王龍珍 孫志軍 楊靜 那剛 胡海旭

摘 ?要：OSPF協(xié)議應用廣泛，其特性對網(wǎng)絡(luò)體系結(jié)構(gòu)將產(chǎn)生重要影響。結(jié)合本單位大中型網(wǎng)絡(luò)組網(wǎng)案例，在分析OSPF協(xié)議及其工作原理的基礎(chǔ)上，對OSPF協(xié)議在大中型網(wǎng)絡(luò)構(gòu)建中的運用方法展開了分析，對網(wǎng)絡(luò)拓撲結(jié)構(gòu)、路由機制和安全的設(shè)計與實現(xiàn)內(nèi)容進行了探討。從OSPF協(xié)議應用效果來看，可以通過各種網(wǎng)絡(luò)測試，因此OSPF協(xié)議的配置能夠保證網(wǎng)絡(luò)的安全性和可靠性。

關(guān)鍵詞：OSPF協(xié)議;大中型網(wǎng)絡(luò);路由機制

中圖分類號：TN915.04 ? ? 文獻標識碼：A 文章編號：2096-4706（2020）15-0073-03

Abstract：The OSPF protocol is widely used and will have an important impact on the network architecture. Combined with the large and medium-sized network networking cases of our company，based on the analysis of OSPF protocol and its working principle，this paper analyzes the application of OSPF in the construction of large and medium-sized networks，and discusses the design and implementation of network topology，routing mechanism and security. From the perspective of the application effect of the OSPF protocol，it can pass various network tests，so the configuration of the OSPF protocol can ensure the security and reliability of the network.

Keywords：OSPF protocol;large and medium-sized network;routing mechanism

0 ?引 ?言

隨著信息網(wǎng)絡(luò)的快速發(fā)展，采用傳統(tǒng)靜態(tài)路由組建的網(wǎng)絡(luò)架構(gòu)已經(jīng)無法滿足大中型網(wǎng)絡(luò)運行管理要求，因為在組網(wǎng)過程中，將有大量路由信息產(chǎn)生。OSPF作為動態(tài)路由協(xié)議的一種，在企業(yè)內(nèi)部網(wǎng)絡(luò)中得到廣泛應用，具有收斂快等優(yōu)良特性，能夠為大中型網(wǎng)絡(luò)組網(wǎng)提供支持。結(jié)合筆者在組網(wǎng)實踐工作中的經(jīng)驗可知，采用OSPF協(xié)議實現(xiàn)網(wǎng)絡(luò)路由合理部署，在多區(qū)域?qū)嵤㎡SPF配置，能夠?qū)崿F(xiàn)大中型網(wǎng)絡(luò)擴展，并且加強網(wǎng)絡(luò)安全動態(tài)管理，使網(wǎng)絡(luò)運維效率得到提高。

1 ?OSPF協(xié)議概述與工作原理

1.1 ?OSPF協(xié)議概述

OSPF協(xié)議為開源協(xié)議，擁有較高泛用性。Internet工程任務組利用IETF進行OSPF協(xié)議開發(fā)時，需要為IP協(xié)議提供路由功能，工作在IP層上。作為基于鏈路狀態(tài)的路由協(xié)議，OSPF協(xié)議框架中的路由器能夠向管理域中其他路由器發(fā)送鏈路狀態(tài)廣播信息，其中包含接口、量度等各種信息[1]。對OSPF進程進行開啟前，應先對相關(guān)鏈路信息進行收集，然后利用路由算法完成各節(jié)點最優(yōu)路徑查找。利用路由器宣告網(wǎng)絡(luò)接口狀態(tài)，對全網(wǎng)拓撲進行收集，能夠完成鏈路狀態(tài)數(shù)據(jù)庫建設(shè)，得到最短路徑。根據(jù)連接源和目標設(shè)備鏈路狀態(tài)，能夠選擇對應的路由協(xié)議。

