OSPF特殊區(qū)域網(wǎng)絡(luò)原理分析及應(yīng)用

孟旭瑩 李鵬 馮相榕

摘要：OSPF協(xié)議在公司或校園網(wǎng)絡(luò)體系中應(yīng)用廣泛，對目前網(wǎng)絡(luò)體系結(jié)構(gòu)有重要影響。對OSPF協(xié)議進行分析，對其運行機理展開論述，并對OSPF路由協(xié)議中提出的區(qū)域理念及其特殊區(qū)域進行了研究，基于陜西師范大學(xué)網(wǎng)絡(luò)架構(gòu)，引入?yún)^(qū)域間密文認證以加強校園網(wǎng)絡(luò)環(huán)境的安全性，通過仿真實驗對Stub區(qū)域與普通區(qū)域、完全Stub區(qū)域及NSSA區(qū)域進行了對比及總結(jié)，驗證了區(qū)域劃分及密文認證方法的正確性和有效性。

關(guān)鍵詞：OSPF協(xié)議；區(qū)域；Stub區(qū)域；NSSA區(qū)域；MD5驗證

中圖分類號：TP301.6文獻標志碼：A文章編號：1008-1739（2019）14-65-4

0引言

目前廣泛使用的互聯(lián)網(wǎng)主要是基于IP協(xié)議，IP路由協(xié)議分為內(nèi)部網(wǎng)關(guān)路由協(xié)議和外部網(wǎng)關(guān)路由協(xié)議2類。在內(nèi)部網(wǎng)關(guān)路由協(xié)議中，OSPF應(yīng)用最為廣泛。與RIP協(xié)議相比，OSPF可支持大規(guī)模網(wǎng)絡(luò)，在設(shè)計上避免了環(huán)路，有著更快的收斂速度；與IS-IS相比較，OSPF有更多特性，包括路由標簽、完全末梢區(qū)域、NSSA及虛擬鏈路等，故OSPF是一個性能較優(yōu)的協(xié)議。本文驗證了OSPF特殊區(qū)域路由機制的有效性及密文認證方法的安全性。

1 OSPF協(xié)議工作原理

1.1鏈路狀態(tài)型路由協(xié)議

OSPF路由協(xié)議是基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol，IGP），由Internet工程任務(wù)組（IETF）開發(fā)。OSPF協(xié)議是為IP協(xié)議提供路由功能的路由協(xié)議，直接工作于IP層之上，協(xié)議號為89。通過路由器通告網(wǎng)絡(luò)接口的狀態(tài)，收集全網(wǎng)拓撲，建立鏈路狀態(tài)數(shù)據(jù)庫，生成以自己為根的最短路徑樹。鏈路狀態(tài)型路由協(xié)議是基于連接源和目標設(shè)備的鏈路狀態(tài)來決定路由的協(xié)議，鏈路狀態(tài)廣播（Link-State Advertisement，LSA）是鏈接狀態(tài)協(xié)議使用的一個分組，它包括有關(guān)鄰居和通道成本的信息。LSA報文頭的3個關(guān)鍵字：LS TYPE（LSA的類型）、Link state ID（鏈路狀態(tài)ID，不同的LSA的鏈路狀態(tài)ID不同）和Advertising Router（產(chǎn)生這條LSA的Router ID），這3個關(guān)鍵字標識了唯一的LSA。

1.2 OSPF路由協(xié)議的運行過程

OSPF路由協(xié)議的運行過程分為4個步驟：①尋找“鄰居”，啟動OSPF之后，路由器以224.0.0.5為組播地址動態(tài)地發(fā)送Hello包，尋找可以建立連接、彼此交換路由信息的周邊設(shè)備；②選舉DR和BDR，DR和BDR用來管理一個單區(qū)域，優(yōu)先級第2的作為BDR，第1的作為DR；③同步鏈路狀態(tài)信息，使得鄰接路由器達到Full狀態(tài)；④進行路由計算，計算區(qū)域內(nèi)的路由使用的LSA是Router-LSA，Network-LSA。路由器根據(jù)LSDB得到帶權(quán)有向圖，依據(jù)SPF算法，以每個路由器為根計算其到每個目標路由器的距離，根據(jù)數(shù)據(jù)庫計算出路由域的拓撲結(jié)構(gòu)圖，即最短路徑樹。OSPF動態(tài)監(jiān)視網(wǎng)絡(luò)狀態(tài)，發(fā)生變化則迅速擴散，以達到對網(wǎng)絡(luò)拓撲的快速聚合，確定出新的路由表。

