ospf协议十篇
时间:2023-03-27 09:59:06
ospf协议篇1
OSPF仅在单一自治系统内部路由网际协议数据包,因此被分类为内部网关协议。该协议从所有可用的路由器中搜集链路状态信息从而构建该网络的拓扑图,由此决定提交给网际层的路由表,最终路由器依据在网际协议数据包中发现的目的IP地址,结合路由表作出转发决策。OSPF原生支持VLSM与CIDR。
(来源:文章屋网 http://www.wzu.com)
ospf协议篇2
关键词:OSPF 可信路由 签名认证 CSPF
中图分类号:TP393.04 文献标识码:A 文章编号:1007-9416(2013)04-0048-02
随着互联网安全问题的日益突出,网络安全威胁频次、影响规模明显增大。人们普遍对网络安全失去信心,严重影响到互联网络的应用。因此建设可信互联网,提供可信的网络服务,才能满足各方用户的需求。作为“可信互连网”安全防护关键技术之一,可信路由技术越来越多地受到学术界的关注,也成为可信网络领域的一个重要研究方向。
OSPF[1]协议是一种应用十分广泛的内部网关路由协议。目前大部分商用路由器都支持该协议。OSPF协议在通信网络应用包括两部分:路由信息扩散形成路由表用于数据转发;利用CSPF(受限最短路径优先)算法计算满足Qos的路径[2]。如何改进OSPF路由协议报文格式以及路由算法,使其能够应用到可信网络中,成为OSPF协议可信技术研究的重点。
1 可信网络环境分析
在如图1可信网络中,各通信节点都对与之相邻节点有一个信任度评估,信任评估结果称为可信度量值(图1)。
信任评估的方法有多种,其中一种方法称为基于身份的评估。基于身份的信任采用静态验证机制来决定是否给一个实体授权。常用的技术:当两个实体A与B进行交互时,首先需要对对方的身份进行验证。即,信任的首要前提是对对方身份的确认,否则与虚假、恶意的实体进行交互,很有可能导致损失。所以应用于可信网络中的OSPF路由协议首先要具有身份认证能力。
计算可信传输路径是可信网络的另一重要应用。可信传输路径是指设置或计算出某条路径,该路径上所有的通信节点都满足可信度量的要求。目前OSPF协议可以采用CSPF算法来完成Qos路径计算的能力。Qos路径中包含了诸如带宽、时延等诸多数据传输的要求。可以将节点可信度量值的要求也加入路径计算中,作为其中的一个约束条件。这样计算出的传输路径具有可信属性。
2 OSPF协议可信改进方案设计
2.1 OSPF认证机制
OSPF协议的报文头格式如表1所示。
原型采用三种类型的认证,用Autype字段三个值表示:0不认证;1 简单认证;2 MD5密码认证[3]。其中0和1安全性较差,而MD5认证目前也被破解,所以采用原有的认证机制并不可靠。基于此,可信路由协议增加一种认证类型CPK认证[4],Autype字段添3。
相比于现有的PKI、IBE认证,基于标识的CPK认证体制不需要第三方证明、不需要数据库的在线支持,可用单芯片实现,在规模性、经济性、可行性、运行效率上具有无法比拟的优势,适合在可信网络中应用。
Authentication字段原用于存储MD5签名,长度为64bit。现在为了适应CPK认证,扩展为128bit用于存储CPK签名。
认证处理流程如(图2)所示。
2.2 CSPF可信传输路径计算
路由器通过组织本地链路的TE-LSA,反映本地链路的流量工程参数,然后利用OSPF协议的扩散机制将其在区域内扩散。从而建立一个全网的TED。当链路的流量参数发生变化时,路由器会重新组织其TE-LSA并进行扩散。
这种扩散机制同样适用于可信度量值扩散。因此,可以增加一种link TLV的子TLV类型10,长度为4byte,用以传递设备的可信度量。
解决了可信度量值扩散的问题,还需要设计基于CSPF可信度量算法[6]:
3 方案实现
OSPF可信路由软件模块组成如(图3)所示。
OSPF协议处理:处理与协议对等体之间交互的OSPF协议消息,包括hello、DD、LSR、LSU等消息。
链路状态库:存放网络的拓扑信息。
可信度量数据库:存放网络各节点的可信度量值。
CSPF路径计算:依据链路状态库和可信度量数据库进行受限路径计算。
CPK[7]安全认证模块:完成对OSPF协议消息的摘要、签名以及签名认证功能。
