孫光懿 賈英霞

(1.天津音樂學(xué)院網(wǎng)絡(luò)安全和信息化辦公室，天津 300171；2.商丘經(jīng)濟(jì)貿(mào)易學(xué)校教務(wù)科，河南 商丘 476000)

0 引 言

當(dāng)前天津音樂學(xué)院校園網(wǎng)(以下簡(jiǎn)稱校園網(wǎng))面臨2個(gè)急需解決的問題:一是校園網(wǎng)整體可靠性不高，三層網(wǎng)關(guān)及出口路由均沒有備份.無(wú)論是出口鏈路還是核心層網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，都會(huì)造成校園網(wǎng)用戶無(wú)法正常訪問互聯(lián)網(wǎng)資源.二是出口鏈路單一且網(wǎng)絡(luò)帶寬不足，在用網(wǎng)高峰時(shí)段，校園網(wǎng)用戶訪問互連網(wǎng)資源速度較慢.為了解決上述問題，采取了以下應(yīng)對(duì)措施:保留中國(guó)教育科研網(wǎng)出口鏈路，并引入中國(guó)電信、中國(guó)聯(lián)通等互聯(lián)網(wǎng)服務(wù)提供商出口鏈路；在校園網(wǎng)核心層中部署2臺(tái)三層交換機(jī)，并在二者之間運(yùn)行虛擬路由冗余協(xié)議(virtual router redundancy protocol，VRRP).這樣部署不僅可有效解決核心層存在的單點(diǎn)故障問題，還可以為三層網(wǎng)關(guān)提供冗余.第三，在校園網(wǎng)與互聯(lián)網(wǎng)服務(wù)提供商互聯(lián)的邊界路由器中，聯(lián)合應(yīng)用策略路由和服務(wù)等級(jí)協(xié)議(service-level agreement，SLA).應(yīng)用策略路由主要是為了使校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包時(shí)，能夠按照更為合理的路徑進(jìn)行轉(zhuǎn)發(fā)，從而提高訪問互聯(lián)網(wǎng)資源的速度.而應(yīng)用SLA，不僅可實(shí)時(shí)監(jiān)測(cè)校園網(wǎng)出口鏈路的工作狀態(tài)，而且還可以通過關(guān)聯(lián)路由進(jìn)程，確保校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包不受故障鏈路的影響，即數(shù)據(jù)包可及時(shí)通過另一條備用出口鏈路進(jìn)行轉(zhuǎn)發(fā).

1 相關(guān)技術(shù)

1.1 VRRP

VRRP是IETP提出的一種具有開放標(biāo)準(zhǔn)的網(wǎng)關(guān)容錯(cuò)協(xié)議[1-5]，因此可部署在多廠商網(wǎng)絡(luò)設(shè)備環(huán)境中.其工作原理和特性與熱備份路由協(xié)議(hot standby router protocol，HSRP)相類似(該協(xié)議為思科私有協(xié)議)，具有快速的故障恢復(fù)速度與較高的安全性(支持明文認(rèn)證、MD5認(rèn)證、HMAC認(rèn)證).最多可支持255個(gè)VRRP組(HSRP最多只能支持16個(gè)組)，組內(nèi)允許存在1臺(tái)主用路由器和若干臺(tái)備用路由器.可以將每個(gè)VRRP組理解為1臺(tái)虛擬路由器，虛擬路由器的IP地址(該地址為局域網(wǎng)內(nèi)主機(jī)三層網(wǎng)關(guān)IP地址)既可以與組內(nèi)路由器IP地址相同，又可以不同.VRRP協(xié)議不僅可為組內(nèi)路由器真實(shí)IP地址提供冗余，而且還可以為組內(nèi)成員共享的虛擬IP地址提供冗余.局域網(wǎng)內(nèi)主機(jī)發(fā)往三層網(wǎng)關(guān)的報(bào)文，均由主用路由器負(fù)責(zé)進(jìn)行處理.除此之外，主用路由器還負(fù)責(zé)以每秒1次的頻率向組播地址224.0.0.18發(fā)送Hello數(shù)據(jù)包.而備用路由器不負(fù)責(zé)處理任何報(bào)文，僅當(dāng)主用路由器出現(xiàn)故障時(shí)，才會(huì)在搶占模式下，通過選舉成為新的主用路由器.主用路由器的選擇是根據(jù)VRRP組內(nèi)每臺(tái)路由器的優(yōu)先級(jí)所決定的，優(yōu)先級(jí)最高的路由器成為主用路由器，優(yōu)先級(jí)的缺省值為100.如果VRRP組內(nèi)某臺(tái)路由器的優(yōu)先級(jí)為0，那么就意味著該臺(tái)路由器不再參與VRRP組的運(yùn)作(該設(shè)置可使備用路由器不必等待主用失效間隔時(shí)間，從而快速成為主用路由器).如果VRRP組內(nèi)某臺(tái)路由器的優(yōu)先級(jí)為255，那么就意味著該臺(tái)路由器為IP地址擁有者(虛擬路由器的IP地址與該路由器物理接口的IP地址相同).

