VRRP和SLA協議在校園網中的應用

孫光懿， 郭建忠

(1.天津音樂學院圖書與信息中心， 天津 300171；2.天津科技大學信息化建設與管理辦公室， 天津 300222)

當今校園網不僅是各院校信息化建設的重要基礎設施,而且也是學生學習、教師教學與科研的重要媒介。它將教育、學習、科研、辦公、管理、行政等各類系統有機的聯接起來，從而在不同系統之間實現信息交互。一所院校校園網的建設情況，直接體現了它的整體辦學水平、學校形象和學校地位。隨著國家不斷加大對高校信息化建設的支持力度，各院校校園網均呈現出跨越式發展的態勢。校園網的用戶數與應用系統的數量逐年增加，廣大師生對校園網的依賴度也越來越高。然而，近年來一些高校的校園網在運行過程中相繼暴露出諸多問題，其中較為突出的有如下兩方面問題：第一，有的高校校園網核心層沒有配置冗余設備，這不可避免的會遇到單點故障問題；第二，各院校校園網普遍對網絡故障的自適應性差，導致經常發生數據包堵塞，造成延遲甚至無法上網等現象。為有效解決以上問題，建設一個擁有良好網速、高安全性、高可靠性的校園網，本研究提出了在校園網中聯合應用VRRP和SLA協議的網絡改造方案。

1 相關技術

1.1 VRRP協議介紹

VRRP與HSRP協議類似[1-3]，不僅可以實現網關冗余，而且還可以通過設置多個VRRP組來實現流量負載均衡。通常VRRP組由多臺路由器所構成，且只選出一臺路由器作主用路由器(剩余路由器為備用路由器)負責處理發送到虛擬IP地址的數據包。通常，優先級最高的路由器將成為主用路由器(優先級的取值范圍為0-255，值越大，優先級越高。如果主用路由器的優先級為0，則意味著備用路由器將會在不等待主用路由器失效時間的情況下，接替其工作)。VRRP與HSRP協議的主要區別在于：首先，VRRP是一種開放的、可支持多廠商設備的標準化協議，而HSRP協議是思科私有協議，只能在思科設備中部署使用；其次，VRRP協議默認計時器的時間比HSRP協議短，因此處理網絡故障的速度更優于HSRP協議；第三，VRRP協議的配置更為靈活，其VRRP組IP地址可以設置為主用路由器或備用路由器的真實IP地址，這對于HSRP協議來說是不被允許的；第四，一個VRRP組可以存在多臺備用路由器，而一個HSRP組只可以存在一臺備用路由器；第五，VRRP協議不支持認證功能，而HSRP支持認證功能；第六，VRRP協議只能對對象進行跟蹤，而HSRP協議即可以對接口又可以對對象進行跟蹤；第七，VRRP協議最多可支持256個組，而HSRP協議最多只能支持16個組。

1.2 SLA協議介紹

SLA(服務等級協議)[4-6]是一種在高性能的網絡中廣為部署的網絡協議。是為保證網絡服務的性能，ISP與用戶進行磋商后形成的一種雙方均認可的協議。其工作原理是通過向目標設備發送測試報文以實現對網絡性能的檢測。通常情況下，SLA協議可用于網絡服務商接入邊界路由器可達性的檢測、網絡整體性能的監測、MPLS網絡的監測、VOIP的監測、VPN的監測、策略路由以及浮動靜態路由下一跳的監測等。它的使用，讓用戶對網絡服務故障具有了一定的預判能力。這對于類似數據中心以及其他需要高可靠性的網絡來說是至關重要的，因為任何情況下的網絡性能下降或中斷，都會造成不可估量的損失。需要注意的是，為保證測試報文的可靠性，SLA協議還支持文明認證；只是在進行認證配置時，需要在SLA源設備與目標設備上同時進行。

2 校園網改造拓撲設計[7-11]