Socket通信:将OSPF协议消息封装为Socket套接字来进行发送或接收。
用户模块:设置可信传输路径参数,包括路径的可信度量值、带宽、时延等。
操作系统:采用VxWorks6.6实时嵌入式操作系统,实现上述各软件模块的消息队列、定时器、任务调度等功能。
4 试验验证
仿真1:可信传输路径计算
仿真2:抗毁性测试
在仿真1计算的传输路径基础上,调整Router 8的度量值为0.5。查看HopListShow模块,发现可信传输路径发生变化,变化部分如图4中Path 2所标注路径。证明OSPF可信路由技术可以传递度量值变化,进而触发可信传输路径重新计算。获取满足可信度量的新路径(图4)。
5 结语
基于OSPF协议的可信路由技术解决了两个问题:通信节点可信度量扩散问题和可信传输路径建立问题。可信度量扩散使得网络中任何一点都可以获取其它节点的可信度量值。而基于CSPF的可信路径计算提出了一种有效可信路由决策算法。基于CPK的协议认证机制,使得OSPF协议完整性、不可抵赖性得到保证。进一步提高协议的安全防护等级。同时,基于OSPF协议的实现可信路由技术也可运用于其它同类型路由协议中,改进的方法类似。
参考文献
[1]IETF RFC2328:OSPF Version 2.1998年4月.
[2]IETF RFC2676:QoS Routing Mechanisms and OSPF Extensions.1999年8月.
[3]杨静,谢蒂,王雷.OSPF路由协议的安全分析及其漏洞分析.山东大学学报(工学版),第33卷第5期.2003.
[4],王绍棣,王汝传等.携带数字签名的OSPF路由协议安全研究南京邮电学院学报2005.
ospf协议篇3
【关键词】OSPF for IPv6;NSSA区域;ABR;LSA-type 7
0 引言
在数据通信领域,OSPF(Open Shortest Path First-开放最短路径优先)协议因其快速收敛、无自环等特性而广泛使用,并存在适应IPv6的OSPF version3协议,同时OSPF协议扩展属性NSSA(Not So Stubby Area)区域亦适配扩展。
1 NSSA区域简述
NSSA区域允许引入自治系统外部路由,由ASBRType7 LSA(NSSA-LSA)通告给本区域。当Type7 LSA到达NSSA的ABR时,由ABR将Type7 LSA转换成Type5 LSA(AS-external-LSA)传播到其他区域。
图1 OSPFv3划分区域典型组网图
如图1所示,整个OSPFv3组网被分为区域0、区域1和区域2。区域0是骨干区,区域1配置为NSSA区,区域0和区域1的区域间路由信息会到区域2,区域1引入的RIP路由生成的7类LSA在ABR1设备上进行7转5后生成5类LSA到骨干区,区域2通过骨干区学到NSSA区域引入的外部路由。
2 现有协议下NSSA区域的问题
在实际网络配置中会出现多个ABR链接NSSA区域及骨干区域的情况,这些ABR均具备7转5能力,选取哪一个ABR来进行转换?选取简单的双ABR情况进行分析。网络拓扑如图2所示:
图2 双ABR网络拓扑
网络配置:
【RT-A】:
ospfv3 1
Router-id 1.1.1.1
Area 1
Nssa
Interface e0/0/2
Ospfv3 1 area 1
Ipv6 address 100:1:1:: 64
【RT-B】:
ospfv3 1
Router-id 2.2.2.2
Area 0
Area 1
Nssa
Interface e0/0/2
Ospfv3 1 area 1
Ipv6 address 200:1:1:: 64
Interface g0/1/3
Ospfv3 1 area 0
Ipv6 address 200:1:2:: 64
【RT-C】:
ospfv3 1
Router-id 3.3.3.3
Area 0
Area 1
Nssa
Interface e0/0/2
Ospfv3 1 area 1
Ipv6 address 300:1:1:: 64
Interface g0/1/3
Ospfv3 1 area 0
