基于GLBP與PBR的校園網(wǎng)改造

孫光懿，宋立巍

（1.天津音樂學(xué)院，天津 300171；2.天津市寧河區(qū)城鄉(xiāng)居民基本醫(yī)療保險(xiǎn)服務(wù)中心，天津 301500）

校園網(wǎng)用戶對(duì)校園網(wǎng)依賴度呈現(xiàn)逐年攀升的趨勢(shì)。為保證校園網(wǎng)能夠高效、穩(wěn)定地服務(wù)于日常教學(xué)、辦公及科研工作，對(duì)其進(jìn)行改造迫在眉睫。本文基于某校園網(wǎng)進(jìn)行了3 方面的改造。首先，在原有中國(guó)教育科研網(wǎng)一條出口鏈路的基礎(chǔ)上，新增中國(guó)聯(lián)通、中國(guó)電信2 條互聯(lián)網(wǎng)運(yùn)營(yíng)商出口鏈路。這樣既可以增加校園網(wǎng)出口帶寬，又可以使校園網(wǎng)出口鏈路多元化。其次，在校園網(wǎng)核心層中（某校園網(wǎng)為大二層架構(gòu)，由核心層及接入層所構(gòu)成）部署2 臺(tái)高性能思科7206 路由器，二者之間運(yùn)行網(wǎng)關(guān)負(fù)載均衡協(xié)議[1?4]（gateway load balancing protocol，GLBP）。這樣既可以實(shí)現(xiàn)校園網(wǎng)三層網(wǎng)關(guān)備份又可以實(shí)現(xiàn)流量負(fù)載均衡。選擇運(yùn)行GLBP協(xié)議的原因是它最大限度地彌補(bǔ)了現(xiàn)有的冗余路由器協(xié)議（VRRP 和HSRP）的局限性。具體表現(xiàn)為：1）GLBP 協(xié)議雖為思科私有協(xié)議，但它可最大限度地提高設(shè)備的利用率，以循環(huán)負(fù)載分擔(dān)算法實(shí)現(xiàn)流量負(fù)載均衡，當(dāng)用戶主機(jī)發(fā)送ARP 請(qǐng)求三層網(wǎng)關(guān)MAC 地址時(shí)，所有可用路由器的 MAC 地址，都被按順序放入地址解析響應(yīng)中，并作為默認(rèn)網(wǎng)關(guān)IP 地址對(duì)應(yīng)的MAC 地址返回給客戶端，而VRRP 和HSRP 協(xié)議只能通過建立多個(gè)VRRP 或HSRP 組來實(shí)現(xiàn)流量負(fù)載均衡，并且需要用戶指向不同的網(wǎng)關(guān)；2）GLBP 協(xié)議更便于網(wǎng)絡(luò)管理者部署使用，GLBP 組中的路由器均為活動(dòng)路由器，參與流量轉(zhuǎn)發(fā)，更適合部署在內(nèi)部服務(wù)器較多的場(chǎng)景，而HSRP 和VRRP 協(xié)議必須手動(dòng)指定活動(dòng)路由器。最后，在核心層2 臺(tái)思科7206 路由器子接口處，應(yīng)用策略路由（policy based routing，PBR）技術(shù)。這樣校園網(wǎng)用戶在訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包時(shí)，不是使用路由表，進(jìn)行基于目的地址的路由，而是按照網(wǎng)絡(luò)管理者預(yù)先制定的最優(yōu)路徑策略，以超越傳統(tǒng)路由協(xié)議的方式進(jìn)行轉(zhuǎn)發(fā)。

1 相關(guān)技術(shù)