1.2 策略路由

策略路由技術(shù)[6-7]，為網(wǎng)絡(luò)管理者提供了一種比傳統(tǒng)路由協(xié)議(傳統(tǒng)路由協(xié)議數(shù)據(jù)包的轉(zhuǎn)發(fā)是根據(jù)目標(biāo)地址來進(jìn)行的)更為靈活、可靠的數(shù)據(jù)包轉(zhuǎn)發(fā)和路由方式.應(yīng)用策略路由技術(shù)，網(wǎng)絡(luò)管理者可根據(jù)源地址、目的地址、報(bào)文長(zhǎng)度、轉(zhuǎn)發(fā)時(shí)間、協(xié)議類型、IP優(yōu)先級(jí)等多種方式，對(duì)用戶數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā).換句話說，只要在訪問控制列表中能夠進(jìn)行設(shè)置的條件，都可作為策略路由的匹配規(guī)則.需要注意:(1)策略路由的優(yōu)先級(jí)比任何路由協(xié)議都高(包括靜態(tài)路由與直連路由協(xié)議)；(2)策略路由只在入站接口方向起作用；(3)默認(rèn)情況下，策略路由對(duì)路由器自身所產(chǎn)生的數(shù)據(jù)包不起作用；(4)在多出口鏈路的情況下，應(yīng)用策略路由，可實(shí)現(xiàn)出口鏈路的負(fù)載均衡；(5)網(wǎng)絡(luò)管理者在應(yīng)用策略路由前，必須預(yù)先指定將要使用的路由圖，并創(chuàng)建該路由圖.路由圖可由1或多條策略所組成，每條策略又可定義1或多條匹配規(guī)則和對(duì)應(yīng)的動(dòng)作.當(dāng)某條策略定義了多條匹配規(guī)則時(shí)，只有接口收到的數(shù)據(jù)包同時(shí)滿足上述所有規(guī)則時(shí)，策略路由才會(huì)執(zhí)行該條策略相對(duì)應(yīng)的動(dòng)作；(6)如果數(shù)據(jù)包與路由圖中每條策略所定義的規(guī)則都不匹配，那么將按照傳統(tǒng)路由轉(zhuǎn)發(fā)進(jìn)行處理；(7)如果網(wǎng)絡(luò)管理者想丟棄某些數(shù)據(jù)包而不進(jìn)行轉(zhuǎn)發(fā)，可利用路由圖將數(shù)據(jù)包路由到NULL0接口.

1.3 SLA

SLA可采用主動(dòng)監(jiān)視的方式[8-10]，對(duì)出口鏈路的可用性與網(wǎng)絡(luò)性能進(jìn)行連續(xù)探測(cè)，并分析生成的數(shù)據(jù)流.從而使網(wǎng)絡(luò)管理者不僅能夠及時(shí)了解出口鏈路的網(wǎng)絡(luò)性能，而且還可以預(yù)先發(fā)現(xiàn)出口鏈路所存在的網(wǎng)絡(luò)問題.在實(shí)際應(yīng)用SLA的過程中，需要網(wǎng)絡(luò)管理者在IP SLA源指定目標(biāo)設(shè)備的IP地址、協(xié)議類型以及TCP或UDP端口號(hào)(目標(biāo)設(shè)備的響應(yīng)信息，存儲(chǔ)在源設(shè)備的IP SLA MIB中).需要注意的是:(1)在源設(shè)備啟用IP SLA后，會(huì)向目標(biāo)設(shè)備發(fā)送人造數(shù)據(jù)流.(2)如果目標(biāo)設(shè)備支持運(yùn)行 IP SLA響應(yīng)器(例如思科路由器)，那么就可以在不需要進(jìn)行復(fù)雜配置的情況下，提供精確的測(cè)量值.

