馮政軍　朱琴

摘要：該文主要研究的是基于OSPF路由型協(xié)議的企業(yè)網(wǎng)絡設計，主要目標是研究OSPF路由協(xié)議的可使用性和安全性，發(fā)掘OSPF路由協(xié)議的安全機制，具體內(nèi)容如下：實現(xiàn)以OSPF路由協(xié)議為主，EIGRP為輔的路由器協(xié)議之間的通信；OSPF路由協(xié)議與其他網(wǎng)絡之間的通信；通過幀中繼的實現(xiàn)，提供高性能和高效率數(shù)據(jù)傳輸，進行的技術(shù)簡化；通過建立隧道的技術(shù)實現(xiàn)OSPF骨干區(qū)域與非骨干區(qū)域之間路由的通信；在隧道的基礎上啟用密文認證的技術(shù)保證安全性；實現(xiàn)全網(wǎng)段、全路由之間能夠獲取所有的路由。在分析和研究OSPF協(xié)議的基礎上，設計了實現(xiàn)方案，并進行驗證。

關(guān)鍵詞：OSPF；全網(wǎng)互聯(lián)；EIGRP；路由協(xié)議；快速收斂

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）18-0010-04

1 背景

OSPF（Open Shortest Path First，開放式最短路徑優(yōu)先）是一種基于SPF（Shortest Path First，最短路徑優(yōu)先）算法鏈路狀態(tài)的典型的路由協(xié)議。在人們的社會生活中，有許多大中型公司的內(nèi)部網(wǎng)絡和混合型網(wǎng)絡都會用到OSPF路由型協(xié)議，該協(xié)議是隨著互聯(lián)網(wǎng)的快速發(fā)展應運而生的一種內(nèi)部網(wǎng)關(guān)路由型協(xié)議。

OSPF路由協(xié)議經(jīng)常用在同一個路由域內(nèi)。路由域是指一種自治系統(tǒng)（Autonomous System），就是我通常所說的AS，它的概念是指一組通過統(tǒng)一的路由協(xié)議政策或路由協(xié)議轉(zhuǎn)換路由信息的計算機網(wǎng)絡。在這里，全部的OSPF路由器都在共同維護著一個同一的描述，這個同一的描述就是AS結(jié)構(gòu)的數(shù)據(jù)庫（DBMS），這個數(shù)據(jù)庫里放置的是路由域中相對應的鏈路的狀態(tài)消息，OSPF路由器就是通過這樣一個數(shù)據(jù)庫計算出其OSPF路由表的基本信息。

2 OSPF原理及特點

2.1 OSPF原理

OSPF是鏈路狀態(tài)算法路由協(xié)議的代表，能適應大中型規(guī)模的網(wǎng)絡，在當今的Internet中的路由結(jié)構(gòu)就是在自治系統(tǒng)內(nèi)部采用OSPF，在自治系統(tǒng)間采用BGP。OSPF允許在自治系統(tǒng)里劃分區(qū)域，每個區(qū)域有自己的拓撲圖數(shù)據(jù)庫，路由器很容易將網(wǎng)絡拓撲結(jié)構(gòu)轉(zhuǎn)換成一個帶權(quán)的有向圖，這個圖就是整個網(wǎng)絡的真實反映。接下來每臺路由器在圖中以自己為根節(jié)點，使用相應的算法算出一棵最小生成樹，由這棵樹得到網(wǎng)絡中各節(jié)點的路由表。

2.2 OSPF特點

目前，我們廣泛使用的OSPF是它的第2版本，現(xiàn)在適用于IPv4的是最新版本RFC 2328。OSPF協(xié)議優(yōu)點有很多：

1）收斂速度快：它可以在很短的時間內(nèi)將路由變化信息轉(zhuǎn)移到自治系統(tǒng)（AS）。

2）具有良好的安全性：OSPF協(xié)議支持明文認證和消息摘要認證?？梢栽谕籓SPF區(qū)域的路由器上啟用認證能力，并且只有在同一種區(qū)域中被認證的路由器可以彼此通知最終路由信息。純文本認證傳遞的認證口令依舊是純文本， 認證口令傳輸之前，消息摘要（MD5）認證將會加密口令。

