OSPF特殊區(qū)域網(wǎng)絡(luò)原理分析及應(yīng)用

孟旭瑩 李鵬 馮相榕

摘要：OSPF協(xié)議在公司或校園網(wǎng)絡(luò)體系中應(yīng)用廣泛，對(duì)目前網(wǎng)絡(luò)體系結(jié)構(gòu)有重要影響。對(duì)OSPF協(xié)議進(jìn)行分析，對(duì)其運(yùn)行機(jī)理展開(kāi)論述，并對(duì)OSPF路由協(xié)議中提出的區(qū)域理念及其特殊區(qū)域進(jìn)行了研究，基于陜西師范大學(xué)網(wǎng)絡(luò)架構(gòu)，引入?yún)^(qū)域間密文認(rèn)證以加強(qiáng)校園網(wǎng)絡(luò)環(huán)境的安全性，通過(guò)仿真實(shí)驗(yàn)對(duì)Stub區(qū)域與普通區(qū)域、完全Stub區(qū)域及NSSA區(qū)域進(jìn)行了對(duì)比及總結(jié)，驗(yàn)證了區(qū)域劃分及密文認(rèn)證方法的正確性和有效性。

關(guān)鍵詞：OSPF協(xié)議；區(qū)域；Stub區(qū)域；NSSA區(qū)域；MD5驗(yàn)證

中圖分類號(hào)：TP301.6文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2019）14-65-4

0引言

目前廣泛使用的互聯(lián)網(wǎng)主要是基于IP協(xié)議，IP路由協(xié)議分為內(nèi)部網(wǎng)關(guān)路由協(xié)議和外部網(wǎng)關(guān)路由協(xié)議2類。在內(nèi)部網(wǎng)關(guān)路由協(xié)議中，OSPF應(yīng)用最為廣泛。與RIP協(xié)議相比，OSPF可支持大規(guī)模網(wǎng)絡(luò)，在設(shè)計(jì)上避免了環(huán)路，有著更快的收斂速度；與IS-IS相比較，OSPF有更多特性，包括路由標(biāo)簽、完全末梢區(qū)域、NSSA及虛擬鏈路等，故OSPF是一個(gè)性能較優(yōu)的協(xié)議。本文驗(yàn)證了OSPF特殊區(qū)域路由機(jī)制的有效性及密文認(rèn)證方法的安全性。

1 OSPF協(xié)議工作原理

1.1鏈路狀態(tài)型路由協(xié)議

OSPF路由協(xié)議是基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），由Internet工程任務(wù)組（IETF）開(kāi)發(fā)。OSPF協(xié)議是為IP協(xié)議提供路由功能的路由協(xié)議，直接工作于IP層之上，協(xié)議號(hào)為89。通過(guò)路由器通告網(wǎng)絡(luò)接口的狀態(tài)，收集全網(wǎng)拓?fù)?，建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成以自己為根的最短路徑樹(shù)。鏈路狀態(tài)型路由協(xié)議是基于連接源和目標(biāo)設(shè)備的鏈路狀態(tài)來(lái)決定路由的協(xié)議，鏈路狀態(tài)廣播（Link-State Advertisement，LSA）是鏈接狀態(tài)協(xié)議使用的一個(gè)分組，它包括有關(guān)鄰居和通道成本的信息。LSA報(bào)文頭的3個(gè)關(guān)鍵字：LS TYPE（LSA的類型）、Link state ID（鏈路狀態(tài)ID，不同的LSA的鏈路狀態(tài)ID不同）和Advertising Router（產(chǎn)生這條LSA的Router ID），這3個(gè)關(guān)鍵字標(biāo)識(shí)了唯一的LSA。