2 OSPF的區(qū)域工作機制

2.1區(qū)域

OSPF雖然支持大型網(wǎng)絡(luò)路由管理，但當(dāng)網(wǎng)絡(luò)規(guī)模較大時，會形成十分龐大的數(shù)據(jù)存儲量。一方面容易導(dǎo)致數(shù)據(jù)庫溢出；另一方面，當(dāng)網(wǎng)絡(luò)中某一鏈路狀態(tài)發(fā)生變化時，整個網(wǎng)絡(luò)中每個節(jié)點都需要重新計算一遍自己的路由表，這樣既浪費資源和時間，又影響性能。所以，OSPF將大型網(wǎng)絡(luò)分成若干個小型網(wǎng)絡(luò)進行管理，在分層過程中可以實現(xiàn)區(qū)域隔離，隱藏內(nèi)部區(qū)域，降低受其他路由區(qū)域錯誤路由信息的影響。

2.2 OSPF的特殊區(qū)域網(wǎng)絡(luò)原理分析

Stub區(qū)域就是對區(qū)域十分典型的應(yīng)用。Stub區(qū)域內(nèi)的路由器不需要記錄外部地址，當(dāng)它們要把數(shù)據(jù)包傳送至OSPF之外時，只需把數(shù)據(jù)包交給ABR，再由ABR與外部建立連接進行傳送，此時ABR會產(chǎn)生一條0.0.0.0的默認路由并通告給整個Stub區(qū)域內(nèi)的路由器，即內(nèi)部路由器對外溝通的默認網(wǎng)關(guān)。使得域內(nèi)路由器OSPF數(shù)據(jù)庫、路由表以及路由信息傳遞量都會大大減少，Stub區(qū)域只攜帶區(qū)域內(nèi)路由和區(qū)域間的路由。所以，Stub區(qū)域是一個不允許AS外部LSA在其內(nèi)部泛洪的區(qū)域，并且默認路由只會泛洪到本Stub區(qū)域，不會傳遞到其他的區(qū)域。

完全Stub區(qū)域是所有區(qū)域中最受限制的區(qū)域，它不能攜帶外部路由，也不能攜帶區(qū)域間的路由，只能攜帶區(qū)域內(nèi)的路由。區(qū)域內(nèi)路由器的OSPF數(shù)據(jù)庫和路由表規(guī)模以及路由信息的傳遞量較Stub區(qū)域有大幅度降低，設(shè)備要求的性能更低。為了到達區(qū)域外的路由，該區(qū)域的ABR生成一條缺省路由0.0.0.0，需要到該區(qū)域外部的路由都必須通過ABR。

NSSA區(qū)域是為了彌補Stub區(qū)域的缺陷而引進的一種新概念，取消了Stub關(guān)于ASE（引入的外部路由協(xié)議的路由信息）的雙向傳播的限制，改為單向限制。在NSSA區(qū)域中，存在ASBR，雖然不接受4類和5類LSA，但是區(qū)域可引入外部路由，引入的路由以7類LSA的形式通告出去，能將外部路由發(fā)送給其他區(qū)域。7類LSA是NSSA新定義的一種LSA，它的頭部與5類的頭部信息基本相同，只是type字段不同。

Stub區(qū)域、完全Stub區(qū)域和NSSA對比如表1所示。

3實驗仿真

3.1拓撲結(jié)構(gòu)的搭建

基于華為的eNSP平臺，進行拓撲結(jié)構(gòu)的搭建。拓撲結(jié)構(gòu)如圖1所示。

采用7臺路由器和2臺PC機進行仿真，7臺路由器分別搭建OSPF普通區(qū)域及特殊區(qū)域，2臺PC機作為外部設(shè)備。對9臺設(shè)備的接口配置IP地址，劃分出3個OSPF區(qū)域，Area 0為骨干區(qū)域，Area 7為普通區(qū)域，對Area 11分別進行Stub、完全Stub、NSSA和完全NSSA的配置，對比試驗結(jié)果。

3.2外部路由的注入機制

執(zhí)行引入外部路由的操作后，在鏈路數(shù)據(jù)庫中，普通區(qū)域和NSSA區(qū)域都可顯示AS External Database。因此，普通區(qū)域和NSSA區(qū)域皆允許引入外部路由。但Stub區(qū)域無法顯示，故只有Stub區(qū)域不能引入外部路由。

3.3 LSA機制

通過對不同區(qū)域的配置，顯示其鏈路數(shù)據(jù)庫，通過數(shù)據(jù)庫的數(shù)據(jù)，可得普通區(qū)域有1，2，3，5類LSA；Stub區(qū)域沒有1，2，3類LSA和一個特殊的3類LSA；完全Stub區(qū)域在Stub區(qū)域的基礎(chǔ)上，去除了3類LSA；NSSA區(qū)域沒有4，5類LSA，但有7類LSA。普通區(qū)域依據(jù)LSA5，LSA4管理外部路由，NSSA區(qū)域依據(jù)LSA7管理外部路由，Stub區(qū)域?qū)ν獠柯酚捎须p向傳播的限制，所以沒有這3類路由，NSSA將此限制優(yōu)化為單向限制，即區(qū)域內(nèi)部的信息可以出去，此時將LSA7轉(zhuǎn)化為LSA5運作。Stub區(qū)域LSA如圖2所示。