為建設一個擁有良好網速、高安全性、高可靠性的校園網，天津音樂學院(簡稱天音)校園網絡管理人員不僅在校園網核心層部署了2臺思科核心交換機(SW1與SW2)，而且還為校園網出口引入了中國教育科研網、中國聯通兩條出口鏈路，二者之間互為備份。即使某條出口鏈路發生故障，校園網用戶還可以從另外一條出口鏈路對外網進行訪問，不會對校園網用戶訪問外網造成任何影響。其中路由器R1為與天音校園網互聯的中國教育科研網邊界路由器，路由器R2為與天音校園網互聯的中國聯通邊界路由器。目前，天音校園網共有VLAN 60(即辦公區所屬網段)、VLAN 70(即學生宿舍區所屬網段)、VLAN 80(即DMZ區所屬網段)、VLAN 90(即無線所屬網段)等4個網段，并且各網段用戶之間可以實現互聯互通。

通過在兩臺核心交換機SW1與SW2上部署VRRP協議(兩臺核心交換機組成VRRP組)與SLA協議(核心交換機SW1向中國教育科研網邊界路由器R1發送測試報文，核心交換機SW2向中國聯通邊界路由器R2發送測試報文)，不僅可以實現三層網關的冗余以及流量負載均衡，而且還可以提高校園網對網絡故障的自適應性能。在網絡運行正常情況下：當VLAN 60與VLAN 70網段用戶訪問互聯網資源時，數據包轉發任務由核心交換機SW1來負責(核心交換機SW1充當這兩個網段主用路由器的角色)，經中國教育科研網邊界路由器R1訪問互聯網資源；當VLAN 80與VLAN 90網段用戶訪問互聯網資源時，數據包轉發任務由核心交換機SW2來負責(核心交換機SW2為這兩個網段的主用路由器)，經中國聯通邊界路由器R2訪問互聯網資源。在網絡發生故障情況下：例如當核心交換機SW1發生故障或中國教育科研網邊界路由器R1上聯鏈路發生故障時，來自VLAN 60與VLAN 70網段用戶數據包(用于訪問互聯網資源)轉發任務就交由核心交換機SW2來負責(核心交換機SW2為這兩個網段的備用路由器)，經中國聯通邊界路由器R2訪問互聯網資源。同理當核心交換機SW2發生故障或中國聯通邊界路由器R2發生故障時，來自VLAN 80與VLAN 90網段用戶數據包轉發任務就交由核心交換機SW1來負責(核心交換機SW1為這兩個網段的備用路由器)，經中國教育科研網邊界路由器R1訪問互聯網資源。在整個故障處理過程中，校園網用戶絲毫不會察覺到有網絡中斷或延遲現象的發生。網絡拓撲如圖1所示。

圖 1 校園網出口拓撲

3 相關配置

3.1 IP地址分配

校園網兩臺核心交換機SW1、SW2不僅通過f2/0接口分別與互聯網提供商邊界路由器R1、R2互連(它們之間的互連通過三層接口來進行)，而且還通過f0/0接口分別與接入交換機SW3、SW4互連(它們之間的互連通過trunk來進行)。另外，接入交換機SW3、SW4的f0/1與f0/2接口分別劃分到VLAN 60、VLAN 70、VLAN 80、VLAN 90網段。其中，交換機SW3的f0/1接口連接終端計算機C1；交換機SW3的f0/2接口連接終端計算機C2；交換機SW4的f0/1接口連接終端計算機C3；交換機SW4的f0/2接口連接終端計算機C4。相關網絡設備IP地址規劃方案如圖2所示。

圖2 相關設備IP地址規劃方案

3.2 配置各網絡設備接口

為讓讀者能夠清楚的理解VRRP協議在校園網中的配置過程，在這里給出校園網內各網絡設備接口的相關配置命令。需要注意的是，不同廠商的網絡設備配置命令會有一定的差異性，但是配置后的最終效果都是相同的。交換機SW4的配置與SW3類似，故省略。