2 網(wǎng)絡(luò)拓?fù)錁?gòu)建[11-13]

改造后的校園網(wǎng)，在網(wǎng)絡(luò)邊界處部署了1臺(tái)思科3700路由器R1，分別與引入的中國(guó)教育科研網(wǎng)、中國(guó)聯(lián)通、中國(guó)電信3條互聯(lián)網(wǎng)服務(wù)提供商邊界路由器互聯(lián)(路由器R2為中國(guó)教育科研網(wǎng)邊界路由器、路由器 R3為中國(guó)聯(lián)通邊界路由器、路由器 R4為中國(guó)電信邊界路由器).為了使校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包，能夠按照更為合理的路徑進(jìn)行轉(zhuǎn)發(fā)，同時(shí)也為了使其擁有出口路由備份，在路由器R1中聯(lián)合應(yīng)用策略路由和SLA協(xié)議.除此之外，還在校園網(wǎng)核心層部署了2臺(tái)思科6509三層交換機(jī)SW1與SW2，二者之間通過運(yùn)行VRRP協(xié)議，為三層網(wǎng)關(guān)提供冗余.網(wǎng)絡(luò)拓?fù)淙鐖D1所示.三層交換機(jī)SW1既為天音校園網(wǎng) VLAN11(辦公區(qū))和VLAN12(財(cái)務(wù)一卡通)網(wǎng)段的主用路由器，又為天音校園網(wǎng) VLAN13(學(xué)生宿舍區(qū))和 VLAN14(教學(xué)區(qū))網(wǎng)段的備用路由器.同理，三層交換機(jī)SW2既為天音校園網(wǎng) VLAN13和VLAN14網(wǎng)段的主用路由器，又為天音校園網(wǎng)VLAN11和 VLAN12網(wǎng)段的備用路由器.

在校園網(wǎng)正常的情況下，VLAN11與 VLAN12這2個(gè)網(wǎng)段用戶發(fā)往網(wǎng)關(guān)地址的數(shù)據(jù)包和數(shù)據(jù)幀均由SW1負(fù)責(zé)處理；而VLAN13與VLAN14這2個(gè)網(wǎng)段用戶發(fā)往網(wǎng)關(guān)地址的數(shù)據(jù)包和數(shù)據(jù)幀則由SW2負(fù)責(zé)處理.當(dāng) VLAN11、VLAN13、VLAN14 網(wǎng)段用戶訪問教育網(wǎng)資源時(shí)(VLAN12網(wǎng)段用戶只可對(duì)校園網(wǎng)內(nèi)資源進(jìn)行訪問，禁止訪問任何互聯(lián)網(wǎng)資源)，數(shù)據(jù)包需經(jīng)中國(guó)教育科研網(wǎng)邊界路由器 R2，去往目標(biāo)地址.當(dāng)VLAN11網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源時(shí)，數(shù)據(jù)包需經(jīng)中國(guó)聯(lián)通邊界路由器R3，去往目標(biāo)地址.當(dāng)VLAN13與VLAN14網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源時(shí)，數(shù)據(jù)包需經(jīng)中國(guó)電信邊界路由器R4，去往目標(biāo)地址.

在校園網(wǎng)出現(xiàn)故障的情況下(無(wú)論是三層交換機(jī)出現(xiàn)故障，還是校園網(wǎng)出口鏈路出現(xiàn)故障)，各網(wǎng)段用戶對(duì)目標(biāo)地址的訪問均不會(huì)受到任何影響，只是數(shù)據(jù)包去往目標(biāo)地址的路徑會(huì)發(fā)生相應(yīng)改變.例如:當(dāng)三層交換機(jī)SW1發(fā)生故障時(shí)，校園網(wǎng)內(nèi)所有網(wǎng)段用戶發(fā)往網(wǎng)關(guān)地址的數(shù)據(jù)包和數(shù)據(jù)幀，均會(huì)由三層交換機(jī) SW2來負(fù)責(zé)進(jìn)行處理(三層交換機(jī)SW2成為VLAN11與 VLAN12網(wǎng)段新的主用路由器)，當(dāng)中國(guó)教育科研網(wǎng)出口鏈路發(fā)生故障時(shí)，VLAN11、VLAN13和 VLAN14網(wǎng)段用戶，訪問教育網(wǎng)資源的數(shù)據(jù)包會(huì)改為經(jīng)中國(guó)聯(lián)通邊界路由器R3，去往目標(biāo)地址.