1.2 OSPF路由協(xié)議的運(yùn)行過(guò)程

OSPF路由協(xié)議的運(yùn)行過(guò)程分為4個(gè)步驟：①尋找“鄰居”，啟動(dòng)OSPF之后，路由器以224.0.0.5為組播地址動(dòng)態(tài)地發(fā)送Hello包，尋找可以建立連接、彼此交換路由信息的周邊設(shè)備；②選舉DR和BDR，DR和BDR用來(lái)管理一個(gè)單區(qū)域，優(yōu)先級(jí)第2的作為BDR，第1的作為DR；③同步鏈路狀態(tài)信息，使得鄰接路由器達(dá)到Full狀態(tài)；④進(jìn)行路由計(jì)算，計(jì)算區(qū)域內(nèi)的路由使用的LSA是Router-LSA，Network-LSA。路由器根據(jù)LSDB得到帶權(quán)有向圖，依據(jù)SPF算法，以每個(gè)路由器為根計(jì)算其到每個(gè)目標(biāo)路由器的距離，根據(jù)數(shù)據(jù)庫(kù)計(jì)算出路由域的拓?fù)浣Y(jié)構(gòu)圖，即最短路徑樹(shù)。OSPF動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)狀態(tài)，發(fā)生變化則迅速擴(kuò)散，以達(dá)到對(duì)網(wǎng)絡(luò)拓?fù)涞目焖倬酆希_定出新的路由表。

2 OSPF的區(qū)域工作機(jī)制

2.1區(qū)域

OSPF雖然支持大型網(wǎng)絡(luò)路由管理，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，會(huì)形成十分龐大的數(shù)據(jù)存儲(chǔ)量。一方面容易導(dǎo)致數(shù)據(jù)庫(kù)溢出；另一方面，當(dāng)網(wǎng)絡(luò)中某一鏈路狀態(tài)發(fā)生變化時(shí)，整個(gè)網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都需要重新計(jì)算一遍自己的路由表，這樣既浪費(fèi)資源和時(shí)間，又影響性能。所以，OSPF將大型網(wǎng)絡(luò)分成若干個(gè)小型網(wǎng)絡(luò)進(jìn)行管理，在分層過(guò)程中可以實(shí)現(xiàn)區(qū)域隔離，隱藏內(nèi)部區(qū)域，降低受其他路由區(qū)域錯(cuò)誤路由信息的影響。

2.2 OSPF的特殊區(qū)域網(wǎng)絡(luò)原理分析

Stub區(qū)域就是對(duì)區(qū)域十分典型的應(yīng)用。Stub區(qū)域內(nèi)的路由器不需要記錄外部地址，當(dāng)它們要把數(shù)據(jù)包傳送至OSPF之外時(shí)，只需把數(shù)據(jù)包交給ABR，再由ABR與外部建立連接進(jìn)行傳送，此時(shí)ABR會(huì)產(chǎn)生一條0.0.0.0的默認(rèn)路由并通告給整個(gè)Stub區(qū)域內(nèi)的路由器，即內(nèi)部路由器對(duì)外溝通的默認(rèn)網(wǎng)關(guān)。使得域內(nèi)路由器OSPF數(shù)據(jù)庫(kù)、路由表以及路由信息傳遞量都會(huì)大大減少，Stub區(qū)域只攜帶區(qū)域內(nèi)路由和區(qū)域間的路由。所以，Stub區(qū)域是一個(gè)不允許AS外部LSA在其內(nèi)部泛洪的區(qū)域，并且默認(rèn)路由只會(huì)泛洪到本Stub區(qū)域，不會(huì)傳遞到其他的區(qū)域。

完全Stub區(qū)域是所有區(qū)域中最受限制的區(qū)域，它不能攜帶外部路由，也不能攜帶區(qū)域間的路由，只能攜帶區(qū)域內(nèi)的路由。區(qū)域內(nèi)路由器的OSPF數(shù)據(jù)庫(kù)和路由表規(guī)模以及路由信息的傳遞量較Stub區(qū)域有大幅度降低，設(shè)備要求的性能更低。為了到達(dá)區(qū)域外的路由，該區(qū)域的ABR生成一條缺省路由0.0.0.0，需要到該區(qū)域外部的路由都必須通過(guò)ABR。

