基于PBR与VRRP技术的多ISP校园网可靠性实现.pdf

第 44 卷第 3 期2023 年 6 月喀什大学学报Journal of Kashi UniversityVol.44 No.3Jun.2023基于PBR与VRRP技术的多ISP校园网可靠性实现周跃1，2(1.安徽工业职业技术学院 信息工程系，安徽 铜陵 244000；2.菲律宾莱康大学 研究生院,菲律宾 马洛洛斯 3000)摘要：校园网在多 ISP接入互联网的前提下，通过 PBR 技术对校园网用户进行流分类，基于不同的流行为路由重定向到不同的 ISP 线路，利用 BFD 技术对 ISP 网关的可达性快速检测，以发现 ISP 线路中断，并联动到 PBR 路由重定向下一跳的流行为，最终实现双 ISP 线路正常情况下基于负载均衡的高速联网和单一 ISP链路故障下的动态切换备份.核心交换机采用双交换机冗余部署，通过 VRRP 与 MSTP 相结合进行规划设计，实现基于 VLAN 的默认网关与二层链路的负载均衡和动态备份.最后通过 eNSP仿真平台模拟方案的设计、配置和可行性验证，以给校园网优化方案提供参考.关键词：策略路由；虚拟路由器冗余协议；双向转发检测；多ISP；负载均衡中图分类号：TP393.18文献标志码：A文章编号：2096-2134（2023）03-0066-060引言随着高校的各类业务管理模式向信息化转变，高校校园网不仅仅要满足教职工的办公需求，学生的校内相关业务也逐步转移到线上大厅办理，学生宿舍的网络接入成为近年校园网建设的重要部分，校园网的组网规模愈发增大的同时，对网络的可靠性、访问速度提出了更高的要求和严峻的挑战.本文以安徽工业职业技术学院校园网为例，该校园网自上一次重新规划和建设以来已达十余年，运行期间伴随着信息化的发展逐步进行局部性的小规模升级和扩展.然而近两年由于新办公楼、实训楼等基础设施新增建设及学生宿舍逐步接入校园网，导致校园网的规模迅速扩大，校园网在访问速度和可靠性方面的问题愈发凸显：（1）原电信 500Mbps 接入带宽在高峰时段无法承载所有用户访问互联网的流量，导致上网卡顿、体验感较差；（2）单 ISP 出口带来访问互联网的可靠性得不到保障，若 ISP 线路故障会导致所有校园网用户均无法正常上网；（3）单核心交换机存在单点故障隐患，若核心交换机故障会导致校园网内部网络瘫痪.为解决上述问题，现对校园网提出一种优化方案，关键优化技术主要包括：校园网内网核心交换机升级为双核心，接入层交换机采用双上行分别连接两个核心交换机，采用虚拟路由器冗 余 协 议（Virtual Router Redundancy Protocol，VRRP）实现终端用户的默认网关冗余和负载均衡；增加联通运营商线路接入，在出口路由器上采用策略路由（Policy-Based Routing，PBR）技术实现双线路负载均衡，并结合双向转发检测（Bidirectional Forwarding Detection，BFD）技术对 ISP网关可达性检测，实现单 ISP 线路故障情况下自动切换到备份ISP出口.1相关技术1.1策略路由技术(PBR)传统的网络层 IP 报文的路由转发依赖于路由器的本地路由表，路由表中的每个表项可通过直连发现、静态配置和动态路由协议发现的收稿日期：2023-02-18基金项目：安徽省高等职业院校提质培优行动计划项目“网络系统建设与运维 1+X 证书”（2021zyjytzpy014）；安徽省高校自然科学基金重点项目“基于BPF面向容器网络模型研究与优化”（KJ2021A1467）；安徽省高校自然科学基金重点项目“基于工作流与三层架构技术的高校教材管理系统设计与实现”（2022AH053156）.作者简介：周跃（1984-），男，安徽铜陵人，副教授，在读博士研究生，主要研究方向为计算机网络技术.DOI：10.13933/ki.2096-2134.2023.03.013第 3 期周跃：基于 PBR 与 VRRP 技术的多 ISP校园网可靠性实现方式生成，每个表项中记录了对应的目标网络及其转发方式1.路由器接收到 IP 报文后，仅仅只能根据报文的目的 IP 地址字段与路由表项逐项匹配，当匹配对应表项时，按此表项中的下一跳地址进行封装转发.策略路由技术则是可以人为的定义报文流分类和转发行为，不再“受限”本地路由表的固化路由选择方式，实现更为自主可控的指定路由转发路径2.