OSPF特殊区域网络原理分析及应用
2019-09-10孟旭莹李鹏冯相榕
孟旭莹 李鹏 冯相榕
摘要:OSPF协议在公司或校园网络体系中应用广泛,对目前网络体系结构有重要影响。对OSPF协议进行分析,对其运行机理展开论述,并对OSPF路由协议中提出的区域理念及其特殊区域进行了研究,基于陕西师范大学网络架构,引入区域间密文认证以加强校园网络环境的安全性,通过仿真实验对Stub区域与普通区域、完全Stub区域及NSSA区域进行了对比及总结,验证了区域划分及密文认证方法的正确性和有效性。
关键词:OSPF协议;区域;Stub区域;NSSA区域;MD5验证
中图分类号:TP301.6文献标志码:A文章编号:1008-1739(2019)14-65-4
0引言
目前广泛使用的互联网主要是基于IP协议,IP路由协议分为内部网关路由协议和外部网关路由协议2类。在内部网关路由协议中,OSPF应用最为广泛。与RIP协议相比,OSPF可支持大规模网络,在设计上避免了环路,有着更快的收敛速度;与IS-IS相比较,OSPF有更多特性,包括路由标签、完全末梢区域、NSSA及虚拟链路等,故OSPF是一个性能较优的协议。本文验证了OSPF特殊区域路由机制的有效性及密文认证方法的安全性。
1 OSPF协议工作原理
1.1链路状态型路由协议
OSPF路由协议是基于链路状态的内部网关协议(Interior Gateway Protocol,IGP),由Internet工程任务组(IETF)开发。OSPF协议是为IP协议提供路由功能的路由协议,直接工作于IP层之上,协议号为89。通过路由器通告网络接口的状态,收集全网拓扑,建立链路状态数据库,生成以自己为根的最短路径树。链路状态型路由协议是基于连接源和目标设备的链路状态来决定路由的协议,链路状态广播(Link-State Advertisement,LSA)是链接状态协议使用的一个分组,它包括有关邻居和通道成本的信息。LSA报文头的3个关键字:LS TYPE(LSA的类型)、Link state ID(链路状态ID,不同的LSA的链路状态ID不同)和Advertising Router(产生这条LSA的Router ID),这3个关键字标识了唯一的LSA。
1.2 OSPF路由协议的运行过程
OSPF路由协议的运行过程分为4个步骤:①寻找“邻居”,启动OSPF之后,路由器以224.0.0.5为组播地址动态地发送Hello包,寻找可以建立连接、彼此交换路由信息的周边设备;②选举DR和BDR,DR和BDR用来管理一个单区域,优先级第2的作为BDR,第1的作为DR;③同步链路状态信息,使得邻接路由器达到Full状态;④进行路由计算,计算区域内的路由使用的LSA是Router-LSA,Network-LSA。路由器根据LSDB得到带权有向图,依据SPF算法,以每个路由器为根计算其到每个目标路由器的距离,根据数据库计算出路由域的拓扑结构图,即最短路径树。OSPF动态监视网络状态,发生变化则迅速扩散,以达到对网络拓扑的快速聚合,确定出新的路由表。
2 OSPF的区域工作机制
2.1区域
OSPF虽然支持大型网络路由管理,但当网络规模较大时,会形成十分庞大的数据存储量。一方面容易导致数据库溢出;另一方面,当网络中某一链路状态发生变化时,整个网络中每个节点都需要重新计算一遍自己的路由表,这样既浪费资源和时间,又影响性能。所以,OSPF将大型网络分成若干个小型网络进行管理,在分层过程中可以实现区域隔离,隐藏内部区域,降低受其他路由区域错误路由信息的影响。
2.2 OSPF的特殊区域网络原理分析
Stub区域就是对区域十分典型的应用。Stub区域内的路由器不需要记录外部地址,当它们要把数据包传送至OSPF之外时,只需把数据包交给ABR,再由ABR与外部建立连接进行传送,此时ABR会产生一条0.0.0.0的默认路由并通告给整个Stub区域内的路由器,即内部路由器对外沟通的默认网关。使得域内路由器OSPF数据库、路由表以及路由信息传递量都会大大减少,Stub区域只携带区域内路由和区域间的路由。所以,Stub区域是一个不允许AS外部LSA在其内部泛洪的区域,并且默认路由只会泛洪到本Stub区域,不会传递到其他的区域。
完全Stub區域是所有区域中最受限制的区域,它不能携带外部路由,也不能携带区域间的路由,只能携带区域内的路由。区域内路由器的OSPF数据库和路由表规模以及路由信息的传递量较Stub区域有大幅度降低,设备要求的性能更低。为了到达区域外的路由,该区域的ABR生成一条缺省路由0.0.0.0,需要到该区域外部的路由都必须通过ABR。
NSSA区域是为了弥补Stub区域的缺陷而引进的一种新概念,取消了Stub关于ASE(引入的外部路由协议的路由信息)的双向传播的限制,改为单向限制。在NSSA区域中,存在ASBR,虽然不接受4类和5类LSA,但是区域可引入外部路由,引入的路由以7类LSA的形式通告出去,能将外部路由发送给其他区域。7类LSA是NSSA新定义的一种LSA,它的头部与5类的头部信息基本相同,只是type字段不同。
