孫光懿，　郭建忠

(1. 天津音樂學(xué)院 圖書信息中心， 天津 300171； 2. 天津科技大學(xué) 信息化建設(shè)與管理辦公室， 天津 300222)

0　引　言

隨著網(wǎng)絡(luò)技術(shù)日新月異地發(fā)展，各高校校園網(wǎng)規(guī)模呈現(xiàn)出逐年擴(kuò)大的趨勢，校園網(wǎng)能否安全穩(wěn)定運(yùn)行直接關(guān)系到學(xué)校的穩(wěn)定和廣大師生的切身利益。

目前，多數(shù)高校校園網(wǎng)出口均引入了多條ISP出口線路，出口帶寬有了很大提高，但是網(wǎng)絡(luò)不穩(wěn)定的現(xiàn)象時(shí)有發(fā)生，校園網(wǎng)用戶滿意度不高。構(gòu)建一個(gè)高可靠性的校園網(wǎng)，使廣大師生可以全年不間斷的正常訪問互聯(lián)網(wǎng)，已成為各高校急需解決的難題。為了有效解決這一難題，我們提出了將多臺(tái)路由器部署在網(wǎng)絡(luò)出口處，各路由器之間應(yīng)用網(wǎng)關(guān)負(fù)載均衡協(xié)議(GLBP)[1-2]并分別啟用服務(wù)等級(jí)協(xié)議(SLA)的解決方案。GLBP協(xié)議主要用來實(shí)現(xiàn)校園網(wǎng)內(nèi)三層網(wǎng)關(guān)的冗余和流量負(fù)載均衡[3-8]。不僅強(qiáng)壯性高而且應(yīng)用配置也相對(duì)簡單便捷，最關(guān)鍵的一點(diǎn)它可以更加靈活的進(jìn)行負(fù)載分擔(dān)配置，無需像HSRP協(xié)議和VRRP協(xié)議那樣需要組建多個(gè)組，并讓用戶指向不同網(wǎng)關(guān)才可以實(shí)現(xiàn)負(fù)載分擔(dān)，在一定程度上減少了網(wǎng)絡(luò)管理者的工作強(qiáng)度，同時(shí)也減少了配置過程中出錯(cuò)的幾率。SLA協(xié)議主要用來監(jiān)控ISP接入路由器的可用性。

1　相關(guān)技術(shù)

1.1　GLBP協(xié)議簡介

GLBP是由思科公司在2005年提出的私有協(xié)議，目前廣泛應(yīng)用在3層網(wǎng)絡(luò)設(shè)備中，用來彌補(bǔ)HSRP協(xié)議在負(fù)載均衡和安全性方面的不足。GLBP協(xié)議工作原理和HSRP協(xié)議頗有類似之處，但是GLBP協(xié)議更能充分利用網(wǎng)絡(luò)設(shè)備資源，組中的每個(gè)路由器都可以進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，而HSRP協(xié)議只能由活動(dòng)路由器進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，其他路由器并不參與數(shù)據(jù)包的轉(zhuǎn)發(fā)。GLBP協(xié)議支持MD5密鑰認(rèn)證并最多可支持建立1 024個(gè)組，組中成員之間通過向組播地址224.0.0.12每間隔3 s發(fā)送一次HELLO數(shù)據(jù)包來進(jìn)行通信，以便確定AVG狀態(tài)是否可用。每個(gè)組中只能擁有一個(gè)AVG，但是AVF最多可以擁有4個(gè)。組中具有最高優(yōu)先級(jí)的路由器將成為AVG，(路由器的優(yōu)先級(jí)從0-255，默認(rèn)情況下為100)如果組中存在優(yōu)先級(jí)相同的路由器，那么具有最高IP地址的路由器就會(huì)被選為AVG,如果AVG發(fā)生故障不能正常工作，優(yōu)先級(jí)次之的備用路由器就會(huì)接替工作成為新的AVG，從而實(shí)現(xiàn)網(wǎng)關(guān)的冗余。AVG不承擔(dān)數(shù)據(jù)包轉(zhuǎn)發(fā)的職責(zé)，其主要任務(wù)就是為組內(nèi)每個(gè)AVF分配虛擬MAC地址，并時(shí)刻檢測來自客戶端對(duì)網(wǎng)關(guān)的ARP請(qǐng)求。當(dāng)AVG收到來自客戶端對(duì)網(wǎng)關(guān)的ARP請(qǐng)求后，依據(jù)負(fù)載均衡策略，選擇不同AVF的MAC地址回復(fù)給客戶端，以此讓組內(nèi)的每一個(gè)AVF都參與數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)負(fù)載均衡。AVF的主要任務(wù)就是對(duì)發(fā)送到此MAC地址的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，具體每個(gè)AVF轉(zhuǎn)發(fā)數(shù)據(jù)包的比例可以由權(quán)重值大小來決定。

