王龙珍 孙志军 杨静 那刚 胡海旭

摘  要：OSPF协议应用广泛，其特性对网络体系结构将产生重要影响。结合本单位大中型网络组网案例，在分析OSPF协议及其工作原理的基础上，对OSPF协议在大中型网络构建中的运用方法展开了分析，对网络拓扑结构、路由机制和安全的设计与实现内容进行了探讨。从OSPF协议应用效果来看，可以通过各种网络测试，因此OSPF协议的配置能够保证网络的安全性和可靠性。

关键词：OSPF协议;大中型网络;路由机制

中图分类号：TN915.04     文献标识码：A 文章编号：2096-4706（2020）15-0073-03

Abstract：The OSPF protocol is widely used and will have an important impact on the network architecture. Combined with the large and medium-sized network networking cases of our company，based on the analysis of OSPF protocol and its working principle，this paper analyzes the application of OSPF in the construction of large and medium-sized networks，and discusses the design and implementation of network topology，routing mechanism and security. From the perspective of the application effect of the OSPF protocol，it can pass various network tests，so the configuration of the OSPF protocol can ensure the security and reliability of the network.

Keywords：OSPF protocol;large and medium-sized network;routing mechanism

0  引  言

隨着信息网络的快速发展，采用传统静态路由组建的网络架构已经无法满足大中型网络运行管理要求，因为在组网过程中，将有大量路由信息产生。OSPF作为动态路由协议的一种，在企业内部网络中得到广泛应用，具有收敛快等优良特性，能够为大中型网络组网提供支持。结合笔者在组网实践工作中的经验可知，采用OSPF协议实现网络路由合理部署，在多区域实施OSPF配置，能够实现大中型网络扩展，并且加强网络安全动态管理，使网络运维效率得到提高。

1  OSPF协议概述与工作原理

1.1  OSPF协议概述

OSPF协议为开源协议，拥有较高泛用性。Internet工程任务组利用IETF进行OSPF协议开发时，需要为IP协议提供路由功能，工作在IP层上。作为基于链路状态的路由协议，OSPF协议框架中的路由器能够向管理域中其他路由器发送链路状态广播信息，其中包含接口、量度等各种信息[1]。对OSPF进程进行开启前，应先对相关链路信息进行收集，然后利用路由算法完成各节点最优路径查找。利用路由器宣告网络接口状态，对全网拓扑进行收集，能够完成链路状态数据库建设，得到最短路径。根据连接源和目标设备链路状态，能够选择对应的路由协议。

1.2  OSPF工作原理

从OSPF的工作原理来看，需要将一台路由器制定为DR，用于对所有路由信息进行接收，然后发送至网段内其他路由器。在非DR路由器之间，则不交换任何路由信息。采用OSPF协议将一个自治系统（AS）划分为多个区域（Area），大致可以分为两类，一类用无符号数字标识[2]。具体来讲，就是用0对骨干网进行标识。在不同区域，网络链路状态数据广播数据包（LSA）将被阻挡，使各路由器维护和存储信息得以减少。采用SPF算法，各路由器到OSPF路由器距离称为OSPF的Cost，满足Cost=100×106/链路带宽，带宽单位为bps。将查找到的最小开销路径加入路由表，可以顺利建立网络通信。采用OSPF协议路由器对路由器的路由表进行学习，能够降低网络维护难度。

1.3  OSPF组网模式描述

应用OSPF协议进行组网，按分层结构划分为骨干区和非骨干区两种区域，使链路状态数据库（LSDB）的区域规模得到缩小，减少路由器性能损耗，降低协议门槛。通过分区管理，在网络因拓扑变化发生震荡时，其他区域不会受到影响。而骨干区域能够实现路由学习中转，非骨干区无法实现直接连接，因此能够对区域环路进行规避。采用OSPF协议组网，包含Broadcast、NBMA、P2P、P2MP四种，前三种网络分别对应二层网络为Ethernet、帧中继、PPP或HDLC的情况，P2MP则无对应二层网络，需要加强转换。在不同类型网络中，需要发送间隔不同的Hello报文，部分网络需要与DR和BDR相配合。

2  OSPF协议在大中型网络组网中的设计与实现

2.1  项目概况

某单位总部自行构建网络信息管理平台，计划应用OSPF协议实现大中型网络建设，实现单位安全管理区、计算存储区和办公/管理网络和无线网络组网，通过合理配置网络内部路由协议保证内部信息传输效率和质量。

2.2  拓扑结构设计

在大中型网络组网中应用OSPF协议，需要采用网状网应用架构。如图1所示为单位信息网络总体拓扑结构图。核心区域包含核心交换机、汇聚交换机、防火墙、路由器、无线控制器和安防监控等设备，需要部署两台核心交换SW1和SW2与两台防火墙双链路连接，汇聚交换机双链路上行至核心交换机。出口路由配合OSPF协议，能够形成交换骨干网络，避免因单个链路终端或个别设备故障导致网络出现单点故障。

全网除接入交换机外的区域均部署了OSPF路由协议。核心区域通过OSPF协议将两组防火墙与两组核心交换机之间构成主备通道。在业务系统众多且终端数量不断增加的情况下，采用主备模式进行路由动态更新和数据转发，能够使网络交换的连续性和可靠性都得到保障。各区域终端直连接入层交换机，接入交换机以TRUNK模式上连至汇聚交换机，这种二层连接方式能够为网络边界提供多元化保护。