3）開放性：OSPF協(xié)議是開放的國際標準路由協(xié)議，許多不同廠商的路由器都支持該協(xié)議，并不是僅支持Cisco路由器的EIGRP協(xié)議。開放性是指它對某些廠商的“私有”路由協(xié)議都支持，正是基于OSPF的開放性，OSPF協(xié)議具有非常強大的生命力和非常廣泛的應用前景。

4）可擴展性：OSPF可容納數(shù)千種大小的網(wǎng)絡。OSPF是不依賴于供應商的標準協(xié)議。每個制造商的路由器具有良好的互操作性。

5）動態(tài)性：OSPF動態(tài)的檢測網(wǎng)絡狀態(tài)，使得路由器能夠動態(tài)地檢測網(wǎng)絡拓撲結(jié)構(gòu)的變化，并更新它自己保存的路由表。網(wǎng)絡間的路由器在短時間內(nèi)自動保持一致的路由信息，使得整個網(wǎng)絡能夠達到路由的收斂狀態(tài)，因而維護了網(wǎng)絡的高可用性和快速收斂性。由于OSPF的這些特點，OSPF已經(jīng)成為Internet、廣域網(wǎng)和Intranet企業(yè)網(wǎng)絡中應用最廣泛的路由型協(xié)議之一。

3 設計平臺介紹

這個設計的環(huán)境是GNS3（圖1）。它是一個具有圖形界面的仿真器。它支持Cisco網(wǎng)絡設備在虛擬環(huán)境中模擬真實的設計。GNS3是一個具有圖形界面的網(wǎng)絡虛擬軟件，它可以很容易地模擬路由器、交換機和PC等網(wǎng)絡設備。它可以在多個平臺上運行，包括Windows、Linux、MaOS等等。思科網(wǎng)絡設備管理人員或那些想通過CCNA、CCNP、CCIE和其他思科認證測試的人可以做相關(guān)的模擬操作和設計。并且，他們還可以在虛擬體驗中使用思科互聯(lián)網(wǎng)絡操作系統(tǒng)IOS或?qū)⒉渴鹪趯嶋H路由器上的測試來實現(xiàn)相關(guān)配置，利用該軟件模擬校園網(wǎng)絡的連接和可行性。

GNS3是一款非常出色的網(wǎng)絡虛擬軟件，具有可在多種平臺（包括Linux，各個版本的Windows和MacOS等）上運行的圖形界面。思科網(wǎng)絡設備管理工程師或想要通過CCNA（思科認證網(wǎng)絡助理工程師），CCNP（思科認證專業(yè)人士），CCIE（思科認證互聯(lián)網(wǎng)專家）和其他的思科認證demo的利益相關(guān)方都可以使用GNS3來完成這些相關(guān)的操作及設計仿真，也可以使用它。在仿真體驗中，Cisco Internet操作系統(tǒng)IOS或檢查將在真實路由器上相關(guān)部署的配置。

簡而言之，它就是Dynamips的圖形化的前端，比直接使用Dynamips的仿真軟件更簡單，更可操作。

4 用戶需求

如圖2所示，設計拓撲主要分為四個塊，其中OSPF路由協(xié)議的三個部分主要與EIGRP路由協(xié)議相結(jié)合。設計使用了12個Cisco路由器和1個Cisco交換機。設計的地址和協(xié)議的基本配置如下：

1）所有路由器都有環(huán)返回Lo：X.X.X.X/32；

2）所有路由器的地址都使用111.XY.X/24段，在R8、R10和R11的S端口上使用192.168.123.X/24網(wǎng)絡段；

3）OSPF路由協(xié)議使用從R1、R2到R11；

4）R1，R2，R3是OSPF的area0區(qū)域，R4、R5、R6、R7是OSPF的area1區(qū)域，R8、R10和R11是area2區(qū)域。

設計主要是對OSPF路由協(xié)議的實現(xiàn)。它主要將OSPF路由協(xié)議劃分為三個區(qū)域，具體為：骨干區(qū)域0、非骨干區(qū)域1、非骨干區(qū)域2和EIGRP路由協(xié)議區(qū)域。