1.2　SLA協(xié)議簡介

SLA為用戶提供測試網(wǎng)絡(luò)服務(wù)是否安全可靠、實(shí)時(shí)可達(dá)的一種反饋機(jī)制，其工作原理就是通過向支持IP協(xié)議的網(wǎng)絡(luò)設(shè)備發(fā)送測試數(shù)據(jù)報(bào)文，并對(duì)網(wǎng)絡(luò)性能(UDP響應(yīng)時(shí)間、丟包率、抖動(dòng)、連通性)進(jìn)行充分分析，使用戶對(duì)網(wǎng)絡(luò)服務(wù)故障具有一定的研判能力，從而可以提前采取應(yīng)對(duì)措施，保證網(wǎng)絡(luò)安全可靠運(yùn)行。

2　網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

為了保證校園網(wǎng)能夠安全穩(wěn)定運(yùn)行，提高用戶對(duì)網(wǎng)絡(luò)服務(wù)的滿意度，我們?yōu)樾@網(wǎng)引入了兩條互聯(lián)網(wǎng)出口線路(教育網(wǎng)和中國聯(lián)通)，二者互為備份。其中R1路由器為教育網(wǎng)接入路由器，R2路由器為中國聯(lián)通接入路由器，無論哪一條出口線路出現(xiàn)網(wǎng)絡(luò)故障，都不會(huì)影響校園網(wǎng)用戶對(duì)INTERNET的正常訪問。R3、R4為部署在校園網(wǎng)出口的兩臺(tái)思科3700路由器，SW1和SW2分別為連接路由器R3和路由器R4的2層交換機(jī)。校園網(wǎng)內(nèi)共設(shè)置有VLAN50、VLAN60兩個(gè)網(wǎng)段，分屬于兩個(gè)網(wǎng)段的終端設(shè)備可以互連互通，其中C1與C3為VLAN50網(wǎng)段終端計(jì)算機(jī)，C2與C4為VLAN60網(wǎng)段終端計(jì)算機(jī)。

路由器R3、R4之間應(yīng)用GLBP協(xié)議并在兩臺(tái)路由器上分別啟用SLA[9-12]，對(duì)ISP接入路由器的可用性進(jìn)行不間斷探測，以提高校園網(wǎng)對(duì)網(wǎng)絡(luò)故障的自適應(yīng)性。在網(wǎng)絡(luò)正常情況下，路由器R3和路由器R4組成一個(gè)GLBP組，具有最高優(yōu)先級(jí)的路由器R3成為AVG，優(yōu)先級(jí)次之的路由器R4成為備用AVG。路由器R3負(fù)責(zé)虛擬MAC地址的分發(fā)，并對(duì)校園網(wǎng)用戶ARP請(qǐng)求做出應(yīng)答。路由器R3、R4均為AVF，都參與數(shù)據(jù)包的轉(zhuǎn)發(fā)，且轉(zhuǎn)發(fā)流量比為1∶1。路由器R3即為轉(zhuǎn)發(fā)者2的活動(dòng)路由器又為轉(zhuǎn)發(fā)者1的備用路由器，路由器R4即為轉(zhuǎn)發(fā)者1的活動(dòng)路由器又為轉(zhuǎn)發(fā)者2的備用路由器。換句話說，當(dāng)校園網(wǎng)用戶將流量發(fā)送到轉(zhuǎn)發(fā)者1的MAC地址時(shí)，流量由路由器R4來進(jìn)行處理。當(dāng)校園網(wǎng)用戶將流量發(fā)送到轉(zhuǎn)發(fā)者2的MAC地址時(shí)，流量由路由器R3來進(jìn)行處理。以校園網(wǎng)VLAN50網(wǎng)段的終端計(jì)算機(jī)C1與C3為例，C1訪問INTERNET資源，數(shù)據(jù)包首先經(jīng)校園網(wǎng)出口路由器R3 進(jìn)行轉(zhuǎn)發(fā)，再經(jīng)教育網(wǎng)到達(dá)目的地址。C4訪問INTERNET資源，數(shù)據(jù)包首先經(jīng)校園網(wǎng)出口路由器R4進(jìn)行轉(zhuǎn)發(fā)，再經(jīng)中國聯(lián)通網(wǎng)絡(luò)到達(dá)目的地址。

