一种提高校园网可靠性的VRRP协议解决方案

('一种提高校园网可靠性的VRRP协议解决方案蒲宝卿【摘要】从目前大多数校园网的可靠性现状出发,分析了在校园网络中VRRP协议的应用,从保护现有设备和提高网络可靠性的角度提出了一种实用的解决方案.【期刊名称】《甘肃高师学报》【年(卷),期】2011(016)002【总页数】4页(P22-25)【关键词】VRRP协议;可靠性;解决方案【作者】蒲宝卿【作者单位】西北师范大学网络教育学院,甘肃兰州730070;陇南师范高等专科学校计算机系,甘肃成县742500【正文语种】中文【中图分类】TP393.07随着Internet的迅速发展，目前国内大部分学校尤其是高等院校基于网络的应用逐渐增多，这就对校园网络的可靠性提出了越来越高的要求.在基于TCP/IP协议的校园网络中，为了保证网络内部终端设备能够访问外部网络，就必须给这些设备配置缺省路由（即设置默认网关）.但是如果提供默认网关的路由器发生宕机，网络内部的终端设备就不能正常访问外部网络.VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）是一种备份冗余解决方案，它共享多路访问介质上终端IP设备的默认网关，并进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备能够及时接管转发工作，为用户提供透明的切换，提高网络服务质量，保证网络运行的可靠性.在基于TCP/IP协议的网络中，为了保证没有直接物理连接的设备之间的通信，必须指定路由?常用指定路由的方法有两种：一种是使用最短路径优先协议（OpenShortest-PathFirst，简称OSPF）和路由信息协议（RoutingInformationProtocol，简称RIP）动态学习.动态路由协议能够绕过任意网络中的故障点来选择到达目的子网网关的最佳路径，但动态路由协议对于网络设备的处理开销较大，且路由表收敛工程慢.另外一种是采用静态配置的默认网关来减少处理开销.但是，使用默认网关的风险是使用缺省网络的路由器成了单一的故障点，即如果该路由器发生故障，所有使用该网关作为下一跳主机的通信必然要中断.为此，Internet工程任务组（InternetEngineeringTaskForce，简称IETF）制定了虚拟路由器冗余协议（VRRP，RFC2338），应用于作为静态配置默认网关上的第三层交换机和路由器，为依赖于默认网关进行广域网接入或访问其他局域网的终端系统提供更快、更有效地冗余容错能力，从而保障网络的可靠性.在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器.VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是一个逻辑概念，一组VRRP路由器协同工作，共同构成了一台虚拟路由器.该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器，MAC地址的格式为00-00-5E-00-01-[VRID].其中VRID是VRRP路由器的唯一标识，范围为0~255.在任何时刻，一个VRRP组中有且只有一台处于主控角色的主控路由器（Master），可以有一个或者多个处于备份角色的备份路由器（Backup）.[2]VRRP控制报文只有一种：VRRP通告(advertisement).它使用IP多播数据包进行封装，发布范围只限于同一局域网内，这就保证了VRID在不同网络中可以重复使用.为了减少网络带宽消耗，只有主控路由器才可以周期性的发送VRRP通告报文.备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举.在VRRP路由器组中，按优先级选举主控路由器，选出一台作为主控路由器，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态.如果主控路由器发生了故障，它将选择一个优先权最高的冗余备份路由器来替代主控路由器.由于网络内的主机配置了VRRP虚拟网关地址，当由于某种原因主控路由器发生故障时，虚拟路由器没有改变，备份路由器能在几秒钟的时延后将升级为主控路由器，主机仍然保持连接，网络将不会受到单点故障的影响，这样就较好地解决了网络中路由器切换的问题.而且这种情况不用改变IP地址和MAC地址，故对终端使用者系统是透明的.VRRP协议的工作原理与CISCO公司的HSRP(HotStandbyRoutingProtocol)协议有许多相似之处，但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址[1].HA（HighAvailability，高可靠性）是电信级设备必不可少的特性.