2.3  路由机制设计与实现

在路由机制设计上，采用路由器与路由交换机搭建的OSPF网络均定义在一个area 0.0.0.0区域。各条链路通过配置Cost值决定数据传输优先级。在互联网出口路由器中部署默认路由并创建1类LSA，在区域中泛洪，能够使各路由节点获得默认路由，将访问外部网络的数据逐条转发至出口设备，避免通過手动逐一配置路由。

在核心网区域，主用核心交换机与计算存储区的主用汇聚交换机和备用汇聚交换机、两台核心交换机、与无线网络区域两台汇聚交换机、与办公区汇聚交换机连接时的Cost值为默认，备用核心交换机与两台汇聚交换机、与无线网络区域两台汇聚交换机、与办公区汇聚交换机连接时Cost值均为10，在与外部互联区域连接过程中，主用核心交换机与主用防火墙间Cost值为5，与备用Cost值为20，备用核心交换机与主用防火墙Cost值为20，与备用防火墙间Cost值为10。而在与出口路由器连接方面，无论主备全部配置Cost值为10。在与分支机构互联中，电信数字电路配置Cost值为10，联通数字电路配置Cost值为5。Cost值越小，说明路径的优先级越高。在路由中，默认Cost链路的级别优先于Cost值为10链路的级别。因此根据Cost值的配置情况，能够对各条链路通信进行管理，如在两台核心交换机和防火墙设备之间，可以得到路由顺序由高到低依次为：

（1）核心交换机SW1至防火墙FW1;

（2）核心交换机SW2至防火墙FW2;

（3）核心交换机SW1至防火墙FW2;

（4）核心交换机SW2至防火墙FW1。

设备链路正常情况下按照上述顺序进行数据传输，当主用线路发生故障时，数据会通过第二条线路传输。在切换路由优先顺序的同时，路由表将随之改变。在防火墙区域部署OSPF路由协议时，采取了智能选路与链路负载均衡机制，能够使数据可靠交换。通过链路间冗余设备进行备份，能够保证网络可靠连接。

2.4  安全设计与实现

在大中型网络中部署OSPF协议，需要通过Hello报文建立邻居关系。在网络链路状态更新时，则要利用LSU报文进行信息发送。为保证区域内网络连接的安全性，需要在路由器建立连接关系和发送Hello报文时进行验证，确认发送方和接收方拥有相同报文标志位，然后建立连接。采用OSPF协议，能够为报文验证提供支持。在实践设计中，可以采用两种认证方式，分别为区域认证和链路接口认证。实施区域认证，要求相同区域内路由设备采取相同认证模式和口令。采取链路接口认证方式，要求针对邻居设置认证模式和密码，认证方式相对灵活。在大中型网络建构过程中，可以优先采用链路接口认证方式，通过MD5认证完成秘钥传送。采用的密钥经过MDS加密后，能够保证数据传输安全。在方法实现过程中，可以将密码设置为Auth Data。在建立邻居关系的过程中，需要确保两端采用相同的加密方式和密码，然后才能建立连接[3]。由于采用的不是明文密码，因此不会轻易被盗取，能够保证网络连接和数据传输的安全性。

3  OSPF协议在大中型网络中的应用效果

为确定OSPF协议在该网中部署的正确性及应用效果，需对设计的单位网络进行测试。在网络连接方面，进行连通性测试。在完成网络参数设置后，检查确认正确，可通过网管电脑PING各网元接口，并进行32 byte、64 byte、1 024 byte帧长度发送。在各节点之间，丢包率较低，基本为0，平均时延在1 024 byte帧长度下不超28 ms，因此能够实现可靠连接。

在网络可靠性测试中，当设备链路状态均正常时，测试用户位于计算存储区域，Tracert电信网关IP，在最多30个跃点跟踪条件下的时延不超6 ms，如图2所示。在对互联网数据进行访问时，用户数据依次通过用户网关、核心交换机、防火墙、出口路由器经运营商网络转发至目标。将测试PC接入备用汇聚交换机，进行链路中断故障测试，能够通过Hello报文获得邻居状态信息，并及时进行路由表更新和完成数据转发。

经过测试，可以确定利用OSPF协议构建的大中型网络能够实现科学组网，连通性良好，并能够在最优路径发生故障时实现数据流量自动切换，保证路由可达，继而使网络的安全性得到保障。

4  结  论

在大中型网络中应用OSPF协议，能够使网络得到区域化和层次化管理，划分为核心区、汇聚区和接入区，通过将接入设备汇聚在一起实现高效管理。合理进行OSPF路由协议部署，能够根据网络拓扑结构变化进行链路动态调整，使网络连接的可靠性得到保障。通过加密认证，能够加强网络安全性管理，使数据信息的传输质量得到提升。

参考文献：

[1] 李竹申.探讨OSPF协议的基本原理与实现 [J].电脑知识与技术，2019，15（27）：30-31.

[2] 孟旭莹，李鹏，冯相榕.OSPF特殊区域网络原理分析及应用 [J].计算机与网络，2019，45（14）：65-68.

[3] 李炳彰，王俊芳，赵松，等.基于DBD报文脆弱性的OSPF协议安全测试 [J].网络安全技术与应用，2019（7）：17-19.

作者简介：王龙珍（1985—），男，汉族，甘肃陇南人，馆员，本科，研究方向：计算机网络及物联网。