基于VRRP和MSTP的校園網可靠性設計

摘 要：本文以廣東省華僑職業技術學校校園網為例，深入分析了以VRRP協議和MSTP協議為基礎，以路由冗余和負載均衡為技術的校園網安全系統建設。

關鍵詞：校園網；可靠性；VRRP；MSTP

一、引言

隨著計算機和通信技術的發展，校園網成為師生更快捷更方便地獲取和處理信息的渠道之一。學校教學和管理對網絡應用的需求越來越多，對校園網的可靠性也提出了更高的要求。網絡的核心交換層是保證其可靠性的關鍵所在，如果核心設備發生宕機或遭受惡意攻擊，網絡性能將有所下降甚至癱瘓。本文以廣東省華僑職業技術學校為例，以路由冗余和負載均衡等問題為重點，在深入分析VRRP協議和MSTP協議的基礎上，探討了保證校園網可靠性的方法。

二、校園網的可靠性需求分析

廣東省華僑職業技術學校校園網的網絡架構為典型的三層結構：核心層→匯聚層→接入層，核心層為兩臺高端的三層核心交換機H3C S5800（簡稱S1、S2）。為了抑制局域網中可能發生的廣播風暴，我校在對校園網進行設計時對不同的廣播域進行了有效的隔離，主要做法是劃分VLAN，它可以覆蓋多個網絡設備，組成邏輯子網，允許部署在不同地理位置的用戶加入到同一個VLAN中。為了便于理論上的描述，如下圖所示，我們設計了VLAN 1（服務器匯聚層）、VLAN 2（生活區匯聚層）、VLAN 3（教學、圖書館匯聚層）、VLAN 4（實訓場所匯聚層）和VLAN 5（行政辦公匯聚層）共五個邏輯子網。所有接入層的網絡設備都通過匯聚層和核心層的網絡設備訪問校園網資源（或Internet），接入層也可以進一步劃分VLAN，使得不同物理位置的計算機相互通信。

學校網絡骨干及路由設計示意圖

為了提高校園網的性能和可靠性，路由冗余和負載均衡等問題需要認真考慮。為此核心交換機的安全策略設計如下：一是經過到核心層（或訪問Internet）的數據流，利用VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協議）實現路由冗余和負載均衡；二是同一個VLAN間計算機通信的數據流，可以利用MSTP（Multiple Spanning Tree Protocol，多生成樹協議）實現路由冗余和負載均衡。

三、VRRP和MSTP協議分析

1. VRRP協議分析。

VRRP是一種容錯協議，為具有組播或者廣播能力的局域網設計。在該協議中，主要由兩臺路由設備協同工作，對終端IP設備的默認網關進行路由冗余備份，當主路由宕機時，備份路由及時提供轉發工作，起到提高網絡可靠性的作用。

VRRP將兩臺（或多臺）路由器虛擬成一個設備，對外部網絡提供虛擬路由器IP。在這幾個路由器內部，實際擁有對外IP的路由器在工作正常的情況下就是主路由（Maser），或者通過算法選舉產生，MASTER實現針對虛擬路由器IP的各種網絡功能，如ARP請求、ICMP以及數據包的轉發等。其他設備被視為備份路由（Backup），除了接收MASTER的VRRP狀態通告信息外，不執行對外的網絡功能。當Master宕機時，Backup將代替Master繼續提供網絡服務。

配置VRRP時需要設定每個路由器的虛擬路由器ID(VRID)和優先權值。VRID是一個范圍為0～255的正整數，用于區分路由器，具有同一個VRID值的路由器為同一個組；優先權值也是一個范圍為0～255的正整數，同一組路由器通過比較優先權值的大小來選舉Master，數值大者為Master。

VRRP使用多播數據來傳輸VRRP數據，VRRP數據使用虛擬源MAC地址（而不是自身實際的MAC地址）發送數據。VRRP運行時只有Master路由器定時發送通告（Advertise）信息，發布Master的工作狀態，Backup只接收數據，如果在一定時間內沒有接收到Master的通告信息，各BACKUP將對外宣告自己成為Master，發送通告信息，重新進行Master選舉。