1.1 GLBP 協(xié)議

GLBP 與HSRP 協(xié)議同屬思科公司私有協(xié)議，是為彌補(bǔ)HSRP 協(xié)議在功能上的不足而開發(fā)設(shè)計(jì)的。GLBP 協(xié)議同樣可以為用戶提供三層網(wǎng)關(guān)備份及流量負(fù)載均衡服務(wù)，最多可支持建立1024個(gè)組。需要注意的是：1）GLBP 組會(huì)選擇優(yōu)先級(jí)最高的路由器作為自己的虛擬活躍網(wǎng)關(guān)（active virtual gateway，AVG），優(yōu)先級(jí)次之的路由器作為備用AVG，其余路由器則時(shí)刻處于監(jiān)聽狀態(tài)，一旦AVG 發(fā)生故障，備用AVG 就會(huì)通過搶占機(jī)制成為新的AVG，AVG 的主要職責(zé)是為組內(nèi)每個(gè)成員分配一個(gè)虛擬MAC 地址，但是并不參與IP 數(shù)據(jù)包的轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)IP 數(shù)據(jù)包的工作，實(shí)際上是由活躍虛擬轉(zhuǎn)發(fā)者（active virtual forwarder，AVF）來負(fù)責(zé)實(shí)施的；2）每個(gè)GLBP 組只能擁有1 個(gè)AVG，最多可以擁有4 個(gè)AVF，每個(gè)AVF 對(duì)應(yīng)1 個(gè)虛擬MAC 地址；3）GLBP組內(nèi)路由器可以既是AVG，又是AVF；4）GLBP 組成員之間的通信，是以3 s/次的頻率向組播地址224.0.0.102 發(fā)送Hello 數(shù)據(jù)包來實(shí)現(xiàn)的；5)AVF 也具有類似AVG 的搶占機(jī)制，只是AVF 搶占機(jī)制依據(jù)的是加權(quán)，而AVG 搶占機(jī)制所依據(jù)的是優(yōu)先級(jí)；6）與HSRP 協(xié)議不同，GLBP 協(xié)議只可以跟蹤對(duì)象，而不能跟蹤接口；7）與HSRP 協(xié)議相類似，GLBP 協(xié)議也支持明文認(rèn)證和MD5 認(rèn)證。

1.2 策略路由

策略路由技術(shù)[5 ? 6]是為解決傳統(tǒng)路由方式轉(zhuǎn)發(fā)IP 數(shù)據(jù)包的形式單一、靈活性不足這一缺陷而設(shè)計(jì)的。應(yīng)用策略路由，可使網(wǎng)絡(luò)管理者能夠按照既定策略更靈活、方便地控制IP 數(shù)據(jù)包的轉(zhuǎn)發(fā)，而不是簡(jiǎn)單地依靠路由表進(jìn)行基于目的IP 地址的選路。網(wǎng)絡(luò)管理者若在路由器中應(yīng)用策略路由，必須先為其定義路由圖。路由圖有一條或多條策略所構(gòu)成，每條策略對(duì)應(yīng)著一條或多條匹配規(guī)則以及相應(yīng)的動(dòng)作。策略路由規(guī)則可根據(jù)數(shù)據(jù)包的源IP 地址、目標(biāo)IP 地址、TCP 或UDP 源端口、TCP 或UDP 目的端口、IP 數(shù)據(jù)包長(zhǎng)度、協(xié)議類型、IP 優(yōu)先級(jí)、VLAN ID等上述特征信息靈活設(shè)置。當(dāng)路由器的接口應(yīng)用策略路由后，該接口收到的所有IP 數(shù)據(jù)包均會(huì)被檢查過濾。如果數(shù)據(jù)包符合路由圖中的某條策略，那么數(shù)據(jù)包就按照該策略所定義的相應(yīng)動(dòng)作來進(jìn)行處理。如果數(shù)據(jù)包不符合路由圖中的任何一條策略，那么數(shù)據(jù)包就會(huì)被按照傳統(tǒng)路由方式進(jìn)行轉(zhuǎn)發(fā)處理。在應(yīng)用策略路由時(shí)，需要注意的是：1）在路由器中應(yīng)用策略路由技術(shù)，一般須將其設(shè)置在數(shù)據(jù)包的入接口方向；2）策略路由屬于IP 數(shù)據(jù)包轉(zhuǎn)發(fā)層面的行為，雖然檢查過濾的是數(shù)據(jù)包，但是匹配的是數(shù)據(jù)流。

