◆劉開森 李天賜 李勝輝 王靖悅

基于OSPF和NAT企業(yè)網(wǎng)可靠性和安全性仿真實(shí)驗(yàn)設(shè)計(jì)

◆劉開森 李天賜 李勝輝 王靖悅

（湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 湖北 430068）

企業(yè)網(wǎng)的穩(wěn)定和安全是企業(yè)正常運(yùn)營(yíng)的基礎(chǔ)，但還有很多企業(yè)在其企業(yè)網(wǎng)的搭建上存在很多問題，例如網(wǎng)絡(luò)結(jié)構(gòu)過于復(fù)雜、協(xié)議配置不合理、技術(shù)過時(shí)等，為企業(yè)網(wǎng)的穩(wěn)定性和安全性留下來隱患?；贠SPF和NAT應(yīng)用在企業(yè)網(wǎng)來保證其穩(wěn)定性和安全性的設(shè)計(jì)方案，摒棄了傳統(tǒng)企業(yè)使用的RIP，將OSPF用在大中型企業(yè)乃至小型企業(yè)，可以有效地解決RIP所帶來的一些問題，使網(wǎng)絡(luò)的管理更加方便，強(qiáng)化了網(wǎng)絡(luò)的結(jié)構(gòu)性，提升了企業(yè)網(wǎng)的穩(wěn)定性和安全性。

企業(yè)網(wǎng)；穩(wěn)定性；安全性；OSPF；NAT

0 引言

隨著企業(yè)的信息化水不斷提高，現(xiàn)在企業(yè)的日常運(yùn)營(yíng)已經(jīng)離不開網(wǎng)絡(luò)，企業(yè)網(wǎng)的安全性和穩(wěn)定性對(duì)發(fā)展顯得日趨重要，在企業(yè)內(nèi)部合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)和選擇相應(yīng)的路由協(xié)議是保證企業(yè)網(wǎng)穩(wěn)定性和安全性的重要手段。隨著企業(yè)網(wǎng)的規(guī)模不斷變大，靜態(tài)路由的前期配置和后期維護(hù)的繁瑣，靜態(tài)路由顯然已經(jīng)不能滿足企業(yè)對(duì)網(wǎng)絡(luò)的要求。目前在企業(yè)網(wǎng)中用的比較多的是RIP，但是RIP有時(shí)候不能準(zhǔn)確地選擇最佳路徑，收斂時(shí)間也比較長(zhǎng)，不適合大中型企業(yè)和網(wǎng)絡(luò)拓?fù)浔容^復(fù)雜的企業(yè)網(wǎng)。OSPF協(xié)議(Open Shortest Path First開放式最短路徑優(yōu)先）配置相對(duì)簡(jiǎn)單，具備自主學(xué)習(xí)功能，還具有收斂速度快、方便整合和自防環(huán)路等特點(diǎn)。將OSPF用在大中型企業(yè)乃至小型企業(yè)，可以有效地解決RIP所帶來的一些問題，這也是本文的核心和亮點(diǎn)所在。本文還引用NAT技術(shù)，解決企業(yè)內(nèi)網(wǎng)連接因特網(wǎng)的問題和緩解IPV4地址緊張的壓力。

1 核心理論

1.1 OSPF協(xié)議簡(jiǎn)介[1-4 ]

OSPF協(xié)議(Open Shortest Path First開放式最短路徑優(yōu)先）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol，IGP），是應(yīng)用于TCP/IP網(wǎng)絡(luò)下的路由協(xié)議，是一種典型的鏈路狀態(tài)（link-state）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。路由域是指一個(gè)自制系統(tǒng)AS（autonomous system），它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個(gè)數(shù)據(jù)庫(kù)計(jì)算其OSPF路由表的。OSPF分為OSPFv2和OSPFv3兩個(gè)版本，其中OSPFv2用在IPv4網(wǎng)絡(luò)，OSPFv3用在IPv6網(wǎng)絡(luò)。OSPFv2是由RFC 2328定義的，OSPFv3是由RFC 5340定義的。與RIP相比，OSPF是鏈路狀態(tài)協(xié)議，而RIP是距離矢量協(xié)議。

1.2 OSPF鏈路狀態(tài)收斂過程[1-3 ]

（1）當(dāng)路由器初始化或者網(wǎng)絡(luò)鏈路狀態(tài)發(fā)生變化時(shí)，路由器會(huì)產(chǎn)生LSA（鏈路狀態(tài)廣播數(shù)據(jù)包）；

（2）所有路由器通過泛洪交換鏈路狀態(tài)信息，相鄰路由器根據(jù)接收到的LSA更新自己的數(shù)據(jù)庫(kù)，并將自己的LSA傳送給與其相鄰的路由器，直至達(dá)到穩(wěn)定；