1.2 ?OSPF工作原理

從OSPF的工作原理來看，需要將一臺路由器制定為DR，用于對所有路由信息進行接收，然后發(fā)送至網(wǎng)段內(nèi)其他路由器。在非DR路由器之間，則不交換任何路由信息。采用OSPF協(xié)議將一個自治系統(tǒng)（AS）劃分為多個區(qū)域（Area），大致可以分為兩類，一類用無符號數(shù)字標識[2]。具體來講，就是用0對骨干網(wǎng)進行標識。在不同區(qū)域，網(wǎng)絡(luò)鏈路狀態(tài)數(shù)據(jù)廣播數(shù)據(jù)包（LSA）將被阻擋，使各路由器維護和存儲信息得以減少。采用SPF算法，各路由器到OSPF路由器距離稱為OSPF的Cost，滿足Cost=100×106/鏈路帶寬，帶寬單位為bps。將查找到的最小開銷路徑加入路由表，可以順利建立網(wǎng)絡(luò)通信。采用OSPF協(xié)議路由器對路由器的路由表進行學習，能夠降低網(wǎng)絡(luò)維護難度。

1.3 ?OSPF組網(wǎng)模式描述

應用OSPF協(xié)議進行組網(wǎng)，按分層結(jié)構(gòu)劃分為骨干區(qū)和非骨干區(qū)兩種區(qū)域，使鏈路狀態(tài)數(shù)據(jù)庫（LSDB）的區(qū)域規(guī)模得到縮小，減少路由器性能損耗，降低協(xié)議門檻。通過分區(qū)管理，在網(wǎng)絡(luò)因拓撲變化發(fā)生震蕩時，其他區(qū)域不會受到影響。而骨干區(qū)域能夠?qū)崿F(xiàn)路由學習中轉(zhuǎn)，非骨干區(qū)無法實現(xiàn)直接連接，因此能夠?qū)^(qū)域環(huán)路進行規(guī)避。采用OSPF協(xié)議組網(wǎng)，包含Broadcast、NBMA、P2P、P2MP四種，前三種網(wǎng)絡(luò)分別對應二層網(wǎng)絡(luò)為Ethernet、幀中繼、PPP或HDLC的情況，P2MP則無對應二層網(wǎng)絡(luò)，需要加強轉(zhuǎn)換。在不同類型網(wǎng)絡(luò)中，需要發(fā)送間隔不同的Hello報文，部分網(wǎng)絡(luò)需要與DR和BDR相配合。

2 ?OSPF協(xié)議在大中型網(wǎng)絡(luò)組網(wǎng)中的設(shè)計與實現(xiàn)

2.1 ?項目概況

某單位總部自行構(gòu)建網(wǎng)絡(luò)信息管理平臺，計劃應用OSPF協(xié)議實現(xiàn)大中型網(wǎng)絡(luò)建設(shè)，實現(xiàn)單位安全管理區(qū)、計算存儲區(qū)和辦公/管理網(wǎng)絡(luò)和無線網(wǎng)絡(luò)組網(wǎng)，通過合理配置網(wǎng)絡(luò)內(nèi)部路由協(xié)議保證內(nèi)部信息傳輸效率和質(zhì)量。

2.2 ?拓撲結(jié)構(gòu)設(shè)計

在大中型網(wǎng)絡(luò)組網(wǎng)中應用OSPF協(xié)議，需要采用網(wǎng)狀網(wǎng)應用架構(gòu)。如圖1所示為單位信息網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)圖。核心區(qū)域包含核心交換機、匯聚交換機、防火墻、路由器、無線控制器和安防監(jiān)控等設(shè)備，需要部署兩臺核心交換SW1和SW2與兩臺防火墻雙鏈路連接，匯聚交換機雙鏈路上行至核心交換機。出口路由配合OSPF協(xié)議，能夠形成交換骨干網(wǎng)絡(luò)，避免因單個鏈路終端或個別設(shè)備故障導致網(wǎng)絡(luò)出現(xiàn)單點故障。

全網(wǎng)除接入交換機外的區(qū)域均部署了OSPF路由協(xié)議。核心區(qū)域通過OSPF協(xié)議將兩組防火墻與兩組核心交換機之間構(gòu)成主備通道。在業(yè)務系統(tǒng)眾多且終端數(shù)量不斷增加的情況下，采用主備模式進行路由動態(tài)更新和數(shù)據(jù)轉(zhuǎn)發(fā)，能夠使網(wǎng)絡(luò)交換的連續(xù)性和可靠性都得到保障。各區(qū)域終端直連接入層交換機，接入交換機以TRUNK模式上連至匯聚交換機，這種二層連接方式能夠為網(wǎng)絡(luò)邊界提供多元化保護。

