基于VRRP和MSTP的校园网可靠性设计

('龙源期刊网http://www.qikan.com.cn基于VRRP和MSTP的校园网可靠性设计作者：孙甲水来源：《广东教育·职教版》2011年第11期摘要：本文以广东省华侨职业技术学校校园网为例，深入分析了以VRRP协议和MSTP协议为基础，以路由冗余和负载均衡为技术的校园网安全系统建设。关键词：校园网；可靠性；VRRP；MSTP一、引言随着计算机和通信技术的发展，校园网成为师生更快捷更方便地获取和处理信息的渠道之一。学校教学和管理对网络应用的需求越来越多，对校园网的可靠性也提出了更高的要求。网络的核心交换层是保证其可靠性的关键所在，如果核心设备发生宕机或遭受恶意攻击，网络性能将有所下降甚至瘫痪。本文以广东省华侨职业技术学校为例，以路由冗余和负载均衡等问题为重点，在深入分析VRRP协议和MSTP协议的基础上，探讨了保证校园网可靠性的方法。二、校园网的可靠性需求分析→→广东省华侨职业技术学校校园网的网络架构为典型的三层结构：核心层汇聚层接入层，核心层为两台高端的三层核心交换机H3CS5800（简称S1、S2）。为了抑制局域网中可能发生的广播风暴，我校在对校园网进行设计时对不同的广播域进行了有效的隔离，主要做法是划分VLAN，它可以覆盖多个网络设备，组成逻辑子网，允许部署在不同地理位置的用户加入到同一个VLAN中。为了便于理论上的描述，如下图所示，我们设计了VLAN1（服务器汇聚层）、VLAN2（生活区汇聚层）、VLAN3（教学、图书馆汇聚层）、VLAN4（实训场所汇聚层）和VLAN5（行政办公汇聚层）共五个逻辑子网。所有接入层的网络设备都通过汇聚层和核心层的网络设备访问校园网资源（或Internet），接入层也可以进一步划分VLAN，使得不同物理位置的计算机相互通信。学校网络骨干及路由设计示意图为了提高校园网的性能和可靠性，路由冗余和负载均衡等问题需要认真考虑。为此核心交换机的安全策略设计如下：一是经过到核心层（或访问Internet）的数据流，利用VRRP（VirtualRouterRedundancyProtocol，虚拟路由冗余协议）实现路由冗余和负载均衡；二是同一个VLAN间计算机通信的数据流，可以利用MSTP（MultipleSpanningTreeProtocol，多生成树协议）实现路由冗余和负载均衡。三、VRRP和MSTP协议分析1.VRRP协议分析。VRRP是一种容错协议，为具有组播或者广播能力的局域网设计。在该协议中，主要由两台路由设备协同工作，对终端IP设备的默认网关进行路由冗余备份，当主路由宕机时，备份路由及时提供转发工作，起到提高网络可靠性的作用。龙源期刊网http://www.qikan.com.cnVRRP将两台（或多台）路由器虚拟成一个设备，对外部网络提供虚拟路由器IP。在这几个路由器内部，实际拥有对外IP的路由器在工作正常的情况下就是主路由（Maser），或者通过算法选举产生，MASTER实现针对虚拟路由器IP的各种网络功能，如ARP请求、ICMP以及数据包的转发等。其他设备被视为备份路由（Backup），除了接收MASTER的VRRP状态通告信息外，不执行对外的网络功能。当Master宕机时，Backup将代替Master继续提供网络服务。配置VRRP时需要设定每个路由器的虚拟路由器ID(VRID)和优先权值。VRID是一个范围为0～255的正整数，用于区分路由器，具有同一个VRID值的路由器为同一个组；优先权值也是一个范围为0～255的正整数，同一组路由器通过比较优先权值的大小来选举Master，数值大者为Master。VRRP使用多播数据来传输VRRP数据，VRRP数据使用虚拟源MAC地址（而不是自身实际的MAC地址）发送数据。VRRP运行时只有Master路由器定时发送通告（Advertise）信息，发布Master的工作状态，Backup只接收数据，如果在一定时间内没有接收到Master的通告信息，各BACKUP将对外宣告自己成为Master，发送通告信息，重新进行Master选举。2.MSTP协议分析。MSTP是IEEE802.1s标准中定义的一种新型生成树协议。在讨论MSTP协议之前，必须先讨论STP（SpanningTreeProtocol，生成树协议）、RSTP（RapidSpanningTreeProtocol，快速生成树协议）等协议。STP是为了避免在Ethernet中形成环路，导致报文在环路内不断循环“”和积聚，形成广播风暴，甚至导致网络瘫痪而设置的；RSTP是从STP发展过来的，其基本思想一致，但它更进一步处理了网络临时失去连通性的问题。