（3）當(dāng)OSPF路由協(xié)議收斂下來時(shí)，所有的路由器根據(jù)自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)(LSDB)計(jì)算出各自的路由表；

（4）當(dāng)網(wǎng)絡(luò)狀態(tài)穩(wěn)定后，網(wǎng)絡(luò)中傳遞的鏈路狀態(tài)信息就變少了，節(jié)省了網(wǎng)絡(luò)帶寬。

1.3 NAT簡(jiǎn)介[1-4]

NAT英文全稱是“Network Address Translation”，中文名稱為“網(wǎng)絡(luò)地址轉(zhuǎn)換”，屬于IETF標(biāo)準(zhǔn)之一，于1994年提出來，一般在路由器上安裝NAT軟甲來實(shí)現(xiàn)，所有本地地址的主機(jī)在和外界通信時(shí)，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。

NAT的典型應(yīng)用是將使用私有IP地址（RFC 1918）的園區(qū)網(wǎng)絡(luò)連接到Internet，NAT技術(shù)的應(yīng)用有效地解決了內(nèi)部網(wǎng)路私有IP地址如何訪問Internet的難題，這樣公司就不需要再給內(nèi)部網(wǎng)絡(luò)中的每個(gè)設(shè)備都分配公有IP地址，既避免了公有地址的浪費(fèi)，又節(jié)省了申請(qǐng)公有IP地址的費(fèi)用，同時(shí)也緩解了IPV4地址空間被耗盡的速度。

1.4 RIP協(xié)議簡(jiǎn)介

RIP[1-3]（Routing Information Protocol）是內(nèi)部網(wǎng)關(guān)協(xié)議IGP中最先得到廣泛應(yīng)用的協(xié)議[RFC1058]，其中文名為路由信息協(xié)議。RIP是一種分布式的基于距離向量的路由選擇協(xié)議，使用距離矢量來決定最優(yōu)路徑，就是提供跳數(shù)（hop count）作為尺度來衡量路由距離。跳數(shù)（hop count）是一個(gè)報(bào)文從本節(jié)點(diǎn)到目的節(jié)點(diǎn)中途徑的中轉(zhuǎn)次數(shù)，也就是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過的路由器的數(shù)目。RIP最大的特點(diǎn)就是實(shí)現(xiàn)原理和配置方法都很簡(jiǎn)單，適用于小規(guī)模和缺乏專業(yè)人員維護(hù)的網(wǎng)絡(luò)。但是它有時(shí)候不能準(zhǔn)確地選擇最佳路徑，收斂時(shí)間也比較長(zhǎng)。RIP允許一條路徑最多只能包含15個(gè)路由器，路由器為16時(shí)即為不可達(dá)。因此RIP不適合大型復(fù)雜的網(wǎng)絡(luò)。

1.5使用兩者的好處

OSPF可以使企業(yè)內(nèi)網(wǎng)有條不紊地工作，而NAT可以使企業(yè)內(nèi)網(wǎng)和外網(wǎng)比較完美地結(jié)合，將兩者結(jié)合在一起，企業(yè)網(wǎng)的內(nèi)外問題就可以同時(shí)得到解決。

1.6局限性

圖1 基于OSPF和NAT的企業(yè)網(wǎng)

首先是OSPF的路由負(fù)載均衡能力比較差，當(dāng)去往同一目的的路由優(yōu)先級(jí)相同時(shí)，才能實(shí)現(xiàn)負(fù)載分擔(dān)；當(dāng)優(yōu)先級(jí)不同時(shí)，OSPF只會(huì)選擇優(yōu)先級(jí)較高的轉(zhuǎn)發(fā)，優(yōu)先級(jí)不同的路由，不能達(dá)到負(fù)載分擔(dān)的目的。其次就是該NAT更多的功能僅僅就是實(shí)現(xiàn)了地址轉(zhuǎn)換，而真正在網(wǎng)絡(luò)安全上起到的作用就可以說是微乎其微了。真正的網(wǎng)絡(luò)安全就要通過防火墻等來實(shí)現(xiàn)。

2 實(shí)驗(yàn)仿真

本次實(shí)驗(yàn)拓?fù)淅盟伎艭isco Packet Tracer模擬器搭建，為了保證企業(yè)網(wǎng)的可靠性，該企業(yè)網(wǎng)內(nèi)部部署了R1和R2兩臺(tái)核心路由器，并通過R2連接到Internet上，出口路由器R2通過V.35線纜與一臺(tái)外部路由器R3相連。在企業(yè)網(wǎng)的內(nèi)部，R1通過三層交換機(jī)L3-SW與兩臺(tái)二層交換機(jī)相連，企業(yè)終端PC連接在二層交換機(jī)上。在三層交換機(jī)L3-SW上劃分VLAN10和VLAN20，將二層交換機(jī)L2-SW1劃分到VLAN10，將二層交換機(jī)L2-SW2劃分到VLAN20。