圖1 多出口校園網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

3 網(wǎng)絡(luò)配置

3.1 校園網(wǎng)相關(guān)設(shè)備IP地址分配

當(dāng)前校園網(wǎng)有 VLAN11、VLAN12、VLAN13 和VLAN14共4個(gè)網(wǎng)段，各網(wǎng)段用戶之間可以互相通信.其中，VLAN11網(wǎng)段的網(wǎng)關(guān)地址為192.168.11.1，VLAN12的網(wǎng)關(guān)地址為192.168.12.1，VLAN13網(wǎng)段的網(wǎng)關(guān)地址為192.168.13.1，VLAN14網(wǎng)段的網(wǎng)關(guān)地址為192.168.14.1.二層交換機(jī) SW3的 f3/1、f3/2接口為TRUNK接口，分別與三層交換機(jī)SW1的f3/1接口和 SW2的 f3/2接口互聯(lián)；而 f3/4、f3/3、f3/5、f3/6接口均為 ACCESS接口，分別連接VLAN11網(wǎng)段所屬終端計(jì)算機(jī) C1、VLAN12網(wǎng)段所屬終端計(jì)算機(jī) C3、VLAN13網(wǎng)段所屬終端計(jì)算機(jī)C4、VLAN14網(wǎng)段所屬終端計(jì)算機(jī)C5.另外，在互聯(lián)網(wǎng)服務(wù)提供商邊界路由器 R2、R3和 R4中，建立了4個(gè)環(huán)回接口，分別為 LOOPBACK1、LOOPBACK2、LOOPBACK3和LOOPBACK4.這些接口主要用來模擬教育網(wǎng)資源服務(wù)器地址、中國(guó)聯(lián)通資源服務(wù)器地址、中國(guó)電信資源服務(wù)器地址以及公網(wǎng) DNS 114.114.114.114.校園網(wǎng)相關(guān)網(wǎng)絡(luò)設(shè)備接口及 IP地址分配如表1所示.

3.2 VRRP部署[14]

在三層交換機(jī)SW1與SW2中部署VRRP，不僅可實(shí)現(xiàn)三層網(wǎng)關(guān)的冗余(有助于提高校園網(wǎng)故障快速恢復(fù)能力)，而且還可以對(duì)校園網(wǎng)中的流量實(shí)施負(fù)載均衡.在實(shí)際部署 VRRP協(xié)議的過程中，網(wǎng)絡(luò)管理者一定要確保2臺(tái)三層交換機(jī)在二層鏈路中可以互相通信.否則，VRRP組中的備用路由器，就無(wú)法收到主用路由器所發(fā)送的HELLO通告.另外，還需要網(wǎng)絡(luò)管理者為部署VRRP協(xié)議的每臺(tái)三層交換機(jī)配置搶占特性.這樣既能確保當(dāng)VRRP組中的主用路由器發(fā)生故障時(shí)，擁有最高優(yōu)先級(jí)的備用路由器成為新的主用路由器(校園網(wǎng)用戶發(fā)往網(wǎng)關(guān)地址的數(shù)據(jù)包和數(shù)據(jù)幀，則由該路由器負(fù)責(zé)處理)，又能確保當(dāng)原主用路由器從故障中恢復(fù)時(shí)，重新成為主用路由器.在這里只給出在三層交換機(jī)SW1中建立VRRP 11組的相關(guān)配置命令:

SW1(config)#int vlan 11

SW1(config-if)#ip addre 192.168.11.3 255.255.255.0

SW1(config-if)#vrrp 11 ip 192.168.11.1//建立VRRP 11組，虛擬路由器的IP地址為192.168.11.1，該地址既為校園網(wǎng) VLAN11網(wǎng)段用戶網(wǎng)關(guān)地址

表1 校園網(wǎng)相關(guān)網(wǎng)絡(luò)設(shè)備接口及IP地址分配

SW1(config-if)#vrrp 11 priority 190 //將三層交換機(jī)SW1在VRRP11組中的優(yōu)先級(jí)設(shè)置為190(此值大于 SW2在 VRRP11組中所設(shè)置的優(yōu)先級(jí))，此舉將使SW1成為VRRP11組的主用路由器