當(dāng)路由器R3或教育網(wǎng)接入路由器R1不能正常工作時(shí)，路由器R3的權(quán)重值會(huì)下降到低門限值以下，不再參與數(shù)據(jù)包的轉(zhuǎn)發(fā)，路由器R4將獨(dú)自承擔(dān)起轉(zhuǎn)發(fā)數(shù)據(jù)包的任務(wù)。同理當(dāng)路由器R4或中國聯(lián)通接入路由器不能正常工作時(shí)，路由器R4的權(quán)重值也會(huì)下降到低門限值以下，也將不再參與數(shù)據(jù)包的轉(zhuǎn)發(fā)，路由器R3將獨(dú)自承擔(dān)起轉(zhuǎn)發(fā)數(shù)據(jù)包的任務(wù)。校園網(wǎng)用戶在整個(gè)網(wǎng)絡(luò)故障處理過程中，不會(huì)感到有斷網(wǎng)現(xiàn)象的發(fā)生，還可以正常訪問INTERNET資源,從而實(shí)現(xiàn)校園網(wǎng)的高可靠性。校園網(wǎng)出口網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1　校園網(wǎng)出口網(wǎng)絡(luò)拓?fù)鋱D

3　網(wǎng)絡(luò)具體配置方案

3.1　IP地址的分配

在ISP接入路由器R1、R2上分別建立LOOPBACK回環(huán)接口，在校園網(wǎng)出口路由器R3、R4上分別建立邏輯接口。建立回環(huán)接口的目的，主要用于模擬公網(wǎng)DNS地址。建立邏輯接口的目的：① 為了使校園網(wǎng)內(nèi)VLAN50和VLAN60兩個(gè)網(wǎng)段之間能夠?qū)崿F(xiàn)互連互通；② 為了節(jié)省路由器R3、R4的可用接口。另將校園網(wǎng)內(nèi)SW1和SW2兩臺(tái)2層交換機(jī)的f0/1接口劃分到VLAN50網(wǎng)段，f0/2接口劃分到VLAN60網(wǎng)段，用于與4臺(tái)終端計(jì)算機(jī)(C1、C2、C3、C4)相連，終端計(jì)算機(jī)C1與C3網(wǎng)關(guān)地址為VLAN50虛擬網(wǎng)關(guān)IP地址192.168.50.1，終端計(jì)算機(jī)C2與C4網(wǎng)關(guān)地址為VLAN60虛擬網(wǎng)關(guān)IP地址192.168.60.1。網(wǎng)絡(luò)設(shè)備接口及IP地址分配如表1所示。

表1　網(wǎng)絡(luò)設(shè)備接口及IP地址分配

3.2　路由器接口配置

在路由器R3、R4上應(yīng)用單臂路由技術(shù)分別建立兩個(gè)邏輯接口，邏輯接口的數(shù)據(jù)在鏈路上傳輸時(shí)采用802.1q協(xié)議進(jìn)行封裝，封裝以后的每個(gè)邏輯接口對(duì)應(yīng)一個(gè)VLAN。(路由器 R1、路由器R2以及路由器 R3的接口配置與路由器R4接口配置類似，故省略。)

(1) 配置路由器 R4

R4(config)#int s1/0

R4(config-if)#no shut

R4(config-if)#ip address 202.59.55.30 255.255.255.0 //此地址用于與中國聯(lián)通接入路由器R2互聯(lián)

R4(config-if)#exit

R4(config)#int f0/0

R4(config-if)#no shut //啟用校園網(wǎng)接口f0/0

R4(config-if)#int f0/0.1 //建立邏輯接口

R4(config-subif)#encapsulationdot1Q 50 //在此邏輯接口上封裝802.1Q協(xié)議

R4(config-subif)#ip add 192.168.50.3 255.255.255.0 //設(shè)置邏輯接口地址

R4(config-if)#int f0/0.2 //建立邏輯接口

R4(config-if)#encapsulationdot1Q 60 //在此邏輯接口上封裝802.1Q協(xié)議

R4(config-subif)#ip add 192.168.60.3 255.255.255.0 //設(shè)置邏輯接口地址

3.3　配置NAT地址轉(zhuǎn)換

為了保護(hù)校園網(wǎng)內(nèi)網(wǎng)的安全性和避免來自Internet的網(wǎng)絡(luò)攻擊，將校園網(wǎng)內(nèi)VLAN50、VLAN60兩個(gè)網(wǎng)段均設(shè)置為私網(wǎng)網(wǎng)段。校園網(wǎng)用戶進(jìn)行互聯(lián)網(wǎng)訪問時(shí)，在路由器R3、R4上應(yīng)用NAT技術(shù)將其私網(wǎng)IP地址轉(zhuǎn)換為ISP服務(wù)商提供的公網(wǎng)IP地址[13]，從而實(shí)現(xiàn)校園網(wǎng)用戶對(duì)互聯(lián)網(wǎng)資源的正常訪問。(路由器R4的NAT配置與路由器R3的NAT配置類似，故省略。)