企業(yè)網(wǎng)內(nèi)部?jī)膳_(tái)核心路由器R1主要承擔(dān)企業(yè)網(wǎng)內(nèi)部VLAN10和VLAN20數(shù)據(jù)包和來自R2的數(shù)據(jù)包的轉(zhuǎn)發(fā)，R2主要承擔(dān)轉(zhuǎn)發(fā)來自R1和R3的數(shù)據(jù)包和NAT的任務(wù)。R1、R2、R3以及三層交換機(jī)L3-SW上配置OSPF協(xié)議，配置之后，在R1、R2之間選舉產(chǎn)生DR（指定路由器）和BDR（備份指定路由器），從而使整個(gè)網(wǎng)絡(luò)的鏈路狀態(tài)達(dá)到穩(wěn)定狀態(tài)。當(dāng)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜的時(shí)候時(shí)，使用OSPF協(xié)議就可以在短時(shí)間內(nèi)使鏈路狀態(tài)帶達(dá)到穩(wěn)定，并可以減少鏈路中的路由信息數(shù)量，有利于企業(yè)中網(wǎng)絡(luò)的穩(wěn)定。R2和R4鏈接，模擬企業(yè)網(wǎng)接入Internet，需要在R2和R4之間配置靜態(tài)路由。本實(shí)驗(yàn)是用單區(qū)域中的OSPF應(yīng)用來模擬企業(yè)網(wǎng)絡(luò)，其網(wǎng)絡(luò)拓?fù)鋱D如圖2所示：

圖2 企業(yè)網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

3 具體配置方案

3.1 IP地址分配

在三層交換機(jī)L3-SW的f0/1-2劃分到VLAN10，接口f0/3劃分到VLAN20，f0/1鏈接R1，f0/2鏈接L2-SW1，f0/3鏈接L2-SW2，終端計(jì)算機(jī)連接在二層交換機(jī)上。在R3上建立loopback接口，用于模擬公網(wǎng)目的IP，各網(wǎng)絡(luò)設(shè)備IP地址具體分配規(guī)劃方案如圖3所示：

設(shè)備名稱接口IP地址 L3-SWf0/1-2VLAN10 10.1.1.1 f0/3VLAN20 50.1.1.1 R1f0/010.1.1.2 f0/020.1.1.1 R2f0/020.1.1.2 s0/3/030.1.1.1 s0/3/1222.0.0.1 R3s0/3/030.1.1.2 Loopback040.1.1.1 R4s0/3/0222.0.0.2 f0/0192.168.1.1 PCf0192.168.1.2 Server0f0192.168.2.2

3.2核心配置

（1）OSPF協(xié)議的配置

R1(config)#router ospf 10 //在R1上啟用OSPF協(xié)議

R1(config-router)#netw 10.1.1.0 0.0.0.255 are 0 //網(wǎng)段宣告

R1(config-router)#netw 20.1.1.0 0.0.0.255 are 0 //網(wǎng)段宣告

L3-SW，R2、R3上的OSPF配置同上。

（2）配置NAT地址轉(zhuǎn)換

為了讓企業(yè)內(nèi)網(wǎng)用戶能夠訪問互聯(lián)網(wǎng)資源，并且讓外部用戶能夠訪問企業(yè)的服務(wù)器，在核心路由器R2上配置NAT地址轉(zhuǎn)換。新增路由器R4，模擬外部網(wǎng)絡(luò)，PC0模擬外網(wǎng)用戶。服務(wù)器Server0是企業(yè)園區(qū)網(wǎng)內(nèi)的一臺(tái)WEB服務(wù)器，其私有IP地址為192.168.2.2/24，現(xiàn)將其私網(wǎng)IP地址映射到全局IP地址222.0.0.3/24上，外網(wǎng)用戶可以通過訪問222.0.0.3登錄到該公司內(nèi)部的WEB服務(wù)器上。

①在R2上配置靜態(tài)路由：

R2(config)#ip route 192.168.1.0 255.255.255.0 222.0.0.2

②在R2上配置NAT轉(zhuǎn)換[5]：

R2(config)#interface fastEthernet 0/0 //進(jìn)入接口f0/0

R2(config-if)#ip NAT inside //將接口f0/0設(shè)置為企業(yè)網(wǎng)內(nèi)網(wǎng)接口

R2(config-if)#exit

R2(config)#interface serial 0/3/1 //進(jìn)入接口s0/3/1

R2(config-if)#ip NAT outside //將s0/3/1設(shè)置為外網(wǎng)接口

R2(config-if)#exit

R2(config-if)#IP NAT inside source static 192.168.2.2 222.0.0.3 // 將服務(wù)器的私有地址轉(zhuǎn)換成公有地址。