SW1(config-subif)#vrrp 11 pree//配置三層交換機(jī)SW1在VRRP11組中的搶占特性

3.3 RIP動(dòng)態(tài)路由協(xié)議部署

校園網(wǎng)各網(wǎng)段網(wǎng)關(guān)建立在三層交換機(jī)SW1與SW2之中，而 VLAN11、VLAN13和 VLAN14網(wǎng)段用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包，需經(jīng)路由器 R1向互聯(lián)網(wǎng)服務(wù)提供商邊界路由器進(jìn)行轉(zhuǎn)發(fā)，才可到達(dá)目的地址.為確保上述網(wǎng)段用戶能夠正常對(duì)互聯(lián)網(wǎng)資源進(jìn)行訪問，在這里有必要在三層交換機(jī)SW1、SW2以及路由器R1中部署RIP動(dòng)態(tài)路由協(xié)議.三層交換機(jī)SW2的配置命令與 SW1相類似，故省略.

(1)在三層交換機(jī)SW1中部署如下RIP路由協(xié)議.

SW1(config)#router rip//在 SW1中創(chuàng)建 RIP路由進(jìn)程

SW1(config-rip)#ver 2

SW1(config-rip)#network 10.1.1.0//宣告網(wǎng)絡(luò)

SW1(config-rip)#network 192.168.11.0

SW1(config-rip)#network 192.168.12.0

SW1(config-rip)#network 192.168.13.0

SW1(config-rip)#network 192.168.14.0

(2)在路由器R1中部署RIP路由協(xié)議.

R1(config)#router rip//在R1中創(chuàng)建RIP路由進(jìn)程

R1(config-rip)#ver 2

R1(config-rip)#network 10.1.1.0//宣告網(wǎng)絡(luò)

R1(config-rip)#network 11.1.1.0

3.4 訪問控制列表部署

為了確保在路由器R1中，聯(lián)合應(yīng)用策略路由和SLA協(xié)議的方案能夠順利實(shí)施，不僅需要在路由器R1中部署，基于源地址的標(biāo)準(zhǔn)訪問控制列表(標(biāo)準(zhǔn)訪問控制列表的編號(hào)1～99或1 300～1 999)，而且還需要部署基于目的地址的擴(kuò)展訪問控制列表(擴(kuò)展訪問控制列表的編號(hào)100～199或2 000～2 699).

R1(config)#access-list 10 permit 192.168.12.0 0.0.0.255

R1(config)#access-list 170 permit ip any 211.65.170.0 0.0.0.255

R1(config)#access-list 171 permit ip 192.168.11.0 0.0.0.255 any

R1(config)#access-list 172 permit ip 192.168.13.0 0.0.0.255 any

R1(config)#access-list 173 permit ip 192.168.14.0 0.0.0.255 any

R1(config)#access-list 180 permit ip any any

3.5 SLA部署

在路由器 R1中部署 SLA，可對(duì)校園網(wǎng)3條出口鏈路的可用性進(jìn)行連續(xù)、可靠的有效監(jiān)測(cè)(主要通過在3條出口鏈路上監(jiān)測(cè)公網(wǎng)114.114.114.114 DNS服務(wù)器來實(shí)現(xiàn))，所監(jiān)測(cè)的對(duì)象也與路由進(jìn)程相關(guān)聯(lián).只有在監(jiān)測(cè)對(duì)象可達(dá)的情況下，校園網(wǎng)用戶訪問外網(wǎng)資源的數(shù)據(jù)包才會(huì)按照與其相關(guān)聯(lián)的路由進(jìn)程進(jìn)行轉(zhuǎn)發(fā).當(dāng)發(fā)現(xiàn)監(jiān)測(cè)對(duì)象不可達(dá)時(shí)，校園網(wǎng)訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包，就會(huì)按照網(wǎng)絡(luò)管理者預(yù)先制定的路由策略，從另一條出口鏈路對(duì)互聯(lián)網(wǎng)資源進(jìn)行正常訪問.在這里以對(duì)中國(guó)教育科研網(wǎng)出口鏈路為例，給出相關(guān)配置命令:

R1(config)#ip sla monitor 10//設(shè)置SLA條目

R1(config-sla-monitor)#type echo protocol ipIcmpEcho 114.114.144.114 source-ip 211.68.197.1//測(cè)試訪問公網(wǎng)114DNS地址的可達(dá)性，源 IP地址為211.68.197.1(該地址為路由器R1的s2/0接口地址)

R1(config)#ip sla monitor schedule 10 life forevstart-time now//上述對(duì)公網(wǎng)114DNS地址的可達(dá)性測(cè)試立即生效，并一直持續(xù)

R1(config)#track 10 ip sla 10 reachability //定義所跟蹤的對(duì)象

3.6 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)部署

為了最大限度地保護(hù)校園網(wǎng)的安全，也為了節(jié)省有限的公網(wǎng)IPv4地址資源，校園網(wǎng)各網(wǎng)段均使用了私有IPv4地址.任何主機(jī)必須擁有合法的公有IP地址，才可正常訪問互聯(lián)網(wǎng)資源.因此，有必要在路由器R1中部署網(wǎng)絡(luò)地址轉(zhuǎn)換(network address translation，NAT)技術(shù)，當(dāng)校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源時(shí)，將其私有地址轉(zhuǎn)換為合法的公有 IP地址.NAT技術(shù)通常有以下3種實(shí)現(xiàn)方式:靜態(tài) NAT(1個(gè)私有IP地址，對(duì)應(yīng)轉(zhuǎn)換為1個(gè)固定的公有 IP地址)；動(dòng)態(tài)NAT(私有 IP地址對(duì)應(yīng)轉(zhuǎn)換為隨機(jī)的公有IP地址)；端口多路復(fù)用(通過改變數(shù)據(jù)包源端口并進(jìn)行轉(zhuǎn)換的方式，內(nèi)部網(wǎng)絡(luò)的所有私有 IP地址，可共享1個(gè)合法公有IP地址，從而實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)資源的訪問).在這里只給出中國(guó)聯(lián)通出口鏈路的NAT相關(guān)配置:

R1(config)#route-map cu permit 10//配置從中國(guó)聯(lián)通出口鏈路，訪問互聯(lián)網(wǎng)資源的NAT源地址來源

R1(config-route-map)#match ip address 180

R1(config-route-map)#match interface s2/1

R1(config)#ip nat pool cu 202.97.95.3 202.97.95.12 netmask 255.255.255.0//指定中國(guó)聯(lián)通出口鏈路NAT地址池

R1(config)#ip nat inside source route-map cu pool cu overload//定義NAT工作方式為PAT

3.7 策略路由部署[15]

由于校園網(wǎng)邊界路由器R1的f3/0接口與f3/1接口，分別與三層交換機(jī)SW1、SW2互連，因此將所制定的策略路由應(yīng)用于上述2個(gè)接口(為接收數(shù)據(jù)包的入站接口)之中.在實(shí)際部署策略路由時(shí)，如果路由圖語(yǔ)句被標(biāo)記為deny，那么將不會(huì)按照基于策略的路由轉(zhuǎn)發(fā)滿足匹配條件的數(shù)據(jù)包，而是按照基于目的地址的傳統(tǒng)路由進(jìn)行轉(zhuǎn)發(fā).在這里只給出在f3/0接口應(yīng)用策略路由的過程(在f3/1接口應(yīng)用策略路由的過程與其類似，故省略):

R1(config)#route-map sgy permit 10

R1(config-route-map)#match ip address 10//判斷數(shù)據(jù)包的源地址是否為VLAN12網(wǎng)段用戶

R1(config-route-map)#set default interface null0//丟棄來自VLAN12網(wǎng)段用戶的數(shù)據(jù)包

R1(config)#route-map sgy permit 15

R1(config-route-map)#match ip address 170//判斷是否訪問教育網(wǎng)資源

R1(config-route-map)#set ip next-hop verify-availability 211.68.197.2 track 10//當(dāng)中國(guó)教育科研網(wǎng)出口鏈路工作狀態(tài)正常時(shí)，校園網(wǎng) VLAN11、VLAN13和VLAN14網(wǎng)段用戶，訪問教育網(wǎng)資源的下一跳地址為211.68.197.2.

R1(config-route-map)#set ip next-hop verify-availability 202.97.952 track 15//當(dāng)中國(guó)教育科研網(wǎng)出口鏈路出現(xiàn)故障時(shí)，校園網(wǎng) VLAN11、VLAN13、VLAN14網(wǎng)段用戶，訪問教育網(wǎng)資源的下一跳地址為202.97.95.2.