Ipv6 address 300:1:2:: 64
【RT-D】:
ospfv3 1
Router-id 4.4.4.4
Area 0
Area 1
Nssa
Interface e0/0/2
Ospfv3 1 area 1
Ipv6 address 400:1:1:: 64
在RT-A上引入静态路由,查看RT-D上5类LSA,其source-id是3.3.3.3,而修改RT-B的router-id为3.3.3.4时,再次查看,其source-id是3.3.3.4,即优选router-id较大的来做7转5转换器。
基于用户自定义网络的需求,主流设备商提供了nssa区域的参数:
translate-always:指定ABR完成NSSA区域的7类LSA转换为5类LSA。
translate-never:指定ABR不能将NSSA区域的7类LSA转换为5类LSA。
图3 hello报文中的options
如在RT-B(其router-id仍为2.2.2.2)area1下配置:nssa translate-always,查看RT-D上5类LSA的source-id,由3.3.3.3变为2.2.2.2。通过截取报文发现由RT-B发出的hello报文中options置上NTbit位,如图3所示。
由RT-B发出的hello报文在维持邻居的过程中发送给RT-D,RT-D就会选择RT-B作为转换器。如果将RT-B与RT-D间链路断掉,此时只有选择RT-C作为转换器,查看RT-D上的5类LSA的source-id为3.3.3.3。
在RT-C ospfv3 1 area1下配置:nssa translate-never,查看Router-D上的LSA,并不存在转换得到的5类LSA,截取报文查看RT-B发出的hello报文的bit位并未变化。判断7转5角色时,如果配置translate-never参数,则区域不进行转换处理。此时恢复RT-B与RT-D间的链路,预料中应该选择RT-B为转换器,但在现有实现中:RT-D并不存在相应前缀的5类LSA。这样就存在:如果在配置过程中,误将多ABR情况下的router-id较大的ABR上NSSA区域配置translate-never参数,且无ABR配置translate-always参数,就会出现上述情况下均未被选为转换器的问题,进而出现存在路由但无法学到的问题。
3 解决方案
观察hello报文的options,其占有24个bit位,因此可以仿效always参数在options添加bit位,称之NEbit位,在配置translate-never参数后,将此标记置1,然后通过邻居间交互的hello报文发给邻居,告之已置上never参数无法成为7转5转换器,在进行转换器选取时,将此ABR排除在外。
写出伪代码如下:
在配置处理中:
If(bit_test(flag, translate-never)) //检查如果配置never参数
Bit_set(options.NE,1) //设置NEbit
Else Bit_reset(options.NE)
选举7转5转换器时:
if(bit_test(options.NE))
Break //设置NEBIT位的ABR跳出转换器选举
Else Seclect_the_transltor //继续选举流程
在收到携带NEbit的hello报文时,其源ABR不参与7转5转换器的选取,从而解决上述问题。我们按照上述伪代码进行编码、版本编译后,可以验证配置:
【RT-C-AREA-1】:Nssa translate-never
截取hello报文,其optinons的NEbit位已置上,且RT-D也能收到转换后的5类LSA,从而验证问题已解决。
4 总结
本文首先对IPv6下OSPF协议的NSSA区域进行简述,然后提出现有协议实现中存在多个ABR情况且无ABR配置translate-always参数情况下,给router-id最大的ABR配置translate-never参数后,无法学到路由的问题,最后给出一种解决思路和验证方案。
【参考文献】
[1]J.Moy,R.Coltun.Request for Comments 5340:OSPF for IPv6[Z].July 2008.