2.3 ?路由機制設(shè)計與實現(xiàn)

在路由機制設(shè)計上，采用路由器與路由交換機搭建的OSPF網(wǎng)絡(luò)均定義在一個area 0.0.0.0區(qū)域。各條鏈路通過配置Cost值決定數(shù)據(jù)傳輸優(yōu)先級。在互聯(lián)網(wǎng)出口路由器中部署默認路由并創(chuàng)建1類LSA，在區(qū)域中泛洪，能夠使各路由節(jié)點獲得默認路由，將訪問外部網(wǎng)絡(luò)的數(shù)據(jù)逐條轉(zhuǎn)發(fā)至出口設(shè)備，避免通過手動逐一配置路由。

在核心網(wǎng)區(qū)域，主用核心交換機與計算存儲區(qū)的主用匯聚交換機和備用匯聚交換機、兩臺核心交換機、與無線網(wǎng)絡(luò)區(qū)域兩臺匯聚交換機、與辦公區(qū)匯聚交換機連接時的Cost值為默認，備用核心交換機與兩臺匯聚交換機、與無線網(wǎng)絡(luò)區(qū)域兩臺匯聚交換機、與辦公區(qū)匯聚交換機連接時Cost值均為10，在與外部互聯(lián)區(qū)域連接過程中，主用核心交換機與主用防火墻間Cost值為5，與備用Cost值為20，備用核心交換機與主用防火墻Cost值為20，與備用防火墻間Cost值為10。而在與出口路由器連接方面，無論主備全部配置Cost值為10。在與分支機構(gòu)互聯(lián)中，電信數(shù)字電路配置Cost值為10，聯(lián)通數(shù)字電路配置Cost值為5。Cost值越小，說明路徑的優(yōu)先級越高。在路由中，默認Cost鏈路的級別優(yōu)先于Cost值為10鏈路的級別。因此根據(jù)Cost值的配置情況，能夠?qū)Ω鳁l鏈路通信進行管理，如在兩臺核心交換機和防火墻設(shè)備之間，可以得到路由順序由高到低依次為：

（1）核心交換機SW1至防火墻FW1;

（2）核心交換機SW2至防火墻FW2;

（3）核心交換機SW1至防火墻FW2;

（4）核心交換機SW2至防火墻FW1。

設(shè)備鏈路正常情況下按照上述順序進行數(shù)據(jù)傳輸，當主用線路發(fā)生故障時，數(shù)據(jù)會通過第二條線路傳輸。在切換路由優(yōu)先順序的同時，路由表將隨之改變。在防火墻區(qū)域部署OSPF路由協(xié)議時，采取了智能選路與鏈路負載均衡機制，能夠使數(shù)據(jù)可靠交換。通過鏈路間冗余設(shè)備進行備份，能夠保證網(wǎng)絡(luò)可靠連接。

2.4 ?安全設(shè)計與實現(xiàn)

在大中型網(wǎng)絡(luò)中部署OSPF協(xié)議，需要通過Hello報文建立鄰居關(guān)系。在網(wǎng)絡(luò)鏈路狀態(tài)更新時，則要利用LSU報文進行信息發(fā)送。為保證區(qū)域內(nèi)網(wǎng)絡(luò)連接的安全性，需要在路由器建立連接關(guān)系和發(fā)送Hello報文時進行驗證，確認發(fā)送方和接收方擁有相同報文標志位，然后建立連接。采用OSPF協(xié)議，能夠為報文驗證提供支持。在實踐設(shè)計中，可以采用兩種認證方式，分別為區(qū)域認證和鏈路接口認證。實施區(qū)域認證，要求相同區(qū)域內(nèi)路由設(shè)備采取相同認證模式和口令。采取鏈路接口認證方式，要求針對鄰居設(shè)置認證模式和密碼，認證方式相對靈活。在大中型網(wǎng)絡(luò)建構(gòu)過程中，可以優(yōu)先采用鏈路接口認證方式，通過MD5認證完成秘鑰傳送。采用的密鑰經(jīng)過MDS加密后，能夠保證數(shù)據(jù)傳輸安全。在方法實現(xiàn)過程中，可以將密碼設(shè)置為Auth Data。在建立鄰居關(guān)系的過程中，需要確保兩端采用相同的加密方式和密碼，然后才能建立連接[3]。由于采用的不是明文密碼，因此不會輕易被盜取，能夠保證網(wǎng)絡(luò)連接和數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3 ?OSPF協(xié)議在大中型網(wǎng)絡(luò)中的應用效果