Stub区域、完全Stub区域和NSSA对比如表1所示。
3实验仿真
3.1拓扑结构的搭建
基于华为的eNSP平台,进行拓扑结构的搭建。拓扑结构如图1所示。
采用7台路由器和2台PC机进行仿真,7台路由器分别搭建OSPF普通区域及特殊区域,2台PC机作为外部设备。对9台设备的接口配置IP地址,划分出3个OSPF区域,Area 0为骨干区域,Area 7为普通区域,对Area 11分别进行Stub、完全Stub、NSSA和完全NSSA的配置,对比试验结果。
3.2外部路由的注入机制
执行引入外部路由的操作后,在链路数据库中,普通区域和NSSA区域都可显示AS External Database。因此,普通区域和NSSA区域皆允许引入外部路由。但Stub區域无法显示,故只有Stub区域不能引入外部路由。
3.3 LSA机制
通过对不同区域的配置,显示其链路数据库,通过数据库的数据,可得普通区域有1,2,3,5类LSA;Stub区域没有1,2,3类LSA和一个特殊的3类LSA;完全Stub区域在Stub区域的基础上,去除了3类LSA;NSSA区域没有4,5类LSA,但有7类LSA。普通区域依据LSA5,LSA4管理外部路由,NSSA区域依据LSA7管理外部路由,Stub区域对外部路由有双向传播的限制,所以没有这3类路由,NSSA将此限制优化为单向限制,即区域内部的信息可以出去,此时将LSA7转化为LSA5运作。Stub区域LSA如图2所示。
3.4默认路由机制
2个区域在去除了3类LSA之后变成完全区域,查看其转发表,有一条特殊的3类LSA,指向区域外部,即缺省路由,表示的是一条默认的路由的链路状态。所以只要骨干区域中有去往其他网络的链路通告,2种特殊区域都能到达目的区域。不同之处在于,NSSA在去除3类LSA之前,区域内没有一条特殊的3类LSA(默认路由的链路通告),在执行去除3类LSA命令后,自动生成了一条特殊的3类LSA。
3.5连接建立的安全性
特殊区域通过过滤LSA机制减少了洪泛,简化了区域的管理,增强了安全性。基于此,利用eNSP平台和Wireshark工具对域内的安全性连接进行进一步研究。
3.5.1 Hello报文
普通区域的标志位为0x02,外部路由引入为Capable;完全Stub区域的标志位等同于Stub区域,均为0x00;完全NSSA区域的标志位等同于NSSA区域。区域内的路由器在建立连接关系时,发送Hello报文,不同区域的报文中标志位不同,仅当发送方和接收方的报文标志位一致时,二者才能建立连接,否则,无法连接传播信息,提高了安全性。NSSA区域标志如图3所示。
3.5.2 2种认证方式
安全认证模式分为2种,一种是利用设备接口的接口认证模式,另一种是利用OSPF区域的区域认证模式。加密方式也分为明文和密文2种,仿真中采用的密文加密方式为MD5码。
若采用接口方式的明文认证方法,抓包中Auth Type为Simplepasswoed;Auth Data为设置的密码。由实验可得,在邻居建立的过程中,只有两端采用相同的加密方式且密码一致时,方能建立连接。明文密码采用明示的方式,易被中间人盗取,密文安全性更高。区域密文抓包如图4所示。
4应用
基于对OSPF区域中特殊区域的研究,将其应用于校园网络的建设中,增加校园网络的安全性和层次化、区域化的管理性。通过对一般校园网络拓扑结构的研究,延伸至陕师大的校园网络建设中。
一般的校园OSPF网络采取星型架构和层次化管理,大致分为核心层、汇聚层和接入层。汇聚层将所有接入层的设备汇聚至一起传至核心层进行管理。在这种架构中,NSSA特殊区域可应用于汇聚层和接入层之间,以各个部门为一个特殊的区域,防止外部的不必要信息在部门区域内部泛洪,增加安全性和可靠性,可应用于陕师大的部门区域划分中。一般校园网络结构如图5所示,陕师大校园网络结构如图6所示。
5结束语
针对OSPF中的Stub区域的研究,通过仿真实验分别对各个特殊区域进行全面分析,发现NSSA区域更具有普适性,且具有一定的安全性,可应用于校园网络的建设。
参考文献
[1] Thomas M.Thomas II. OSPF网络设计解决方案(第2版)[M].北京:人民邮电出版社,2004.
[2] Doyler J. OSPF和IS-IS详解[M].北京:人民邮电出版社, 2014.
[3]侯安才,栗楠.计算机网络实验教程[M].西安:西安电子科技大学出版社,2016.
[4]谢希仁.计算机网络[M].北京:电子工业出版社,2008.
[5]李丹,龙毅宏.MD5算法破解对实际应用的影响[J].信息安全与通信保密, 2005(4):91.
[6]张国清,车斌.路由技术(IPv4版)[M].北京:电子工业出版社,2012.
[7] Doyle J,Carroll J D.Routing TCP/IP (Volmun I:2nd Edition)[M].USA:Cisco Press,2001.
[8]张国清.最新CCNP认证之BSCI宝典[M].北京:电子工业出版社,2007.