4.1 區(qū)域0

如圖3所示，該區(qū)域包含三個路由器：R1、R2和R3；OSPF協(xié)議是在內(nèi)部啟用的，這是OSPF的area0區(qū)域。

4.2 區(qū)域1

如圖4所示，此區(qū)域中包含四臺路由器：R4，R5，R6，R7；內(nèi)部啟用OSPF協(xié)議，為OSPF的area1區(qū)域。

4.3 區(qū)域2

如圖5所示，該區(qū)域中有三個路由器：R8、R10、R11和交換機FR；內(nèi)部OSPF協(xié)議是為OSPF的區(qū)域2區(qū)域啟用的；啟用了幀中繼完全互連結(jié)構(gòu)。

4.4 eigrp區(qū)域

如圖6所示，該區(qū)域包含2個路由器：R12和R13，并且內(nèi)部啟用了EIGRP協(xié)議。

5 OSPF不同區(qū)域間保證路由暢通

由于OSPF路由協(xié)議在主干和非主干區(qū)域之間不直接連接，非主干區(qū)域2和主干區(qū)域0不能建立鄰居關(guān)系，不能獲得路由表。在主干區(qū)域的0和非主干區(qū)域2之間建立隧道的方法使得這兩個區(qū)域在邏輯上是連續(xù)的，從而可以構(gòu)建鄰居并獲得拓撲。

5.1 采用虛鏈路技術(shù)實現(xiàn)區(qū)域2與骨干區(qū)域的連通

如圖2所示，OSPF的主干區(qū)域是OSPF 0的特殊區(qū)域（因為OSPF的區(qū)域號是IP地址的形式，所以通常被寫為區(qū)域0.0.0.0）。OSPF主干區(qū)域總是包含所有的ABR。主干區(qū)域負責在其他區(qū)域之間分配路由信息。主干區(qū)域必須是連續(xù)的，否則將無法獲得路由。如圖所示，區(qū)域0和區(qū)域2是不連續(xù)的，因此區(qū)域2部分不能獲得區(qū)域1和區(qū)域0部分的路由信息；同樣，區(qū)域0和區(qū)域1不能獲得區(qū)域2的路由信息。

如圖7所示，在R4的R7環(huán)返回端口之間建立虛擬鏈路，以確保主干區(qū)域和非主干區(qū)域區(qū)域2中的區(qū)域0是邏輯連續(xù)的，從而確保可以獲得區(qū)域2和區(qū)域0之間的路由，同時采用MID5密文認證，保證了安全性。為了保證整個系統(tǒng)的安全型，所有的路由器都采用了MID5密文認證。

如圖8所示，在R7上的R4環(huán)返回端口之間建立虛擬鏈路，以確保主干區(qū)域和非主干區(qū)域區(qū)域2中的區(qū)域0是邏輯上連續(xù)的，從而確保可以獲得區(qū)域2和區(qū)域0之間的路由；同時，MD5。采用密文認證，保證了安全性。

5.2 不同協(xié)議間獲取路由

主要的OSPF路由協(xié)議和EIGRP路由協(xié)議不能獲得彼此的路由，并且通過在兩個路由協(xié)議中彼此重新分配，在不同協(xié)議之間獲得路由信息。

如圖9所示，在不同協(xié)議之間不能獲得路由信息，路由信息可以通過路由協(xié)議之間的重新分配來獲得路由信息，并且可以實現(xiàn)不同協(xié)議之間的路由通信。如圖中所示，EIGRP在R6上在OSPF內(nèi)重新分布，并且OSPF在EIGRP內(nèi)重新分布。