R1(config)#route-map sgy permit 18

R1(config-route-map)#match ip address 171

R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//當(dāng)中國(guó)聯(lián)通出口鏈路工作狀態(tài)正常時(shí)，校園網(wǎng)VLAN11網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為202.97.95.2.

R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//當(dāng)中國(guó)聯(lián)通出口鏈路出現(xiàn)故障時(shí)，校園網(wǎng)VLAN11網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為221.44.129.2.

R1(config)#route-map sgy permit 20

R1(config-route-map)#match ip address 172

R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//當(dāng)中國(guó)電信出口鏈路工作狀態(tài)正常時(shí)，校園網(wǎng)VLAN13網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為221.44.129.2.

R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//當(dāng)中國(guó)電信出口鏈路出現(xiàn)故障時(shí)，校園網(wǎng)VLAN13網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為202.97.95.2.

R1(config)#route-map sgy permit 25

R1(config-route-map)#match ip address 173

R1(config-route-map)#set ip next-hop verify-availability 221.44.129.2 track 16//當(dāng)中國(guó)電信出口鏈路工作狀態(tài)正常時(shí)，校園網(wǎng)VLAN14網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為221.44.129.2.

R1(config-route-map)#set ip next-hop verify-availability 202.97.95.2 track 15//當(dāng)中國(guó)電信出口鏈路出現(xiàn)故障時(shí)，校園網(wǎng)VLAN14網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源的下一跳地址為202.97.95.2.

R1(config-if)#int f3/0

R1(config-subif)#ip policy route-map sgy//在f3/0接口應(yīng)用策略路由

4 網(wǎng)絡(luò)測(cè)試

4.1 在校園網(wǎng)正常的情況下進(jìn)行測(cè)試

首先，使用show vrrp brief命令查看，校園網(wǎng)三層交換機(jī) SW1、SW2中 VRRP的工作狀態(tài)(圖 2、圖3).其次，以校園網(wǎng)VLAN11網(wǎng)段所屬終端計(jì)算機(jī)C1及VLAN13網(wǎng)段所屬終端計(jì)算機(jī)C4為例，使用trace命令分別查看訪問教育網(wǎng)資源服務(wù)器(IP地址為:211.68.170.1/24)以及中國(guó)電信資源服務(wù)器(IP地址為:221.44.130.1/24)的路由過程.

圖2 三層交換機(jī)SW1中VRRP協(xié)議的工作狀態(tài)

圖3 三層交換機(jī)SW2中VRRP協(xié)議的工作狀態(tài)

(1)終端計(jì)算機(jī)C1訪問教育網(wǎng)資源服務(wù)器以及中國(guó)聯(lián)通資源服務(wù)器路由過程.

VPCS[1]＞trace 211.65.170.1//訪問教育網(wǎng)資源服務(wù)器

trace to 211.65.170.1， 8 hops max， press Ctrl+C to stop

1 192.168.11.1 15.431ms 9.770ms 10.540ms

2 10.1.1.1 12.376ms 7.53ms 8.69ms

3211.6 5.197.2 19.528 ms//到達(dá)目的地址前，最后一跳的IP地址為中國(guó)教育科研網(wǎng)邊界路由器R2與校園網(wǎng)邊界路由器R1互聯(lián)的接口地址.

VPCS[1]＞trace 221.44.130.1//訪問電信資源服務(wù)器

trace to 221.44.130.1， 8 hops max， press Ctrl+C to stop

1 192.168.11.1 11.631ms 7.570ms 16.931ms

2 10.1.1.1 10.522ms 8.73ms 9.59ms

3 202.97.95.2 16.129ms//到達(dá)目的地址前，最后一跳的IP地址為中國(guó)聯(lián)通邊界路由器R3與校園網(wǎng)邊界路由器R1互聯(lián)的接口地址.

(2)終端計(jì)算機(jī)C4訪問教育網(wǎng)資源服務(wù)器以及中國(guó)聯(lián)通資源服務(wù)器路由過程.

