使用ＨＳＲＰ實現校園網絡的優化

蔣永叢　王晉晉

摘要：在校園網絡的三層架構（核心層、匯聚層、接入層）中，核心層一直被認為是所有流量的最終承受者和匯聚者，核心層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。本文詳細闡述如何在兩臺核心交換機配置熱備份路由協議，以實現校園網核心層的高穩定性和流量的負載均衡，從而優化校園網絡。

關鍵詞：核心層；HSRP；冗余；優化

1關于熱備份路由協議：

熱備份路由器協議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態知道第一跳路由器的 IP 地址時，HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器，對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。

2某學校校園網概況

該學校有教學樓、男女宿舍樓、辦公樓，網絡結構簡縮如下圖：雙鏈路接入Internet,核心層使用兩臺神州數碼DCRS-5526S互為備份，核心層與匯聚層采用全網狀互聯，四臺DCS-3526分別雙鏈路接入核心層，網絡的穩定性強。同時為了管理方便和提

高安全性，將四臺DCS-3526的接入用戶劃分到不同的VLAN。此時，對每個用戶而言，都可以通過雙鏈路接入網絡，然而，每個用戶存在雙網關。下面通過配置HSRP解決網關的備份問題并探討該協議的流量負載均衡問題。

3網關冗余備份：

HSRP協議將網絡中兩臺三層交換機（5526A、5526B）組成HSRP備份組，針對于網絡中每一個VLAN接口，備份組都擁有一個虛擬缺省網關地址。如圖以VLAN11為例，HSRP備份組設置VLAN11的虛擬IP地址（譬如：192.168.11.3）,備份組中S1、S2同時分別擁有自己的VLAN11的接口IP（譬如分別為：192.168.11.1，192.168.11.2），VLAN11內主機的默認網關則設為HSRP備份組VLAN11的虛擬IP地址（192.168.11.3）。VLAN11內的主機通過這個虛擬IP訪問VLAN11之外的網絡資源，但實際的數據處理有備份組內活動（Active）交換機執行。如果活動交換機發生了故障，HSRP協議將自動由備份交換機（Standby）來替代活動交換機。由于網絡內的終端配置了HSRP虛擬網關地址，發生故障時，虛擬交換機沒有改變，主機仍然保持連接，網絡將不會受到單點故障的影響，這樣就很好地解決了網絡中核心交換機切換的問題,實現網關的冗余。

3.1基本設置見表1、表2。

3.2DCRS-5526A主要配置：

interface Vlan3

interface vlan 3

ip address 61.211.34.1 255.255.255.0 (給vlan3配置ip地址)

interface Vlan11

interface vlan 11

ip address 192.168.11.1 255.255.255.0

standby 11 ip 192.168.11.3 （備份組11虛擬ip地址，該地址作為vlan 11中主機的網關）

standby 11 priority 10（配置本交換機對組11優先級為10，從而在該組中作為備份交換機）

interface Vlan12

interface vlan 12

ip address 192.168.12.1 255.255.255.0

standby 12 ip 192.168.12.3（備份組12虛擬ip地址，該地址作為vlan 12中主機的網關）

standby 12 priority 10（配置本交換機對組12優先級為10，從而在該組中作為備份交換機）

interface Vlan13

interface vlan 13

ip address 192.168.13.1 255.255.255.0

standby 13 ip 192.168.13.3（備份組13虛擬ip地址，該地址作為vlan 13中主機的網關）

standby 13 priority 20（配置本交換機對組13優先級為20，從而在該組中作為活動交換機）

interface Vlan14

interface vlan 14

ip address 192.168.14.1 255.255.255.0

standby 14 ip 192.168.14.3（備份組14虛擬ip地址，該地址作為vlan 14中主機的網關）

standby 14 priority 20（配置本交換機對組14優先級為20，從而在該組中作為活動交換機。）

ip route 0.0.0.0 0.0.0.0 10.10.1.2（配置路由，實現兩臺三層交換機互通。）

當然，接入交換機DCS-3526A的用戶，如果想接入互聯網，此時他的網關應設置為192.168.11.3，且不論網絡那一條鏈路斷開，都不影響該用戶對網絡的使用，網絡的變化對用戶是透明的。

這里說明了主要配置，其他配置用戶根據需要自行添加。

4負載均衡

在某個局域網內，多個備份組可以共存和重疊。對于每一個備份組都有一個為別人所知的MAC地址，以及一個IP地址。

在本校網絡中，因為在不同備份組優先級的不同，三層交換機5526S-A作為備份組13、14的Active路由器，同時又為備份組11、12 的Standby路由器。而三層交換機5526S-B正相反，作為備份組11、12 Active路由器的，并為備份組13、14 的Standby路由器。Vlan11、vlan12主機使用5526-B作網關，vlan13、vlan14主機使用5526S-A作為網關。這樣，既達到網關互相備份，又實現流量的負載均衡的目的。

5安全性的考慮

該協議是比較安全的，外網用戶很難對該協議發動攻擊的，因為大多數路由器不會轉發到多播地址224.0.0.2的數據包，消息中認證域對于防范錯誤配置是有用的。但該協議沒有提供安全方面的保證，容易受局域網內部入侵者攻擊，這可能導致一個黑洞的產生或拒絕服務。

參考文獻：

[1]謝希仁.計算機網絡（第4版）.電子工業出版社.

[2]神州數碼試驗教材系列之交換試驗.神州數碼網絡大學.

[3]楊威.網絡工程設計與安裝（第2版）.電子工業出版社.

[4]Cisco Hot Standby Router Protocol.RFC2281.