孫光懿，宋立巍

（1.天津音樂學院，天津 300171；2.天津市寧河區(qū)城鄉(xiāng)居民基本醫(yī)療保險服務中心，天津 301500）

校園網用戶對校園網依賴度呈現逐年攀升的趨勢。為保證校園網能夠高效、穩(wěn)定地服務于日常教學、辦公及科研工作，對其進行改造迫在眉睫。本文基于某校園網進行了3 方面的改造。首先，在原有中國教育科研網一條出口鏈路的基礎上，新增中國聯通、中國電信2 條互聯網運營商出口鏈路。這樣既可以增加校園網出口帶寬，又可以使校園網出口鏈路多元化。其次，在校園網核心層中（某校園網為大二層架構，由核心層及接入層所構成）部署2 臺高性能思科7206 路由器，二者之間運行網關負載均衡協議[1?4]（gateway load balancing protocol，GLBP）。這樣既可以實現校園網三層網關備份又可以實現流量負載均衡。選擇運行GLBP協議的原因是它最大限度地彌補了現有的冗余路由器協議（VRRP 和HSRP）的局限性。具體表現為：1）GLBP 協議雖為思科私有協議，但它可最大限度地提高設備的利用率，以循環(huán)負載分擔算法實現流量負載均衡，當用戶主機發(fā)送ARP 請求三層網關MAC 地址時，所有可用路由器的 MAC 地址，都被按順序放入地址解析響應中，并作為默認網關IP 地址對應的MAC 地址返回給客戶端，而VRRP 和HSRP 協議只能通過建立多個VRRP 或HSRP 組來實現流量負載均衡，并且需要用戶指向不同的網關；2）GLBP 協議更便于網絡管理者部署使用，GLBP 組中的路由器均為活動路由器，參與流量轉發(fā)，更適合部署在內部服務器較多的場景，而HSRP 和VRRP 協議必須手動指定活動路由器。最后，在核心層2 臺思科7206 路由器子接口處，應用策略路由（policy based routing，PBR）技術。這樣校園網用戶在訪問互聯網資源的數據包時，不是使用路由表，進行基于目的地址的路由，而是按照網絡管理者預先制定的最優(yōu)路徑策略，以超越傳統(tǒng)路由協議的方式進行轉發(fā)。

1 相關技術

1.1 GLBP 協議

GLBP 與HSRP 協議同屬思科公司私有協議，是為彌補HSRP 協議在功能上的不足而開發(fā)設計的。GLBP 協議同樣可以為用戶提供三層網關備份及流量負載均衡服務，最多可支持建立1024個組。需要注意的是：1）GLBP 組會選擇優(yōu)先級最高的路由器作為自己的虛擬活躍網關（active virtual gateway，AVG），優(yōu)先級次之的路由器作為備用AVG，其余路由器則時刻處于監(jiān)聽狀態(tài)，一旦AVG 發(fā)生故障，備用AVG 就會通過搶占機制成為新的AVG，AVG 的主要職責是為組內每個成員分配一個虛擬MAC 地址，但是并不參與IP 數據包的轉發(fā)，轉發(fā)IP 數據包的工作，實際上是由活躍虛擬轉發(fā)者（active virtual forwarder，AVF）來負責實施的；2）每個GLBP 組只能擁有1 個AVG，最多可以擁有4 個AVF，每個AVF 對應1 個虛擬MAC 地址；3）GLBP組內路由器可以既是AVG，又是AVF；4）GLBP 組成員之間的通信，是以3 s/次的頻率向組播地址224.0.0.102 發(fā)送Hello 數據包來實現的；5)AVF 也具有類似AVG 的搶占機制，只是AVF 搶占機制依據的是加權，而AVG 搶占機制所依據的是優(yōu)先級；6）與HSRP 協議不同，GLBP 協議只可以跟蹤對象，而不能跟蹤接口；7）與HSRP 協議相類似，GLBP 協議也支持明文認證和MD5 認證。