(1) 在路由器R3上配置NAT

R3(config-if)#interface f0/0.1 //建立邏輯接口

R3(config-subif)#ip nat inside

R3(config-if)#interface f0/0.2 //建立邏輯接口

R3(config-subif)#ip nat inside

R3(config-if)#exit //返回全局配置模式

R3(config)#interface s1/0

R3(config-if)#ip nat outside

R3(config-if)#exit

R3(config)#access-list 4 permit any //建立訪問控制列表4，允許任何來自內(nèi)網(wǎng)接口的地址都可以被轉(zhuǎn)換

R3(config)#ip nat pool cernet 211.68.191.3 211.68.191.33 netmask 255.255.255.0 //建立名為cernet的地址轉(zhuǎn)換池

R3(config)#ip nat inside source list 4 pool cernetoverload ∥定義NAT工作方式為PAT

3.4　配置路由

由于已在路由器R3、R4上應(yīng)用NAT技術(shù)并且現(xiàn)實(shí)中ISP接入路由器R1、R2的路由表中只允許存在到公網(wǎng)地址的路由條目，因此只需為路由器R3、R4配置網(wǎng)絡(luò)開銷小、可信度高、運(yùn)行更為安全穩(wěn)定的靜態(tài)路由即可[14-16]。

(1)配置路由器R3路由

R3(config)#ip route 0.0.0.0 0.0.0.0 211.68.191.1 //數(shù)據(jù)包的下一跳指向教育網(wǎng)接入路由器R1的接口地址

(2) 配置路由器R4路由

R4(config)#ip route 0.0.0.0 0.0.0.0 202.59.55.31 //數(shù)據(jù)包的下一跳指向中國聯(lián)通接入路由器R2的接口地址

3.5　配置SLA

通常情況下，當(dāng)ISP接入路由器R1或R2發(fā)生網(wǎng)絡(luò)故障，在校園網(wǎng)出口路由器R3與R4之間運(yùn)行的GLBP協(xié)議是無法覺察到這種故障發(fā)生的，數(shù)據(jù)包繼續(xù)由原先選舉出的AVF進(jìn)行轉(zhuǎn)發(fā)，這樣必然會(huì)造成一部分校園網(wǎng)用戶無法對(duì)互聯(lián)網(wǎng)進(jìn)行正常訪問。通過在路由器R3、R4上配置SLA，并與跟蹤對(duì)象相關(guān)聯(lián),分別實(shí)時(shí)監(jiān)控到公網(wǎng)DNS 8.8.8.8.8的連通性，當(dāng)其發(fā)生故障時(shí)，可以使GLBP協(xié)議對(duì)AVF的選舉及時(shí)做出調(diào)整，以保證校園網(wǎng)用戶可以正常訪問互聯(lián)網(wǎng)。

(1)在路由器R3上配置SLA

R3(config)#ip sla monitor 11

R3(config-sla-monitor)#type echo protocol ipIcmpEcho 8.8.8.8 //配置檢控公網(wǎng)DNS 8.8.8.8

R3(config-sla-monitor-echo)#frequ 5//配置監(jiān)控時(shí)間頻率

R3(config-sla-monitor-echo)#timeout 600 //配置監(jiān)控超時(shí)時(shí)間

R3(config)#ip sla monitor schedule 11 life forever start-time now //立即開始監(jiān)控，并永遠(yuǎn)有效

(2) 在路由器R4上配置SLA

R4(config)#ip sla monitor 12

R4(config-sla-monitor)#type echo protocol ipIcmpEcho 8.8.8.8 //配置監(jiān)控公網(wǎng)DNS 8.8.8.8

R4(config-sla-monitor-echo)#frequ 5 //配置監(jiān)控時(shí)間頻率

R4(config-sla-monitor-echo)#timeout 600 //配置監(jiān)控超時(shí)時(shí)間

R4(config)#ip sla monitor schedule 12 life forever start-time now //立即開始監(jiān)控，并永遠(yuǎn)有效

