采用VRRP协议实现网络路由冗余与负载均衡

经验交流

DCW

采用VRRP协议实现网络路由冗余与负载均衡

高　彦，陈晓燕，李　伟

（78156部队，兰州 730020）

摘要：计算机网络是承载业务信息系统运行的基础，其运行的连续性和可靠性，对业务信息系统功能作用完全发挥至关重要。本文通过设计冗余拓扑结构，采用VRRP协议实现网络路由冗余与负载均衡。

关键词：VRRP；负载均衡；虚拟路由器；路由冗余doi：10.3969/J.ISSN.1672-7274.2019.07.208中图分类号：TP393.04 文献标示码：A 文章编码：1672-7274（2019）07-0253-02

1 VRRP协议工作原理

VRRP（Virtual Router Redundancy Protocol），全称虚拟路由冗余协议，是一种容错协议。该协议通过把承担网关功能的一组路由设备加入到VRRP备份组中，形成一台虚拟路由器，该虚拟路由器在本地局域网拥有唯一的一个虚拟ID和虚拟IP地址。实际上，该虚拟路由器由一个Master设备和若干Backup设备组成。其工作过程如下：

（1）VRRP备份组中的路由设备根据优先级选举出Master设备。Master通过发送免费ARP报文，将自己的虚拟MAC地址通告给与它连接的设备或主机，从而承担报文转发任务。（2）Master设备周期性发送VRRP报文。

（3）如果Master设备故障或链路阻断，VRRP备份组中的Backup设备将根据优先级重新选举新的Master设备。

（4）虚拟路由器状态切换时，可将Master转换为另外的设备，全新设备可简单的发送虚拟路由器MAC地址、虚拟IP地址，生成免费ARP报文，通过及时更新与有效连接，可展现主机内ARP相关信息。网络中的主机感觉不到Master设备已经切换为另外一台路由设备。

S2，VRRP备份组2中的Master设备设置为S2，Backup设备设置为S1。为了实现与外部网络通信，在配置时需将VLAN30内的主机网关设置为：192.168.1.254，将VLAN40内的主机网关设置为：192.168.2.254。如此一来，网络主机与外部网络通信数据，可借助虚拟路由器实现数据发送与转发，ARP响应由Master设备执行，即VLAN30内的数据发往至S1，VLAN40内的数据发往至 S2。如果VRRP备份组1 Master设备S1出现故障，Backup设备S2立即接替成为新的Master。同样，如果VRRP备份组2 Master设备S2出现故障，Backup设备S1立即接替成为新的Master。新设备会陆续为主机提供网络路由服务，保障网络供应的持续性，以此促使网内主机与外部网络形成持续性的通信，确保内部网络运行的高可靠性。从中可以看出，主备核心交换机S1、S2担负不同VRRP备份组的Master、Backup，在实现路由冗余的同时，又共同分担了数据转发压力，进一步实现了负载均衡。

2 基于VRRP协议实现路由冗余与负载均衡

（1）实现路由冗余。为了确保业务网络的连续性，需在主备核心交换机上启用VRRP协议，将主备核心交换机加入VRRP备份组，各个备份组内均有独自的虚拟路由器，可为系统提供虚拟缺省网关地址。一旦内部主机访问外部网络，默认设置的虚拟路由器，会响应数据转发，相应ARP请求，实际由VRRP组中的Master设备（把主核心交换机设置成Master）进行，一旦Master出现故障或链路阻断，VRRP备份组中的Backup设备（备用核心交换机）就会升级为Master，主动承担数据转发，ARP响应请求。就内部主机，由于缺乏虚拟路由设备IP地址，一旦核心交换机出现故障，虚拟路由器也可与主机形成有效连接，持续提供网络，以此保障系统运行。

（2）实现负载均衡。在VRRP协议中，同一个VLAN可以加入多个VRRP备份组，不同的VLAN也可以是多个VRRP备份组的成员。在业务网络中，由于多套相对独立业务的信息系统并行运行，需要为其划分独立的VLAN，如果VLAN接口地址配置在一台核心交换机上，就会造成设备数据转发承载压力过大。因此，可以通过配置VRRP协议，为多个VLAN创建多个VRRP备份组，为每一个VLAN配置虚拟IP地址。同时把Master设备分散在不同的路由设备上，业务内不同VLAN内的主机可以使用不同的虚拟路由器作为网关出口，这样就达到了主备核心交换机相互备份而又共同分担数据流的目的。