1.2 策略路由

策略路由技術[5 ? 6]是為解決傳統(tǒng)路由方式轉發(fā)IP 數據包的形式單一、靈活性不足這一缺陷而設計的。應用策略路由，可使網絡管理者能夠按照既定策略更靈活、方便地控制IP 數據包的轉發(fā)，而不是簡單地依靠路由表進行基于目的IP 地址的選路。網絡管理者若在路由器中應用策略路由，必須先為其定義路由圖。路由圖有一條或多條策略所構成，每條策略對應著一條或多條匹配規(guī)則以及相應的動作。策略路由規(guī)則可根據數據包的源IP 地址、目標IP 地址、TCP 或UDP 源端口、TCP 或UDP 目的端口、IP 數據包長度、協議類型、IP 優(yōu)先級、VLAN ID等上述特征信息靈活設置。當路由器的接口應用策略路由后，該接口收到的所有IP 數據包均會被檢查過濾。如果數據包符合路由圖中的某條策略，那么數據包就按照該策略所定義的相應動作來進行處理。如果數據包不符合路由圖中的任何一條策略，那么數據包就會被按照傳統(tǒng)路由方式進行轉發(fā)處理。在應用策略路由時，需要注意的是：1）在路由器中應用策略路由技術，一般須將其設置在數據包的入接口方向；2）策略路由屬于IP 數據包轉發(fā)層面的行為，雖然檢查過濾的是數據包，但是匹配的是數據流。

2 校園網仿真拓撲設計

當前某校園網共有VLAN10（校園一卡通所在網段）、VLAN20（辦公區(qū)所在網段）、VLAN30（學生宿舍區(qū)所在網段）3 個網段，每個網段終端設備之間可以互聯互通。位于校園網核心層的路由器R1、R2 承擔處理上述3 個網段用戶數據包的任務。2 臺路由器不僅分別與中國教育科研網、中國聯通、中國電信等互聯網運營商邊界路由器相連接，而且它們之間還通過運行GLBP 協議，為校園網用戶提供三層網關備份和流量負載均衡服務。在校園網運行正常的情況下，路由器R1、R2 組成GLBP10、GLBP20、GLBP30 等3 個GLBP 組，每個組分別有2 個活躍虛擬轉發(fā)者（AVF）。路由器R1 由于在每個GLBP 組中擁有最高的優(yōu)先級，因此通過選舉成為GLBP 組的AVG，除負責向組內全體成員分發(fā)虛擬MAC 地址外，還負責響應校園網用戶針對三層網關的ARP 請求。與此同時，路由器R1 還是每個GLBP 組中Forwarder 1 的活躍路由器及Forwarder 2 的備用路由器。當Forwarder 2的活躍路由器出現故障時，路由器R1 就成為其新的活躍路由器。這也就意味著路由器R1 還承擔著對校園網用戶發(fā)往虛擬MAC 地址的數據包進行轉發(fā)的重任。對于路由器R2 來說，不僅是每個GLBP 組的備用AVG，而且是每個GLBP 組中Forwarder 1 的備用路由器及Forwarder 2 的活躍路由器。一旦AVG 出現故障，路由器R2 就會通過搶占機制成為GLBP 組內新的AVG。當Forwarder 1的活躍路由器出現故障時，路由器R2 就成為其新的活躍路由器。這也就意味著路由器R2 與路由器R1 一樣，也需要承擔對校園網用戶發(fā)往虛擬MAC 地址的數據包進行轉發(fā)的重任。

另外，為使校園網用戶訪問外網資源的數據包能夠按照最優(yōu)路徑進行轉發(fā)，在路由器R1、R2 子接口處應用了策略路由技術。當校園網用戶訪問教育網資源時，數據包默認經中國教育科研網出口鏈路去往目標地址。一旦中國教育科研網出口鏈路發(fā)生故障，數據包就改經中國聯通出口鏈路去往目標地址。當校園網用戶訪問中國聯通資源時，數據包默認經中國聯通出口鏈路去往目標地址。一旦中國聯通出口鏈路出現故障，數據包就改經中國電信出口鏈路去往目標地址。當校園網用戶訪問中國電信資源時，數據包默認經中國電信出口鏈路去往目標地址。一旦中國電信出口鏈路出現故障，數據包就改經中國教育科研網出口鏈路去往目標地址。當校園網用戶訪問其他互聯網運營商網絡資源時，數據包統(tǒng)一經中國聯通出口鏈路去往目標地址。校園網網絡拓撲[7 ? 11]如圖1 所示。