3.6　配置GLBP

3.6.1配置網(wǎng)關(guān)冗余

GLBP 50組的虛擬IP地址即為校園網(wǎng)VLAN50網(wǎng)段網(wǎng)關(guān)地址，GLBP 60組的虛擬IP地址即為校園網(wǎng)VLAN60網(wǎng)段網(wǎng)關(guān)地址。

(1) 配置路由器R3

R3(config-if)#int f0/0.1

R3(config-if)#glbp 50 ip 192.168.50.1 //運(yùn)行GLBP協(xié)議，定義GLBP 50組虛擬IP地址為192.168.50.1

R3(config-if)#glbp 50 name z50 //配置GLBP組名

R3(config-if)#glbp 50 timers 3 10 //配置GLBP的Hello時(shí)間和Hold時(shí)間

R3(config-if)#int f0/0.2

R3(config-if)#glbp 60 ip 192.168.60.1 //運(yùn)行GLBP協(xié)議，定義GLBP 60組虛擬IP地址為192.168.60.1

R3(config-if)#glbp 60 name z60 //配置GLBP組名

R3(config-if)#glbp 60 timers 3 10 //配置GLBP的Hello時(shí)間和Hold時(shí)間

(2) 配置路由器R4

R4(config-if)#int f0/0.1

R4(config-if)#glbp 50 ip 192.168.50.1 //運(yùn)行GLBP協(xié)議，定義GLBP 50組虛擬IP地址為192.168.50.1

R4(config-if)#glbp 50 name z50 //配置GLBP組名

R4(config-if)#glbp 50 timers 3 10 //配置GLBP的Hello時(shí)間和Hold時(shí)間

R4(config-if)#glbp 60 ip 192.168.60.1 //運(yùn)行GLBP協(xié)議，定義GLBP 60組虛擬IP地址為192.168.60.1

R4(config-if)#glbp 60 name z60 //配置GLBP組名

R4(config-if)#glbp 60 timers 3 10 //配置GLBP的Hello時(shí)間和Hold時(shí)間

3.6.2配置優(yōu)先級(jí)和搶占

GLBP協(xié)議AVG的選舉是由組內(nèi)各路由器的優(yōu)先級(jí)所決定的，優(yōu)先級(jí)最高的路由器將會(huì)成為AVG。由于路由器R3在GLBP50、GLBP60組中的優(yōu)先級(jí)均為240，而路由器R4在GLBP50、GLBP60組中的優(yōu)先級(jí)均為230，因此路由器R3成為GLBP50、GLBP60組中的AVG,負(fù)責(zé)虛擬MAC地址的分發(fā)，并監(jiān)聽來自校園網(wǎng)用戶的ARP請(qǐng)求。另外開啟GLBP協(xié)議的搶占功能，可以保證當(dāng)AVG路由器出現(xiàn)故障，備用AVG路由器可以成為新的AVG路由器，默認(rèn)情況下為關(guān)閉狀態(tài)。

(1)配置路由器R3

R3(config-if)#int f0/0.1

R3(config-if)#glbp 50 priority 240

R3(config-if)#glbp 50 preempt

R3(config-if)#glbp 50 preempt delay minimum 3 //配置搶占延時(shí)時(shí)間

R3(config-if)#int f0/0.2

R3(config-if)#glbp 60 priority 240

R3(config-if)#glbp 60 preempt

R3(config-if)#glbp 60 preempt delay minimum 3 //配置搶占延時(shí)時(shí)間

(2) 配置路由器R4

R4(config-if)#int f0/0.1

R4(config-if)#glbp 50 priority 230

R4(config-if)#glbp 50 preempt

R4(config-if)#glbp 50 preempt delay minimum 3 //配置搶占延時(shí)時(shí)間

R4(config-if)#int f0/0.2

R4(config-if)#glbp 60 priority 230

R4(config-if)#glbp 60 preempt

R4(config-if)#glbp 60 preempt delay minimum 3 //配置搶占延時(shí)時(shí)間

3.6.3配置權(quán)重值和門限值

路由器權(quán)重值的大小決定了GLBP組內(nèi)AVF轉(zhuǎn)發(fā)流量的比例,當(dāng)權(quán)重值低于低門限值時(shí)，那么這臺(tái)路由器將不在進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，直到權(quán)重值的大小恢復(fù)到高門限值以后，這臺(tái)路由器才會(huì)再次進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。

(1) 配置路由器R3

R3(config-if)#glbp 50 weighting 220 lower 190 upper 200 //設(shè)置路由器的權(quán)重值為220，最低門限值為190，高門限值為200