而电信运营级路由交换设备应满足以下网络可用性指标[4]：（1）单个路由器发生故障不会影响用户数据的传输和控制管理；（2）每年发生故障的时间的期望值小于5.2min；（3）由网络子卡、交换阵列、控制处理子卡提供容错，监视备份；（4）网络服务的高可靠性有一个衡量指标，为Availability=MTBF/（MTBF+MTTR）<0.99999，即通常所说的五九标准.其中，MTBF（MeanTimeBetweenFailures,平均故障间隔时间），MTTR（Mean－TimetoRepair，平均恢复时间）.平均故障间隔越小且无故障工作时间越长，该网络设备的可靠性就越高.所有的因特网服务提供商都希望能以最低的设备和运营成本给用户提供最好、最可靠的服务.目前，我国校园网络建设非常迅速，尤其是高校校园网.据教育部科技发展中心“高校教育信息化建设与应用水平调查”的统计，已建校园网的高校占92.7%，正在建设的高校占6.6%，计划建网的高校占0.6%，可以说是发展迅速，作用重大.然而随着网络技术迅速发展，校园网用户群密集而且活跃，使校园网的运行和管理存在很多问题，例如校园网重要网站被非法入侵导致信息外泄，病毒木马大量传播导致网络瘫痪等，严重地影响了校园网的正常运行，有的甚至造成重大损失，提高校园网的可靠性，保护核心资源迫在眉睫.在校园网络建设中，网络设备的投资占有很大的比例，而网络的可靠性需要设备本身的可靠程度来保证，但是高档的、可靠性高的网络设备往往价格比较高.一般的学校由于资金有限，在校园网建设中，不可能配备特别高档的设备.通常采用的办法是用一台和现有工作设备相同配置的网络设备作为备用设备，现有工作设备出现问题时，将备用设备接入网络，恢复通讯.这种方案，网络中断后恢复的时间一般最快也要十几分钟左右，这不能满足校园网络可靠性的要求，现在学校的大部分的工作都需要借助网络进行，比如教务管理、学籍管理、教师签到、学校办公、网上招生等，十几分钟的网络中断也会使正常的日常工作变得混乱，尤其是目前全国统一的网上招生工作，如果网络中断，后果不堪设想.可见校园网络可靠性的重要程度，那么如何提高网络的可靠性呢.如果对所有网络设备进行更新，购买高可靠性的核心层次设备（通常是有两个主控板，另一块板卡做备份，网络可以在几秒钟之内恢复工作），是一种很好的可靠性解决方案，但是从资金投入的角度来说，目前大多数学校不具有足够的经济能力.从保护现有设备的角度考虑，可以采用廉价冗余的思路，使用VRRP协议同时不用改造目前的网络结构，就可最大限度保护当前投资，只需最少的管理费用，却可以大大提升网络性能，提高校园网的可靠性?不同的行业对网络可靠性的要求不同，网络暂时的中断不影响一般用户的使用，而对网络依赖程度比较高的行业比如金融行业来说，网络的中断就意味着经济利益受损.目前学校工作对校园网的依赖程度也越来越高，尤其是高等院校，大部分工作都要借助校园网完成，比如教务管理、网络招生等.网络服务的中断会给学校的工作造成一定地影响，提高校园网络的可靠性迫在眉睫.目前导致网络服务中断的主要原因是：路由器的软硬件故障、拒绝服务DOS攻击、路由器软硬件升级等.针对这些网络不可靠因素，在重要的路由器上适当地运用一些HA技术就可以避免上述绝大多数情况的发生.比如通过VRRP协议的快速收敛级流量工程，就是一种提高网络可靠性的比较好的解决办法.[2]以下给出VRRP协议应用于校园网提高网络可靠性的解决方案.假定组网时有两台路由器RouterA（以下简称RTA）和RouterB（以下简称RTB）的情形，在实际的网络组建中，RTA和RTB可以使用不同档次的设备.RTA和RTB对Internet都有链路，而且为了经济性，两条链路的速率也可以不一样.选择档次高的那个设备作为主控路由器，配置方案如图1所示：这里假定RTA的性能和可靠性都要高于RTB.连接校园网中各主机，RTA实际地址为10.10.10.2，RTB的实际地址为10.10.10.3.RTA和RTB组成一个VRRP路由器组，共同虚拟出10.10.10.1为虚拟路由器的地址.配置RTA的VRRP的优先级高于RTB的，则RTA经过选举就成为主控路由器，HostA、HostB、HostC的默认网关地址设定为10.10.10.1.RTA负责ICMP重定向、ARP应答和IP报文的转发，一旦RTA发生故障，根据VRRP选举策略RTB立即启动切换，成为主控，保证网络正常通讯.还应该在RTA上设置抢占模式，当RTA恢复工作后，继续成为主控路由器，行使网关的职能.在VRRP单备份组的应用中，一台路由器在线时作为主控，另一台路由器只是作为后备，不参与转发工作，闲置了设备和链路.如果两台设备属于同档次，可配置VRRP双备份组（若有多台路由器，则可配置多备份组），使两台设备都参与数据的转发，达到备份和负载分担双重效果.配置两台路由器同时属于互为备份的两个VRRP组，配置方案如图2所示：在组1中RTA为主控设备；组2中RTB为主控设备.将一部分主机的默认网关设定为组1的虚拟IP地址10.1.1.1；另一部分主机的默认网关设定为组2的虚拟IP地址20.1.1.1.