1)配置路由器R1(CISCO 3550)。

R1(config)#int f0/0

R1(config-if)#ip address 211.68.197.1 255.255.255.0 //與校園網內核心交換機SW1互聯地址

2)配置路由器R2(CISCO 3550)。

R2(config)#int f0/0

R2(config-if)#ip address 202.99.55.1 255.255.255.0 //與校園網內核心交換機SW2互聯地址

3)配置校園網核心交換機SW1(CISCO 6509)。

SW1(config)#int f2/0

SW1(config)#no switch //變為三層接口

SW1(config-if)#ip add 211.68.197.2 255.255.255.0

SW1(config)#int vlan 60

SW1(config-if)#ip add 192.168.60.2 255.255.255.0

SW1(config)#int vlan 70

SW1(config-if)#ip add 192.168.70.2 255.255.255.0

SW1(config)#int vlan 80

SW1(config-if)#ip add 192.168.80.2 255.255.255.0

SW1(config)#int vlan 90

SW1(config-if)#ip add 192.168.90.2 255.255.255.0

SW1(config)#int f0/0

SW1(config-if)#sw mode trunk //將校園網核心交互SW1的f0/0接口設置為trunk工作模式

4)配置校園網核心交換機SW2(CISCO 6509)。

SW2(config)#int f2/0

SW2(config)#no switch //變為三層接口

SW2(config-if)#ip add 202.99.55.2 255.255.255.0

SW2(config)#int vlan 60

SW2(config-if)#ip add 192.168.60.3 255.255.255.0

SW2(config)#int vlan 70

SW2(config-if)#ip add 192.168.70.3 255.255.255.0

SW2(config)#int vlan 80

SW2(config-if)#ip add 192.168.80.3 255.255.255.0

SW2(config)#int vlan 90

SW2(config-if)#ip add 192.168.90.3 255.255.255.0

SW2(config)#int f0/0

SW2(config-if)#sw mode trunk //將校園網核心交互SW2的f0/0接口設置為trunk工作模式

3.3 配置路由

為使校園網用戶能夠對互聯網資源進行正常訪問，必需在校園網核心交換機SW1、SW2上配置下一跳指向互聯網服務商邊界路由器的默認靜態路由，而從互聯網服務商邊界路由器到校園網核心交換機SW1、SW2的回程路由則無需進行配置，這主要是因為在校園網用戶訪問互聯網資源前，已將其私有IP地址通過NAT技術轉換為互聯網提供商所擁有的公網地址。

兩臺核心交換機SW1、SW2上的靜態默認路由配置如下：

SW1(config)#ip route 0.0.0.0 0.0.0.0 211.68.197.1

SW2(config)#ip route 0.0.0.0 0.0.0.0 202.99.55.1

3.4 配置NAT地址轉換

校園網各網段采用私網IP地址，不僅可以有效隱藏校園網內部主機，而且還可以節約有限的公網IP地址資源。如果校園網用戶有訪問互聯網資源的需求，必須將其私有IP地址通過NAT技術轉換為公網IP地址才可以實現。常見的NAT地址轉換有靜態轉換、動態轉換、PAT等三種工作方式。在這里使用PAT的工作方式實現校園網用戶私有IP地址的轉換。