ospf协议篇4
关键字:校园网;路由协议;OSPF
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)28-6671-02
路由的权威定义是网络信息从信源到信宿的路径。路由过程是指网络设备从一个接口收到数据包后根据其目的地址进行定向和转发至下一接口,这里的网络设备包括路由器、三层交换机和防火墙。有三种方式可产生路由:一是无需配置自动生产的直连路由,二是需手动配置的静态路由,三是有动态路由协议发现和学习到的路由。动态路由协议分外部路由协议和内部路由协议两种,外部路由协议适用于多个自治系统或域间的路由信息交换,其代表BGP一般应用于网络服务商内部;内部路由协议适用于局域网内部,例如RIP、OSPF等都可用于组建校园网内部路由信息。根据校园网建设规模和网络拓扑情况,从中选取合适的路由协议,对整个校园网和校园信息应用系统的稳定运行具有重要意义。
1 内部路由协议比较
现今常见的内部路由协议有RIPv2、OSPF和EIGRP。这些路由协议的作用都是生成局域网内部路由信息表,并保持动态维护和更新。怎样选择合适的路由协议?需要参考路由协议的五项主要性能指标:路由协议计算方法正确性、路由收敛速度、路由协议占用的系统开销、路由协议自身安全和路由协议适用的网络规模。
1.1 计算方法正确性
路由协议计算的正确性指路由协议所采用的算法是否可靠。错误的静态路由配置会导致产生浪费大量网络带宽的路由环路,某些动态路由协议在特定环境中也会产生路由环路,优秀的路由协议算法应有避免环路机制。RIPv2采用的是距离矢量算法,虽然启用路由毒化、抑制时间和触发更新可降低产生环路的概率,但仍然无法避免距离矢量算法容易产生路由环路的缺陷。OSPF使用基于Dijkstra的链路状态算法,此类算法杜绝了产生路由环路的可能。EIGRP使用结合了距离矢量和链路状态的弥散修正算法(DUAL),同样可有效避免环路。
1.2 路由收敛速度
路由收敛指局域网中所有网络设备的路由表达到一致。快速收敛意味着当网络拓扑结构变化时,网络设备能很知并更新变化的路由信息。RIPv2采用周期性广播(30秒)更新路由信息,固定广播更新周期导致较慢的收敛速度。OSPF和EIGRP采取不定周期的组播在局域网中维护所有网络设备路由表信息的统一,同时在发现路径信息改变时立即触发路由信息更新,这种触发更新机制带来快速路由收敛。
1.3 系统资源消耗
运行路由协议需要占用CPU、内存等系统资源,最终的路由信息由局域网中所有网络设备并行运算和协商后的结果,这里的系统资源指局域网中所有网络设备的系统资源。相比较链路状态算法,基于距离矢量算法的RIPv2路由协议具有消耗系统资源少的优势。虽然OSPF多个数据库加上复杂算法占用较多的系统资源,但对用于网络汇聚与核心层的网络设备,此类用于计算路由的系统开销对正常的信息数据传输交换几乎没有影响。
1.4 自身安全性能
各网络设备协商路由信息时有数据交换,路由协议安全性是指交换相关数据过程中是否有防数据篡改等攻击的性能。除已淘汰的RIPv1和IGRP,目前常见的RIPv2、OSPF和EIGRP路由协议都具有基于MD5摘要算法的认证功能。
1.5 适用网络规模
路由协议适用网络规模和拓扑略有差异,RIPv2协议在设计时有最大15跳的限制,所以适用于中小规模网络,与距离矢量算法有关的EIGRP协议同样不适用于大型网络。受益于区域划分机制,OSPF协议可应用在多达几百台网络设备组成的大型网络中。
2 路由协议的选择
综合比较这五项路由协议主要性能指标,如图1所示,不难得出这样的结论:大型网络应优选OSPF路由协议、而中小型网络可选择OSPF和EIGRP路由协议。EIGRP路由协议是思科网络公司的私有协议,与其他品牌厂商的网络设备不兼容。当网络整体改造升级时统一采购思科设备的情况下才可以考虑使用EIGRP协议。
图1 各路由协议性能比较
十多年前,国内院校开始出现校园网。当时校园网都是小型局域网,只覆盖信息计算中心和网络机房。而现今的校园网都是从当年的小型局域网发展而来,或多或少保留并使用着当年的一些网络设备甚至是路由协议。不论全校网络是否升级改造,选配思科品牌作为替代全校所有网络设备的可能性很小。现今国内高校经过兼并重组和发展,基本拥有两个以上的校区。每个校区内的校园网已然扩张覆盖到整个校园,整个校园网属于大型局域网。根据上述两点实际情况并参考各常见路由协议的性能,OSPF是校园网内部路由协议的最佳选择。