5.3 OSPF區(qū)域內(nèi)路由全通

如圖10所示，路由器R10的物理口IP地址為192.168.123.10/24，環(huán)回口地址為10.10.10.10/32；

路由器R11的物理口地址s1/2的IP地址為192.168.123.11/24，環(huán)回口地址為11.11.11.11/32。

從R1上發(fā)現(xiàn)可以ping通R10和R11，在OSPF區(qū)域內(nèi)路由全通。

5.4 不同路由協(xié)議間路由全通

如圖11，路由器R1的物理口IP地址為11.11.12.1/24，環(huán)回口地址為1.1.1.1/32；路由器R10的物理口IP地址為192.168.123.10/24，環(huán)回口地址為10.10.10.10/32。

從路由協(xié)議是EIGRP的R13路由器上發(fā)現(xiàn)可以ping通路由協(xié)議是OSPF的R1路由器和R10路由器，在不同路由協(xié)議間路由全通。

6 結(jié)束語

綜上所述，通過GNS3模擬軟件的平臺，實現(xiàn)了不同路由協(xié)議網(wǎng)絡之間的互訪，為了實現(xiàn)不同區(qū)域的互訪，使用了隧道技術(shù)，為了保證網(wǎng)絡的安全行，使用了MID5密文論證。該設計可用于大中型企業(yè)的建網(wǎng)需求。

伴隨著計算機網(wǎng)絡規(guī)模越來越大擴大，傳統(tǒng)的距離矢量路由協(xié)議已無法滿足龐大的網(wǎng)絡需求，也不能滿足計算機網(wǎng)絡的發(fā)展需要。因此，動態(tài)路由協(xié)議應運而生。當網(wǎng)絡鏈路發(fā)生異常變化時，動態(tài)路由協(xié)議能夠快速收斂，從而實現(xiàn)網(wǎng)絡運行的安全、可靠、有效。EIGRP路由協(xié)議克服了距離矢量和鏈路狀態(tài)路由選擇協(xié)議的缺點，是一種高級距離矢量路由選擇協(xié)議，具有良好的擴展性和快速的匯聚能力，并且開銷很低。但由于EIGRP是思科私有協(xié)議，只適用于思科網(wǎng)絡設備，所以不能單一有效推廣，OSPF路由協(xié)議所使用的鏈路狀態(tài)算法在網(wǎng)絡變化時非常快，在大的網(wǎng)絡環(huán)境下更為明顯。它是網(wǎng)絡中最受人尊敬的路由協(xié)議之一。如何保證廣泛使用的OSPF協(xié)議的安全穩(wěn)定運行，防止誤操作和惡意攻擊成為保證網(wǎng)絡正常運行的關(guān)鍵問題。由于每種路由協(xié)議各有優(yōu)缺點，大中型企業(yè)同時使用OSPF協(xié)議和EIGRP等協(xié)議的情況已越來越趨于普遍。

參考文獻：

[1] 蔡惠， 胡嵐. 高校校園網(wǎng)雙核心冗余設計與實現(xiàn)[J]. 電腦編程技巧與維護， 2016（7）： 17-19.

[2] 袁麗娜， 吳凱. 高性能校園網(wǎng)組建方案的研究[J]. 金陵科技學院學報， 2015（1）： 30-36.

[3] 張文川. 一種校園網(wǎng)絡的優(yōu)化方案及應用[J]. 軟件工程師， 2014（10）： 21-22.

[4] 蔣億， 項卓， 金卓義， 等. 大型校園網(wǎng)OSPF安全性優(yōu)化研究和實現(xiàn)[J]. 湖南科技報， 2014（10）： 98-99.

[5] 鐘鳴， 郭惠良. 基于園區(qū)網(wǎng)的大學校園網(wǎng)設計[J]. 大眾科技， 2014（8）： 27-30.

[6] 雷宇飛. OSPF動態(tài)路由協(xié)議在校園網(wǎng)中的應用研究[J]. 計算機光盤軟件與應用， 2014（16）： 299-300.