1)在校園網核心交換SW1上配置NAT。

SW1(config)#int vlan 60

SW1(config-if)#ip nat inside //設置內網接口

SW1(config)#int vlan 70

SW1(config-if)#ip nat inside

SW1(config)#int f2/0

SW1(config-if)#ip nat outside

SW1(config)#access-list 19 deny 192.168.80.0 0.0.0.255

SW1(config)#access-list 19 deny 192.168.90.0 0.0.0.255

SW1(config)#access-list 19 permit any

SW1(config)#ip nat inside source list 19 interface f2/0 overload

2)在校園網核心交換SW2上配置NAT。

SW2(config)#int vlan 80

SW2(config-if)#ip nat inside //設置內網接口

SW2(config)#int vlan 90

SW2(config-if)#ip nat inside

SW2(config)#int f2/0

SW2(config-if)#ip nat outside //設置外網接口

SW2(config)#access-list 29 deny 192.168.60.0 0.0.0.255

SW2(config)#access-list 29 deny 192.168.70.0 0.0.0.255

SW2(config)#access-list 29 permit any

SW2(config)#ip nat inside source list 29 interface f2/0 overload

3.5 在校園網核心交換機中部署VRRP協議

3.5.1 配置網關冗余與流量負載均衡[12-14]

實現網關冗余不僅可以有效提高校園網的可靠性，而且還可以通過配置多個VRRP組實現校園網內用戶流量的負載均衡。校園網內兩臺核心交換機SW1與SW2組成 VRRP 60、VRRP 70、VRRP 80、VRRP 90組，且每個VRRP組(由于VRRP不會默認產生組號，因此網絡管理人員需手動配置組號，組號的取值范圍從1-255)均產生一個虛擬IP地址，將此虛擬IP地址理解為校園網內各網段所屬終端設備的網關地址(校園網用戶所產生的流量需要首先發往這個虛擬IP地址，再由相應VRRP組的主用路由器進行處理)。

1)在校園網核心交換機SW1上配置網關冗余。

SW1(config)#int vlan 60

SW1(config-if)#vrrp 60 ip 192.168.60.1 //VLAN 60網關IP地址

SW1(config)#int vlan 70

SW1(config-if)#vrrp 70 ip 192.168.70.1 //VLAN 70網關IP地址

SW1(config)#int vlan 80

SW1(config-if)#vrrp 80 ip 192.168.80.1 //VLAN 80網關IP地址

SW1(config)#int vlan 90

SW1(config-if)#vrrp 90 ip 192.168.90.1 //VLAN 90網關IP地址

2)在校園網核心交換機SW2上配置網關冗余。

SW2(config)#int vlan 60

SW2(config-if)#vrrp 60 ip 192.168.60.1

SW2(config)#int vlan 70

SW2(config-if)#vrrp 70 ip 192.168.70.1

SW2(config)#int vlan 80

SW2(config-if)#vrrp 80 ip 192.168.80.1

SW2(config)#int vlan 90

SW2(config-if)#vrrp 90 ip 192.168.90.1

從上述配置中可以看到，兩臺核心交換機分別處理來自校園網不同網段用戶的流量。核心交換機SW1即為VRRP 60、VRRP 70組的主用路由器(負責處理來自校園網VLAN 60、VLAN 70網段用戶的流量)，又為VRRP 80、VRRP 90組的備用路由器；核心交換機SW2即為VRRP 80、VRRP 90組的主用路由器(負責處理來自校園網VLAN 80、VLAN 90網段用戶的流量)，又為VRRP 60、VRRP 70組的備用路由器。

3.5.2 配置VRRP組內路由器優先級

一個VRRP組只能有一臺路由器能成為主用路由器，這是由組內各路由器的優先級所決定的。主用路由器不僅負責使用組播地址224.0.0.18向備用路由器發送通告消息(每秒鐘一次)，而且還負責處理發送到虛擬IP地址上的流量。當VRRP組內主用路由器發生故障時，備用路由器將無法收到通告消息。值得注意的是：備用路由器等待的時間一旦超過了主用失效間隔時間，那么擁有最高優先級的備用路由器將成為新的主用路由器。