VPCS[4]＞trace 211.65.170.1//訪問教育網(wǎng)資源服務(wù)器

trace to 211.65.170.1， 8 hops max， press Ctrl+C to stop

1 192.168.13.1 17.094ms 6.170ms 13.590ms

2 11.1.1.1 11.146ms 5.63ms 7.29s

3 211.65.197.2 19.528ms//到達(dá)目的地址前，最后一跳的IP地址為中國(guó)教育科研網(wǎng)邊界路由器R2與校園網(wǎng)邊界路由器R1互聯(lián)的接口地址.

VPCS[4]＞trace 221.44.130.1//訪問電信資源服務(wù)器

trace to 221.44.130.1， 8 hops max， press Ctrl+C to stop

1 192.168.13.1 9.541ms 8.773ms 12.011ms

2 11.1.1.1 9.552ms 7.33ms 8.16ms

3 221.44.129.2 11.539ms//到達(dá)目的地址前，最后一跳的IP地址為中國(guó)電信邊界路由器R4與校園網(wǎng)邊界路由器R1互聯(lián)的接口地址.

通過上述測(cè)試發(fā)現(xiàn):校園網(wǎng)不僅實(shí)現(xiàn)了三層網(wǎng)關(guān)的冗余，而且還實(shí)現(xiàn)了出口流量的負(fù)載均衡.其一，校園網(wǎng)三層交換機(jī) SW1既為 VLAN11、VLAN12網(wǎng)段的主用路由器，又為 VLAN13和VLAN14網(wǎng)段的備用路由器.與此同時(shí)，校園網(wǎng)三層交換機(jī)SW2既為VLAN11、VLAN12網(wǎng)段的備用路由器，又為 VLAN13、VLAN14網(wǎng)段的主用路由器.其二，當(dāng)VLAN11、VLAN13和VLAN14網(wǎng)段用戶訪問教育網(wǎng)資源時(shí)，數(shù)據(jù)包經(jīng)中國(guó)教育科研網(wǎng)邊界路由器 R2去往目標(biāo)地址.其三，當(dāng) VLAN11網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源時(shí)，數(shù)據(jù)包經(jīng)中國(guó)聯(lián)通邊界路由器 R3去往目標(biāo)地址.其四，當(dāng)VLAN13、VLAN14網(wǎng)段用戶訪問其他互聯(lián)網(wǎng)資源時(shí)，數(shù)據(jù)包經(jīng)中國(guó)電信邊界路由器R4去往目標(biāo)地址.

4.2 在校園網(wǎng)發(fā)生故障的情況下進(jìn)行測(cè)試

首先，手動(dòng)關(guān)閉三層交換機(jī) SW1，模擬校園網(wǎng)核心層網(wǎng)絡(luò)設(shè)備出現(xiàn)故障.并再次使用 show vrrp brief命令對(duì)三層交換機(jī)SW2中VRPP的工作狀態(tài)進(jìn)行測(cè)試.測(cè)試后，三層交換機(jī)SW2已成為校園網(wǎng)所有網(wǎng)段的主用路由器(校園網(wǎng)各網(wǎng)段用戶發(fā)往網(wǎng)關(guān)的流量，均由其進(jìn)行處理).其次，手動(dòng)關(guān)閉中國(guó)教育科研網(wǎng)邊界路由器R2，模擬教育網(wǎng)出口鏈路出現(xiàn)故障.并再次以校園網(wǎng)VLAN11網(wǎng)段所屬終端計(jì)算機(jī)C1及VLAN13網(wǎng)段所屬終端計(jì)算機(jī)C4為例，使用trace命令查看訪問教育網(wǎng)資源服務(wù)器(IP地址為:211.68.170.1/24)的路由過程.測(cè)試后發(fā)現(xiàn)，VLAN11、VLAN13、VLAN14網(wǎng)段用戶仍可對(duì)教育網(wǎng)資源進(jìn)行正常訪問.只是去往目標(biāo)地址，所經(jīng)的互聯(lián)網(wǎng)服務(wù)提供商邊界路由器變?yōu)榱酥袊?guó)聯(lián)通邊界路由器R3.

5 結(jié)束語(yǔ)

此次網(wǎng)絡(luò)改造，不僅有效增強(qiáng)了天音校園網(wǎng)的可靠性，而且使校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的速度也有了明顯提升.既使某臺(tái)三層交換機(jī)或某條出口鏈路發(fā)生故障，也不會(huì)對(duì)校園網(wǎng)用戶訪問互聯(lián)網(wǎng)業(yè)務(wù)造成任何影響.