2. MSTP協議分析。

MSTP是IEEE 802.1s標準中定義的一種新型生成樹協議。在討論MSTP協議之前，必須先討論STP（Spanning Tree Protocol，生成樹協議）、RSTP（Rapid Spanning Tree Protocol，快速生成樹協議）等協議。STP是為了避免在Ethernet中形成環路，導致報文在環路內不斷循環和積聚，形成“廣播風暴”，甚至導致網絡癱瘓而設置的；RSTP是從STP發展過來的，其基本思想一致，但它更進一步處理了網絡臨時失去連通性的問題。其不同之處在于，STP/RSTP是基于端口的，而MSTP是基于實例的，MSTP中引入了“實例”（Instance）和“域”（Region） 的概念。Instance可以抽象理解為一個由不同的VLAN組成的集合，它把多個VLAN捆綁到一個Instance中，有效地節省了網絡開銷和資源占用率。MSTP各個實例拓撲的計算是獨立的，實現了負載均衡。“域”由域名、修訂級別、格式選擇器、VLAN與實例的映射關系四個元素組成，只有這四個元素一致且相互連接的交換機才認為在同一個域內。每個域內所有交換機都有相同的MST域配置，缺省時，域名就是交換機的橋MAC地址，修訂級別和格式選擇器都等于0，所有的VLAN都映射到實例0上。

MSTP的實例0具有特殊的作用，稱為CIST（Common Internal Spanning Tree），即公共與內部生成樹，其他的實例稱為MSTI（Multiple Spanning Tree Instance），即多生成樹實例。CIST由通過STP/RSTP計算得到的單生成樹和MSTP計算得到的域組成，是為了保證在所有橋接的局域網是簡單的和全連接的。

四、可靠性安全的實現過程

1. VRRP的安全策略設計。

對于經過核心層（或訪問Internet）的數據流，設計如下：VLAN 2（生活區匯聚層）、VLAN 3（教學、圖書館區匯聚層）和VLAN 4（實訓場所匯聚層）三個子網到核心層（或訪問Internet）的數據以S2為Master交換機，S1為Backup交換機；VLAN 1（服務器匯聚層）、VLAN 5（行政辦公匯聚層）到核心層（或訪問Internet）的數據以S1為Master核心交換機，S2為Backup交換機。

VRRP協議的關鍵設計：在S1核心交換機上對VLAN 2、3、4設置同等的訪問優先級Pl（Pl=50）；對于VLAN 1、5設置同等的訪問優先級P2（P2=200）。相反，在S2核心交換機上對VLAN 2、3、4設置同等的優先級P2（P2=200）；對于VLAN 1、5設置同等的訪問優先級Pl（P1=50）。通過這樣的設置使P1

2. MSTP的安全策略設計。

對于同一個VLAN間計算機通信的數據流，設計如下：VLAN 2、3、4以S1為Root交換機，當以S1為Root的鏈路發生故障后，可以即時啟用經由S2的鏈路。如此類推，VLAN 1、5以S2為Root交換機，當以S2為Root的鏈路發生故障后，可以即時啟用經由S1的鏈路。這樣設計可以實現鏈路冗余和負載均衡的作用。

啟用MSTP協議的關鍵設計：在Sl、S2和各匯聚層交換機（H3C S3552P）上配置相同的區域名test和版本號，對于VLAN 2、3、4創建相同的實例1，對于VLAN 1、5創建實倒2。在S1上，為實例1的優先級設置為P1（P1=0），實例2的優先級設置為P2（P2=4096）。相反，在S2上，為實例1的優先級設置為P2（P2=4096），實例2的優先級設置為P1（P1=0）。通過這樣的設置使P1

3. VRRP協議和MSTP協議的安全配置過程。

由“學校網絡骨干及路由設計示意圖”可知，核心層使用了兩臺H3C 5800，匯聚層使用了H3C S3552P，具體的配置過程如下：

（1）第一步，基本信息配置。在S1和S2上的配置相同，現以S1的配置為例進行說明。

① S1恢復出廠設置，配置它的VLAN信息，創建VLAN l-5：

S1（Config）# VLAN l

② 配置S1上VLAN 1-5的虛擬接口的IP地址：

S1（Config）# interface VLAN 1

S1（Config-If-VLAN l）# ip address 192.168.1.0 255.255.255.0

③ 實現S1與S2互通，在VLAN 1-5上分別啟用OSPF協議：

S1（Config）# router ospf

S1（Config）# interface VLAN l

S1（Config-If-VLAN l）# ip ospf enable area 0 /在VLAN 2-5做相同配置。

（2）第二步，配置MSTP協議。

① 在核心交換機和匯聚層交換機上的共同配置：

S1（Config）# spanning-tree mstp config

S1（Config-MSTP-Region）# name test // MSTP域命名為test；

S1（Config-MSTP-Region）# revision-level 5 // MSTP域的值修改為5；

S1（Config-MSTP-Region）# instance 1 VLAN 2，3，4

S1（Config-MSTP-Region）# instance 2 VLAN 1，5

② 在S1的配置：

S1（Config）# spanning-tree

S1（Config）# spanning-tree mode mstp

S1（Config）# spanning-tree mstp 1 priority 0

S1（Config）# spanning-tree mstp 2 priority 4096 //以上兩點：設置指定的實例的優先級，其數值小的優先級為高，取值范圍為0-61440之間4096的整數倍數，缺省值為32768。

