OSPF協議在構建大中型網絡中的應用分析

王龍珍 孫志軍 楊靜 那剛 胡海旭

摘 ?要：OSPF協議應用廣泛，其特性對網絡體系結構將產生重要影響。結合本單位大中型網絡組網案例，在分析OSPF協議及其工作原理的基礎上，對OSPF協議在大中型網絡構建中的運用方法展開了分析，對網絡拓撲結構、路由機制和安全的設計與實現內容進行了探討。從OSPF協議應用效果來看，可以通過各種網絡測試，因此OSPF協議的配置能夠保證網絡的安全性和可靠性。

關鍵詞：OSPF協議;大中型網絡;路由機制

中圖分類號：TN915.04 ? ? 文獻標識碼：A 文章編號：2096-4706（2020）15-0073-03

Abstract：The OSPF protocol is widely used and will have an important impact on the network architecture. Combined with the large and medium-sized network networking cases of our company，based on the analysis of OSPF protocol and its working principle，this paper analyzes the application of OSPF in the construction of large and medium-sized networks，and discusses the design and implementation of network topology，routing mechanism and security. From the perspective of the application effect of the OSPF protocol，it can pass various network tests，so the configuration of the OSPF protocol can ensure the security and reliability of the network.

Keywords：OSPF protocol;large and medium-sized network;routing mechanism

0 ?引 ?言

隨著信息網絡的快速發展，采用傳統靜態路由組建的網絡架構已經無法滿足大中型網絡運行管理要求，因為在組網過程中，將有大量路由信息產生。OSPF作為動態路由協議的一種，在企業內部網絡中得到廣泛應用，具有收斂快等優良特性，能夠為大中型網絡組網提供支持。結合筆者在組網實踐工作中的經驗可知，采用OSPF協議實現網絡路由合理部署，在多區域實施OSPF配置，能夠實現大中型網絡擴展，并且加強網絡安全動態管理，使網絡運維效率得到提高。

1 ?OSPF協議概述與工作原理

1.1 ?OSPF協議概述

OSPF協議為開源協議，擁有較高泛用性。Internet工程任務組利用IETF進行OSPF協議開發時，需要為IP協議提供路由功能，工作在IP層上。作為基于鏈路狀態的路由協議，OSPF協議框架中的路由器能夠向管理域中其他路由器發送鏈路狀態廣播信息，其中包含接口、量度等各種信息[1]。對OSPF進程進行開啟前，應先對相關鏈路信息進行收集，然后利用路由算法完成各節點最優路徑查找。利用路由器宣告網絡接口狀態，對全網拓撲進行收集，能夠完成鏈路狀態數據庫建設，得到最短路徑。根據連接源和目標設備鏈路狀態，能夠選擇對應的路由協議。

1.2 ?OSPF工作原理

從OSPF的工作原理來看，需要將一臺路由器制定為DR，用于對所有路由信息進行接收，然后發送至網段內其他路由器。在非DR路由器之間，則不交換任何路由信息。采用OSPF協議將一個自治系統（AS）劃分為多個區域（Area），大致可以分為兩類，一類用無符號數字標識[2]。具體來講，就是用0對骨干網進行標識。在不同區域，網絡鏈路狀態數據廣播數據包（LSA）將被阻擋，使各路由器維護和存儲信息得以減少。采用SPF算法，各路由器到OSPF路由器距離稱為OSPF的Cost，滿足Cost=100×106/鏈路帶寬，帶寬單位為bps。將查找到的最小開銷路徑加入路由表，可以順利建立網絡通信。采用OSPF協議路由器對路由器的路由表進行學習，能夠降低網絡維護難度。