4 仿真實(shí)驗(yàn)測(cè)試

4.1測(cè)試內(nèi)網(wǎng)中各個(gè)設(shè)備的連通性

（1） 用ping命令測(cè)試L3-SW訪問服務(wù)器的連通性

L3-SW#ping 192.168.2.2（如圖4）。

圖4 L3-SW訪問內(nèi)網(wǎng)服務(wù)器

（2） 用ping命令測(cè)試L3-SW訪問R3的連通性

L3-SW#ping 40.1.1.1（如圖5）。

圖5 L3-SW訪問R3的連通性

4.2驗(yàn)證NAT服務(wù)

（1）在服務(wù)器上開啟http服務(wù)，在index.html文件下上編寫簡(jiǎn)單的HTML語句；

（2）在外網(wǎng)PC機(jī)上登錄Web Browser，訪問轉(zhuǎn)換后的公網(wǎng)IP，可以訪問；

（3）在外網(wǎng)PC機(jī)上登錄Web Browser，訪問其私有IP，無法訪問；

（4）將某一域名與該企業(yè)的共有IP地址綁定（也可以和私有IP綁定）。

在WEB服務(wù)器上，同時(shí)開啟DNS域名服務(wù)，將公網(wǎng)IP地址222.0.0.3與www.test.com綁定；同時(shí)在PC上設(shè)置DNS服務(wù)器，其IP地址為222.0.0.3，進(jìn)行域名解析；此時(shí)即可在外網(wǎng)PC機(jī)上登錄Web Browser，訪問www.test.com，可以訪問。

5 結(jié)論

本文解決了企業(yè)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定和與外部網(wǎng)絡(luò)通信的問題，在企業(yè)網(wǎng)內(nèi)部部署OSPF協(xié)議，保證企業(yè)網(wǎng)內(nèi)部的穩(wěn)定和正常通信。對(duì)于大型企業(yè)來說，其企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較復(fù)雜，在其內(nèi)網(wǎng)配置OSPF協(xié)議可以使企業(yè)網(wǎng)內(nèi)部鏈路狀態(tài)快速收斂，減少網(wǎng)絡(luò)鏈路中的信息量。在IPV4地址日趨緊張的情況下，企業(yè)網(wǎng)使用NAT就顯得尤為重要，一是可以緩解全球IPV4地址緊張的壓力，二是可以為企業(yè)節(jié)約申請(qǐng)IPV4地址的資金，在一定程度上還可以抵御來自外網(wǎng)攻擊，保證企業(yè)網(wǎng)絡(luò)的安全。

基于單區(qū)域中的OSPF應(yīng)用來模擬企業(yè)網(wǎng)絡(luò)，還沒有涉及防火墻的配置和VLAN的劃分，在以后的學(xué)習(xí)實(shí)驗(yàn)中，應(yīng)該嘗試模擬更加全面的企業(yè)網(wǎng)，包括VLAN的劃分、防火墻、WIFI等。

企業(yè)網(wǎng)的穩(wěn)定和企業(yè)內(nèi)部的路由控制策略也有著很大的關(guān)系，這也是我以后學(xué)習(xí)和研究的主要方向。一個(gè)企業(yè)網(wǎng)不可能只用某一個(gè)單一的路由協(xié)議，應(yīng)該在不同的區(qū)域或者不同的場(chǎng)景選擇合適的協(xié)議，這樣從多方面上保證企業(yè)網(wǎng)絡(luò)的安全和穩(wěn)定。

[1]高霞，陳智罡，袁宗福.網(wǎng)絡(luò)設(shè)備互連學(xué)習(xí)指南[M].北京:科學(xué)出版社，2009.

[2]杭州華三通信技術(shù)有限公司.H3C大規(guī)模路由技術(shù)V7.0 [M].浙江:杭州華三通信技術(shù)有限公司，2017.

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社，2003.

[4]段寧華.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用與實(shí)踐教程[M].北京:清華大學(xué)出版社，2007.

[5]王達(dá).Cisco路由器配置與管理完全手冊(cè)（第二版）[M].北京:中國(guó)水利水電出版社，2013.

[6]張鋼, 黃小波.思科虛擬實(shí)驗(yàn)平臺(tái)的構(gòu)建[J].實(shí)驗(yàn)室研究與探索，2010.

[7]陳英，馬洪濤.NAT技術(shù)的研究與應(yīng)用[J].實(shí)驗(yàn)室研究與探索，2007.

[8]桑世慶，盧小慧.交換機(jī)/路由器配置與管理[M].北京:人民郵電出版社，2010.

國(guó)家自然科學(xué)基金面上項(xiàng)目（編號(hào)：61772180）：基于深度學(xué)習(xí)的非結(jié)構(gòu)化大數(shù)據(jù)分析算法研究。