如果RTA出现故障，经过VRRP选举，RTB为2个VRRP组的主控路由器，下面的所有主机都通过RTB连接Internet；相对应，如果RTB出现故障，RTA则成为两个备份组主控路由器.这不但实现了负载均衡的功能，最重要的是提高了网络的可靠性，而且有效地利用了设备资源.VRRP协议应用在校园网中，用以提高校园网络的可靠性，无论是单备份组还是双备份组，VRRP协议只是对网络局域网侧的链路进行监测，起到备份的作用.而对上连Internet的链路的故障却没有办法.VRRP协议使用的前提是，RTA和RTB必须接入到同一个局域网内.若RTA和RTB两台路由器上连Internet的链路不属于一个ISP，当主控路由器连接Internet的链路出了问题，即便备份路由器连接Internet的链路是通的，下面所连的主机也不能访问外部网络，所以这种情况不能使用VRRP协议.此问题可以使用VRRP协议的端口跟踪功能解决.在配置VRRP的时候，让它监视上连Internet物理端口的状态，如果物理端口的状态从UP变为DOWN的时候，设置VRRP主控路由器的优先级减掉一个数值，从而优先级低于备份路由器的VRRP优先级.开始新一轮的VRRP选举，备份路由器变为主控路由器，继续保持和Internet的通讯[3].以上三种方法根据具体情况不同而选用或组合使用.在使用VRRP的时候还需要考虑它的安全性.VRRP协议比CISCO的HSRP的一个优势就是支持对VRRP报文的认证方式.在一个安全性要求不高的网络环境中，我们可以不考虑认证方式的配置，路由器不会对发送的VRRP报文做认证处理，而接受VRRP报文的路由器也不会对VRRP做认证比较，就认为是一个合法的VRRP报文.在RFC2338中，VRRP报文可采用MD5认证.MD5是一种散列算法，是不可逆的加密，广泛用于认证.VRRP中MD5认证的原理是Master和Backup配置相同的认证字，Master发送的VRRP报文中带有MD5认证字，Backup只接受认证合格的VRRP报文.而RFC3768认为即使VRRP消息经过加密保护，也不能防止恶意路由器假扮主路由器，造成多个主路由器的情况.VRRP消息的认证可以防止一个恶意路由器迫使正常的主路由器迁移到备用状态的企图.然而，出现多个主路由器和没有路由器的情况都会导致业务的中断，而这是VRRP消息认证所不能防止的.所以RFC3768中取消了VRRP消息认证.但是由于VRRP经常用于接入网，以虚拟IP为接入网用户提供第一跳网关，不能排除有主机恶意攻击，或者中病毒造成网关瘫痪，影响其他用户上网，所以VRRP消息认证还是很有必要的[5].然而,原来的VRRP消息认证方式还是有缺陷的.如果有人在VRRP运行的网络中抓取了VRRP报文，即使VRRP采取了MD5认证，那么也很容易伪造带MD5认证头的VRRP报文，从而迫使正常的主路由器迁移到备用状态，我们提出一种解决方法，即每隔一定的时间间隔更换VRRP报文中的认证字，而认证字的变化遵循一定的规律.这样Master和Backup只要一开始的认证字的配置一致，今后即使认证字发生有规律的变化，双方也能配合默契.由于恶意主机并不知道认证字的原文，无法做到跟随真正的路由器的认证字变化的规律而无法假扮主路由器.我们尝试了一种比较简单的变化规律，即规定认证字为1~255范围内的整数，每隔5倍的VRRP广播报文时间间隔后，把原先设置的认证字平方后就更新为新的认证字.通过修改和调试代码，增加了这种保护机制的VRRP系统运行良好，抗攻击性提高.然而，这种比较简单的变化规律还是会通过穷举被攻破，可以通过使改变认证字的时间间隔也按照一定的规律变化来增加其保密性.VRRP协议本身的设计简洁完美，应用在校园网络中，确实能够提高网络的可靠性.但要作为一个系统实现并良好而正常的运作、适应复杂多变的网络环境，仍有很多方面需要改进.在使用的时候，要注意通告周期的设定，恰当的设置该数值.如果设定不恰当，可能会引起频繁的VRRP选举，网络会频繁的中断，反而起不到提高可靠性的作用.如果经济情况允许，建议网络核心层尽量配置具有高可靠性的设备，同时应用VRRP协议，这样可以使网络可靠性进一步提高.【相关文献】[1][美]RichardFroom.CCNP自学指南：组建Cisco多层交换网络（BCMSN）（第3版）[M].刘大伟译.北京：人民邮电出版社，2008.103~118.[2]黄伟强.孟克勋.VRRP路由协议的应用[J].华南师范大学学报（自然科学版），2004，（4）：53~58.[3]刘爱洁.负载均衡技术浅析[J].电气工程技术与标准化，2006，（6）：78~83.[4]任唯贤.胡毅.陈常嘉.VRRP协议在保证网络高可靠性中的应用分析和改进[J].新技术与新业务，2006，（21）：60~63.[5]曾峰.VRRP协议与网络安全的高可靠性[J].计算机安全，2006，（23）：30~32.',)