NSSA區(qū)域是為了彌補(bǔ)Stub區(qū)域的缺陷而引進(jìn)的一種新概念，取消了Stub關(guān)于ASE（引入的外部路由協(xié)議的路由信息）的雙向傳播的限制，改為單向限制。在NSSA區(qū)域中，存在ASBR，雖然不接受4類和5類LSA，但是區(qū)域可引入外部路由，引入的路由以7類LSA的形式通告出去，能將外部路由發(fā)送給其他區(qū)域。7類LSA是NSSA新定義的一種LSA，它的頭部與5類的頭部信息基本相同，只是type字段不同。

Stub區(qū)域、完全Stub區(qū)域和NSSA對(duì)比如表1所示。

3實(shí)驗(yàn)仿真

3.1拓?fù)浣Y(jié)構(gòu)的搭建

基于華為的eNSP平臺(tái)，進(jìn)行拓?fù)浣Y(jié)構(gòu)的搭建。拓?fù)浣Y(jié)構(gòu)如圖1所示。

采用7臺(tái)路由器和2臺(tái)PC機(jī)進(jìn)行仿真，7臺(tái)路由器分別搭建OSPF普通區(qū)域及特殊區(qū)域，2臺(tái)PC機(jī)作為外部設(shè)備。對(duì)9臺(tái)設(shè)備的接口配置IP地址，劃分出3個(gè)OSPF區(qū)域，Area 0為骨干區(qū)域，Area 7為普通區(qū)域，對(duì)Area 11分別進(jìn)行Stub、完全Stub、NSSA和完全NSSA的配置，對(duì)比試驗(yàn)結(jié)果。

3.2外部路由的注入機(jī)制

執(zhí)行引入外部路由的操作后，在鏈路數(shù)據(jù)庫(kù)中，普通區(qū)域和NSSA區(qū)域都可顯示AS External Database。因此，普通區(qū)域和NSSA區(qū)域皆允許引入外部路由。但Stub區(qū)域無(wú)法顯示，故只有Stub區(qū)域不能引入外部路由。

3.3 LSA機(jī)制

通過(guò)對(duì)不同區(qū)域的配置，顯示其鏈路數(shù)據(jù)庫(kù)，通過(guò)數(shù)據(jù)庫(kù)的數(shù)據(jù)，可得普通區(qū)域有1，2，3，5類LSA；Stub區(qū)域沒(méi)有1，2，3類LSA和一個(gè)特殊的3類LSA；完全Stub區(qū)域在Stub區(qū)域的基礎(chǔ)上，去除了3類LSA；NSSA區(qū)域沒(méi)有4，5類LSA，但有7類LSA。普通區(qū)域依據(jù)LSA5，LSA4管理外部路由，NSSA區(qū)域依據(jù)LSA7管理外部路由，Stub區(qū)域?qū)ν獠柯酚捎须p向傳播的限制，所以沒(méi)有這3類路由，NSSA將此限制優(yōu)化為單向限制，即區(qū)域內(nèi)部的信息可以出去，此時(shí)將LSA7轉(zhuǎn)化為L(zhǎng)SA5運(yùn)作。Stub區(qū)域LSA如圖2所示。

3.4默認(rèn)路由機(jī)制

2個(gè)區(qū)域在去除了3類LSA之后變成完全區(qū)域，查看其轉(zhuǎn)發(fā)表，有一條特殊的3類LSA，指向區(qū)域外部，即缺省路由，表示的是一條默認(rèn)的路由的鏈路狀態(tài)。所以只要骨干區(qū)域中有去往其他網(wǎng)絡(luò)的鏈路通告，2種特殊區(qū)域都能到達(dá)目的區(qū)域。不同之處在于，NSSA在去除3類LSA之前，區(qū)域內(nèi)沒(méi)有一條特殊的3類LSA（默認(rèn)路由的鏈路通告），在執(zhí)行去除3類LSA命令后，自動(dòng)生成了一條特殊的3類LSA。

3.5連接建立的安全性

特殊區(qū)域通過(guò)過(guò)濾LSA機(jī)制減少了洪泛，簡(jiǎn)化了區(qū)域的管理，增強(qiáng)了安全性?；诖?，利用eNSP平臺(tái)和Wireshark工具對(duì)域內(nèi)的安全性連接進(jìn)行進(jìn)一步研究。