图1 基于VRRP实现路由冗余与负载均衡

3 VRRP协议具体应用案例

基于VRRP协议规划设计网络，如图1所示，在主备核心交换机创建的VLAN30、VLAN40上建立VRRP备份组1、VRRP备份组2，虚拟IP地址分别为：192.168.1.254、192.168.2.254。VRRP备份组1中的Master设备设置为S1，Backup设备设置为

配置各接口IP地址，R1、S1、S2之间启用OSPF协议，各交换机开启mstp，S1、S2启用VRRP协议，关键配置如下：

[S1]interface vlan 30

[S1-Vlanif30]vrrp vrid 1 virtual-ip 192.168.1.254[S1-Vlanif30]vrrp vrid 1 priority 150[S1]interface vlan 40

[S1-Vlanif40]vrrp vrid 2 virtual-ip 192.168.2.254[S2]interface vlan 30

[S2-Vlanif30]vrrp vrid 1 virtual-ip 192.168.1.254[S2]interface vlan 40

[S2-Vlanif40]vrrp vrid 2 virtual-ip 192.168.2.254[S2-Vlanif40]vrrp vrid 2 priority 150

这里需要注意的是，基于VRRP协议的主备设备切换时间较慢（秒级），会影响业务内实时性要求高的业务。因此，为了提高网络的可用性，需要在主备核心交换机之间配置接口检测功能，启用BFD检测机制，以加速故障切换的过程，保障实时性业务的持续运行，具体配置如下：

首先，在S1、S2上配置BFD：[S1]bfd

[S1-bfd]quit（下转第137页）

2019.07数字通信世界253

Hot-Point Perspective

热点透视

程控制端两个端口。远程控制端不只是上级部门，也有可能是产品各个销售部门。远程控制则是采用密钥加密处理相关文件机密性数据，将成为一系列密文数据，再以互联网为渠道予以传输。密文数据传输到设备所需单位，再由工作人员把这些密文数据传输到嵌入式设备中，设备再基于预先储存的密钥数据将各种密文转变为能够准确识别的数据。最终远程控制端能够真正控制设备。反过来而言，假设嵌入式设备中各种数据传输到远程控制端，它的事个过程是相同的，只是方向不同而已。

在设备试用实际情况中，远程控制端是实现密文数据产生的端口，“任务类型”定义了密文数据的具体功能，在实际操作中操作人只需在操作界面中输入任务类型、用户密码、设备序列号等数据，然后点击“创建文件”，随之密文数据生成，最后将该密文数据以文件的方式通过互联网传送给用户。当用户接收到该密文数据时，再把数据输入到设备，设备按照存储好的密钥进行数据解密后，判断用户密码与设备是不与设备出厂定义一样，如一样就可以执行密文数据定义的任务。通过以上的方法设备生产商就可以试用状态的设备进行远程控制。2.3 密钥管理技术的应用2.3.1 纵向管理

在纵向管理体系中，上级能够解密下级加密文件，下级则无法解上级加密文件。对于这些加密文件，一般采取对称密码技术。企业管理层拥有企业官网账户及密钥，可自由、随时查看下属文件。在此管理系统中，高层管理人员是不能直接得知间接下级的密钥的，只能通过对自己直接的下属的密钥的知晓，再利用直接下属的密钥得到间接下属的密钥，从而解密间接下属的文件。这样的方法企业可以方便的增加或删除相应的用户，并且企业网管修改密钥和企业的管理关系也非常方便。2.3.2 横向管理

我们设定一个小组专用的密钥给整个小组专用，组内成员使用这个专用密钥对我们加密的文件进行解密查看。这个方法能够保证组内成员安全高效的查看，当然也有一定的弊端。比如某一个成员它同时参与多个小组的活动，那么他在查看不同文件时就需要不同的密钥来进行解密与加密。所以对于这样的成员来讲工作繁琐且工作效率不高。密钥管理的横向性也可以按照会议密钥管理类似的方式来进行。每一次的合作项目就相当于一次会议，具体方式如下：组内成员数量位为A，每位成员的ID为ID，公钥为PK1个人私钥为SK。那么小组成员需要对某一文件进行加密处理，可以这样设定：随机选择一个文件设定秘钥为K；在数据库中获取小组内成员的ID和公钥PK1；然后用PK1为秘钥对文件加密并得到K1；然后使用所以成员的ID、K1和拉格朗日插值定理构建出对应的N-1次多项式，并在所需加密的文件中吧次多项式写入，实现用文件加密密匙多我们需要的文件进行加密。解密文件时，可以按照自己的ID1取得相应的K最后使用私钥（上接第73页）参考文献

[1] 许义宝，胡永兵，陈庆然.基于FPGA的多节点光纤传输系统设计与实现[J].