策略路由技术实现主要包括流分类、流行为、流策略和策略应用四个步骤.流分类可以通过访问控制列表（Access Control List,ACL）、IP 网络前缀、报文尺寸等方式来识别 IP报文的属性域，从而建立不同的流量类别；流行为可以定义允许、拒绝、重定向下一跳地址、增加 Tag 标签等方式实现不同的处理报文的动作；流策略可以将流分类和流行为自由组合进行关联，实现对不同的报文流区分处理，实现更为灵活的转发动作.1.2虚拟路由器冗余协议(VRRP)VRRP 是一种通过虚拟化技术将多台物理路由器虚拟成一台逻辑路由器的技术，物理路由器隐藏自己的网络信息，对外提供逻辑路由器的网络信息从而对其他设备提供一致性的服务.运行 VRRP 的物理路由器通过配置 VRRP 组的 VRID、虚拟 IP地址、虚拟 MAC地址、优先级等参数来定义逻辑路由器运行参数，在以太网中通常本子网终端的默认网关配置为逻辑路由器的网络信息，实现默认网络冗余的功能.VRRP组中的 Master角色路由器承担实际流量的转发，如图 1 所示.当 Master 路由器发生故障，则 Backup 路由器会转变自己的角色以接替原 Master 路由器的功能，此切换过程对于终端用户而言是无感知的过程，即终端用户不需要做任何配置修改仍然能维持原通信.图 1VRRP 工作原理1.3双向转发检测技术（BFD）BFD 是一种毫秒级的快速故障检测技术，它通过在检测双方设备上建立 BFD 会话并周期性的发送 BFD 会话报文，若对方在规定的时间内没有收到报文则判断为通信失效.BFD 本身与其他协议和通信介质无关，独立的 BFD 协议无实际应用场景，通常是与上层应用进行关联，利用其快速检测的优势为关联的应用提升故障切换速度和可靠性.常见的联动应用场景有 BFD 与静态路由联动、OSPF 与 BFD 联动、BFD 与 VRRP联动等.例如在 BFD 与 VRRP 联动应用中，VRRP协议中若 Master出现故障时，Backup路由器的角色切换时间是 VRRP 协议超时过后才能完成Master 角色抢占，切换速度在 1 秒以上，当启用BFD 会话在 Master 和 Backup 的实际地址之间进行会话检测，若 Master 出现故障时，BFD 能在 50毫秒以内检测出通信的中断，并触发角色的快速切换，大幅缩短用户通信中断时间.2校园网拓扑设计2.1拓扑结构设计为了论证校园网优化方案的可行性，本文采用华为自主开发的 eNSP 网络仿真平台软件3进行网络拓扑结构设计及配置实施.在多 ISP 接入设计中，校园网出口路由器使用一台 AR2240 路由 器，分 别 通 过 GE0/0/1 接 口 连 接 电 信 网 关、GE0/0/2 连接联通网关实现多 ISP 的出口链路接入，GE0/0/0和 GE1/0/0接口连接内部网络用于接收校园网用户访问互联网的流量.在双核心设计中，核心交换机采用两台华为 5700交换机，分别通过G0/0/1连接出口路由器，如图2所示.图 2校园网拓扑图2.2IP地址规划重新规划校园网 IP 地址，按照区域业务类型物理位置三级层次编址构架，一方面是提升管理中的地址可读性的维护便利性，另一方面是便于后期实现路由汇总、策略路由和访问控制策略等需求4.其中办公区域使用 172.a.67喀什大学学报第 43 卷b.0/24、宿舍区域使用 10.a.b.0/24,a 区分业务，b用于区分楼宇或楼层的物理位置信息.根据设计思路，图2中相关设备的IP地址规划与设备连接表如表1所示.表 1IP 地址规划与设备连接表设备名egressctcccuccinternetcore-1core-2office-PCstudent-PC本地接口名GE0/0/0GE0/0/1GE0/0/2GE1/0/0GE0/0/0GE0/0/2GE0/0/1GE0/0/2GE0/0/1GE0/0/2G0/0/1GE0/0/23GE0/0/24G0/0/1GE0/0/23GE0/0/24网卡网卡IP地址/掩码172.31.1.5/3011.1.1.1/2412.1.1.1/24172.31.1.1/3011.1.1.2/242.2.2.1/2412.1.1.2/243.3.3.1/243.3.3.2/242.2.2.2/24vlanif 