1.3 ?OSPF組網模式描述

應用OSPF協議進行組網，按分層結構劃分為骨干區和非骨干區兩種區域，使鏈路狀態數據庫（LSDB）的區域規模得到縮小，減少路由器性能損耗，降低協議門檻。通過分區管理，在網絡因拓撲變化發生震蕩時，其他區域不會受到影響。而骨干區域能夠實現路由學習中轉，非骨干區無法實現直接連接，因此能夠對區域環路進行規避。采用OSPF協議組網，包含Broadcast、NBMA、P2P、P2MP四種，前三種網絡分別對應二層網絡為Ethernet、幀中繼、PPP或HDLC的情況，P2MP則無對應二層網絡，需要加強轉換。在不同類型網絡中，需要發送間隔不同的Hello報文，部分網絡需要與DR和BDR相配合。

2 ?OSPF協議在大中型網絡組網中的設計與實現

2.1 ?項目概況

某單位總部自行構建網絡信息管理平臺，計劃應用OSPF協議實現大中型網絡建設，實現單位安全管理區、計算存儲區和辦公/管理網絡和無線網絡組網，通過合理配置網絡內部路由協議保證內部信息傳輸效率和質量。

2.2 ?拓撲結構設計

在大中型網絡組網中應用OSPF協議，需要采用網狀網應用架構。如圖1所示為單位信息網絡總體拓撲結構圖。核心區域包含核心交換機、匯聚交換機、防火墻、路由器、無線控制器和安防監控等設備，需要部署兩臺核心交換SW1和SW2與兩臺防火墻雙鏈路連接，匯聚交換機雙鏈路上行至核心交換機。出口路由配合OSPF協議，能夠形成交換骨干網絡，避免因單個鏈路終端或個別設備故障導致網絡出現單點故障。

全網除接入交換機外的區域均部署了OSPF路由協議。核心區域通過OSPF協議將兩組防火墻與兩組核心交換機之間構成主備通道。在業務系統眾多且終端數量不斷增加的情況下，采用主備模式進行路由動態更新和數據轉發，能夠使網絡交換的連續性和可靠性都得到保障。各區域終端直連接入層交換機，接入交換機以TRUNK模式上連至匯聚交換機，這種二層連接方式能夠為網絡邊界提供多元化保護。

2.3 ?路由機制設計與實現

在路由機制設計上，采用路由器與路由交換機搭建的OSPF網絡均定義在一個area 0.0.0.0區域。各條鏈路通過配置Cost值決定數據傳輸優先級。在互聯網出口路由器中部署默認路由并創建1類LSA，在區域中泛洪，能夠使各路由節點獲得默認路由，將訪問外部網絡的數據逐條轉發至出口設備，避免通過手動逐一配置路由。

在核心網區域，主用核心交換機與計算存儲區的主用匯聚交換機和備用匯聚交換機、兩臺核心交換機、與無線網絡區域兩臺匯聚交換機、與辦公區匯聚交換機連接時的Cost值為默認，備用核心交換機與兩臺匯聚交換機、與無線網絡區域兩臺匯聚交換機、與辦公區匯聚交換機連接時Cost值均為10，在與外部互聯區域連接過程中，主用核心交換機與主用防火墻間Cost值為5，與備用Cost值為20，備用核心交換機與主用防火墻Cost值為20，與備用防火墻間Cost值為10。而在與出口路由器連接方面，無論主備全部配置Cost值為10。在與分支機構互聯中，電信數字電路配置Cost值為10，聯通數字電路配置Cost值為5。Cost值越小，說明路徑的優先級越高。在路由中，默認Cost鏈路的級別優先于Cost值為10鏈路的級別。因此根據Cost值的配置情況，能夠對各條鏈路通信進行管理，如在兩臺核心交換機和防火墻設備之間，可以得到路由順序由高到低依次為：

（1）核心交換機SW1至防火墻FW1;

（2）核心交換機SW2至防火墻FW2;

（3）核心交換機SW1至防火墻FW2;