2 校園網(wǎng)仿真拓?fù)湓O(shè)計(jì)

當(dāng)前某校園網(wǎng)共有VLAN10（校園一卡通所在網(wǎng)段）、VLAN20（辦公區(qū)所在網(wǎng)段）、VLAN30（學(xué)生宿舍區(qū)所在網(wǎng)段）3 個(gè)網(wǎng)段，每個(gè)網(wǎng)段終端設(shè)備之間可以互聯(lián)互通。位于校園網(wǎng)核心層的路由器R1、R2 承擔(dān)處理上述3 個(gè)網(wǎng)段用戶數(shù)據(jù)包的任務(wù)。2 臺(tái)路由器不僅分別與中國(guó)教育科研網(wǎng)、中國(guó)聯(lián)通、中國(guó)電信等互聯(lián)網(wǎng)運(yùn)營(yíng)商邊界路由器相連接，而且它們之間還通過運(yùn)行GLBP 協(xié)議，為校園網(wǎng)用戶提供三層網(wǎng)關(guān)備份和流量負(fù)載均衡服務(wù)。在校園網(wǎng)運(yùn)行正常的情況下，路由器R1、R2 組成GLBP10、GLBP20、GLBP30 等3 個(gè)GLBP 組，每個(gè)組分別有2 個(gè)活躍虛擬轉(zhuǎn)發(fā)者（AVF）。路由器R1 由于在每個(gè)GLBP 組中擁有最高的優(yōu)先級(jí)，因此通過選舉成為GLBP 組的AVG，除負(fù)責(zé)向組內(nèi)全體成員分發(fā)虛擬MAC 地址外，還負(fù)責(zé)響應(yīng)校園網(wǎng)用戶針對(duì)三層網(wǎng)關(guān)的ARP 請(qǐng)求。與此同時(shí)，路由器R1 還是每個(gè)GLBP 組中Forwarder 1 的活躍路由器及Forwarder 2 的備用路由器。當(dāng)Forwarder 2的活躍路由器出現(xiàn)故障時(shí)，路由器R1 就成為其新的活躍路由器。這也就意味著路由器R1 還承擔(dān)著對(duì)校園網(wǎng)用戶發(fā)往虛擬MAC 地址的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的重任。對(duì)于路由器R2 來說，不僅是每個(gè)GLBP 組的備用AVG，而且是每個(gè)GLBP 組中Forwarder 1 的備用路由器及Forwarder 2 的活躍路由器。一旦AVG 出現(xiàn)故障，路由器R2 就會(huì)通過搶占機(jī)制成為GLBP 組內(nèi)新的AVG。當(dāng)Forwarder 1的活躍路由器出現(xiàn)故障時(shí)，路由器R2 就成為其新的活躍路由器。這也就意味著路由器R2 與路由器R1 一樣，也需要承擔(dān)對(duì)校園網(wǎng)用戶發(fā)往虛擬MAC 地址的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的重任。