1000:172.30.1.1/30vlanif 1001:172.30.1.5/30172.16.100.100/2410.100.100.100/24对端设备core-1ctcccucccore-2egressinternetegressinternetcuccctccegresscore-2core-2egresscore-1core-1access-1access-2对端接口名GE0/0/1GE0/0/0GE0/0/1GE0/0/1GE0/0/1GE0/0/2GE0/0/2GE0/0/1GE0/0/2GE0/0/2GE0/0/0GE0/0/23GE0/0/24GE1/0/0GE0/0/23GE0/0/24GE0/0/10GE0/0/103多ISP接入校园网可靠性设计实施3.1策略路由设计思路多 ISP 接入互联网的目的是提高上网速度和出口线路的备份，本文在校园网出口路由器egress 上采用基于源 IP 的策略路由设计，校园网用户根据其 IP 地址所属子网划分为 office 和 student 两类.由于策略路由优先于本地路由表转发，当出口路由器接收到访问互联网的报文时首先解读报文中的源 IP 地址字段，然后逐项匹配策略路由的流分类，若匹配上对应的流分类则按其对应的流行为执行转发过程，若所有流分类都无法匹配成功，则根据报文的目的 IP 地址在路由器的本地路由表查表转发，策略路由的逻辑设计流程如图3所示.丢弃报文本地路由表转发四配流分类student四配流分类office路由接收IP报文NNNYYY封装报文转发图 3策略路由逻辑设计流程图3.2策略路由设计实施策略路由的实施步骤分为创建流分类、定义流行为、流策略定义和流策略应用四个过程，其中创建流分类可通过匹配 IP 报文的长度、IP 前缀、ACL 等方法对 IP 报文进行分类标识；定义流行为可以制定策略路由中的执行方式；定义流策略是将流分类和流行为进行关联从而实现自定义转发；应用流策略是在路由器的接收报文的接口中应用，让策略路由技术生效.3.2.1创建流分类为实现不同的校园网用户能通过不同的 ISP线路访问互联网，首先采用 ACL 识别办公区域和宿舍区域的流量，定义编号为 3001 的 ACL，创建允许源 IP 地址为 172.16.0.0/12 的规则以识别办公区域用户流量;定义编号为 3002 的 ACL，创建允许源 IP 地址为 10.0.0.0/8 的规则以识别宿舍区域用户流量.主要配置命令如表2所示.表 2创建流分类配置表步骤（1）（2）（3）（4）（5）（6）（7）（8）配置命令acl 3001rule permit ip source172.16.0.0 0.0.15.255acl 3002rule permit ip source 10.0.00.0.0.255traffic classifier officeif-match acl 3001traffic classifier studentif-match acl 3002命令解析创建 3001号访问控制列表匹配办公区域用户流量创建 3002号访问控制列表匹配宿舍区域用户流量创建流分类 office匹配 acl 3001创建流分类 student匹配 acl 30023.2.2定义流行为为实现多 ISP 线路的负载均衡，分别定义路由重定向到电信网关和联通网关的流行为，路由器在策略路由转发时，若下一跳地址对应的MAC 地址在本地 ARP 缓存表中查询不到，和本地路由一样会自动发送 ARP 请求以获取其 MAC地址，然后进行封装发送.下面分别定义流行为68第 3 期周跃：基于 PBR 与 VRRP 技术的多 ISP校园网可靠性实现b_ctcc 和 b_cucc,分别重定向下一跳到电信网关和联通网关，主要配置命令如表3所示.表 3创建流行为配置表步骤（1）（2）（3）（4）配置命令traffic behavior b_ctccredirect ip-nexthop 11.1.1.2traffic behavior b_cuccredirect ip-nexthop 12.1.1.2命令解析创建流行为 b_ctcc重定向到电信网关创建流行为 b_cucc重定向到联通网关3.2.3流策略定义和应用为了实现对办公区域流量通过电信线路发出，宿舍区域流量通过联通线路发出，在流策略p_isp 中分别将流分类 office 关联流行为 b_ctcc、流分类student关联流行为b_cucc，然后在接收报文接口的 inbound 方向应用流策略，启用接口的策略路由转发方式.