大型校園網(wǎng)OSPF安全性優(yōu)化研究和實現(xiàn)

蔣 億 項 卓 金卓義 胡耀輝 尹向東

（湖南科技學(xué)院 計算機與通信工程系，湖南 永州 425199）

1 引言

現(xiàn)今許多高等院校辦學(xué)規(guī)模越來越大，特別是有多所學(xué)校合并的高校，由于很多分校地理上分布范圍比較遠，可以達到幾公里甚至十幾公里，校園網(wǎng)規(guī)模也隨之越來越大，許多高校校園網(wǎng)采用了 OSPF路由協(xié)議。在具體的網(wǎng)絡(luò)環(huán)境中，部署OSPF路由協(xié)議有很多具體的問題，尤其是安全方面的問題。下面以湖南科技學(xué)院為例，具體分析幾種可能在現(xiàn)實的大型校園網(wǎng)中會出現(xiàn)的影響OSPF安全性的問題。

2 大型校園網(wǎng)OSPF路由安全控制

2.1 非骨干區(qū)域分割匯總路由控制

如圖 1所示是模擬湖南科技學(xué)院校園網(wǎng)的網(wǎng)絡(luò)拓撲環(huán)境，其中R1，R2，R3，R4組成區(qū)域0；R1，R2，R7，R8組成區(qū)域2。R7下面接一個網(wǎng)絡(luò)192.168.20.0/24，R8下面接一個網(wǎng)絡(luò)192.168.25.0/24，同時我們在R1與R2上做路由匯總area 2 range 192.168.0.0 255.255.0.0，在正常情況下，整個網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)不會有問題。然而當R7與R8之間的鏈路斷后，區(qū)域2將被分割。

正常情況下，當我們做好區(qū)域間路由匯總后，區(qū)域邊界路由器 (ABR，Area Border Router)上會自動產(chǎn)生一條指向匯總后路由的黑洞路由[1]。例如在上面的例子中為192.168.0.0/16 is a summary, 00:00:48, Null0。當R7與R8之間鏈路故障后，R1上將不會有去往192.168.25.0/24的路由。將有數(shù)據(jù)被轉(zhuǎn)發(fā)到R1上時，就會根據(jù)路由匹配的最精確（最長掩碼的原則）匹配路由192.168.0.0/16 Null0，最終R1將丟棄這個數(shù)據(jù)包。從而影響數(shù)據(jù)包的正常轉(zhuǎn)發(fā)。

圖1.區(qū)域分割圖

針對上述問題，我們提出的解決方案為在R1與R2之間增加一條鏈路，或者為R1與R2之間的鏈路增加子接口。而后把新增加的子接口與鏈路發(fā)布在區(qū)域2中。這樣在Area 2的R7，R8之間的鏈路斷后，區(qū)域仍然不會被分割。

2.2 外部路由傳播控制

在大型校園網(wǎng)絡(luò)中，一般擁有一個總部和很多分部，有可能總部與分部通過骨干網(wǎng)絡(luò)相連，同時骨干網(wǎng)絡(luò)為區(qū)域0，其它分部，總部是非骨干區(qū)域，與骨干區(qū)域相連。分部與其它分部與總部相互訪問就通過骨干區(qū)域，而各個分部訪問當?shù)劂y行，政府，Internet等。則是各自通過不同的 ISP接入點。這樣分部就可能會引入訪問Internet等的缺省路由，這樣，在不做任何保護措施與控制的情況下，這些缺省路由會傳播到其它區(qū)域[2]。現(xiàn)在則要求各分部的外網(wǎng)訪問業(yè)務(wù)不能影響總部和其它分部。

針對上述問題，我們采用了各分部子網(wǎng)與外網(wǎng)對接使用靜態(tài)路由的措施，并將這此外部路由重發(fā)布至OSPF。各分部子網(wǎng)都在各自NSSA區(qū)域中，控制外部路上不讓其擴散至Area0，只需在相應(yīng)的ABR上做外部路由過濾即可。

