编辑点评：文章在华中科技大学校园网出口，采用BGP协议，有效解决了出口切换需要引起网络中断的问题。结合BFD链路检测机制，保证了出口链路的快速切换。对其他高校校园网出口维护具有一定的参考意义。

　　1 引言

　　华中科技大学校园网拥有7.8万多上网用户，上网高峰期、在线用户达4万之多，华中科技大学校园网接入CERNET的带宽是6G，接入中国电信的带宽是3.2G（主校区2G、同济校区1.2G），接入中国联通的带宽是1.2G，接入CERNET2的带宽是1G，接入湖北高校联盟网的带宽是1G，其校园网总出口带宽达12.4G。校园网多出口的网络设备由一台Cisco6509和两台网络出口引擎设备组成，其改造前校园网与多ISP互联的网络拓扑图如图一所示：

　　图一、校园网出口

　　在图一中，C6509占有校园网出口的重要位置，在正常工作时间范围内，对C6509设备的测试和维护，势必大面积影响用户的正常上网，为减轻网络出口中断的影响，网络维护人员不得不选择从深夜零点开始维护和调整网络出口，从另一个侧面说明校园网的出口缺乏柔性，不可及时动态调整的问题。

　　2 单链路接入

　　校园网与ISP互联、一般采用单链路接入，该链路的接入具有一定的普遍性，但是ISP为满足校园网接入带宽的需求，也会提供多个1G和多个10G光纤链路接入，这里的多个1G和多个10G的链路其重点是解决接入带宽的问题。在图一中，接入电信的网络带宽为2G，电信给学校提供了2个1G的光纤链路，使用IEEE 802.3ad标准的lacp（link aggregation control protocol）将一台设备的2个1G的光口聚合为一个逻辑的端口，其技术优点：（1）带宽相当于组成端口的带宽之总；（2）只要组内不是所有的端口都down掉，仍然可以继续通信；（3）流量可以在这些端口上自动进行负载均衡。在图一中，2条接入电信网的千兆链路主要是满足带宽的接入需求，并不考虑网络带宽链路的冗余和热备[1]，在互联网+催生经济社会发展新形态下[2]，学校信息化工作正在向智慧校园的演进中，拟定高可靠性、高可用性及柔性的网络出口方案以迫在眉睫。

　　3 多链路接入

　　确保网络出口具有高可靠性、高可用性及较好的柔性，是网络出口改造方案重点关注的技术问题。在图一中，校园网与CERNET互联用了一条万兆光纤链路，互联设备是一台C6509，校园网出口拓扑存在链路及设备的端点故障风险，为规避风险、提升校园网出口的可靠性，在校园网出口改造方案中新增了一台C6509-2（用N7K虚拟）作为校园网出口核心的备用设备，新增一条万兆光纤链路，作为校园网出口到CERNET的备份链路，升级后的校园网出口拓扑图如图二所示。

　　图二、改造后的校园网出口

　　在图二中， 校园网出口与CERNET采用了2条万兆光纤链路互联，其中万兆光纤链路-1是主链路，万兆光纤链路-2是备用链路，为实现链路的热备自动切换，我们选择了BGP及BFD（Bidirectional Forwarding Detection）的组合并将该技术用于边界路由器的配置。

　　（1）C6509-1 BGP路由的主要配置信息

　　router bgp 64513

　　bgp log-neighbor-changes

　　neighbor 202.114.1.170 remote-as 4538 # CERNET as 号

　　neighbor 202.114.1.170 fall-over bfd # 链路检测

　　address-family ipv4

　　# 校园网IP地址聚合

　　aggregate-address 115.156.128.0 255.255.128.0 summary-only

　　aggregate-address 58.200.127.200 255.255.255.248 summary-only

　　...

　　neighbor 202.114.1.170 activate

　　neighbor 202.114.1.170 soft-reconfiguration inbound

　　neighbor 202.114.1.170 route-map catch-from-bgp-cernet in #过滤接收的IP信息

　　neighbor 202.114.1.170 route-map ospf-to-bgp out #过滤对外发布的IP信息

　　redistribute ospf 666 route-map ospf-to-bgp #将校园网内部路由信息发布到BGP中

　　exit-address-family

　　（2）C6509-2 BGP路由的主要配置信息

　　router bgp 64513

　　neighbor 202.114.1.186 remote-as 4538 # CERNET as 号

　　address-family ipv4

　　# 校园网IP地址聚合

　　aggregate-address 115.156.128.0 255.255.128.0 summary-only

　　aggregate-address 58.200.127.200 255.255.255.248 summary-only

　　...