3.4默認路由機制

2個區(qū)域在去除了3類LSA之后變成完全區(qū)域，查看其轉(zhuǎn)發(fā)表，有一條特殊的3類LSA，指向區(qū)域外部，即缺省路由，表示的是一條默認的路由的鏈路狀態(tài)。所以只要骨干區(qū)域中有去往其他網(wǎng)絡(luò)的鏈路通告，2種特殊區(qū)域都能到達目的區(qū)域。不同之處在于，NSSA在去除3類LSA之前，區(qū)域內(nèi)沒有一條特殊的3類LSA（默認路由的鏈路通告），在執(zhí)行去除3類LSA命令后，自動生成了一條特殊的3類LSA。

3.5連接建立的安全性

特殊區(qū)域通過過濾LSA機制減少了洪泛，簡化了區(qū)域的管理，增強了安全性?；诖?，利用eNSP平臺和Wireshark工具對域內(nèi)的安全性連接進行進一步研究。

3.5.1 Hello報文

普通區(qū)域的標志位為0x02，外部路由引入為Capable；完全Stub區(qū)域的標志位等同于Stub區(qū)域，均為0x00；完全NSSA區(qū)域的標志位等同于NSSA區(qū)域。區(qū)域內(nèi)的路由器在建立連接關(guān)系時，發(fā)送Hello報文，不同區(qū)域的報文中標志位不同，僅當(dāng)發(fā)送方和接收方的報文標志位一致時，二者才能建立連接，否則，無法連接傳播信息，提高了安全性。NSSA區(qū)域標志如圖3所示。

3.5.2 2種認證方式

安全認證模式分為2種，一種是利用設(shè)備接口的接口認證模式，另一種是利用OSPF區(qū)域的區(qū)域認證模式。加密方式也分為明文和密文2種，仿真中采用的密文加密方式為MD5碼。

若采用接口方式的明文認證方法，抓包中Auth Type為Simplepasswoed；Auth Data為設(shè)置的密碼。由實驗可得，在鄰居建立的過程中，只有兩端采用相同的加密方式且密碼一致時，方能建立連接。明文密碼采用明示的方式，易被中間人盜取，密文安全性更高。區(qū)域密文抓包如圖4所示。

4應(yīng)用

基于對OSPF區(qū)域中特殊區(qū)域的研究，將其應(yīng)用于校園網(wǎng)絡(luò)的建設(shè)中，增加校園網(wǎng)絡(luò)的安全性和層次化、區(qū)域化的管理性。通過對一般校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)的研究，延伸至陜師大的校園網(wǎng)絡(luò)建設(shè)中。

一般的校園OSPF網(wǎng)絡(luò)采取星型架構(gòu)和層次化管理，大致分為核心層、匯聚層和接入層。匯聚層將所有接入層的設(shè)備匯聚至一起傳至核心層進行管理。在這種架構(gòu)中，NSSA特殊區(qū)域可應(yīng)用于匯聚層和接入層之間，以各個部門為一個特殊的區(qū)域，防止外部的不必要信息在部門區(qū)域內(nèi)部泛洪，增加安全性和可靠性，可應(yīng)用于陜師大的部門區(qū)域劃分中。一般校園網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示，陜師大校園網(wǎng)絡(luò)結(jié)構(gòu)如圖6所示。

5結(jié)束語

針對OSPF中的Stub區(qū)域的研究，通過仿真實驗分別對各個特殊區(qū)域進行全面分析，發(fā)現(xiàn)NSSA區(qū)域更具有普適性，且具有一定的安全性，可應(yīng)用于校園網(wǎng)絡(luò)的建設(shè)。

參考文獻

[1] Thomas M.Thomas II. OSPF網(wǎng)絡(luò)設(shè)計解決方案（第2版）[M].北京：人民郵電出版社，2004.

[2] Doyler J. OSPF和IS-IS詳解[M].北京：人民郵電出版社， 2014.

[3]侯安才，栗楠.計算機網(wǎng)絡(luò)實驗教程[M].西安：西安電子科技大學(xué)出版社，2016.

[4]謝希仁.計算機網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2008.

[5]李丹，龍毅宏.MD5算法破解對實際應(yīng)用的影響[J].信息安全與通信保密， 2005（4）：91.

[6]張國清，車斌.路由技術(shù)（IPv4版）[M].北京：電子工業(yè)出版社，2012.

[7] Doyle J，Carroll J D.Routing TCP/IP （Volmun I：2nd Edition）[M].USA：Cisco Press，2001.

[8]張國清.最新CCNP認證之BSCI寶典[M].北京：電子工業(yè)出版社，2007.