王龍珍 孫志軍 楊靜 那剛 胡海旭

摘 ?要：OSPF協(xié)議應(yīng)用廣泛，其特性對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)將產(chǎn)生重要影響。結(jié)合本單位大中型網(wǎng)絡(luò)組網(wǎng)案例，在分析OSPF協(xié)議及其工作原理的基礎(chǔ)上，對(duì)OSPF協(xié)議在大中型網(wǎng)絡(luò)構(gòu)建中的運(yùn)用方法展開(kāi)了分析，對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、路由機(jī)制和安全的設(shè)計(jì)與實(shí)現(xiàn)內(nèi)容進(jìn)行了探討。從OSPF協(xié)議應(yīng)用效果來(lái)看，可以通過(guò)各種網(wǎng)絡(luò)測(cè)試，因此OSPF協(xié)議的配置能夠保證網(wǎng)絡(luò)的安全性和可靠性。

關(guān)鍵詞：OSPF協(xié)議;大中型網(wǎng)絡(luò);路由機(jī)制

中圖分類(lèi)號(hào)：TN915.04 ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）15-0073-03

Abstract：The OSPF protocol is widely used and will have an important impact on the network architecture. Combined with the large and medium-sized network networking cases of our company，based on the analysis of OSPF protocol and its working principle，this paper analyzes the application of OSPF in the construction of large and medium-sized networks，and discusses the design and implementation of network topology，routing mechanism and security. From the perspective of the application effect of the OSPF protocol，it can pass various network tests，so the configuration of the OSPF protocol can ensure the security and reliability of the network.

Keywords：OSPF protocol;large and medium-sized network;routing mechanism

0 ?引 ?言

隨著信息網(wǎng)絡(luò)的快速發(fā)展，采用傳統(tǒng)靜態(tài)路由組建的網(wǎng)絡(luò)架構(gòu)已經(jīng)無(wú)法滿足大中型網(wǎng)絡(luò)運(yùn)行管理要求，因?yàn)樵诮M網(wǎng)過(guò)程中，將有大量路由信息產(chǎn)生。OSPF作為動(dòng)態(tài)路由協(xié)議的一種，在企業(yè)內(nèi)部網(wǎng)絡(luò)中得到廣泛應(yīng)用，具有收斂快等優(yōu)良特性，能夠?yàn)榇笾行途W(wǎng)絡(luò)組網(wǎng)提供支持。結(jié)合筆者在組網(wǎng)實(shí)踐工作中的經(jīng)驗(yàn)可知，采用OSPF協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)路由合理部署，在多區(qū)域?qū)嵤㎡SPF配置，能夠?qū)崿F(xiàn)大中型網(wǎng)絡(luò)擴(kuò)展，并且加強(qiáng)網(wǎng)絡(luò)安全動(dòng)態(tài)管理，使網(wǎng)絡(luò)運(yùn)維效率得到提高。

1 ?OSPF協(xié)議概述與工作原理

1.1 ?OSPF協(xié)議概述

OSPF協(xié)議為開(kāi)源協(xié)議，擁有較高泛用性。Internet工程任務(wù)組利用IETF進(jìn)行OSPF協(xié)議開(kāi)發(fā)時(shí)，需要為IP協(xié)議提供路由功能，工作在IP層上。作為基于鏈路狀態(tài)的路由協(xié)議，OSPF協(xié)議框架中的路由器能夠向管理域中其他路由器發(fā)送鏈路狀態(tài)廣播信息，其中包含接口、量度等各種信息[1]。對(duì)OSPF進(jìn)程進(jìn)行開(kāi)啟前，應(yīng)先對(duì)相關(guān)鏈路信息進(jìn)行收集，然后利用路由算法完成各節(jié)點(diǎn)最優(yōu)路徑查找。利用路由器宣告網(wǎng)絡(luò)接口狀態(tài)，對(duì)全網(wǎng)拓?fù)溥M(jìn)行收集，能夠完成鏈路狀態(tài)數(shù)據(jù)庫(kù)建設(shè)，得到最短路徑。根據(jù)連接源和目標(biāo)設(shè)備鏈路狀態(tài)，能夠選擇對(duì)應(yīng)的路由協(xié)議。