1)配置核心交換機SW1。

SW1(config-if)#vrrp 60 priority 200 //將核心交換機SW1設置為vrrp 60組的主用路由器

SW1(config-if)#vrrp 70 priority 200 //將核心交換機SW1設置為vrrp 70組的主用路由器

SW1(config-if)#vrrp 80 priority 110 //將核心交換機SW1設置為vrrp 80組的備用路由器

SW1(config-if)#vrrp 90 priority 110 //將核心交換機SW1設置為vrrp 90組的備用路由器

2)配置核心交換機SW2。

SW2(config-if)#vrrp 60 priority 110 //將核心交換機SW2設置為vrrp 60組的備用路由器

SW2(config-if)#vrrp 70 priority 110 //將核心交換機SW2設置為vrrp 70組的備用路由器

SW2(config-if)#vrrp 80 priority 200 //將核心交換機SW2設置為vrrp 80組的主用路由器

SW2(config-if)#vrrp 90 priority 200 //將核心交換機SW2設置為vrrp 90組的主用路由器

3.5.3 配置VRRP搶占特性

在部署VRRP協議的路由器中配置搶占特性，通常具有以下幾個功能：首先，可以使具有最高優先級的路由器成為VRRP組中的主用路由器；其次，還可以確保當主用路由器發生故障時，優先級最高的備用路由器能夠順利接替其角色，從而保證網絡的正常運行；第三，可以確保從故障中恢復的原主用路由器，再次在VRRP組中承擔master的角色。第四，可以確保按照網絡管理人員預先規劃好的路由路徑來轉發相應VLAN的流量。第五，可以確保在配置了生成樹協議的網絡中，相關VLAN三層轉發路徑與二層轉發路徑相同，從而避免次優路徑的產生。

1)配置核心交換機SW1。

SW1(config-subif)#vrrp 60 pree

SW1(config-subif)#vrrp 70 pree

SW1(config-subif)#vrrp 80 pree

SW1(config-subif)#vrrp 90 pree

2)配置核心交換機SW2。

SW2(config-subif)#vrrp 60 pree

SW2(config-subif)#vrrp 70 pree

SW2(config-subif)#vrrp 80 pree

SW2(config-subif)#vrrp 90 pree

3.6 配置SLA[13-16]

在運行VRRP協議的多出口校園網中，當出現互聯網運營商邊界路由器上行鏈路故障時，要保證校園網用戶對互聯網資源的正常訪問，可以利用VRRP協議對主用路由器的選舉及時做出調整，此時需要在兩臺核心交換機上配置SLA并關聯相關跟蹤對象。

1)配置SW1。

SW1(config)#ip sla monitor 16

SW1(config-sla-monitor)#type echo protocol ipicmpecho 202.99.96.68 source-ip 11.11.11.11

SW1 (config-sla-monitor-echo)#frequ 8

SW1(config-sla-monitor-echo)#timeout 1000

SW1(config)#ip sla monit sched 16 life forev starttime now

2)配置SW2。

SW2(config)#ip sla monitor 17

SW2(config-sla-monitor)#type echo protocol ipicmpecho 202.99.96.68 source-ip 12.12.12.12

SW2 (config-sla-monitor-echo)#frequ 8

SW2(config-sla-monitor-echo)#timeout 1000

SW2(config)#ip sla monit sched 17 life forev starttime now

3.7 配置跟蹤對象

VRRP協議具有跟蹤對象的特性。通常VRRP協議可以跟蹤網絡設備接口、IP路由、對象列表、IP SLA等對象。當網絡發生變化，不再滿足對象所定義的條件時，VRRP組內路由器的優先級會相應降低。

1)在核心交換機SW1上配置跟蹤對象。

SW1(config)#track 60 rtr 16 reachability //關聯監控對象

SW1(config-if)#vrrp 60 track 60 decrement 110 //當監控對象不能正常訪問中國聯通DNS地址202.99.96.68時，核心交換機SW1在VRRP 60組中的優先級降低110，變為90，核心交換機SW2成為新的主用路由器。