為確定OSPF協(xié)議在該網(wǎng)中部署的正確性及應用效果，需對設(shè)計的單位網(wǎng)絡(luò)進行測試。在網(wǎng)絡(luò)連接方面，進行連通性測試。在完成網(wǎng)絡(luò)參數(shù)設(shè)置后，檢查確認正確，可通過網(wǎng)管電腦PING各網(wǎng)元接口，并進行32 byte、64 byte、1 024 byte幀長度發(fā)送。在各節(jié)點之間，丟包率較低，基本為0，平均時延在1 024 byte幀長度下不超28 ms，因此能夠?qū)崿F(xiàn)可靠連接。

在網(wǎng)絡(luò)可靠性測試中，當設(shè)備鏈路狀態(tài)均正常時，測試用戶位于計算存儲區(qū)域，Tracert電信網(wǎng)關(guān)IP，在最多30個躍點跟蹤條件下的時延不超6 ms，如圖2所示。在對互聯(lián)網(wǎng)數(shù)據(jù)進行訪問時，用戶數(shù)據(jù)依次通過用戶網(wǎng)關(guān)、核心交換機、防火墻、出口路由器經(jīng)運營商網(wǎng)絡(luò)轉(zhuǎn)發(fā)至目標。將測試PC接入備用匯聚交換機，進行鏈路中斷故障測試，能夠通過Hello報文獲得鄰居狀態(tài)信息，并及時進行路由表更新和完成數(shù)據(jù)轉(zhuǎn)發(fā)。

經(jīng)過測試，可以確定利用OSPF協(xié)議構(gòu)建的大中型網(wǎng)絡(luò)能夠?qū)崿F(xiàn)科學組網(wǎng)，連通性良好，并能夠在最優(yōu)路徑發(fā)生故障時實現(xiàn)數(shù)據(jù)流量自動切換，保證路由可達，繼而使網(wǎng)絡(luò)的安全性得到保障。

4 ?結(jié) ?論

在大中型網(wǎng)絡(luò)中應用OSPF協(xié)議，能夠使網(wǎng)絡(luò)得到區(qū)域化和層次化管理，劃分為核心區(qū)、匯聚區(qū)和接入?yún)^(qū)，通過將接入設(shè)備匯聚在一起實現(xiàn)高效管理。合理進行OSPF路由協(xié)議部署，能夠根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)變化進行鏈路動態(tài)調(diào)整，使網(wǎng)絡(luò)連接的可靠性得到保障。通過加密認證，能夠加強網(wǎng)絡(luò)安全性管理，使數(shù)據(jù)信息的傳輸質(zhì)量得到提升。

參考文獻：

[1] 李竹申.探討OSPF協(xié)議的基本原理與實現(xiàn) [J].電腦知識與技術(shù)，2019，15（27）：30-31.

[2] 孟旭瑩，李鵬，馮相榕.OSPF特殊區(qū)域網(wǎng)絡(luò)原理分析及應用 [J].計算機與網(wǎng)絡(luò)，2019，45（14）：65-68.

[3] 李炳彰，王俊芳，趙松，等.基于DBD報文脆弱性的OSPF協(xié)議安全測試 [J].網(wǎng)絡(luò)安全技術(shù)與應用，2019（7）：17-19.

作者簡介：王龍珍（1985—），男，漢族，甘肅隴南人，館員，本科，研究方向：計算機網(wǎng)絡(luò)及物聯(lián)網(wǎng)。