圖1 校園網網絡拓撲

3 網絡配置

3.1 相關網絡設備IP 地址分配

校園網路由器R1 的e1/0、e1/1、e1/2 接口分別與中國教育科研網邊界路由器R3 的e1/0 接口、中國聯通邊界路由器R4 的e1/1 接口、中國電信邊界路由器R5 的e1/2 接口互聯。校園網路由器R2的e1/1、e1/2、e1/3 接口分別與中國教育科研網邊界路由器R3 的e1/1 接口、中國聯通邊界路由器R4 的e1/2 接口、中國電信邊界路由器R5 的e1/3 接口互聯。需要注意的是：在互聯網運營商邊界路由器R3、R4、R5 中均建有回環(huán)接口。其中，loopback1 接口用于模擬中國教育科研網所在網段，loopback2 接口用于模擬中國聯通所在網段，loopback3 接口用于模擬中國電信所在網段。另外，為使校園網中每個GLBP 組成員之間能夠正常通信，接入交換機SW1 的f0/0 與f0/1 的2 個接口劃分為trunk 接口，其余接口劃分為 access 接口。SW1 的f0/0 接口與路由器R1的f0/0 接口互聯，f0/1 接口與路由器R2 的f0/0 接口互聯。校園網相關網絡設備IP 地址分配方案如圖2 所示。

圖2 校園網相關網絡設備IP 地址分配方案

3.2 設置單臂路由

為實現校園網各網段終端用戶之間的互聯互通，也為了最大限度地節(jié)省路由器R1、R2 物理接口的使用，在2 臺路由器的f0/0 物理接口中分別建立f0/0.1（對應VLAN10 網段）、f0/0.2（對應VLAN20網段）、f0/0.3（對應VLAN30 網段）3 個子接口。需要注意的是：1）子接口是一種邏輯接口，它隨物理接口的關閉而關閉；2）子接口中的數據在物理鏈路中傳輸時，通常使用標準的802.1Q 協議進行封裝（思科網絡設備也可使用其私有的ISL 協議進行封裝）。在這里給出路由器R1 的相關配置命令[12?13]。

3.3 在校園網核心層路由器中設置NAT 地址轉換

為保證校園網用戶對互聯網資源的正常訪問（當前校園網內各網段終端主機均使用私有IP 地址），選擇在校園網核心層的2 臺路由器R1、R2 中應用端口多路復用 (port address translation，PAT)的方式做NAT 地址轉換。選擇PAT 的方式，主要基于以下2 點：1）可最大限度地節(jié)省校園網公網IP 地址資源，只須占用一個公網IP 地址；2）可有效防范來自互聯網的惡意攻擊。另外，在設置NAT地址轉換前，網絡管理者還須先為其指定內、外網接口。通常連接內部網絡的接口被設置為內網接口，連接外部網絡的接口被設置為外網接口。以路由器R1 為例，由于其物理接口e1/0、e1/1、e1/2 分別與中國教育科研網、中國聯通、中國電信等互聯網運營商的邊界路由器互聯，因此上述物理接口被設置為外網接口；由于其子接口f0/0.1、f0/0.2、f0/0.3分別連接校園網VLAN10、VLAN20、VLAN30 等3 個網段，因此上述子接口被設置為內網接口。這里給出路由器R1 的相關配置命令。

3.4 在校園網核心層路由器中設置策略路由

將策略路由分別應用在路由器R1、R2 的3 個子接口f0/0.1、f0/0.2、f0/0.3 中，這樣不僅校園網用戶訪問外網資源的數據包時能夠按照預先制定的策略進行靈活轉發(fā)，而且可有效提高校園網出口鏈路的可靠性，當某條出口鏈路出現故障時，數據包還可經另一條出口鏈路訪問互聯網資源。需要注意的是：由于在路由器R1、R2 中設置了NAT地址轉換，因此當校園網用戶訪問互聯網資源時，無須管理員再為其配置回程路由。這里給出路由器R1 的相關配置命令[14]。

197.1 202.63.52.1//當校園網用戶訪問中國教育科研網資源時，數據包經中國教育科研網出口鏈路去往目標地址。如果中國教育科研網出口鏈路出現故障，數據包改經中國聯通出口鏈路去往目標地址。