另外，為使校園網(wǎng)用戶訪問外網(wǎng)資源的數(shù)據(jù)包能夠按照最優(yōu)路徑進(jìn)行轉(zhuǎn)發(fā)，在路由器R1、R2 子接口處應(yīng)用了策略路由技術(shù)。當(dāng)校園網(wǎng)用戶訪問教育網(wǎng)資源時(shí)，數(shù)據(jù)包默認(rèn)經(jīng)中國(guó)教育科研網(wǎng)出口鏈路去往目標(biāo)地址。一旦中國(guó)教育科研網(wǎng)出口鏈路發(fā)生故障，數(shù)據(jù)包就改經(jīng)中國(guó)聯(lián)通出口鏈路去往目標(biāo)地址。當(dāng)校園網(wǎng)用戶訪問中國(guó)聯(lián)通資源時(shí)，數(shù)據(jù)包默認(rèn)經(jīng)中國(guó)聯(lián)通出口鏈路去往目標(biāo)地址。一旦中國(guó)聯(lián)通出口鏈路出現(xiàn)故障，數(shù)據(jù)包就改經(jīng)中國(guó)電信出口鏈路去往目標(biāo)地址。當(dāng)校園網(wǎng)用戶訪問中國(guó)電信資源時(shí)，數(shù)據(jù)包默認(rèn)經(jīng)中國(guó)電信出口鏈路去往目標(biāo)地址。一旦中國(guó)電信出口鏈路出現(xiàn)故障，數(shù)據(jù)包就改經(jīng)中國(guó)教育科研網(wǎng)出口鏈路去往目標(biāo)地址。當(dāng)校園網(wǎng)用戶訪問其他互聯(lián)網(wǎng)運(yùn)營(yíng)商網(wǎng)絡(luò)資源時(shí)，數(shù)據(jù)包統(tǒng)一經(jīng)中國(guó)聯(lián)通出口鏈路去往目標(biāo)地址。校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋄7 ? 11]如圖1 所示。

圖1 校園網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

3 網(wǎng)絡(luò)配置

3.1 相關(guān)網(wǎng)絡(luò)設(shè)備IP 地址分配

校園網(wǎng)路由器R1 的e1/0、e1/1、e1/2 接口分別與中國(guó)教育科研網(wǎng)邊界路由器R3 的e1/0 接口、中國(guó)聯(lián)通邊界路由器R4 的e1/1 接口、中國(guó)電信邊界路由器R5 的e1/2 接口互聯(lián)。校園網(wǎng)路由器R2的e1/1、e1/2、e1/3 接口分別與中國(guó)教育科研網(wǎng)邊界路由器R3 的e1/1 接口、中國(guó)聯(lián)通邊界路由器R4 的e1/2 接口、中國(guó)電信邊界路由器R5 的e1/3 接口互聯(lián)。需要注意的是：在互聯(lián)網(wǎng)運(yùn)營(yíng)商邊界路由器R3、R4、R5 中均建有回環(huán)接口。其中，loopback1 接口用于模擬中國(guó)教育科研網(wǎng)所在網(wǎng)段，loopback2 接口用于模擬中國(guó)聯(lián)通所在網(wǎng)段，loopback3 接口用于模擬中國(guó)電信所在網(wǎng)段。另外，為使校園網(wǎng)中每個(gè)GLBP 組成員之間能夠正常通信，接入交換機(jī)SW1 的f0/0 與f0/1 的2 個(gè)接口劃分為trunk 接口，其余接口劃分為 access 接口。SW1 的f0/0 接口與路由器R1的f0/0 接口互聯(lián)，f0/1 接口與路由器R2 的f0/0 接口互聯(lián)。校園網(wǎng)相關(guān)網(wǎng)絡(luò)設(shè)備IP 地址分配方案如圖2 所示。

圖2 校園網(wǎng)相關(guān)網(wǎng)絡(luò)設(shè)備IP 地址分配方案

3.2 設(shè)置單臂路由

為實(shí)現(xiàn)校園網(wǎng)各網(wǎng)段終端用戶之間的互聯(lián)互通，也為了最大限度地節(jié)省路由器R1、R2 物理接口的使用，在2 臺(tái)路由器的f0/0 物理接口中分別建立f0/0.1（對(duì)應(yīng)VLAN10 網(wǎng)段）、f0/0.2（對(duì)應(yīng)VLAN20網(wǎng)段）、f0/0.3（對(duì)應(yīng)VLAN30 網(wǎng)段）3 個(gè)子接口。需要注意的是：1）子接口是一種邏輯接口，它隨物理接口的關(guān)閉而關(guān)閉；2）子接口中的數(shù)據(jù)在物理鏈路中傳輸時(shí)，通常使用標(biāo)準(zhǔn)的802.1Q 協(xié)議進(jìn)行封裝（思科網(wǎng)絡(luò)設(shè)備也可使用其私有的ISL 協(xié)議進(jìn)行封裝）。在這里給出路由器R1 的相關(guān)配置命令[12?13]。