2.3 區(qū)域間路由傳播控制

各個分部的網(wǎng)絡(luò)可能有不同的網(wǎng)絡(luò)管理者，分部網(wǎng)絡(luò)可能會自己私自改變發(fā)布到自己區(qū)域內(nèi)的路由，同時這個網(wǎng)絡(luò)的改變可能會影響到整個校園網(wǎng)絡(luò)，包括其它的分部與總部，這樣使得整個網(wǎng)絡(luò)極不穩(wěn)定。

此時我們使用了路由策略控制OSPF的3類路由。這樣可以防止區(qū)域間傳播錯誤的路由。隔離區(qū)域內(nèi)亂配地址，錯配地址對其它區(qū)域的影響。

前綴列表示例如下：

Ip prefix-list ospf seq 5 permit 10.0.24.0/21 ge 32。

Ip prefix-list ospf seq 10 permit 10.1.24.0/21 ge 32。

Ip prefix-list ospf seq 15 permit 10.4.24.0/21 ge 32。

在OSPF中區(qū)域間路由傳播時應(yīng)用前綴列表，可以限制本區(qū)域只向其它區(qū)域傳播哪些路由，只從其它區(qū)域接受哪些路由。

圖2.區(qū)域間路由傳播控制

在如圖2所示，我們配置一個前綴列表：

Ip prefix-list ospf-area 2 seq 6 permit 172.16.25.0/24

Router ospf 1

Area 2 fillter-lis prefix ospf-area-2 out。

則作為 ABR的 R1只會向 OSPF的 Area 0傳播172.16.25.0/24路由，其它的路由不會向Area 0傳播。

3 實驗測試

本文的實驗環(huán)境使用GNS3模擬器來實現(xiàn)，對應(yīng)圖1 中所示的設(shè)備，分別配置 R1-R8八個路由器，下面從三個方面來進行實驗：

3.1 解決非骨干區(qū)域路由匯總可達性問題

R3(config)#interface FastEthernet1/0.24

R3(config-if)#Encapsolution dot1q 24

R3(config-if)#Ip add 10.1.24,1 255.255.255.252

R4(config)#interface FastEthernet1/0.24

R4(config-if)#Encapsolution dot1q 24

R4(config-if)#Ip add 10.1.24,2 255.255.255.252

3.2 OSPF外部路由傳播控制

R3：Router ospf 1

Summary-address 0.0.0.0 0.0.0.0 not-advertise

3.3 OSPF區(qū)域間路由傳播控制

在ABR上控制所有非Area 0區(qū)域發(fā)布出來的3類路由。

R5，R6：

R5(config)#ip prefix-list ospf-a4-out seq 5 permit 10.0.32.0/21 ge 32

R5(config)#ip prefix-list ospf-a4-out seq 10 permit 10.1.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 15 permit 10.4.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 20 permit 10.5.32.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 5 permit 10.0.56.0/21 ge 32

R5(config)#ip prefix-list ospf-a7-out seq 10 permit 10.1.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 15 permit 10.4.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 20 permit 10.5.56.0/21 le 32

R5(config)#router ospf 1

R5(config-router)# area 4 filter-list prefix ospf-a5-out out

R5(config-router)# area 7 filter-list prefix ospf-a5-out out

通過上述路由器關(guān)鍵命令配置，實驗結(jié)果表明OSPF網(wǎng)絡(luò)中非骨干區(qū)域路由、外部路由傳播、區(qū)域間路由傳播均得到了有效控制。

4 小結(jié)

本文從非骨干區(qū)域路由匯總可達性，OSPF外部路由傳播控制，OSPF區(qū)域間路由傳播控制等3個方面研究和實現(xiàn)了大型校園網(wǎng)OSPF安全性優(yōu)化設(shè)計。對于OSPF的安全優(yōu)化設(shè)計，最重要的就是根據(jù)經(jīng)驗把握好區(qū)域的設(shè)計。同時在具體分析網(wǎng)絡(luò)組網(wǎng)需求的情況下，盡時的減少路由器的路由表，從而得到更優(yōu)的網(wǎng)絡(luò)安全性能。

[1]Thomas M.Thomas II著.盧澤新,彭偉,白建軍譯.OSPF網(wǎng)絡(luò)設(shè)計解決方案(第二版)[M].北京:人民郵電出版社,2008.

[2]王云,黃曉彤,楊陟卓.網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成(第 2版)[M].北京:清華大學(xué)出版社,2010.