基于MSTP和防火墻多出口的園區網可靠性設計

李兵

上海市經濟管理學校 上海 200060

隨著網絡技術的發展和應用，網絡化、信息化成為一種必然的趨勢，很多企事業和政府部門都建立了自己的園區網。越來越多的企業的內部管理和外部業務越來越多地依賴于網絡運作，以提高工作效率，提升自身形象和社會影響力。然而，一旦網絡系統發生問題就將直接影響企業的正常運作，造成經濟損失，有損社會聲譽。因此，網絡的性能特別是網絡的可靠性就顯得尤為重要。

1 園區網可靠性分析

計算機網絡的可靠性，簡單說來就是指網絡系統在規定的時間和條件下，能夠保持正常的信息流通，維持網絡應用系統穩定的能力。計算機網絡可靠性是一個系統化和科學化的概念。園區網的可靠性從網絡范圍來說可分為內部網絡業務的可靠性和訪問外部網絡的可靠性兩個方面。

1.1 實現園區網可靠性的基本設計思路

在園區網的重要節點采用相同功能的多個設備形成相互備份保護，如果一臺設備出故障，則另一臺設備能迅速接管故障設備，使對整個網絡系統的影響降到最低；同樣在園區網的出口，采用2條及以上不同的接入鏈路（通常是不同的ISP），一條鏈路中斷后，另一條鏈路則迅速接管中斷鏈路的流量，使對外業務數據受到的影響降到最低。

1.2 提高網絡可靠性的技術手段

網絡的可靠性是以各種投入為代價而實現的，因而在實際應用中，需要在網絡建設費用與網絡可靠性之間進行權衡。從性價比的角度來說，并不是可靠性越高越好，而往往采用對網絡的關鍵設備或鏈路提供備份的辦法，保證網絡的相對可靠性。保障網絡可靠性的技術手段主要有網絡拓撲結構的優化、網絡分層設計模型、容錯與負載均衡技術、路由協議備份技術及選用高可靠性網絡產品等。下面主要探討應用鏈路負載均衡與冗余設計技術提高網絡的可靠性。

2 鏈路負載均衡技術與網絡可靠性

隨著網絡需求及網絡技術的發展，單條鏈路、單臺服務器或單臺網絡設備無法滿足用戶業務增長和對網絡可靠性的需求。負載均衡（load balance）通過一種廉價、有效、透明的方法，將特定的業務,諸如網絡服務、網絡流量等通過多臺設備或多個鏈路進行分擔，擴展網絡設備和鏈路的能力，滿足用戶業務不斷發展的需求，保證業務的高可靠性。負載均衡具有高性能、可擴展性、可管理性、用戶透明性等優點。

負載均衡技術從廣義上講有服務器負載均衡、防火墻負載均衡和鏈路負載均衡等類型，各種負載均衡技術應用于不同的場合。鏈路負載均衡指網絡設備轉發數據流量時，數據流量在滿足一定的條件下選擇不同的鏈路走向，從而達到鏈路流量分擔，消除鏈路瓶頸，實現網絡鏈路服務的可靠性。鏈路負載均衡技術在園區網的內部和網絡出口均有一定的應用價值。

3 應用MSTP技術實現園區網內部負載均衡與鏈路冗余

3.1 MSTP概述

為了實現鏈路的冗余與備份，交換機之間往往會形成物理上的環路。但是一旦存在環路就會造成報文在環路內不斷循環，造成廣播風暴，影響網絡的正常通信。802.1協議制訂的STP協議，能夠有效阻止網絡風暴的產生，但是STP協議收斂速度慢，容易出現網絡瓶頸。為此隨后又推出了RSTP協議，RSTP協議很好地解決了網絡收斂速度慢的問題，但是仍不能實現基于VLAN的流量均衡和冗余備份。

MSTP多實例生成樹協議繼承了STP和RSTP的優點，在不改變網絡基本設備和物理拓撲結構的情況下，在不同的VLAN集合間采用不同的生成樹邏輯拓撲。在MSTP協議中定義了實例（INSTANCE）的概念，所謂實例就是多個具有同樣拓撲結構的VLAN集合。通過將多個具有同樣拓撲結構的VLAN映射到同一個實例的方法，節省通信開銷和資源占用率。MSTP協議通過控制各不同的VLAN實例使用不同的鏈路，從而形成不同的生成樹拓撲結構，同時又互相提供鏈路備份，達到鏈路負載均衡、消除瓶頸、提供冗余的目的，提高網絡的可靠性。

3.2 MSTP的配置與實現

為提高網絡的可靠性，在匯聚層可采用兩臺交換機，即分別上聯至兩臺匯聚核心SWA和SWB的交換機，以實現鏈路冗余，避免單鏈路故障，配置MSTP實現鏈路負載均衡。具體的拓撲結構如圖1所示。