3.5.1 Hello報(bào)文

普通區(qū)域的標(biāo)志位為0x02，外部路由引入為Capable；完全Stub區(qū)域的標(biāo)志位等同于Stub區(qū)域，均為0x00；完全NSSA區(qū)域的標(biāo)志位等同于NSSA區(qū)域。區(qū)域內(nèi)的路由器在建立連接關(guān)系時(shí)，發(fā)送Hello報(bào)文，不同區(qū)域的報(bào)文中標(biāo)志位不同，僅當(dāng)發(fā)送方和接收方的報(bào)文標(biāo)志位一致時(shí)，二者才能建立連接，否則，無(wú)法連接傳播信息，提高了安全性。NSSA區(qū)域標(biāo)志如圖3所示。

3.5.2 2種認(rèn)證方式

安全認(rèn)證模式分為2種，一種是利用設(shè)備接口的接口認(rèn)證模式，另一種是利用OSPF區(qū)域的區(qū)域認(rèn)證模式。加密方式也分為明文和密文2種，仿真中采用的密文加密方式為MD5碼。

若采用接口方式的明文認(rèn)證方法，抓包中Auth Type為Simplepasswoed；Auth Data為設(shè)置的密碼。由實(shí)驗(yàn)可得，在鄰居建立的過(guò)程中，只有兩端采用相同的加密方式且密碼一致時(shí)，方能建立連接。明文密碼采用明示的方式，易被中間人盜取，密文安全性更高。區(qū)域密文抓包如圖4所示。

4應(yīng)用

基于對(duì)OSPF區(qū)域中特殊區(qū)域的研究，將其應(yīng)用于校園網(wǎng)絡(luò)的建設(shè)中，增加校園網(wǎng)絡(luò)的安全性和層次化、區(qū)域化的管理性。通過(guò)對(duì)一般校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的研究，延伸至陜師大的校園網(wǎng)絡(luò)建設(shè)中。

一般的校園OSPF網(wǎng)絡(luò)采取星型架構(gòu)和層次化管理，大致分為核心層、匯聚層和接入層。匯聚層將所有接入層的設(shè)備匯聚至一起傳至核心層進(jìn)行管理。在這種架構(gòu)中，NSSA特殊區(qū)域可應(yīng)用于匯聚層和接入層之間，以各個(gè)部門為一個(gè)特殊的區(qū)域，防止外部的不必要信息在部門區(qū)域內(nèi)部泛洪，增加安全性和可靠性，可應(yīng)用于陜師大的部門區(qū)域劃分中。一般校園網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示，陜師大校園網(wǎng)絡(luò)結(jié)構(gòu)如圖6所示。

5結(jié)束語(yǔ)

針對(duì)OSPF中的Stub區(qū)域的研究，通過(guò)仿真實(shí)驗(yàn)分別對(duì)各個(gè)特殊區(qū)域進(jìn)行全面分析，發(fā)現(xiàn)NSSA區(qū)域更具有普適性，且具有一定的安全性，可應(yīng)用于校園網(wǎng)絡(luò)的建設(shè)。

參考文獻(xiàn)

[1] Thomas M.Thomas II. OSPF網(wǎng)絡(luò)設(shè)計(jì)解決方案（第2版）[M].北京：人民郵電出版社，2004.

[2] Doyler J. OSPF和IS-IS詳解[M].北京：人民郵電出版社， 2014.

[3]侯安才，栗楠.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程[M].西安：西安電子科技大學(xué)出版社，2016.

[4]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2008.

[5]李丹，龍毅宏.MD5算法破解對(duì)實(shí)際應(yīng)用的影響[J].信息安全與通信保密， 2005（4）：91.

[6]張國(guó)清，車斌.路由技術(shù)（IPv4版）[M].北京：電子工業(yè)出版社，2012.

[7] Doyle J，Carroll J D.Routing TCP/IP （Volmun I：2nd Edition）[M].USA：Cisco Press，2001.

[8]張國(guó)清.最新CCNP認(rèn)證之BSCI寶典[M].北京：電子工業(yè)出版社，2007.