（4）核心交換機SW2至防火墻FW1。

設備鏈路正常情況下按照上述順序進行數據傳輸，當主用線路發生故障時，數據會通過第二條線路傳輸。在切換路由優先順序的同時，路由表將隨之改變。在防火墻區域部署OSPF路由協議時，采取了智能選路與鏈路負載均衡機制，能夠使數據可靠交換。通過鏈路間冗余設備進行備份，能夠保證網絡可靠連接。

2.4 ?安全設計與實現

在大中型網絡中部署OSPF協議，需要通過Hello報文建立鄰居關系。在網絡鏈路狀態更新時，則要利用LSU報文進行信息發送。為保證區域內網絡連接的安全性，需要在路由器建立連接關系和發送Hello報文時進行驗證，確認發送方和接收方擁有相同報文標志位，然后建立連接。采用OSPF協議，能夠為報文驗證提供支持。在實踐設計中，可以采用兩種認證方式，分別為區域認證和鏈路接口認證。實施區域認證，要求相同區域內路由設備采取相同認證模式和口令。采取鏈路接口認證方式，要求針對鄰居設置認證模式和密碼，認證方式相對靈活。在大中型網絡建構過程中，可以優先采用鏈路接口認證方式，通過MD5認證完成秘鑰傳送。采用的密鑰經過MDS加密后，能夠保證數據傳輸安全。在方法實現過程中，可以將密碼設置為Auth Data。在建立鄰居關系的過程中，需要確保兩端采用相同的加密方式和密碼，然后才能建立連接[3]。由于采用的不是明文密碼，因此不會輕易被盜取，能夠保證網絡連接和數據傳輸的安全性。

3 ?OSPF協議在大中型網絡中的應用效果

為確定OSPF協議在該網中部署的正確性及應用效果，需對設計的單位網絡進行測試。在網絡連接方面，進行連通性測試。在完成網絡參數設置后，檢查確認正確，可通過網管電腦PING各網元接口，并進行32 byte、64 byte、1 024 byte幀長度發送。在各節點之間，丟包率較低，基本為0，平均時延在1 024 byte幀長度下不超28 ms，因此能夠實現可靠連接。

在網絡可靠性測試中，當設備鏈路狀態均正常時，測試用戶位于計算存儲區域，Tracert電信網關IP，在最多30個躍點跟蹤條件下的時延不超6 ms，如圖2所示。在對互聯網數據進行訪問時，用戶數據依次通過用戶網關、核心交換機、防火墻、出口路由器經運營商網絡轉發至目標。將測試PC接入備用匯聚交換機，進行鏈路中斷故障測試，能夠通過Hello報文獲得鄰居狀態信息，并及時進行路由表更新和完成數據轉發。

經過測試，可以確定利用OSPF協議構建的大中型網絡能夠實現科學組網，連通性良好，并能夠在最優路徑發生故障時實現數據流量自動切換，保證路由可達，繼而使網絡的安全性得到保障。

4 ?結 ?論

在大中型網絡中應用OSPF協議，能夠使網絡得到區域化和層次化管理，劃分為核心區、匯聚區和接入區，通過將接入設備匯聚在一起實現高效管理。合理進行OSPF路由協議部署，能夠根據網絡拓撲結構變化進行鏈路動態調整，使網絡連接的可靠性得到保障。通過加密認證，能夠加強網絡安全性管理，使數據信息的傳輸質量得到提升。

參考文獻：

[1] 李竹申.探討OSPF協議的基本原理與實現 [J].電腦知識與技術，2019，15（27）：30-31.

[2] 孟旭瑩，李鵬，馮相榕.OSPF特殊區域網絡原理分析及應用 [J].計算機與網絡，2019，45（14）：65-68.

[3] 李炳彰，王俊芳，趙松，等.基于DBD報文脆弱性的OSPF協議安全測試 [J].網絡安全技術與應用，2019（7）：17-19.

作者簡介：王龍珍（1985—），男，漢族，甘肅隴南人，館員，本科，研究方向：計算機網絡及物聯網。