假設在域中有兩個生成樹實例，分別為實例1和實例2，并映射到VLAN 10 和VLAN 20。通過配置使不同VLAN的數據按照不同的生成樹轉發，VLAN 10的數據沿實例1轉發，VLAN 20的數據沿實例2轉發，實現流量的負載均衡。應當注意的是，在配置時同一個域內設備的MSTP域名及VLAN映射關系都要保持一致。本文以神州數碼交換機產品為例，對交換機進行配置，并以sw1交換機節點進行具體配置（sw2交換機的配置與其類似）。

交換機sw1的參考配置如下：

交換機swA的參考配置如下：

swB和swA的配置方法相似，只要改變對mst 1和mst 2兩個不同實例的優先級即可。在此網絡中，配置了匯聚swA為實例1的根橋，同時也是實例2的備份根橋。匯聚swB為實例2的根橋，同時作為實例1的備份根橋。正常情況下實例1和實例2各自走不同的鏈路，形成鏈路的負載均衡。當根橋出現故障時，備份根橋可以取代原根橋進行數據轉發，達到了設備與鏈路的備份與負載均衡，較好地實現了網絡的可靠性。

4 防火墻多出口實現訪問外網負載均衡與冗余，提高訪問外網的可靠性

在傳統的園區網，往往只有一個網絡出口，這種情況在中小型園區網中尤其突出。隨著對外網訪問量的增加，園區網對外訪問往往成為整個網絡的瓶頸。

4.1 傳統的單出口園區網絡存在的問題

在傳統的單出口的情況下，即使內部網絡訪問是暢通的，但由于出口鏈路瓶頸仍然存在，對外網的訪問將成為園區網主要問題，從而影響對外業務的開展；由于對外的出口鏈路只有一個，當僅有的一個出口發生故障時，整個網絡將不能對外訪問，園區網的可靠性大大降低，不利于設備和鏈路的維護與升級，當要進行必要的維護和升級時，將不得不中斷對外網的訪問。

4.2 防火墻多出口負載均衡應用與配置

所謂多出口是指為了確保對因特網訪問，通常為網絡配置多個因特網接入鏈路，一般情況下接入不同的ISP；也有為了保障和重要業務所在的接入供應商的連接，而采用對同一ISP接入兩個鏈路，這種網絡出口的結構稱為出口多。

防火墻多出口多能最大限度地利用鏈路的帶寬，并且當某一鏈路發生中斷時，可以自動將其訪問量分配到另一正常工作出口鏈路中，也即達到出口鏈路的流量負載均衡與備份。

本例以神州數碼DCFW-1800系列為例進行配置，通過配置ISP路由方式來實現出口鏈路的負載均衡與冗余，使不同ISP流量走專有路由，從而提高網絡速度。配置步驟大致為：配置ISP信息→配置ISP路由→上傳ISP配置文件→查看 ISP 路由配置信息→刪除已上傳的預定義 ISP 配置文件。為保障鏈路和故障備份，還可以對鏈路進行相關的監控與備份配置，相關的關鍵配置及截圖如圖2所示。

1）配置ISP路由。目前國內的接入骨干網有電信、聯通、教育網等，神州數碼DCFW-1800系列防火墻系統自帶了China-telecom和China-netcom兩個ISP路由表，其他的ISP如unicom、cernet通過手工創建?？紤]到線路帶寬不同，在此設置了等價ISP路由，在轉發時根據線路帶寬設置轉發比例。在圖2中兩條電信的路由轉發比為1:1，在實際配置中也可根據具體的帶寬情況配置不同的權值比例。圖2中配置了多條ISP路由以供選擇。

2）配置鏈路的監控與備份。當外網接口在up狀態下，一旦該ISP運營商的線路出現故障，會影響內網用戶通過該鏈路的對外訪問。線路備份就是通過端口監控，當鏈路發生故障時自動切換到備份鏈路，保障出口訪問的可靠性。下面的命令配置了名為track-for_eth0/3的監控對象和相應的監控地址：

如果要對其他線路進行監控，則也要進行相似的配置。

5 結束語

鏈路冗余與負載均衡是提高網絡可靠性的重要技術之一，上述基于MSTP和防火墻多出口鏈路的設計與配置，實現鏈路的冗余與負載均衡。MSTP較好地保證了內部網絡的可靠性，防火墻多出口鏈路為園區網對外的訪問提供了較好的保障。

[1]程慶梅.防火墻系統實訓教程[M].北京:機械工業出版社,2012.

[2]雷傲然.企業園區網的可靠性設計思路與實現[J].時代報告,2012(9X):352.

[3]張雪敏.多生成樹協議MSTP在實驗中的應用[J].考試周刊,2012(59):112-115.

[4]叢玉華.多鏈路出口負載均衡技術的研究及實現[J].計算機與數字工程,2012(9):76-78.