3.3 在校園網(wǎng)核心層路由器中設(shè)置NAT 地址轉(zhuǎn)換

為保證校園網(wǎng)用戶對(duì)互聯(lián)網(wǎng)資源的正常訪問（當(dāng)前校園網(wǎng)內(nèi)各網(wǎng)段終端主機(jī)均使用私有IP 地址），選擇在校園網(wǎng)核心層的2 臺(tái)路由器R1、R2 中應(yīng)用端口多路復(fù)用 (port address translation，PAT)的方式做NAT 地址轉(zhuǎn)換。選擇PAT 的方式，主要基于以下2 點(diǎn)：1）可最大限度地節(jié)省校園網(wǎng)公網(wǎng)IP 地址資源，只須占用一個(gè)公網(wǎng)IP 地址；2）可有效防范來自互聯(lián)網(wǎng)的惡意攻擊。另外，在設(shè)置NAT地址轉(zhuǎn)換前，網(wǎng)絡(luò)管理者還須先為其指定內(nèi)、外網(wǎng)接口。通常連接內(nèi)部網(wǎng)絡(luò)的接口被設(shè)置為內(nèi)網(wǎng)接口，連接外部網(wǎng)絡(luò)的接口被設(shè)置為外網(wǎng)接口。以路由器R1 為例，由于其物理接口e1/0、e1/1、e1/2 分別與中國(guó)教育科研網(wǎng)、中國(guó)聯(lián)通、中國(guó)電信等互聯(lián)網(wǎng)運(yùn)營(yíng)商的邊界路由器互聯(lián)，因此上述物理接口被設(shè)置為外網(wǎng)接口；由于其子接口f0/0.1、f0/0.2、f0/0.3分別連接校園網(wǎng)VLAN10、VLAN20、VLAN30 等3 個(gè)網(wǎng)段，因此上述子接口被設(shè)置為內(nèi)網(wǎng)接口。這里給出路由器R1 的相關(guān)配置命令。

3.4 在校園網(wǎng)核心層路由器中設(shè)置策略路由

將策略路由分別應(yīng)用在路由器R1、R2 的3 個(gè)子接口f0/0.1、f0/0.2、f0/0.3 中，這樣不僅校園網(wǎng)用戶訪問外網(wǎng)資源的數(shù)據(jù)包時(shí)能夠按照預(yù)先制定的策略進(jìn)行靈活轉(zhuǎn)發(fā)，而且可有效提高校園網(wǎng)出口鏈路的可靠性，當(dāng)某條出口鏈路出現(xiàn)故障時(shí)，數(shù)據(jù)包還可經(jīng)另一條出口鏈路訪問互聯(lián)網(wǎng)資源。需要注意的是：由于在路由器R1、R2 中設(shè)置了NAT地址轉(zhuǎn)換，因此當(dāng)校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源時(shí)，無須管理員再為其配置回程路由。這里給出路由器R1 的相關(guān)配置命令[14]。

197.1 202.63.52.1//當(dāng)校園網(wǎng)用戶訪問中國(guó)教育科研網(wǎng)資源時(shí)，數(shù)據(jù)包經(jīng)中國(guó)教育科研網(wǎng)出口鏈路去往目標(biāo)地址。如果中國(guó)教育科研網(wǎng)出口鏈路出現(xiàn)故障，數(shù)據(jù)包改經(jīng)中國(guó)聯(lián)通出口鏈路去往目標(biāo)地址。

R1(config-route-map)#set ip next-hop verifyavailability//測(cè)試校園網(wǎng)用戶數(shù)據(jù)包下一跳的可達(dá)性，如可達(dá)，則將其路由到該地址。