R3(config-if)#glbp 50 forwarder preempt //配置該路由器會(huì)搶占成為AVF

R3(config-if)#glbp 50 forwarder preempt delay minimum 20 //設(shè)置搶占AVF的時(shí)間為20 s

R3(config-if)#glbp 60 weighting 220 lower 190 upper 200 //設(shè)置路由器的權(quán)重值為220，最低門限值為190，高門限值為200

R3(config-if)#glbp 60 forwarder preempt //配置該路由器會(huì)搶占成為AVF

R3(config-if)#glbp 60 forwarder preempt delay minimum 20 //設(shè)置搶占AVF的時(shí)間為20 s

(2) 配置路由器R4

R4(config-if)#glbp 50 weighting 220 lower 190 upper 200 //設(shè)置路由器的權(quán)重值為220，最低門限值為190，高門限值為200

R4(config-if)#glbp 50 forwarder preempt //配置該路由器會(huì)搶占成為AVF

R4(config-if)#glbp 50 forwarder preempt delay minimum 20 //設(shè)置搶占AVF的時(shí)間為20 s

R4(config-if)#glbp 60 weighting 220 lower 190 upper 200 //設(shè)置路由器的權(quán)重值為220，最低門限值為190，高門限值為200

R4(config-if)#glbp 60 forwarder preempt //配置該路由器會(huì)搶占成為AVF

R4(config-if)#glbp 60 forwarder preempt delay minimum 20 //設(shè)置搶占AVF的時(shí)間為20 s

3.6.4配置跟蹤對(duì)象

在GLBP組中配置跟蹤對(duì)象有助于增強(qiáng)網(wǎng)絡(luò)的可靠性，當(dāng)所跟蹤的對(duì)象發(fā)生網(wǎng)絡(luò)故障，相應(yīng)路由器的權(quán)重值會(huì)按照預(yù)先設(shè)定值降低。

(1) 配置路由器R3

R3(config)#track 100 rtr 11 reachability //關(guān)聯(lián)監(jiān)控對(duì)象

R3(config-if)#glbp 50 weighting track 100 decrement 60 //配置跟蹤目標(biāo)100,當(dāng)不能正常訪問公網(wǎng)DNS地址8.8.8.8時(shí)，權(quán)重值減60，此時(shí)路由器R3權(quán)重值變?yōu)?60

R3(config-if)#glbp 60 weighting track 100 decrement 60

(2) 配置路由器R4

R4(config)#track 110 rtr 12 reachability //關(guān)聯(lián)監(jiān)控對(duì)象

R4(config-if)#glbp 50 weighting track 110 decrement 60 //配置跟蹤目標(biāo)110,當(dāng)不能訪問公網(wǎng)DNS地址8.8.8.8時(shí)，權(quán)值重減60，此時(shí)路由器R4權(quán)重值變?yōu)?60

R4(config-if)#glbp 60 weighting track 110 decrement 60

3.6.5配置負(fù)載均衡

采用輪詢負(fù)載均衡策略，AVG每響應(yīng)一次校園網(wǎng)用戶的ARP請(qǐng)求，就會(huì)為其輪換一個(gè)AVF的MAC地址，作為其默認(rèn)網(wǎng)關(guān)的MAC地址返回給用戶。即使校園網(wǎng)用戶配置了相同的默認(rèn)網(wǎng)關(guān)地址，數(shù)據(jù)包的下一跳設(shè)備也將不會(huì)相同。

(1) 配置路由器R3

R3(config-if)#glbp 50 load-balancing round-robin //采用輪詢負(fù)載均衡策略

R3(config-if)#glbp60 load-balancing round-robin //采用輪詢負(fù)載均衡策略

(2) 配置路由器R4

R4(config-if)#glbp 50 load-balancing round-robin //采用輪詢負(fù)載均衡策略

R4(config-if)#glbp60 load-balancing round-robin //采用輪詢負(fù)載均衡策略

4　網(wǎng)絡(luò)測試

4.1　網(wǎng)絡(luò)正常情況下

在這里選擇vlan 50網(wǎng)段所屬計(jì)算機(jī)C1和 C3，對(duì)公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試，并以GLBP 50組為例查看路由器R3、R4上GLBP協(xié)議的工作狀態(tài)。