3 OSPF路由协议工作机制
OSPF协议工作过程主要有四个阶段:首先使用组播形式发送Hello包来寻找网络中可与自己交互链路状态信息的周边路由器,组播有利于提高网络使用效率,减少对其他无关OSPF网络设备的影响。可以交互链路状态信息的路由器互为邻居。其次是建立邻接关系。所有路由器仅与DR/BDR(制定路由器/备份制定路由器)建立邻接关系,若网络中未选举出DR/BDR,则先进行选举。DR负责用LSA(链路状态公告)描述该网络类型及该网络内的其他路由器,同时也负责管理他们之间的链路状态信息交互过程。若DR失效,BDR立刻取代DR功能,选举DR/BDR机制可实现网络快速收敛。当建立可靠邻接关系后才相互传递链路状态信息。再次是各路由器建立LSA,建立邻接关系的OSPF路由器之间通过交互LSA,最终形成包含网络完整链路状态信息的LSDB(链路状态数据库)。OSPF路由器采用增量更新的机制LSA,即只邻居缺失的链路状态给邻居,避免了类似RIP协议发送全部路由信息带来的网络资源浪费问题,还保证了路由器之间信息传递的可靠性,有利于提高收敛速度。最后各路由器依据LSDB结合路由器之间路径开销用最短路径优先算法计算出路由。由于OSPF区域内的路由器对整个网络的拓扑结构有相同认识,所以计算出的路由不会产生环路,而使用最短路径优先算法计算出的路由,合理的将路由选择和网络能力挂钩。
4 OSPF路由协议特色优势
为提高校园网运行的可靠和稳健性,网络建设和升级改造应考虑网络拓扑和路由协议的冗余热备能力。给校园网中所有网络设备都配置冗余热备链路,理论上可行,实际应用上难度较大。目前适合的方案是:每个校区的校园网选择采用以星型为主的网络拓扑结构。拥有ISP出口和大型机房的主校区设置网络核心与汇聚。每个分校区也有网络汇聚,通过租用光缆将所有汇聚与核心设备以环形网络拓扑结构相连。这里的环形网络只是个物理环路,实现链路冗余备份需要结合路由协议对与物理环相连的两个端口设置不同的路由优先级。为了方便校园网区域管理和减少路由信息复杂程度,可将具备冗余热备功能环形网络设置为主要区域,其余各校区内的网络定义为非主要区域。OSPF路由协议恰好支持此类功能。
OSPF提出的分区域管理是为了解决由于网络规模不断扩大带来的较大系统资源消耗。OSPF可将一个大局域网分为几个小的区域(Area),网络设备仅需要在自己区域内相互建立邻接关系并共享统一的链路状态数据库。原来整个大型局域网的庞大链路数据库就会按区域划分为几个小数据库,并在自己的区域内进行维护。这种区域划分机制不但降低系统资源消耗,而且提高网络资
源利用率。OSPF区域划分后,路由信息通信分为区域内和区域间两种,为有效管理区域间通讯,需要定义一个骨干区域(Area 0)来汇总每个区域的网络拓扑路由到其他所有区域。所有区域间通信都必须通过骨干区域,所有非骨干区域都必须与骨干区域相连,非骨干区域之间不直接交换数据。介于骨干区域和非骨干区域之间的网络设备是区域边界网关,同属于骨干区域和非骨干区域。在环形主干校园网方案中,各校区的汇聚交换机承担区域边界网关角色,如图2所示。
5 结论
OSPF路由协议不是网络的唯一选择,类似其他内部路由协议,OSPF也有缺陷。OSPF不支持多路由动态负载均衡(EIGRP支持),配置动态负载均衡需要结合手动配置路由信息优先级或借助相关专业网络设备。同时OSPF没有把相邻网段路由信息自动汇总的功能(RIP和EIGRP支持),路由信息汇总需要由网络管理员人工配置。瑕不掩瑜,经过多年市场洗礼,由Internet工程任务组开发的OSPF已然成为大中型局域网内部路由协议的最优选择,小型局域网一样可以使用OSPF路由协议。
网络拓扑简单,规模不大,特别是没有冗余热备链路的校园网除了可选OSPF内部路由协议外,还可以选择配置静态路由。正确配置的静态路由同样可以保障平稳的网络运行,且不占用任何系统开销。物理链路正常情况下,静态路由配置立刻生效,不存在收敛时间。静态路由同样被所有厂商网络设备支持。
参考文献:
[1] 路由_百度百科[OL].http:///view/18655.htm.2012-05-21.