52.1 //當(dāng)校園網(wǎng)用戶訪問其他互聯(lián)網(wǎng)運(yùn)營(yíng)商網(wǎng)絡(luò)資源時(shí)，數(shù)據(jù)包走中國(guó)聯(lián)通出口鏈路。

3.5 在校園網(wǎng)核心層路由器部署GLBP 協(xié)議

3.5.1 配置三層網(wǎng)關(guān)冗余

在校園網(wǎng)核心層2 臺(tái)路由器R1、R2 中運(yùn)行GLBP 協(xié)議[15]，實(shí)現(xiàn)三層網(wǎng)關(guān)冗余，可提高校園網(wǎng)的可靠性與穩(wěn)定性。二者所組成的GLBP10、GLBP20、GLBP30 組分別被部署在各自的子接口f0/0.1、f0/0.2、f0/0.3 下。其中，GLBP10 組的虛擬IP 地址即為VLAN10 網(wǎng)段的網(wǎng)關(guān)地址，GLBP20 組的虛擬IP 地址即為VLAN20 網(wǎng)段的網(wǎng)關(guān)地址，GLBP30 組的虛擬IP 地址即為VLAN30 網(wǎng)段的網(wǎng)關(guān)地址。這里給出路由器R1 的相關(guān)配置命令。

3.5.2 配置優(yōu)先級(jí)

GLBP 組中AVG 的選舉是由路由器的優(yōu)先級(jí)（1-255，默認(rèn)為100）所決定的，擁有最高優(yōu)先級(jí)的路由器將成為AVG。如果在GLBP 組中出現(xiàn)成員間優(yōu)先級(jí)相同的情況，那么擁有最高IP 地址的那臺(tái)路由器將被選舉成為AVG。為保證路由器R1成為GLBP10、GLBP20、GLBP30 組中的AVG，分別將路由器R1、R2 在上述GLBP 組中的優(yōu)先級(jí)設(shè)置為180 和150，路由器R1 的優(yōu)先級(jí)＞路由器R2 的優(yōu)先級(jí)。這里給出路由器R1 的相關(guān)配置命令。

3.5.3 配置搶占機(jī)制

網(wǎng)絡(luò)管理者在部署GLBP 協(xié)議時(shí)，須為GLBP組中的每個(gè)成員配置搶占機(jī)制。這主要是基于以下2 點(diǎn)原因：1）確保GLBP 組中擁有最高優(yōu)先級(jí)的路由器，從故障中恢復(fù)后重新成為AVG；2）當(dāng)GLBP 組中的AVG 出現(xiàn)故障時(shí)，確保備用AVG 能夠成為新的AVG。這里給出路由器R1 的相關(guān)配置命令。

3.5.4 配置加權(quán)和門限值

與HSRP 和VRRP 協(xié)議只存在一個(gè)門限值不同，GLBP 協(xié)議擁有更靈活的雙門限值機(jī)制，即高門限值和低門限值。當(dāng)GLBP 組中某臺(tái)路由器的加權(quán)值低于網(wǎng)絡(luò)管理者所設(shè)定的低門限值時(shí)，該路由器就不會(huì)再成為AVF，從而停止轉(zhuǎn)發(fā)用戶數(shù)據(jù)包。只有當(dāng)其加權(quán)值超過網(wǎng)絡(luò)管理者所設(shè)定的高門限值時(shí)，該路由器才會(huì)恢復(fù)AVF 的角色，并重新開始轉(zhuǎn)發(fā)用戶數(shù)據(jù)包。由此可見，一臺(tái)GLBP 路由器能否成為AVF，是由其加權(quán)值所決定的。這里給出路由器R1 的相關(guān)配置命令。

R1(config-if)#glbp 10 weighting 190 lower 150 upper 170//設(shè)置路由器R1 在glbp 10 組中的加權(quán)值以及高、低門限值。

3.5.5 配置負(fù)載均衡策略

本文使用GLBP 協(xié)議默認(rèn)的循環(huán)負(fù)載分擔(dān)算法，為具有相同默認(rèn)網(wǎng)關(guān)的IP 地址提供流量負(fù)載均衡服務(wù)。這里給出路由器R1 的相關(guān)配置命令。