③ 在S2的配置：

S2（Config）# spanning-tree

S2（Config）# spanning-tree mode mstp

S2（Config）# spanning-tree mstp 1 priority 4096

S2（Config）# spanning-tree mstp 2 priority 0

（3）第三步，配置VRRP協議。

① 在S1上，對VLAN 2、VLAN 3和VLAN 4的配置相同，現以VLAN 2為例：

S1（Config）# interface VLAN 2

S1（Config-If-VLAN 2）# standby 1 ip address 192.168.2.1

S1（Config-If-VLAN 2）# standby 1 authentication

S1（Config-If-VLAN 2）# standby 1 priority 50 //為VLAN 2設置訪問優先級，它的取值范圍為0-255，缺省值為100，數值大的優先級高。

②在S1上，VLAN 1和VLAN 5上的配置相同，現以VLAN 1為例：

S1（Config）# interface VLAN 1

S1（Config-If-VLAN 1）# standby 1 ip address 192.168.1.1

S1（Config-If-VLAN 1）# standby 1 authentication

S1（Config-If-VLAN 1）# standby 1 priority 200

③ 在S2上配置不同點是：VLAN2、3、4的優先級數值設為200，VLAN1、5的優先級數值設為50。

（4）驗證測試。

① 在S1和S2上分別運行以下命令：

S1 # show vrrp //查看VRRP的運行狀態；

S1 # show spaning-tree //查看MSTP的運行狀態；

② 在VLAN 1上的計算機（192.168.1.6）上ping學校網站服務器（www.gdhqzz.cn）：

輸入：ping www.gdhqzz.cn -t

Reply from 112.64.97.185 ：bytes=32 time=64ms TTL=114 //表明配置成功。

③ 繼續運行②命令，將Sl和VLAN 1所在匯聚層的交換機之間的跳線拔掉，顯示：

Request time out．

Request time out．

Reply from 124．132．97．185：bytes=32 t ime=187ms TTL=l14

Reply from 124．132．97．185：bytes=32 time=187ms TTL=114

結果表明：VLAN 1的master交換機S1宕機，即時啟用Backup交換機S2。

④ 在VLAN 1的計算機（192.168.1.6）上ping VLAN 1 的另一計算機（192.168.1.102），兩臺計算機的物理位置不同，上行的網絡設備也不同。

命令：ping 192.168.1.102 -t

Reply from 192.168.1.102 ：bytes=32 time=64ms TTL=114 //表明兩者連通。

⑤ 繼續運行④的命令，將Sl和VLAN 1所在匯聚層的交換機之間的跳線拔掉，顯示：

Request time out

Request time out

Reply from 192.168.1.102：bytes=32 time=187ms TTL=114

Reply from 192.168.1.102：bytes=32 time=187ms TTL=114

結果表明：Root交換機S1宕機，啟用Backup鏈路交換機S2。

以上驗證測試表明，有關配置達到了對Internet訪問和對內部網絡訪問時實現路由冗余和負載均衡的目的。

五、結束語

我校基于VRRP和MSTP的校園網設計，有效規避了網絡中的單點失效故障，建立起一個穩定、高速和可靠的校園網絡系統。

（作者單位：廣東省華僑職業技術學校）

參考文獻：

[1]劉俊，姜廣明等．校園網絡規劃和實施[J]．沈陽化工學院學報，2004，（1）.

[2]黃傳河，杜瑞穎. 網絡安全[M]. 武漢：武漢大學出版社，2004.

[3]蒲寶卿．一種提高校園網可靠性的VRRP協議解決方案[J]．甘肅高師學報，2011，（16）.

[4]王東．VRRP協議實現園區網絡的路由冗余和負載均衡[J]．重慶科技學院學報，2010，（5）.

[5]王輝，范會敏，唐俊勇等．一種基于MSTP的負載均衡算法設計[J]．2011，（19）.

責任編輯 陳春陽