1.2 ?OSPF工作原理

從OSPF的工作原理來(lái)看，需要將一臺(tái)路由器制定為DR，用于對(duì)所有路由信息進(jìn)行接收，然后發(fā)送至網(wǎng)段內(nèi)其他路由器。在非DR路由器之間，則不交換任何路由信息。采用OSPF協(xié)議將一個(gè)自治系統(tǒng)（AS）劃分為多個(gè)區(qū)域（Area），大致可以分為兩類(lèi)，一類(lèi)用無(wú)符號(hào)數(shù)字標(biāo)識(shí)[2]。具體來(lái)講，就是用0對(duì)骨干網(wǎng)進(jìn)行標(biāo)識(shí)。在不同區(qū)域，網(wǎng)絡(luò)鏈路狀態(tài)數(shù)據(jù)廣播數(shù)據(jù)包（LSA）將被阻擋，使各路由器維護(hù)和存儲(chǔ)信息得以減少。采用SPF算法，各路由器到OSPF路由器距離稱為OSPF的Cost，滿足Cost=100×106/鏈路帶寬，帶寬單位為bps。將查找到的最小開(kāi)銷(xiāo)路徑加入路由表，可以順利建立網(wǎng)絡(luò)通信。采用OSPF協(xié)議路由器對(duì)路由器的路由表進(jìn)行學(xué)習(xí)，能夠降低網(wǎng)絡(luò)維護(hù)難度。

1.3 ?OSPF組網(wǎng)模式描述

應(yīng)用OSPF協(xié)議進(jìn)行組網(wǎng)，按分層結(jié)構(gòu)劃分為骨干區(qū)和非骨干區(qū)兩種區(qū)域，使鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB）的區(qū)域規(guī)模得到縮小，減少路由器性能損耗，降低協(xié)議門(mén)檻。通過(guò)分區(qū)管理，在網(wǎng)絡(luò)因拓?fù)渥兓l(fā)生震蕩時(shí)，其他區(qū)域不會(huì)受到影響。而骨干區(qū)域能夠?qū)崿F(xiàn)路由學(xué)習(xí)中轉(zhuǎn)，非骨干區(qū)無(wú)法實(shí)現(xiàn)直接連接，因此能夠?qū)^(qū)域環(huán)路進(jìn)行規(guī)避。采用OSPF協(xié)議組網(wǎng)，包含Broadcast、NBMA、P2P、P2MP四種，前三種網(wǎng)絡(luò)分別對(duì)應(yīng)二層網(wǎng)絡(luò)為Ethernet、幀中繼、PPP或HDLC的情況，P2MP則無(wú)對(duì)應(yīng)二層網(wǎng)絡(luò)，需要加強(qiáng)轉(zhuǎn)換。在不同類(lèi)型網(wǎng)絡(luò)中，需要發(fā)送間隔不同的Hello報(bào)文，部分網(wǎng)絡(luò)需要與DR和BDR相配合。

2 ?OSPF協(xié)議在大中型網(wǎng)絡(luò)組網(wǎng)中的設(shè)計(jì)與實(shí)現(xiàn)

2.1 ?項(xiàng)目概況

某單位總部自行構(gòu)建網(wǎng)絡(luò)信息管理平臺(tái)，計(jì)劃應(yīng)用OSPF協(xié)議實(shí)現(xiàn)大中型網(wǎng)絡(luò)建設(shè)，實(shí)現(xiàn)單位安全管理區(qū)、計(jì)算存儲(chǔ)區(qū)和辦公/管理網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)組網(wǎng)，通過(guò)合理配置網(wǎng)絡(luò)內(nèi)部路由協(xié)議保證內(nèi)部信息傳輸效率和質(zhì)量。

2.2 ?拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

在大中型網(wǎng)絡(luò)組網(wǎng)中應(yīng)用OSPF協(xié)議，需要采用網(wǎng)狀網(wǎng)應(yīng)用架構(gòu)。如圖1所示為單位信息網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)圖。核心區(qū)域包含核心交換機(jī)、匯聚交換機(jī)、防火墻、路由器、無(wú)線控制器和安防監(jiān)控等設(shè)備，需要部署兩臺(tái)核心交換SW1和SW2與兩臺(tái)防火墻雙鏈路連接，匯聚交換機(jī)雙鏈路上行至核心交換機(jī)。出口路由配合OSPF協(xié)議，能夠形成交換骨干網(wǎng)絡(luò)，避免因單個(gè)鏈路終端或個(gè)別設(shè)備故障導(dǎo)致網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障。

全網(wǎng)除接入交換機(jī)外的區(qū)域均部署了OSPF路由協(xié)議。核心區(qū)域通過(guò)OSPF協(xié)議將兩組防火墻與兩組核心交換機(jī)之間構(gòu)成主備通道。在業(yè)務(wù)系統(tǒng)眾多且終端數(shù)量不斷增加的情況下，采用主備模式進(jìn)行路由動(dòng)態(tài)更新和數(shù)據(jù)轉(zhuǎn)發(fā)，能夠使網(wǎng)絡(luò)交換的連續(xù)性和可靠性都得到保障。各區(qū)域終端直連接入層交換機(jī)，接入交換機(jī)以TRUNK模式上連至匯聚交換機(jī)，這種二層連接方式能夠?yàn)榫W(wǎng)絡(luò)邊界提供多元化保護(hù)。