4 網(wǎng)絡(luò)測(cè)試

4.1 在校園網(wǎng)運(yùn)行正常情況下進(jìn)行網(wǎng)絡(luò)測(cè)試

首先，以校園網(wǎng)核心層路由器R1 為例，使用sh glbp 命令查看其GLBP 協(xié)議的工作狀態(tài)。其次，以校園網(wǎng)終端計(jì)算機(jī)C1 為例，使用trace 命令和sh arp 命令分別查看其訪問中國(guó)教育科研網(wǎng)DNS 服務(wù)器地址202.114.0.123 的路由過程，以及自身的ARP 表。最后，以校園網(wǎng)終端計(jì)算機(jī)C4 為例，使用trace 命令和sh arp 命令分別查看其訪問中國(guó)聯(lián)通DNS 服務(wù)器地址202.99.96.68 的路由過程，以及自身的ARP 表。需要注意的是：終端計(jì)算機(jī)C1、C4 均屬于VLAN10 網(wǎng)段。

1）使用sh glbp 命令查看路由器R1 中GLBP協(xié)議的工作狀態(tài)。這里給出路由器R1 中GLBP 10 組的工作狀態(tài)，GLBP 20 組和GLBP 30 組的工作狀態(tài)與其類似。

2）使用trace 命令查看終端計(jì)算機(jī)C1 訪問中國(guó)教育科研網(wǎng)DNS 服務(wù)器地址202.114.0.123 的路由過程。

3）使用sh arp 命令查看終端計(jì)算機(jī)C1 的ARP 表。

4）使用trace 命令查看終端計(jì)算機(jī)C4 訪問中國(guó)聯(lián)通DNS 服務(wù)器地址202.99.96.68 的路由過程。

5）使用sh arp 命令查看終端計(jì)算機(jī)C4 的ARP 表。

通過測(cè)試，得出3 點(diǎn)結(jié)論。1）校園網(wǎng)實(shí)現(xiàn)了三層網(wǎng)關(guān)備份和流量負(fù)載均衡。路由器R1、R2 組成GLBP10、GLBP20、GLBP30 等3 個(gè)GLBP 組，每個(gè)GLBP 組均采用輪詢負(fù)載分擔(dān)算法，由組內(nèi)的2 個(gè)AVF，分別為具有相同默認(rèn)網(wǎng)關(guān)的IP 地址提供流量負(fù)載均衡服務(wù)。路由器R1 即為 Forwarder 2（MAC 地址為：0007.b400.0a02）的活躍路由器，又為Forwarder 1（MAC 地址為：0007.b400.0a01）的備用路由器。路由器R2 即為 Forwarder 2（MAC 地址為：0007.b400.0a02）的備用路由器，又為Forwarder 1（MAC 地址為：0007.b400.0a01）的活躍路由器。可將其理解為：路由器R1 負(fù)責(zé)處理校園網(wǎng)用戶發(fā)往Forwarder 2 的數(shù)據(jù)包；路由器R2 負(fù)責(zé)處理校園網(wǎng)用戶發(fā)往Forwarder 1 的數(shù)據(jù)包。由于終端計(jì)算機(jī)C1、C4 默認(rèn)網(wǎng)關(guān)（IP:192.168.10.1/24）所對(duì)應(yīng)的MAC地址分別與Forwarder 2、Forwarder 1 的MAC 地址相一致，因此終端計(jì)算機(jī)C1 訪問中國(guó)教育科研網(wǎng)資源的數(shù)據(jù)包由路由器R1 負(fù)責(zé)處理，終端計(jì)算機(jī)C4 訪問中國(guó)聯(lián)通資源的數(shù)據(jù)包由路由器R2 負(fù)責(zé)處理。2）由于路由器R1 在每個(gè)GLBP 組內(nèi)擁有最高優(yōu)先級(jí)，因此路由器R1 為每個(gè)GLBP 組的AVG，路由器R2 為每個(gè)GLBP 組的備用AVG。3）校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包能夠按照網(wǎng)絡(luò)管理者預(yù)先制定的最優(yōu)路徑策略進(jìn)行轉(zhuǎn)發(fā)。當(dāng)校園網(wǎng)用戶（終端計(jì)算機(jī)C1）訪問中國(guó)教育科研網(wǎng)資源時(shí)，數(shù)據(jù)包默認(rèn)下一跳地址為中國(guó)教育科研網(wǎng)邊界路由器R3 接口地址211.68.197.1；當(dāng)校園網(wǎng)用戶(終端計(jì)算機(jī)C4)訪問中國(guó)聯(lián)通資源時(shí)，數(shù)據(jù)包默認(rèn)下一跳地址為中國(guó)聯(lián)通邊界路由器R4 接口地址202.63.52.2。