其不同之处在于，STP/RSTP是基于端口的，而MSTP是基于实例的，MSTP“”中引入了实例（Instance“”）和域（Region）的概念。Instance可以抽象理解为一个由不同的VLAN组成的集合，它把多个VLAN捆绑到一个Instance中，有效地节省了网络开销和资源占用率。MSTP各个实例拓扑的计算是独立的，实“”现了负载均衡。域由域名、修订级别、格式选择器、VLAN与实例的映射关系四个元素组成，只有这四个元素一致且相互连接的交换机才认为在同一个域内。每个域内所有交换机都有相同的MST域配置，缺省时，域名就是交换机的桥MAC地址，修订级别和格式选择器都等于0，所有的VLAN都映射到实例0上。MSTP的实例0具有特殊的作用，称为CIST（CommonInternalSpanningTree），即公共与内部生成树，其他的实例称为MSTI（MultipleSpanningTreeInstance），即多生成树实例。CIST由通过STP/RSTP计算得到的单生成树和MSTP计算得到的域组成，是为了保证在所有桥接的局域网是简单的和全连接的。四、可靠性安全的实现过程1.VRRP的安全策略设计。对于经过核心层（或访问Internet）的数据流，设计如下：VLAN2（生活区汇聚层）、VLAN3（教学、图书馆区汇聚层）和VLAN4（实训场所汇聚层）三个子网到核心层（或访问Internet）的数据以S2为Master交换机，S1为Backup交换机；VLAN1（服务器汇聚层）、龙源期刊网http://www.qikan.com.cnVLAN5（行政办公汇聚层）到核心层（或访问Internet）的数据以S1为Master核心交换机，S2为Backup交换机。VRRP协议的关键设计：在S1核心交换机上对VLAN2、3、4设置同等的访问优先级Pl（Pl=50）；对于VLAN1、5设置同等的访问优先级P2（P2=200）。相反，在S2核心交换机上对VLAN2、3、4设置同等的优先级P2（P2=200）；对于VLAN1、5设置同等的访问优先级Pl（P1=50）。通过这样的设置使P12.MSTP的安全策略设计。对于同一个VLAN间计算机通信的数据流，设计如下：VLAN2、3、4以S1为Root交换机，当以S1为Root的链路发生故障后，可以即时启用经由S2的链路。如此类推，VLAN1、5以S2为Root交换机，当以S2为Root的链路发生故障后，可以即时启用经由S1的链路。这样设计可以实现链路冗余和负载均衡的作用。启用MSTP协议的关键设计：在Sl、S2和各汇聚层交换机（H3CS3552P）上配置相同的区域名test和版本号，对于VLAN2、3、4创建相同的实例1，对于VLAN1、5创建实倒2。在S1上，为实例1的优先级设置为P1（P1=0），实例2的优先级设置为P2（P2=4096）。相反，在S2上，为实例1的优先级设置为P2（P2=4096），实例2的优先级设置为P1（P1=0）。通过这样的设置使P13.VRRP协议和MSTP协议的安全配置过程。“”由学校网络骨干及路由设计示意图可知，核心层使用了两台H3C5800，汇聚层使用了H3CS3552P，具体的配置过程如下：（1）第一步，基本信息配置。在S1和S2上的配置相同，现以S1的配置为例进行说明。S1①恢复出厂设置，配置它的VLAN信息，创建VLANl-5：S1（Config）#VLANl②配置S1上VLAN1-5的虚拟接口的IP地址：S1（Config）#interfaceVLAN1S1（Config-If-VLANl）#ipaddress192.168.1.0255.255.255.0③实现S1与S2互通，在VLAN1-5上分别启用OSPF协议：S1（Config）#routerospfS1（Config）#interfaceVLANl龙源期刊网http://www.qikan.com.cnS1（Config-If-VLANl）#ipospfenablearea0/在VLAN2-5做相同配置。（2）第二步，配置MSTP协议。①在核心交换机和汇聚层交换机上的共同配置：S1（Config）#spanning-treemstpconfigS1（Config-MSTP-Region）#nametest//MSTP域命名为test；S1（Config-MSTP-Region）#revision-level5//MSTP域的值修改为5；S1（Config-MSTP-Region）#instance1VLAN2,3,4S1（Config-MSTP-Region）#instance2VLAN1,5②在S1的配置：S1（Config）#spanning-treeS1（Config）#spanning-treemodemstpS1（Config）#spanning-treemstp1priority0S1（Config）#spanning-treemstp2priority4096//以上两点：设置指定的实例的优先级，其数值小的优先级为高，取值范围为0-61440之间4096的整数倍数，缺省值为32768。