SW1(config-if)#vrrp 70 track 60 decrement 110

2)在核心交換機SW2上配置跟蹤對象。

SW2(config)#track 70 rtr 17 reachability

SW2(config-if)#vrrp 80 track 70 decrement 110

SW2(config-if)#vrrp 90 track 70 decrement 110

4 研究測試

為驗證此次網絡改造是否達到了的預期效果，分別在網絡正常的情況下以及網絡發生故障的情況下，對校園網進行測試。

4.1 網絡正常情況下測試

首先，我們以校園網vlan70網段所屬終端計算機C2和 VLAN 90網段所屬終端計算機C4為例，對中國聯通DNS地址202.99.96.68進行連通性測試并跟蹤其數據包轉發路徑。其次，查看終端計算機C2與C4之間的連通性。第三，查看校園網核心交換機SW1、SW2上VRRP協議的工作狀態。

通過測試看到：校園網全網用戶不僅可以對互聯網資源進行正常訪問，而且用戶之間還可以實現互訪；校園網實現了流量負載均衡，核心交換機SW1即為VRRP 60組(虛擬IP地址為192.168.60.1)與VRRP 70組(虛擬IP地址為192.168.70.1)的主用路由器，又為VRRP 80組(虛擬IP地址為192.168.80.1)與VRRP 90組((虛擬IP地址為192.168.90.1)的備用路由器。當VLAN 60、VLAN 70這兩網段的用戶訪問互聯網資源時，數據包首先經二層交換機SW3與核心交換機SW1之間的鏈路到達SW1，而后再由SW1負責將數據包轉發到中國教育科研網邊界路由器R1，最后到達目的地址。核心交換機SW2即為VRRP 60組(虛擬IP地址為192.168.60.1)與VRRP 70組((虛擬IP地址為192.168.70.1)的備用路由器，又為VRRP 80組(虛擬IP地址為192.168.80.1)與VRRP 90組(虛擬IP地址為192.168.90.1)的主用路由器。當VLAN 80、VLAN 90這兩網段的用戶訪問互聯網資源時，數據包首先經二層交換機SW4與核心交換機SW2之間的鏈路到達SW2，而后再由SW2負責將數據包轉發到中國聯通邊界路由器R2，最后到達目的地址。

4.2 網絡故障情況下測試

當中國教育科研網出口鏈路發生故障時，再次測試校園網VLAN 70網段所屬終端計算機C2防問中國聯通公網DNS地址202.99.96.68的連通性，并跟蹤其數據包轉發路徑以及查看核心交換機SW1 、SW2上VRRP協議的工作狀態。

通過測試我們可以清楚的看到：在網絡出現故障的情況下，不僅校園網各網段用戶仍然可以對互聯網資源進行正常訪問，而且各網段用戶之間的互訪也沒有受到絲毫影響。但是VRRP 60組與VRRP 70組的主用路由器與VLAN 60、VLAN 70網段用戶訪問互聯網資源的數據包轉發路徑均發生了改變。首先，核心交換機SW2 成為VRRP 60組與VRRP 70組新的主用路由器 (這是由于中國教育科研網邊界路由器R1上聯接口發生故障，核心交換機SW1在VRRP 60組與VRRP 70組中的優先級從200降低為90，低于核心交換機SW2在VRRP 60組與VRRP 70組中的優先級110所導致)。其次，當校園網各網段的用戶訪問互聯網資源時，數據包都要先經二層交換機SW4與核心交換機SW2之間的鏈路到達SW2，而后再由SW2負責將數據包轉發到中國聯通邊界路由器R2，最后到達目的地址。由此可見，即使校園網出現部分故障(例如某條出口鏈路發生故障或者臺核心交換機發生故障)，校園網用戶的網絡通信也不會受到任何影響。

5 結語

通過在校園網核心交換機中聯合部署VRRP與SLA協議，不僅提高了校園網的性能與可靠性，而且用戶對校園網的滿意度也得到了提升。即使校園網內某臺核心交換機或某條出口鏈路發生故障，校園網用戶的通信需求也可以得到保證。