4.2 在校園網(wǎng)出現(xiàn)故障的情況下進(jìn)行測(cè)試

手動(dòng)關(guān)閉路由器R2、R3，模擬校園網(wǎng)核心層網(wǎng)絡(luò)設(shè)備以及中國(guó)教育科研網(wǎng)邊界路由器出現(xiàn)故障的情況。首先，使用sh glbp brief 命令查看路由器R1 中GLBP 協(xié)議的工作狀態(tài)。其次，以校園網(wǎng)終端計(jì)算機(jī)C4 為例，使用trace 命令查看其訪問中國(guó)教育科研網(wǎng)DNS 服務(wù)器地址202.114.0.123 的路由過程。

1）使用sh glbp brief 命令查看路由器R1 中GLBP協(xié)議的工作狀態(tài)。其結(jié)果如圖3 所示。

圖3 路由器R1 中GLBP 協(xié)議的工作狀態(tài)

2）使用trace 命令查看終端計(jì)算機(jī)C4 訪問中國(guó)教育科研網(wǎng)DNS 服務(wù)器地址202.114.0.123 的路由過程。

通過測(cè)試，發(fā)現(xiàn)：1）當(dāng)路由器R2 出現(xiàn)故障后，路由器R1 不僅成為每個(gè)GLBP 組的AVG，而且成為每個(gè)GLBP 組Forwarder 1 與Forwarder 2 的活躍路由器，這意味著今后校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包均由路由器R1 負(fù)責(zé)轉(zhuǎn)發(fā)；2）當(dāng)路由器R3 出現(xiàn)故障后，校園網(wǎng)用戶(終端計(jì)算機(jī)C4)訪問中國(guó)教育科研網(wǎng)資源的數(shù)據(jù)包，改經(jīng)中國(guó)聯(lián)通邊界路由器R4 到達(dá)目的地址，這說明校園網(wǎng)實(shí)現(xiàn)了三層網(wǎng)關(guān)與出口鏈路的備份，即使核心層某臺(tái)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障或校園網(wǎng)某條出口鏈路出現(xiàn)故障，用戶仍可正常對(duì)互聯(lián)網(wǎng)資源進(jìn)行訪問。

5 結(jié)束語

校園網(wǎng)改造，加快了智慧校園建設(shè)的步伐，有效提升了學(xué)校信息化建設(shè)的整體水平。改造后的校園網(wǎng)不僅實(shí)現(xiàn)了出口鏈路多元化，提高了用戶網(wǎng)速，而且實(shí)現(xiàn)了三層網(wǎng)關(guān)冗余和流量負(fù)載均衡。校園網(wǎng)用戶訪問互聯(lián)網(wǎng)資源的數(shù)據(jù)包時(shí)可以按照網(wǎng)絡(luò)管理者預(yù)先制定的最優(yōu)路徑策略進(jìn)行轉(zhuǎn)發(fā)，即使某條出口鏈路出現(xiàn)故障，也不會(huì)影響校園網(wǎng)用戶對(duì)互聯(lián)網(wǎng)資源的正常訪問。