③在S2的配置：S2（Config）#spanning-treeS2（Config）#spanning-treemodemstpS2（Config）#spanning-treemstp1priority4096S2（Config）#spanning-treemstp2priority0（3）第三步，配置VRRP协议。①在S1上，对VLAN2、VLAN3和VLAN4的配置相同，现以VLAN2为例：S1（Config）#interfaceVLAN2S1（Config-If-VLAN2）#standby1ipaddress192.168.2.1龙源期刊网http://www.qikan.com.cnS1（Config-If-VLAN2）#standby1authenticationS1（Config-If-VLAN2）#standby1priority50//为VLAN2设置访问优先级，它的取值范围为0-255，缺省值为100，数值大的优先级高。②在S1上，VLAN1和VLAN5上的配置相同，现以VLAN1为例：S1（Config）#interfaceVLAN1S1（Config-If-VLAN1）#standby1ipaddress192.168.1.1S1（Config-If-VLAN1）#standby1authenticationS1（Config-If-VLAN1）#standby1priority200③在S2上配置不同点是：VLAN2、3、4的优先级数值设为200，VLAN1、5的优先级数值设为50。（4）验证测试。①在S1和S2上分别运行以下命令：S1#showvrrp//查看VRRP的运行状态；S1#showspaning-tree//查看MSTP的运行状态；②在VLAN1上的计算机（192.168.1.6）上ping学校网站服务器（www.gdhqzz.cn）：输入：pingwww.gdhqzz.cn-tReplyfrom112.64.97.185：bytes=32time=64msTTL=114//表明配置成功。③继续运行②命令，将Sl和VLAN1所在汇聚层的交换机之间的跳线拔掉，显示：Requesttimeout．Requesttimeout．Replyfrom124．132．97．185：bytes=32time=187msTTL=l14Replyfrom124．132．97．185：bytes=32time=187msTTL=114结果表明：VLAN1的master交换机S1宕机，即时启用Backup交换机S2。龙源期刊网http://www.qikan.com.cn④在VLAN1的计算机（192.168.1.6）上pingVLAN1的另一计算机（192.168.1.102），两台计算机的物理位置不同，上行的网络设备也不同。命令：ping192.168.1.102-tReplyfrom192.168.1.102：bytes=32time=64msTTL=114//表明两者连通。⑤继续运行④的命令，将Sl和VLAN1所在汇聚层的交换机之间的跳线拔掉，显示：RequesttimeoutRequesttimeoutReplyfrom192.168.1.102：bytes=32time=187msTTL=114Replyfrom192.168.1.102：bytes=32time=187msTTL=114结果表明：Root交换机S1宕机，启用Backup链路交换机S2。以上验证测试表明，有关配置达到了对Internet访问和对内部网络访问时实现路由冗余和负载均衡的目的。五、结束语我校基于VRRP和MSTP的校园网设计，有效规避了网络中的单点失效故障，建立起一个稳定、高速和可靠的校园网络系统。（作者单位：广东省华侨职业技术学校）参考文献：[1]刘俊，姜广明等．校园网络规划和实施[J]．沈阳化工学院学报，2004，（1）.[2]黄传河，杜瑞颖.网络安全[M].武汉：武汉大学出版社，2004.[3]蒲宝卿．一种提高校园网可靠性的VRRP协议解决方案[J]．甘肃高师学报，2011，（16）.[4]王东．VRRP协议实现园区网络的路由冗余和负载均衡[J]．重庆科技学院学报，2010，（5）.[5]王辉，范会敏，唐俊勇等．一种基于MSTP的负载均衡算法设计[J]．2011，（19）.龙源期刊网http://www.qikan.com.cn责任编辑陈春阳',)