　　redistribute ospf 666 route-map ospf-to-bgp #将校园网内部路由信息发布到BGP中

　　neighbor 202.114.1.186 soft-reconfiguration inbound

　　neighbor 202.114.1.186 route-map catch-from-bgp-cernet in #过滤接收的IP信息

　　neighbor 202.114.1.186 route-map ospf-to-bgp out #过滤对外发布的IP信息

　　exit-address-family

　　（3）校园网出口路由的IP地址过滤规则

　　（a）BGP路由接收信息的过滤规则

　　# 接收缺省的路由信息，过滤其它所有的路由信息。

　　ip prefix-list catch-from-bgp-cernet seq 10 permit 0.0.0.0/0

　　ip prefix-list catch-from-bgp-cernet seq 100 deny 0.0.0.0/0 ge 1

　　（b）BGP路由发布信息的过滤规则

　　#过滤私有IP和缺省路由信息

　　ip prefix-list ospf-to-bgp seq 5 deny 0.0.0.0/0 ge 32

　　ip prefix-list ospf-to-bgp seq 10 deny 172.16.0.0/12 le 32

　　ip prefix-list ospf-to-bgp seq 15 deny 192.168.0.0/16 le 32

　　ip prefix-list ospf-to-bgp seq 20 deny 10.0.0.0/8 le 32

　　#只发布我校校园网公有的IP信息

　　ip prefix-list ospf-to-bgp seq 30 permit 202.127.251.0/26 le 32

　　ip prefix-list ospf-to-bgp seq 31 permit 115.156.128.0/17 le 32

　　...

　　（4）CERNET的接入路由器的配置说明

　　router bgp 4538

　　neighbor 202.114.1.170 remote-as 64513 # 校园网 as 号

　　neighbor 202.114.1.170 fall-over bfd # 链路检测

　　neighbor 202.114.1.170 default-originate #发布默认路由

　　default-metric 10 # 链路-1发布路由的MED值设定10

　　注意：链路-2发布路由的MED值设定20，一定要大于链路-1的MED值。

　　MULTI_EXIT_DISC（MED）被称为外部度量值，是用来影响入流量，CERNET通过向校园网C6509-1宣告本地路由时携带MED值，以引导校园网如何进入CERNET，MED值越小越优先，在校园网出口多链路中，链路-1是主链路，链路-2是备份链路。

　　4 链路热备切换

　　由于BGP路由收敛速度比较慢[2]，一旦链路-1或C6509-1发生故障，校园网出口网络通信都会出现短暂的停顿，停顿的时间一般大于几秒，这依据BGP路由更新的间隔，Cisco BGP默认KEEPALIVE每60秒发送一次，HoldTime为180秒[3]。仅靠BGP路由收敛算法，主备链路的切换时间太长，对实时性强的网络应用产生影响，为将主备链路的切换控制在毫秒级，需引进 BFD（Bidirectional Forwarding Detection）链路检测机制，该机制用于快速检测、监控网络中链路连通状况[4]。BFD能在50ms之内可检测处链路的通断状态，换言之BGP如果能引入该机制，链路的切换时间就可控制在毫秒级，核心路由设备一般都支持BFD，针对C6509-1在BGP的配置中添加 neighbor 202.114.1.170 fall-over bfd （要求对端设备也支持BFD）就可实现主备链路的实时切换。

　　5 结语

　　本文以华中科技大学校园网出口为例，探讨了多链路接入CERNET的通信模式及链路热备切换的方法，该接入方案实施后，经过一年多的运行，我校校园网出口的可靠性和安全性有了大幅提升。网络出口割接时（如：在网络出口上架设UTM，NGFW安全设备），技术人员将上网测试的安全设备可预先配置并放置在备用链路上，待一切准备工作就绪后，只需将主链路端口shutdown，在毫秒级之内便完成网络网络出口的割接，网络技术人员从此远离“半夜鸡叫”，将工作的精力投入到网络信息化建设的其它方面。

　　参考文献：

　　[1]双机热备的HSRP配置解析[J]. 华南金融电脑 2007年11期 颜承林

　　[2]改善BGP路由收敛的时间窗口机制[J].软件学报 2008.王立军，吴建平

　　[3]http：//www.cisco.com/ Border Gateway Protocol Commands

　　[4]高鑫.双向转发检测（BFD）协议研究[M].北京 北京邮电大学出版社，2007.

　　作者单位：华中科技大学网络与计算中心