2.3 ?路由機(jī)制設(shè)計(jì)與實(shí)現(xiàn)

在路由機(jī)制設(shè)計(jì)上，采用路由器與路由交換機(jī)搭建的OSPF網(wǎng)絡(luò)均定義在一個(gè)area 0.0.0.0區(qū)域。各條鏈路通過(guò)配置Cost值決定數(shù)據(jù)傳輸優(yōu)先級(jí)。在互聯(lián)網(wǎng)出口路由器中部署默認(rèn)路由并創(chuàng)建1類(lèi)LSA，在區(qū)域中泛洪，能夠使各路由節(jié)點(diǎn)獲得默認(rèn)路由，將訪問(wèn)外部網(wǎng)絡(luò)的數(shù)據(jù)逐條轉(zhuǎn)發(fā)至出口設(shè)備，避免通過(guò)手動(dòng)逐一配置路由。

在核心網(wǎng)區(qū)域，主用核心交換機(jī)與計(jì)算存儲(chǔ)區(qū)的主用匯聚交換機(jī)和備用匯聚交換機(jī)、兩臺(tái)核心交換機(jī)、與無(wú)線網(wǎng)絡(luò)區(qū)域兩臺(tái)匯聚交換機(jī)、與辦公區(qū)匯聚交換機(jī)連接時(shí)的Cost值為默認(rèn)，備用核心交換機(jī)與兩臺(tái)匯聚交換機(jī)、與無(wú)線網(wǎng)絡(luò)區(qū)域兩臺(tái)匯聚交換機(jī)、與辦公區(qū)匯聚交換機(jī)連接時(shí)Cost值均為10，在與外部互聯(lián)區(qū)域連接過(guò)程中，主用核心交換機(jī)與主用防火墻間Cost值為5，與備用Cost值為20，備用核心交換機(jī)與主用防火墻Cost值為20，與備用防火墻間Cost值為10。而在與出口路由器連接方面，無(wú)論主備全部配置Cost值為10。在與分支機(jī)構(gòu)互聯(lián)中，電信數(shù)字電路配置Cost值為10，聯(lián)通數(shù)字電路配置Cost值為5。Cost值越小，說(shuō)明路徑的優(yōu)先級(jí)越高。在路由中，默認(rèn)Cost鏈路的級(jí)別優(yōu)先于Cost值為10鏈路的級(jí)別。因此根據(jù)Cost值的配置情況，能夠?qū)Ω鳁l鏈路通信進(jìn)行管理，如在兩臺(tái)核心交換機(jī)和防火墻設(shè)備之間，可以得到路由順序由高到低依次為：

（1）核心交換機(jī)SW1至防火墻FW1;

（2）核心交換機(jī)SW2至防火墻FW2;

（3）核心交換機(jī)SW1至防火墻FW2;

（4）核心交換機(jī)SW2至防火墻FW1。

設(shè)備鏈路正常情況下按照上述順序進(jìn)行數(shù)據(jù)傳輸，當(dāng)主用線路發(fā)生故障時(shí)，數(shù)據(jù)會(huì)通過(guò)第二條線路傳輸。在切換路由優(yōu)先順序的同時(shí)，路由表將隨之改變。在防火墻區(qū)域部署OSPF路由協(xié)議時(shí)，采取了智能選路與鏈路負(fù)載均衡機(jī)制，能夠使數(shù)據(jù)可靠交換。通過(guò)鏈路間冗余設(shè)備進(jìn)行備份，能夠保證網(wǎng)絡(luò)可靠連接。

2.4 ?安全設(shè)計(jì)與實(shí)現(xiàn)

在大中型網(wǎng)絡(luò)中部署OSPF協(xié)議，需要通過(guò)Hello報(bào)文建立鄰居關(guān)系。在網(wǎng)絡(luò)鏈路狀態(tài)更新時(shí)，則要利用LSU報(bào)文進(jìn)行信息發(fā)送。為保證區(qū)域內(nèi)網(wǎng)絡(luò)連接的安全性，需要在路由器建立連接關(guān)系和發(fā)送Hello報(bào)文時(shí)進(jìn)行驗(yàn)證，確認(rèn)發(fā)送方和接收方擁有相同報(bào)文標(biāo)志位，然后建立連接。采用OSPF協(xié)議，能夠?yàn)閳?bào)文驗(yàn)證提供支持。在實(shí)踐設(shè)計(jì)中，可以采用兩種認(rèn)證方式，分別為區(qū)域認(rèn)證和鏈路接口認(rèn)證。實(shí)施區(qū)域認(rèn)證，要求相同區(qū)域內(nèi)路由設(shè)備采取相同認(rèn)證模式和口令。采取鏈路接口認(rèn)證方式，要求針對(duì)鄰居設(shè)置認(rèn)證模式和密碼，認(rèn)證方式相對(duì)靈活。在大中型網(wǎng)絡(luò)建構(gòu)過(guò)程中，可以優(yōu)先采用鏈路接口認(rèn)證方式，通過(guò)MD5認(rèn)證完成秘鑰傳送。采用的密鑰經(jīng)過(guò)MDS加密后，能夠保證數(shù)據(jù)傳輸安全。在方法實(shí)現(xiàn)過(guò)程中，可以將密碼設(shè)置為Auth Data。在建立鄰居關(guān)系的過(guò)程中，需要確保兩端采用相同的加密方式和密碼，然后才能建立連接[3]。由于采用的不是明文密碼，因此不會(huì)輕易被盜取，能夠保證網(wǎng)絡(luò)連接和數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3 ?OSPF協(xié)議在大中型網(wǎng)絡(luò)中的應(yīng)用效果