主要配置命令如表4所示.表 4流策略定义和应用配置表步骤（1）（2）（3）（4）（5）（6）（7）配置命令traffic policy p_ispclassifier office behavior b_ctccclassifier student behavior b_cuccint gi 0/0/0traffic-policy p_isp inboundint gi 1/0/0traffic-policy p_isp inbound命令解析创建流策略 p_isp将流分类 office 关联流行为 b_ctcc将流分类 student关联流行为 b_cucc进入接收 core-1流量的接口接口入方向应用流策略进入接收 core-2流量的接口接口入方向应用流策略3.2.4BFD联动策略路由与默认路由多 ISP 接入方案在通过负载均衡方式提高带宽的同时，也要实现当某一 ISP 线路出现故障的情况下，故障线路的流量自动切换到另一 ISP的线路中传输的自动备份机制.出口路由器直连的 ISP 线路出现物理故障时，其连接接口会直接发现，并将接口状态切换成“down”，路由表中对应通过此接口发出的表项也会自动移除，然而在实际的网络线路连接中，可能存在中间交换机中转、光电转换器接入、双芯光纤接入等实际现象，由于非本地接口侧的物理故障或单芯失效等故障出口路由器接口不能直接发现，从而导致路由的异常.5针对上述的问题，在多 ISP 接入方案中，可以设计一种通过 BFD 检测技术提升故障检测速度和准确度来实现出口线路自动切换备份的机制.首先，可以通过 BFD 会话检测出口路由器连接 ISP 的接口到达 ISP 网关的可达性，及时检测出线路各种原因导致的通信故障；其次，BFD 检测联动到策略路由，在策略路由的流行为中关联 BFD 会话，实现 ISP 网关可达情况下流行为的有效性作为流行为的有效性的前提；再者，将BFD 联动到多 ISP 的默认路由中，可以实现 ISP网关失效后，对应的默认路由自动移除.主要配置命令如表5所示.表 5BFD 配置表步骤（1）（2）（3）（4）（5）（6）（7）（8）（9）配置命令bfdbfd ctcc bind peer-ip11.1.1.2 source-ip 11.1.1.1bfd cucc bind peer-ip12.1.1.2 source-ip 12.1.1.1traffic behavior b_ctccredirect ip-nexthop 11.1.1.2track bfd-session ctcctraffic behavior b_cuccredirect ip-nexthop 11.1.1.2track bfd-session cuccip route-static 0.0.0.0 0.0.0.011.1.1.2 track bfd-sessionctccip route-static 0.0.0.0 0.0.0.012.1.1.2 track bfd-sessioncucc命令解析启用 BFDBFD 会话 ctcc检测电信网关的可达性BFD 会话 cucc检测联通网关的可达性进入流行为 b_ctccBFD 会话 ctcc关联流行为进入流行为 b_cuccBFD 会话 cucc关联流行为BFD 会话 ctcc关联电信出口默认路由BFD 会话 cucc关联联通出口默认路由3.3核心网络VRRP设计3.3.1VRRP设计实施（1）物理拓扑设计.在图 2 设计的校园网拓扑中，核心网络采用 core-1 和 core-2 两台华为5700 系列交换机组成，核心交换机之间采用双链路连接组建 Eth-trunk 链路，以实现带宽提升及链路冗余效果6.接入层交换机均采用双上行分别连接到两台核心交换机.（2）VRRP 组 设 计.