R1(config-route-map)#set ip next-hop verifyavailability//測試校園網用戶數據包下一跳的可達性，如可達，則將其路由到該地址。

52.1 //當校園網用戶訪問其他互聯網運營商網絡資源時，數據包走中國聯通出口鏈路。

3.5 在校園網核心層路由器部署GLBP 協議

3.5.1 配置三層網關冗余

在校園網核心層2 臺路由器R1、R2 中運行GLBP 協議[15]，實現三層網關冗余，可提高校園網的可靠性與穩(wěn)定性。二者所組成的GLBP10、GLBP20、GLBP30 組分別被部署在各自的子接口f0/0.1、f0/0.2、f0/0.3 下。其中，GLBP10 組的虛擬IP 地址即為VLAN10 網段的網關地址，GLBP20 組的虛擬IP 地址即為VLAN20 網段的網關地址，GLBP30 組的虛擬IP 地址即為VLAN30 網段的網關地址。這里給出路由器R1 的相關配置命令。

3.5.2 配置優(yōu)先級

GLBP 組中AVG 的選舉是由路由器的優(yōu)先級（1-255，默認為100）所決定的，擁有最高優(yōu)先級的路由器將成為AVG。如果在GLBP 組中出現成員間優(yōu)先級相同的情況，那么擁有最高IP 地址的那臺路由器將被選舉成為AVG。為保證路由器R1成為GLBP10、GLBP20、GLBP30 組中的AVG，分別將路由器R1、R2 在上述GLBP 組中的優(yōu)先級設置為180 和150，路由器R1 的優(yōu)先級＞路由器R2 的優(yōu)先級。這里給出路由器R1 的相關配置命令。

3.5.3 配置搶占機制

網絡管理者在部署GLBP 協議時，須為GLBP組中的每個成員配置搶占機制。這主要是基于以下2 點原因：1）確保GLBP 組中擁有最高優(yōu)先級的路由器，從故障中恢復后重新成為AVG；2）當GLBP 組中的AVG 出現故障時，確保備用AVG 能夠成為新的AVG。這里給出路由器R1 的相關配置命令。

3.5.4 配置加權和門限值

與HSRP 和VRRP 協議只存在一個門限值不同，GLBP 協議擁有更靈活的雙門限值機制，即高門限值和低門限值。當GLBP 組中某臺路由器的加權值低于網絡管理者所設定的低門限值時，該路由器就不會再成為AVF，從而停止轉發(fā)用戶數據包。只有當其加權值超過網絡管理者所設定的高門限值時，該路由器才會恢復AVF 的角色，并重新開始轉發(fā)用戶數據包。由此可見，一臺GLBP 路由器能否成為AVF，是由其加權值所決定的。這里給出路由器R1 的相關配置命令。

R1(config-if)#glbp 10 weighting 190 lower 150 upper 170//設置路由器R1 在glbp 10 組中的加權值以及高、低門限值。

3.5.5 配置負載均衡策略

本文使用GLBP 協議默認的循環(huán)負載分擔算法，為具有相同默認網關的IP 地址提供流量負載均衡服務。這里給出路由器R1 的相關配置命令。

4 網絡測試

4.1 在校園網運行正常情況下進行網絡測試

首先，以校園網核心層路由器R1 為例，使用sh glbp 命令查看其GLBP 協議的工作狀態(tài)。其次，以校園網終端計算機C1 為例，使用trace 命令和sh arp 命令分別查看其訪問中國教育科研網DNS 服務器地址202.114.0.123 的路由過程，以及自身的ARP 表。最后，以校園網終端計算機C4 為例，使用trace 命令和sh arp 命令分別查看其訪問中國聯通DNS 服務器地址202.99.96.68 的路由過程，以及自身的ARP 表。需要注意的是：終端計算機C1、C4 均屬于VLAN10 網段。

1）使用sh glbp 命令查看路由器R1 中GLBP協議的工作狀態(tài)。這里給出路由器R1 中GLBP 10 組的工作狀態(tài)，GLBP 20 組和GLBP 30 組的工作狀態(tài)與其類似。