(1) 從計(jì)算機(jī)C1對(duì)公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試

VPCS[1]〉 ping 8.8.8.8

8.8.8.8 icmp_seq=1 ttl=254 time=99.006 ms

8.8.8.8 icmp_seq=2 ttl=254 time=67.004 ms

VPCS[1]〉 sh arp

00:07:b4:00:32:02 192.168.50.1 expires in 108 seconds

VPCS[1]〉 trace 8.8.8.8

trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop

1 192.168.50.2 67.004 ms 9.001 ms 9.000 ms

2 211.68.191.1 128.008 ms

(2) 從計(jì)算機(jī)C3對(duì)公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試

VPCS[3]〉 ping 8.8.8.8

8.8.8.8 icmp_seq=1 ttl=254 time=119.006 ms

8.8.8.8 icmp_seq=2 ttl=254 time=66.004 ms

VPCS[3]〉 sh arp

00:07:b4:00:32:01 192.168.50.1 expires in 110 seconds

VPCS[3]〉 trace 8.8.8.8

trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop

1 192.168.50.3 70.004 ms 9.001 ms 9.001 ms

2 202.59.55.31 157.009 ms

(3) 路由器R3上GLBP協(xié)議工作狀態(tài)見圖2。

(4) 路由器R4上GLBP 協(xié)議工作狀態(tài)如圖3所示。

圖2路由器R3上GLBP協(xié)議工作狀態(tài)

圖3　路由器R4上GLBP協(xié)議工作狀態(tài)

通過以上訪問測試可以看到，計(jì)算機(jī)C1、C3均可以PING通公網(wǎng)DNS地址 8.8.8.8。GLBP 50組虛擬網(wǎng)關(guān)地址為192.168.50.1，路由器R3為GLBP 50組中的AVG，路由器R4為備用AVG。兩個(gè)路由器均為AVF,都參與數(shù)據(jù)包的轉(zhuǎn)發(fā)，路由器R3是Forwarder 2的活躍路由器，同時(shí)也是Forwarder 1的備用路由器，校園網(wǎng)用戶發(fā)送到虛擬MAC地址00:07:b4:00:32:02的流量，都由R3來進(jìn)行轉(zhuǎn)發(fā)。路由器R4是Forwarder 1的活躍路由器，同時(shí)也是Forwarder 2的備用路由器，校園網(wǎng)用戶發(fā)送到虛擬MAC地址00:07:b4:00:32:01的流量，都由R4來進(jìn)行轉(zhuǎn)發(fā)，繼而實(shí)現(xiàn)了三層網(wǎng)關(guān)的冗余和流量負(fù)載均衡。由于計(jì)算機(jī)C1 所對(duì)應(yīng)的網(wǎng)關(guān)MAC地址為00:07:b4:00:32:02，計(jì)算機(jī)C3所對(duì)應(yīng)的網(wǎng)關(guān)MAC地址為00:07:b4:00:32:01，因此計(jì)算機(jī)C1訪問公網(wǎng)DNS地址8.8.8.8通過路由器R3來進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)，計(jì)算機(jī)C3訪問公網(wǎng)DNS地址8.8.8.8通過路由器R4來進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)。

4.2　網(wǎng)絡(luò)故障情況下

關(guān)閉教育網(wǎng)接入路由器R1上 s1/0接口，模擬教育網(wǎng)路由器R1發(fā)生網(wǎng)絡(luò)故障，再次對(duì)計(jì)算機(jī)C1和C3訪問公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試，并以GLBP 50組為例查看路由器R3、R4上GLBP協(xié)議的工作狀態(tài)。

(1) 從計(jì)算機(jī)C1對(duì)公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試

VPCS[1]〉 ping 8.8.8.8

8.8.8.8 icmp_seq=1 ttl=254 time=120.007 ms

8.8.8.8 icmp_seq=2 ttl=254 time=98.005 ms

VPCS[1]〉 trace 8.8.8.8

trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop

1 192.168.50.3 101.006 ms 20.001 ms 9.001 ms

2 202.59.55.31 157.009 ms

(2) 從計(jì)算機(jī)C3對(duì)公網(wǎng)DNS地址8.8.8.8進(jìn)行訪問測試

VPCS[3]〉 ping 8.8.8.8

8.8.8.8 icmp_seq=1 ttl=254 time=129.008 ms

8.8.8.8 icmp_seq=2 ttl=254 time=67.004 ms

VPCS[3]〉 trace 8.8.8.8

trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop

1 192.168.50.3 45.003 ms 9.000 ms 9.001 ms

2 202.59.55.31 138.008 ms

(3) 路由器R3上GLBP 協(xié)議工作狀態(tài)見圖4。

(4) 路由器R4上GLBP 協(xié)議工作狀態(tài)如圖5所示。

圖4　路由器R3上GLBP協(xié)議工作狀態(tài)