為確定OSPF協(xié)議在該網(wǎng)中部署的正確性及應(yīng)用效果，需對(duì)設(shè)計(jì)的單位網(wǎng)絡(luò)進(jìn)行測(cè)試。在網(wǎng)絡(luò)連接方面，進(jìn)行連通性測(cè)試。在完成網(wǎng)絡(luò)參數(shù)設(shè)置后，檢查確認(rèn)正確，可通過(guò)網(wǎng)管電腦PING各網(wǎng)元接口，并進(jìn)行32 byte、64 byte、1 024 byte幀長(zhǎng)度發(fā)送。在各節(jié)點(diǎn)之間，丟包率較低，基本為0，平均時(shí)延在1 024 byte幀長(zhǎng)度下不超28 ms，因此能夠?qū)崿F(xiàn)可靠連接。

在網(wǎng)絡(luò)可靠性測(cè)試中，當(dāng)設(shè)備鏈路狀態(tài)均正常時(shí)，測(cè)試用戶位于計(jì)算存儲(chǔ)區(qū)域，Tracert電信網(wǎng)關(guān)IP，在最多30個(gè)躍點(diǎn)跟蹤條件下的時(shí)延不超6 ms，如圖2所示。在對(duì)互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行訪問(wèn)時(shí)，用戶數(shù)據(jù)依次通過(guò)用戶網(wǎng)關(guān)、核心交換機(jī)、防火墻、出口路由器經(jīng)運(yùn)營(yíng)商網(wǎng)絡(luò)轉(zhuǎn)發(fā)至目標(biāo)。將測(cè)試PC接入備用匯聚交換機(jī)，進(jìn)行鏈路中斷故障測(cè)試，能夠通過(guò)Hello報(bào)文獲得鄰居狀態(tài)信息，并及時(shí)進(jìn)行路由表更新和完成數(shù)據(jù)轉(zhuǎn)發(fā)。

經(jīng)過(guò)測(cè)試，可以確定利用OSPF協(xié)議構(gòu)建的大中型網(wǎng)絡(luò)能夠?qū)崿F(xiàn)科學(xué)組網(wǎng)，連通性良好，并能夠在最優(yōu)路徑發(fā)生故障時(shí)實(shí)現(xiàn)數(shù)據(jù)流量自動(dòng)切換，保證路由可達(dá)，繼而使網(wǎng)絡(luò)的安全性得到保障。

4 ?結(jié) ?論

在大中型網(wǎng)絡(luò)中應(yīng)用OSPF協(xié)議，能夠使網(wǎng)絡(luò)得到區(qū)域化和層次化管理，劃分為核心區(qū)、匯聚區(qū)和接入?yún)^(qū)，通過(guò)將接入設(shè)備匯聚在一起實(shí)現(xiàn)高效管理。合理進(jìn)行OSPF路由協(xié)議部署，能夠根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化進(jìn)行鏈路動(dòng)態(tài)調(diào)整，使網(wǎng)絡(luò)連接的可靠性得到保障。通過(guò)加密認(rèn)證，能夠加強(qiáng)網(wǎng)絡(luò)安全性管理，使數(shù)據(jù)信息的傳輸質(zhì)量得到提升。

參考文獻(xiàn)：

[1] 李竹申.探討OSPF協(xié)議的基本原理與實(shí)現(xiàn) [J].電腦知識(shí)與技術(shù)，2019，15（27）：30-31.

[2] 孟旭瑩，李鵬，馮相榕.OSPF特殊區(qū)域網(wǎng)絡(luò)原理分析及應(yīng)用 [J].計(jì)算機(jī)與網(wǎng)絡(luò)，2019，45（14）：65-68.

[3] 李炳彰，王俊芳，趙松，等.基于DBD報(bào)文脆弱性的OSPF協(xié)議安全測(cè)試 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：17-19.

作者簡(jiǎn)介：王龍珍（1985—），男，漢族，甘肅隴南人，館員，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及物聯(lián)網(wǎng)。