以 VLAN100 为 例，在core-1中vlanif100接 口 的IP地 址 为172.16.100.252，core-1 中 vlanif100 接口的 IP 地址为 172.16.100.253，为了提供给 VLAN100 的终端用户提供一致性的默认网关，在 core-1 和 core-2中创建 VRRP 组，其 VRID 为 100、虚拟 IP 地址为69喀什大学学报第 43 卷172.16.100.254,开启抢占模式,优先级分别为 120和100.（3）VRRP Track 设计.由于 core-1 中的 VRRP 优先级设置为 120 大于 core-2 的优先级值，则 core-1 在 VRRP 组中选举为 Master 角色，常规情况下当 core-1 故障后，core-2 切换 VRRP 角色为 Master 接替接收 VLAN100 流量的任务，由于VRRP 组是工作在 vlanif100 接口中，当 core-1 的上行链路中断不会影响到 VRRP 组的状态，此时VLAN100 的流量转发路径将按 pcaccess-1core-1core-2egress，产生了次优路径问题.7针对此潜在问题，可以使用 VRRP Track 技术解决，在 core-1 上配置 VRRP 备份组 100 的上行接口 Track 监视，当上行接口 G0/0/1 的端口状态变为 down 时，VRRP 优 先 级 自 降 30 至 90，小 于core-2 里 VRRP 备份组 100 的优先级 100，core-2的 VRRP 组中开启抢占的情况下会自动切换自己的角色为 Master，此时 VLAN100的流量转发路径将按 pcaccess-1core-2出口路由器，避免了上行链路中断导致次优路径的产生.以core-1为例，主要的配置命令如表6所示.表 6VRRP 配置表步骤（1）（2）（3）（4）（5）配置命令interface vlanif 100vrrp vrid 100 virtual-ip172.16.100.254vrrp vrid 100 priority 120vrrp vrid 100 preempt-modevrrp vrid 100 track interfaceGigabitEthernet 0/0/1 reduced 30命令解析进入 vlanif 100接口配置 VRRP 虚拟 IP地址配置 VRRP 优先级开启 VRRP 抢占模式开启 G0/0/1的 track 跟踪，当接口状态为down，优先级自降 30（4）VRRP 负载均衡设计.由于 VRRP 组是基于 VLANIF 接口创建，承担当前 VLAN 子网主机的默认网关，在 VRRP 设计上可以通过对不同VLAN 的 VRRP 组的主备网关合理规划，从而实现三层路由路径上的负载均衡.本方案中，core-1 的办公区域对应的 vlanif 接口中将 VRRP 组优先级设置为 120，宿舍区域对应的 vlanif 接口中将 VRRP 组优先级设置为 100，作为办公区域主网关、宿舍区域备网关；core-2的设置正好相反，作为办公区域备网关、宿舍区域主网关，形成正常情况下分担传输流量，单一物理网关故障情况下相互动态备份效果.3.3.2多生成树协议（Multiple Spanning Tree Protocol，MSTP）设计MSTP是以太网中数据链路层的一种管理协议，通过阻塞部分端口将二层网络修建成逻辑树状的结构来消除环路8.相比于传统的生成树协议，其最大的优势在于可以创建基于实例的多棵树，每个实例可以关联不同的VLAN，每棵树可以独立的定义不同生成树优先级，从而实现在二层链路中不同的 VLAN 可以通过不同的线路传送.本方案中，将办公区域 VLAN关联到实例 1、宿舍区域 VLAN关联到实例 2，将 core-1配置为实例 1的主根、实例 2的备根，core-2配置为实例 2的主根、实例 1 的备根.在此需要指出的是对于每个VLAN 而言，主根和 VRRP 主网关的规划必须一致，否则也将出现次优路径的问题.4测试4.1多ISP出口的负载均衡和动态备份测试多 ISP出口均正常情况下，以 eNSP仿真平台中 office-pc 和 student-pc 两台主机代表办公和宿舍区域分别访问因特网，从 ping 测试的结果分析，均能正常访问.此时分别查看出口路由器的路由表可以观察到分别指向电信和联通的默认路由均存在，如图 4 所示，使用 dispaly nat sessionall 检测到的 NAT 转换表可以观察到 office-pc 和student-pc 分别转换为电信和联通的出口 IP 地址，如图5所示.