圖5　路由器R4上GLBP協(xié)議工作狀態(tài)

通過模擬測試得知，即使教育網(wǎng)接入路由器R1發(fā)生網(wǎng)絡(luò)故障，計(jì)算機(jī)C1和C3對(duì)公網(wǎng)DNS地址8.8.8.8的訪問也不會(huì)受到絲毫影響，路由器R3依舊為AVG,只是權(quán)重值變?yōu)?60(220-60)，由于低于低門限值(190)，因此路由器R3不在轉(zhuǎn)發(fā)任何數(shù)據(jù)包。路由器R4成為Forwarder 1和Forwarder 2的活躍路由器，校園網(wǎng)用戶發(fā)往兩個(gè)虛擬MAC地址00:07:b4:00:32:01和00:07:b4:00:32:02的流量都由路由器R4來進(jìn)行轉(zhuǎn)發(fā)。因此計(jì)算機(jī)C1和C3訪問公網(wǎng)DNS地址8.8.8.8均通過路由器R4來進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)。

5　結(jié)　語

為實(shí)現(xiàn)校園網(wǎng)高可靠性，保證校園網(wǎng)能夠安全穩(wěn)定的運(yùn)行，優(yōu)化了校園網(wǎng)出口結(jié)構(gòu)，引入了兩條ISP出口線路，并在校園網(wǎng)出口路由器上結(jié)合使用GLBP和SLA技術(shù)，不僅實(shí)現(xiàn)了三層網(wǎng)關(guān)冗余和流量負(fù)載均衡，而且也提高了對(duì)網(wǎng)絡(luò)故障的感知能力。即使單一校園網(wǎng)出口路由器或ISP接入路由器發(fā)生網(wǎng)絡(luò)故障，也不會(huì)影響校園網(wǎng)用戶對(duì)互聯(lián)網(wǎng)的正常訪問。

參考文獻(xiàn)(References)：

[1]崔北亮.CCNA認(rèn)證指南(640-802)[M].北京：電子工業(yè)出版社，2009.

[2]Karl Solie.CCIE實(shí)驗(yàn)指南[M].北京:人民郵電出版社，2010.

[3]王隆杰.思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNP實(shí)驗(yàn)指南[M].北京:電子工業(yè)出版社，2012.

[4]張志成,鄒仁明.基于冗余架構(gòu)的校園網(wǎng)多出口系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué)，2012(39):219-222.

[5]陳英,馬洪濤.NAT 技術(shù)的研究與應(yīng)用[J].實(shí)驗(yàn)室研究與探索，2007(8):56- 59, 62．

[6]桑世慶,盧曉慧．交換機(jī)/路由器配置與管理[M].北京:人民郵電出版社， 2010．

[7]龐亞賓,董淑霞.基于靜態(tài)路由的ISP負(fù)載均衡解決方案[J].計(jì)算機(jī)與應(yīng)用化學(xué),2010(8):1096-1098．

[8]張若英,徐志發(fā).SLA實(shí)現(xiàn)技術(shù)及其應(yīng)用[J].中興通訊技術(shù)，2006,12(1):12-16.

[9]曹騰飛,孟永偉,黃建強(qiáng).西部高校計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)[J].實(shí)驗(yàn)室研究與探索， 2015,34(4):129-131．

[10]張鋼，黃小波．思科虛擬實(shí)驗(yàn)平臺(tái)的構(gòu)建[J].實(shí)驗(yàn)室研究與探索，2010(8):216- 218．

[11]賈娟，汪斌強(qiáng)，楊帥．一種基于VRRP的核心路由器高可用性方法研究與實(shí)現(xiàn)[J].電子技術(shù)與應(yīng)用，2007(2):110-112．

[12]馮昊，黃治虎，伍技祥.交換機(jī)/路由器配置與管理[M].北京：清華大學(xué)出版社，2010.

[13]王芳,韓國棟.路由器訪問控制列表及其實(shí)現(xiàn)技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007, 28( 23):5638-5639.

[14]楊妹，羅佳.基于Packet Tracer軟件的小型局域網(wǎng)設(shè)計(jì)與仿真[J].實(shí)驗(yàn)技術(shù)與管理，2015,32(1):150-152.

[15]馬素剛，趙婧如，孫韓林.計(jì)算機(jī)組網(wǎng)實(shí)驗(yàn)教程[M].西安：西安電子科技大學(xué)出版社，2014.

[16]王文彥．計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐教程[M].北京:人民郵電出版社，2014．