DCW

SK1对K1进行解密。解密完成后就可以得到文件的密钥K，使

用K又可以对文件解密。我们的这个操作流程对于不是组内成员，想实现解密困难重重，文件的安全性就有保证。这对于会议应用秘钥的系统化管理过程和文件的下发保密管理有很好保障性。对于能够阅览此文件的人员组成特殊小组；上层管理者需要对文件检查时直接使用管理者私有秘钥并在借助系统设定的高级密钥实现有效管理。高层的管理成员也能对文档解密而不影响工作。　2.4 电子签名在网银的应用

在银行系统应用中。签名者用自己的签名私钥对信息及证据进行签名，因签名证书和用户的身份是绑定在一起的。所以可以通过签名证书来鉴定用户的签名。这样可以实现签名的真实性、完整性及不可否认性。信息的发送方可利用信息接受方密钥来发送信息，而信息接收方则用自己本身所有私钥对密钥进行解密，再利用会话秘钥解密信息。这样私密性就得以保证。使用电子签名的前提是用户的身份必须是真实可靠的。CFCA在银行通过设立RA机来对用户的身份进行审核[2]。AR系统分为两层结构，在商业银行总行设置总部AR，而在支行和分行设置本地AR，银行通过对用户的帐户等信息进行审核，并符合审核的用户信息安全的传送到CFCA。对于CFCA来说，银行扮演了两个角色，第一个角色是银行作为RA，是CFCA的证书审批机构，是CFCA认证服务的重要环节，CFCA能是CA系统安全运行的保障，为审核通过的用户发放数字证书；第二个角色，银行也是数字证书的使用者（例如操作人员证书及网络证书等），从这个意义来讲，银行更应保管好自己证书的私钥。这样就可以向银行提供信息不可否认的服务。比如，我国曾经有一名银行客户，对自己的一笔网银交易，产生了严重性的怀疑，不相信自己有进行过这样的一笔交易。银行通过其留下的电子签名通过有效的技术分析，证明了有此笔交易。《电子签名法》的实施，可以更好的保护银行及用户的权益。类似纠纷以后完全可以避免[3]。

3 结束语

相对于传统单一的信息保密工作，网络信息保密工作内容更具多样化，保密工作科技化含量更高，所以面对的工作对象更复杂，计算机信息保密技术包括了很多方面的内容，如身份认证技术、传输加密技术、存储加密技术、密钥管理技术、工作人员保密的意识等，这些都是计算机网络信息安全的保障。参考文献

[1] 陈平，易勇.计算机网络安全中信息保密技术探究[J].中国新通信，2018，20（8）：160.

[2] 蔡旻甫.计算机网络安全中信息保密技术研究[J].电脑知识与技术，2014（11X）：7838-7839.

[3] 候文平.计算机网络安全中信息保密技术分析[J].数码世界，2017（9）：136-136.

计算机技术与发展，2018，28（3）：197-200.

[2] 基于FPGA的高速光纤通信数据传输技术的研究与实现[D].吉林大学，2017.

（上接第253页）

[S1]bfd 1-2 bind peer-ip 192.168.1.2 interface vlan 30[S1-bfd-session-1-2]discriminator local 1[S1-bfd-session-1-2]discriminator remote 2[S1-bfd-session-1-2]min-rx-interval 100[S1-bfd-session-1-2] min-tx-interval 100[S1-bfd-session-1-2]commit[S2]bfd[S2-bfd]quit

[S2]bfd 2-1 bind peer-ip 192.168.1.1 interface vlan 30[S2-bfd-session-1-2]discriminator local 2[S2-bfd-session-1-2]discriminator remote 1[S2-bfd-session-1-2]min-rx-interval 100[S2-bfd-session-1-2] min-tx-interval 100[S2-bfd-session-1-2]commit

然后，在VRRP备份组Backup上配置VRRP监视BFD session，以VLAN30为例：

[S2]interface vlan 30

[S2-Vlanif30]vrrp vrid 1 track bfd-session 2 increase 60[S2-Vlanif30]quit

2019.07数字通信世界137