2）使用trace 命令查看終端計算機C1 訪問中國教育科研網DNS 服務器地址202.114.0.123 的路由過程。

3）使用sh arp 命令查看終端計算機C1 的ARP 表。

4）使用trace 命令查看終端計算機C4 訪問中國聯通DNS 服務器地址202.99.96.68 的路由過程。

5）使用sh arp 命令查看終端計算機C4 的ARP 表。

通過測試，得出3 點結論。1）校園網實現了三層網關備份和流量負載均衡。路由器R1、R2 組成GLBP10、GLBP20、GLBP30 等3 個GLBP 組，每個GLBP 組均采用輪詢負載分擔算法，由組內的2 個AVF，分別為具有相同默認網關的IP 地址提供流量負載均衡服務。路由器R1 即為 Forwarder 2（MAC 地址為：0007.b400.0a02）的活躍路由器，又為Forwarder 1（MAC 地址為：0007.b400.0a01）的備用路由器。路由器R2 即為 Forwarder 2（MAC 地址為：0007.b400.0a02）的備用路由器，又為Forwarder 1（MAC 地址為：0007.b400.0a01）的活躍路由器?？蓪⑵淅斫鉃椋郝酚善鱎1 負責處理校園網用戶發(fā)往Forwarder 2 的數據包；路由器R2 負責處理校園網用戶發(fā)往Forwarder 1 的數據包。由于終端計算機C1、C4 默認網關（IP:192.168.10.1/24）所對應的MAC地址分別與Forwarder 2、Forwarder 1 的MAC 地址相一致，因此終端計算機C1 訪問中國教育科研網資源的數據包由路由器R1 負責處理，終端計算機C4 訪問中國聯通資源的數據包由路由器R2 負責處理。2）由于路由器R1 在每個GLBP 組內擁有最高優(yōu)先級，因此路由器R1 為每個GLBP 組的AVG，路由器R2 為每個GLBP 組的備用AVG。3）校園網用戶訪問互聯網資源的數據包能夠按照網絡管理者預先制定的最優(yōu)路徑策略進行轉發(fā)。當校園網用戶（終端計算機C1）訪問中國教育科研網資源時，數據包默認下一跳地址為中國教育科研網邊界路由器R3 接口地址211.68.197.1；當校園網用戶(終端計算機C4)訪問中國聯通資源時，數據包默認下一跳地址為中國聯通邊界路由器R4 接口地址202.63.52.2。

4.2 在校園網出現故障的情況下進行測試

手動關閉路由器R2、R3，模擬校園網核心層網絡設備以及中國教育科研網邊界路由器出現故障的情況。首先，使用sh glbp brief 命令查看路由器R1 中GLBP 協議的工作狀態(tài)。其次，以校園網終端計算機C4 為例，使用trace 命令查看其訪問中國教育科研網DNS 服務器地址202.114.0.123 的路由過程。

1）使用sh glbp brief 命令查看路由器R1 中GLBP協議的工作狀態(tài)。其結果如圖3 所示。

圖3 路由器R1 中GLBP 協議的工作狀態(tài)

2）使用trace 命令查看終端計算機C4 訪問中國教育科研網DNS 服務器地址202.114.0.123 的路由過程。

通過測試，發(fā)現：1）當路由器R2 出現故障后，路由器R1 不僅成為每個GLBP 組的AVG，而且成為每個GLBP 組Forwarder 1 與Forwarder 2 的活躍路由器，這意味著今后校園網用戶訪問互聯網資源的數據包均由路由器R1 負責轉發(fā)；2）當路由器R3 出現故障后，校園網用戶(終端計算機C4)訪問中國教育科研網資源的數據包，改經中國聯通邊界路由器R4 到達目的地址，這說明校園網實現了三層網關與出口鏈路的備份，即使核心層某臺網絡設備出現故障或校園網某條出口鏈路出現故障，用戶仍可正常對互聯網資源進行訪問。

5 結束語

校園網改造，加快了智慧校園建設的步伐，有效提升了學校信息化建設的整體水平。改造后的校園網不僅實現了出口鏈路多元化，提高了用戶網速，而且實現了三層網關冗余和流量負載均衡。校園網用戶訪問互聯網資源的數據包時可以按照網絡管理者預先制定的最優(yōu)路徑策略進行轉發(fā)，即使某條出口鏈路出現故障，也不會影響校園網用戶對互聯網資源的正常訪問。