-map)#set weig 600 //修改權(quán)重值為600

修改權(quán)重屬性后,路由器 R4的 BGP路由表圖4所示.路由器R4去往中國教育科研網(wǎng)目標(biāo)網(wǎng)段211.68.192.0/24同樣有3條路由可供選擇,其中權(quán)重值為300且下一跳地址為15.1.1.2(該地址為中國教育科研網(wǎng)自治系統(tǒng)入口IP地址)的這條路由被選為最佳路由;而去往其他目標(biāo)網(wǎng)段如202.99.96.0/24時,其中權(quán)重值為600且下一跳地址為14.1.1.2(該地址為中國聯(lián)通自治系統(tǒng)入口IP地址)的這條路由被選為最佳路由.

圖4 路由器R4的BGP路由表

4 仿真測試[16]

4.1 網(wǎng)絡(luò)正常情況下測試

首先,使用PING命令測試校園網(wǎng)終端計算機(jī)C1與C2之間的連通性;其次,以終端計算機(jī)C1為例,使用 trace命令分別測試訪問目標(biāo)地址211.68.192.11/24與202.99.96.68/24的路由過程.最后,使用sh ip route命令分別查看路由器 R3及路由器R4的路由表.

(1)測試終端計算機(jī)C1與C2之間的連通性.

VPCS[1]＞ping 192.168.101.20

192.168.101.20 icmp_seq=1 ttl=254 time=94.566 ms

192.168.101.20 icmp_seq=2 ttl=254 time=84.387 ms

192.168.101.20 icmp_seq=2 ttl=254 time=63.829 ms

(2)使用trace命令分別測試訪問中國教育科研網(wǎng)所屬目標(biāo)地址211.68.192.11/24和中國聯(lián)通所屬目標(biāo)地址202.99.96.68/24的路由過程.

VPCS[1]＞trace 211.68.192.11

trace to 211.68.192.11,8 hops max,press Ctrl+C to stop

1 192.168.100.2 63.904 ms 10.193 ms 12.603 ms

2 11.1.1.1 59.091 ms

VPCS[1]＞trace 202.99.96.68

trace to 202.99.96.68,8 hops max,press Ctrl+C to stop

1 192.168.100.2 41.704 ms 45.793 ms 31.513 ms

2 12.1.1.1 77.004 ms

(3)使用sh ip route命令查看路由器 R3的路由表(圖5).

(4)使用sh ip route命令查看路由器 R4的路由表(圖6).

圖5 路由器R3的路由表

圖6 路由器R4的路由表

測試后可得以下結(jié)論:(1)校園網(wǎng)VLAN100網(wǎng)段所屬終端計算機(jī)C1與VLAN101網(wǎng)段所屬終端計算機(jī)C2之間可以實現(xiàn)正常通信.(2)實現(xiàn)了校園網(wǎng)3層網(wǎng)關(guān)冗余與流量負(fù)載均衡,校園網(wǎng)核心層路由器R3不僅是VLAN100網(wǎng)段的活躍路由器,而且還是 VLAN101網(wǎng)段的備用路由器,另一臺校園網(wǎng)核心層路由器R4不僅是VLAN100網(wǎng)段的備用路由器,而且還是VLAN101網(wǎng)段的活躍路由器.(3)實現(xiàn)了對校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)流進(jìn)行有效控制.當(dāng)終端計算機(jī)C1訪問中國教育科研網(wǎng)資源時,數(shù)據(jù)流會先被發(fā)往VLAN100網(wǎng)段的活躍路由器R3,而后經(jīng)中國教育科研網(wǎng)邊界路由器R1到達(dá)目標(biāo)地址.而當(dāng)終端計算機(jī) C1訪問其他互聯(lián)網(wǎng)資源時,雖然數(shù)據(jù)流也會先被發(fā)往VLAN100網(wǎng)段的活躍路由器R3,但是需經(jīng)中國聯(lián)通邊界路由器R2到達(dá)目標(biāo)地址.同理,當(dāng)終端計算機(jī)C2訪問中國教育科研網(wǎng)資源時,數(shù)據(jù)流會先被發(fā)往VLAN101網(wǎng)段的活躍路由器R4,而后經(jīng)中國教育科研網(wǎng)邊界路由器R1到達(dá)目標(biāo)地址.而當(dāng)終端計算機(jī)C2訪問其他互聯(lián)網(wǎng)資源時,雖然數(shù)據(jù)流也會先被發(fā)往VLAN101網(wǎng)段的活躍路由器R4,但是需經(jīng)中國聯(lián)通邊界路由器R2到達(dá)目標(biāo)地址.

4.2 網(wǎng)絡(luò)故障情況下測試

在這里模擬中國教育科研網(wǎng)邊界路由器R1出現(xiàn)故障.與此同時以終端計算機(jī)C1為例,對其與終端計算機(jī)C2的連通性以及訪問目標(biāo)地址211.68.192.11/24與202.99.96.68/24的路由過程進(jìn)行再次測試,并查看校園網(wǎng)核心層路由器 R3、R4中VRRP組的工作狀態(tài).

測試后可得以下結(jié)論:(1)VLAN100網(wǎng)段所屬終端計算機(jī)C1與VLAN101網(wǎng)段所屬終端計算機(jī)C2之間仍然可以實現(xiàn)正常通信.(2)校園網(wǎng)核心層路由器R3、R4中VRRP組的工作狀態(tài)未發(fā)生任何變化.(3)校園網(wǎng)用戶仍然可對互聯(lián)網(wǎng)資源進(jìn)行正常訪問.當(dāng)終端計算機(jī)C1訪問互連網(wǎng)資源時,數(shù)據(jù)流會先被發(fā)往VLAN100網(wǎng)段的活躍路由器R3,而后經(jīng)中國聯(lián)通邊界路由器R2到達(dá)目標(biāo)地址.同理,當(dāng)終端計算機(jī)C2訪問互聯(lián)網(wǎng)資源時,數(shù)據(jù)流會先被發(fā)往VLAN101網(wǎng)段的活躍路由器R4,而后經(jīng)中國聯(lián)通邊界路由器R2到達(dá)目標(biāo)地址.

5 結(jié)束語

通過在校園網(wǎng)核心層中聯(lián)合部署虛擬路由冗余協(xié)議和邊界網(wǎng)關(guān)協(xié)議,不僅提高了3層網(wǎng)關(guān)與出口鏈路的可靠性,而且還實現(xiàn)了對校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源數(shù)據(jù)流的有效控制.即使校園網(wǎng)內(nèi)某臺核心交換機(jī)或某條出口鏈路發(fā)生故障,校園網(wǎng)用戶對互聯(lián)網(wǎng)資源的訪問也不會受到任何影響.校園網(wǎng)經(jīng)過此次改造后,用戶的滿意度也有了明顯的提升.