[2] EIGRP_百度百科[OL].http:///view/16193.htm.2012-06-24.
ospf协议篇5
关键词:跨域路由协议 对比分析 优缺点
1.背景
在超大型企业网的管理模式中,逐步已经发展成为分级管理模式。
在图一中,骨干网接入设备落地在城网单位,但管理权属为骨干网管理域;城网核心及以下为城网管理域。两个管理域所有权归属不同。骨干网与城网都分别有自己的路由域,本文以此拓扑为例分析骨干网与城网两个路由域对接的四种协议分析比较。其中,骨干网与城网内部均可以是IBGP路由协议或OSPF路由协议,在此拓扑中,假设骨干网的IBGP路由协议;城网为OSPF路由协议,以便于分析。
同时假定,在跨域时指定骨干网接入A与城网核心A之间的链路为主链路,骨干网接入B与城网核心B之间的链路为备份链路。同时要求平时数据转发都应该走主链路并且数据包来回路径一致。
图一 拓扑情况说明
骨干网与城网的对接,可以使用多种路由协议:静态路由、VRRP+静态路由、OSPF、EBGP等,以下仅以这4种路由协议的对接进行分析。
2.使用静态路由协议进行对接
图二 使用静态路由协议示意图
在这种方式中,2台城网核心均采用缺省路由(或者全网的大段路由)的方式指骨干网接入路由器。骨干网接入路由器上将城网的汇总地址以静态路由的方式指回城网核心。当然,由于网段不同,各静态路由的下一跳地址均不相同。城网核心A与城网核心B将缺省路由以非强制的方式到内部的OSPF域内,若本设备上的静态缺省路由失效,则应终止对内部OSPF域内的缺省路由。
按照要求,城网核心B在正常情况下的缺省路由下一跳必须指向城网核心A,再经过主链路到达骨干网(尤其像图二中城网汇聚D仅单链路至城网核心B这种情况,或者城网汇聚其它设备到城网核心A的主链路临时性开路的情况下,这些汇聚设备会将所有数据转发至城网B)。所以必须设置城网核心B静态缺省路由的管理距离大于OSPF,使城网骨干的缺省路由优先从OSPF邻居学来的缺省路由,以避免城网核心B因为有自己的缺省静态路由而直接进行路由转发至备份链路。
2台城网核心将缺省静态路由导入OSPF中的时候,必须设置策略指定metric值,以保证城网下游设备的缺省路由数据转发只从城网主链路上行至城网核心A。同时,城网汇聚A、B上行至城网核心B的上行链路也可以设置较大的OSPF的COST,避免城网汇聚设备出现等价路由导致数据转发至城网核心B再绕至城网核心A出城网。
骨干网上实现的方式与城网部分基本一致。骨干核心接入A、B均将城网的汇总静态路由注入至IBGP中,并利用本地优先级属性等方式影响IBGP邻居选路。但在某些品牌设备中,比如CISCO设备,需要利用路由策略将城网的汇总路由注入IBGP中的时候将其Weight属性设置为0(缺省情况下,将静态路由network至BGP中时,其weight属性值为32768,本路由器比较后会直接作为优选路由)。这样才可以利用本地优先级属性进行路由的选路比较。
使用静态路由的方式进行跨域互联时比较易于管理,思路清晰。城网部分不需要管理骨干网的路由,骨干网下行指向的静态路由是非常清晰的汇总路由。但这种实现方式看似简单,然而当静态路由与内部动态路由协议互操作时,还是比较容易出现隐藏的错误。同时不适于大规模路由部署。
3.使用VRRP+静态路由的方式
在这种方式中,骨干网与城网均将对方的2台设备的三层地址视为1个VRRP虚地址。比如城网核心A与城网核心B的缺省路由的下一跳地址为一个相同的骨干网接入路由器上的地址。城网核心A与城网核心B均将缺省路由动态至域内OSPF协议中。