由上可验证在多ISP链路均正常的情况，不同区域的访问互联网流量按策略路由的设计实现了负载均衡，上网带宽得到提升.图 4多 ISP 出口均正常情况下的路由表图 5多 ISP 出口均正常情况下的 NAT 转换表单 ISP 故障情况下，通过在 cucc 连接 egress的接口 G0/0/1 中执行 shutdown 命令来模拟联通线路故障，此时 BFD 会话检测通信失效，从而联动策略路由中 b_cucc 流行为中的路由重定向转发动作失效，其对应的流分类 student（宿舍区域流量）无法匹配到流策略，最终将按本地默认路70第 3 期周跃：基于 PBR 与 VRRP 技术的多 ISP校园网可靠性实现由进行匹配.同时，由于本地默认路由中的联通出口表项也联动了 BFD，查看路由表可发现此时默认路由只有一条指向电信出口的表项，如图 6 所示.在 student-pc 模拟发使用 tracert 测试访问互联网，路由跟踪路径列表可观察到上网的流量是通过电信出口发出，使用 dispaly natsession all 检测到的 NAT 转换表可以观察到 office-pc 和 student-pc 均转换成电信出口 IP 地址，如图7所示.由上可验证在单一ISP故障情况下，所有区域的上网流量均通过其他 ISP 线路传输，实现了单线路故障情况下的出口动态备份.图 6单 ISP 故障情况下的路由表图 7单 ISP 故障情况下的 NAT 转换表4.2VRRP的负载均衡和动态备份测试在双核心交换机均正常工作的情况下，使用display vrrp brief 命令显示的结果可以观察到，core-1 在 VRRP100 组 中 是 Master 角 色、在 VRRP200 组中是 backup 角色；core-2 在 VRRP100 组中是 backup 角色、在 VRRP200 组中是 Master 角色.如图 8 所示.由上可验证 VRRP 的负载均衡设计有效.图 8双核心均正常情况下的 VRRP 状态关闭 core-2 的电源，模拟其故障失效，再次使用 display vrrp brief 命令可以观察到 core-1 在VRRP100 组和 VRRP200 组中均是 master 角色，如图 9 所示.由上可验证单核心故障情况下 VRRP的动态备份设计有效.图 9单核心故障情况下的 VRRP 状态5结语通过 PBR 在实现了校园网多 ISP 接入下的负载均衡，提高了访问互联网的网带宽和速度，BFD 检测 ISP 网关的通信状态并联动到 PBR 的流行为实现了单 ISP 线路失效后的自动备份切换.内部核心交换机采用 VRRP 结合 MSTP，通过VRRP 优先级和生成树优先级的合理规划，实现了基于 VLAN 的负载均衡和动态备份.通过 ENSP 仿真平台，从校园网拓扑设计、策略路由设计实施、BFD 联动策略路由与默认路由、核心网络VRRP 设计、故障模拟测试各个环节的实现，验证了提出的方案是实际可行的.参考文献：1 王文龙.在仿真环境下的 RIP 路由设计与分析J.喀什大学学报,2018,39（3）:56-61.2 马记,刘刚.浅谈策略路由与路由策略J.网络安全和信息化,2021,（7）:78-80.3 陈利,王冠.基于 ENSP 的 GRE VPN 结合 NAT 的研究与实现J.喀什大学学报,2019,40（6）:68-74.4 陈国良,郑松奕.IP 地址分配和用户权限控制的部署与优化J.数字技术与应用,2021,39（10）:43-45.5 李军,李光,邸永强,陈百江.基于虚拟路由冗余协议和双向转发检测的基层气象通信网络设计和实现J.气象科技,2017,45（2）:281-284.6 罗健,易欣,谢永春,夏安祥.Eth-Trunk 负载分担在通信类设备上的应用J.通信技术,2020,53（4）:932-9367 胡江云,肖琳琳,龚芸娴,戴俊勉.数据通信网 VRRP 与MSTP 联动引发的次优路由问题分析J.铁道通信信号,2020,56（8）:59-62.8 李勇,相中启,杨华芬,王胜文.两种生成树协议分析及其在模拟器中的实验仿真J.实验室研究与探索,2018,37（10）:108-11171