蒋 亿 项 卓 金卓义 胡耀辉 尹向东

（湖南科技学院 计算机与通信工程系，湖南 永州 425199）

1 引言

现今许多高等院校办学规模越来越大，特别是有多所学校合并的高校，由于很多分校地理上分布范围比较远，可以达到几公里甚至十几公里，校园网规模也随之越来越大，许多高校校园网采用了 OSPF路由协议。在具体的网络环境中，部署OSPF路由协议有很多具体的问题，尤其是安全方面的问题。下面以湖南科技学院为例，具体分析几种可能在现实的大型校园网中会出现的影响OSPF安全性的问题。

2 大型校园网OSPF路由安全控制

2.1 非骨干区域分割汇总路由控制

如图 1所示是模拟湖南科技学院校园网的网络拓扑环境，其中R1，R2，R3，R4组成区域0；R1，R2，R7，R8组成区域2。R7下面接一个网络192.168.20.0/24，R8下面接一个网络192.168.25.0/24，同时我们在R1与R2上做路由汇总area 2 range 192.168.0.0 255.255.0.0，在正常情况下，整个网络的数据转发不会有问题。然而当R7与R8之间的链路断后，区域2将被分割。

正常情况下，当我们做好区域间路由汇总后，区域边界路由器 (ABR，Area Border Router)上会自动产生一条指向汇总后路由的黑洞路由[1]。例如在上面的例子中为192.168.0.0/16 is a summary, 00:00:48, Null0。当R7与R8之间链路故障后，R1上将不会有去往192.168.25.0/24的路由。将有数据被转发到R1上时，就会根据路由匹配的最精确（最长掩码的原则）匹配路由192.168.0.0/16 Null0，最终R1将丢弃这个数据包。从而影响数据包的正常转发。

图1.区域分割图

针对上述问题，我们提出的解决方案为在R1与R2之间增加一条链路，或者为R1与R2之间的链路增加子接口。而后把新增加的子接口与链路发布在区域2中。这样在Area 2的R7，R8之间的链路断后，区域仍然不会被分割。

2.2 外部路由传播控制

在大型校园网络中，一般拥有一个总部和很多分部，有可能总部与分部通过骨干网络相连，同时骨干网络为区域0，其它分部，总部是非骨干区域，与骨干区域相连。分部与其它分部与总部相互访问就通过骨干区域，而各个分部访问当地银行，政府，Internet等。则是各自通过不同的 ISP接入点。这样分部就可能会引入访问Internet等的缺省路由，这样，在不做任何保护措施与控制的情况下，这些缺省路由会传播到其它区域[2]。现在则要求各分部的外网访问业务不能影响总部和其它分部。

针对上述问题，我们采用了各分部子网与外网对接使用静态路由的措施，并将这此外部路由重发布至OSPF。各分部子网都在各自NSSA区域中，控制外部路上不让其扩散至Area0，只需在相应的ABR上做外部路由过滤即可。

2.3 区域间路由传播控制

各个分部的网络可能有不同的网络管理者，分部网络可能会自己私自改变发布到自己区域内的路由，同时这个网络的改变可能会影响到整个校园网络，包括其它的分部与总部，这样使得整个网络极不稳定。

此时我们使用了路由策略控制OSPF的3类路由。这样可以防止区域间传播错误的路由。隔离区域内乱配地址，错配地址对其它区域的影响。

前缀列表示例如下：

Ip prefix-list ospf seq 5 permit 10.0.24.0/21 ge 32。

Ip prefix-list ospf seq 10 permit 10.1.24.0/21 ge 32。

Ip prefix-list ospf seq 15 permit 10.4.24.0/21 ge 32。

在OSPF中区域间路由传播时应用前缀列表，可以限制本区域只向其它区域传播哪些路由，只从其它区域接受哪些路由。

图2.区域间路由传播控制

在如图2所示，我们配置一个前缀列表：

Ip prefix-list ospf-area 2 seq 6 permit 172.16.25.0/24

Router ospf 1

Area 2 fillter-lis prefix ospf-area-2 out。

则作为 ABR的 R1只会向 OSPF的 Area 0传播172.16.25.0/24路由，其它的路由不会向Area 0传播。

3 实验测试

本文的实验环境使用GNS3模拟器来实现，对应图1 中所示的设备，分别配置 R1-R8八个路由器，下面从三个方面来进行实验：

3.1 解决非骨干区域路由汇总可达性问题

R3(config)#interface FastEthernet1/0.24

R3(config-if)#Encapsolution dot1q 24

R3(config-if)#Ip add 10.1.24,1 255.255.255.252

R4(config)#interface FastEthernet1/0.24

R4(config-if)#Encapsolution dot1q 24

R4(config-if)#Ip add 10.1.24,2 255.255.255.252

3.2 OSPF外部路由传播控制

R3：Router ospf 1

Summary-address 0.0.0.0 0.0.0.0 not-advertise

3.3 OSPF区域间路由传播控制

在ABR上控制所有非Area 0区域发布出来的3类路由。

R5，R6：

R5(config)#ip prefix-list ospf-a4-out seq 5 permit 10.0.32.0/21 ge 32

R5(config)#ip prefix-list ospf-a4-out seq 10 permit 10.1.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 15 permit 10.4.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 20 permit 10.5.32.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 5 permit 10.0.56.0/21 ge 32

R5(config)#ip prefix-list ospf-a7-out seq 10 permit 10.1.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 15 permit 10.4.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 20 permit 10.5.56.0/21 le 32

R5(config)#router ospf 1

R5(config-router)# area 4 filter-list prefix ospf-a5-out out

R5(config-router)# area 7 filter-list prefix ospf-a5-out out

通过上述路由器关键命令配置，实验结果表明OSPF网络中非骨干区域路由、外部路由传播、区域间路由传播均得到了有效控制。

4 小结

本文从非骨干区域路由汇总可达性，OSPF外部路由传播控制，OSPF区域间路由传播控制等3个方面研究和实现了大型校园网OSPF安全性优化设计。对于OSPF的安全优化设计，最重要的就是根据经验把握好区域的设计。同时在具体分析网络组网需求的情况下，尽时的减少路由器的路由表，从而得到更优的网络安全性能。

[1]Thomas M.Thomas II著.卢泽新,彭伟,白建军译.OSPF网络设计解决方案(第二版)[M].北京:人民邮电出版社,2008.

[2]王云,黄晓彤,杨陟卓.网络工程设计与系统集成(第 2版)[M].北京:清华大学出版社,2010.