城网核心的上行链路必须通过2台城网核心的互连链路透传二层报文以协商VRRP,所以城网核心的上行链路以及2台城网核心的互连链路必须在同一个二层接口组中,此时需要考虑生成树协议的计算,生成树的协议的开销及其的不稳定性是不得不考虑的问题。或者2台城网核心的上行链路先在本地汇聚至一台二层交换机上用来协商VRRP,但这样势必增加单点故障点。
此时我们可以在城网核心B上将静态缺省路由的下一跳地址指向骨干网接入的VRRP虚地址上,不需要考虑与城网核心B之间OSPF的管理距离。由于生成树的阻塞,城网核心B会在二层链路上将流量经城网核心A上行至骨干接入A。但城网核心A、B之间仍需要启用另一段三层互联地址以运行OSPF路由协议。在将缺省路由以非强制的方式的内部OSPF中时,需要设置metric值,用来引导城网核心的下层设备将流量引导至主链路设备上。
骨干网上实现的方式与城网部分基本一致。骨干核心接入A、B均将城网的汇总静态路由注入至IBGP中,并利用本地优先级属性等方式影响IBGP邻居选路。同时注意修改CISCO设备BGP的 Weight属性。
这种组网方式可以看出,配置与纯静态路由组网的方式比较,VRRP影响了静态路由的下一跳地址到底在主链路设备上,对OSPF的策略需求较少。但是VRRP的组网方式需要设备至少两个端口属于同一个二层接口组中,同时需要考虑生成树协议的计算;或者增加二层交换设备,对设备的要求较多,如果增加二层交换机反而增加了单点故障。
4.使用OSPF多进程互联方式
在这种方式中,骨网核心AB与骨干接入AB都需要采用OSPF的多进程方式(骨干网上有可能使用OSPF协议作为IBGP的IGP承载协议)进行互联,与设备原来的OSPF内部协议进行隔离。进程之间相互进行重分布操作。
骨干接入AB各自缺省路由给城网核心AB(是否强制可以根据具体情况定);城网核心AB作为OSPF进程的ASBR对城网内部的IP地址段进行汇总通告给骨干接入设备(也可将汇总路由写到null0进行汇总并重分布静态路由至OSPF进程中)。骨干接入上将城网IP地址段到IBGP内部时,可以使用半动态注入的方式。这时对于骨干接入与城网核心,都可以设置一些策略影响选路,可以参考上面2种选路方式的策略配置方式。但是在骨干接入B上,需要将这个进程的OSPF管理距离与IBG的管理距离去比较,以达到骨干接入B优选IBGP路由的目的。同时在CISCO设备上也需要考虑BGP的weight属性。
从以上可以看出,采用OSPF多进程的方式进行处理时,配置的策略是比较多的,要考虑OSPF两个进程的路由选路,在 骨干接入设备上也要考虑OSPF的管理距离与BGP管理的比较。同时,对路由汇总的方式虽然多样,但比较来说,还不如使用纯静态路由协议的方式来得清晰、直接。
5.使用EBGP互联方式
在城网核心A与B之间,由于原来采用的是OSPF互联的方式,这里需要重新建立IBGP邻居关系。缺省路由通过EBGP从骨干接入设备上学得,可以通过BGP的本地优先级属性影响选路。但对于城网核心给城网汇聚的缺省路由,在城网核心A、B之间也会相互通过OSPF协议学习到,所以需要调整OSPF的管理距离,使2台城网核心均优选通过BGP学习到的缺省路由。城网核心将内部的汇总地址给EBGP领居的时候,可以采用静态或半动态的方式。
在骨干网上已经采用IBGP互联全网的情况下,采用EBGP互联的方式优势比较明显。骨干网对城网的汇总路由只需要使用BGP的本地优先级属性影响选路,对其它IBGP邻居可以通过原来的IGP协议影响对Loopback地址的选路即可。
以EBGP互联的方式,需要考虑的因素比其它办法都要少。其重要原因是2台主备设备之间,仅仅考虑一个IBGP的本地优先级属性即可完全影响设备的选路。
ospf协议篇6
目前越来越多的公司需要组建自己的企业网,将公司的总部与分布在不同城市和地域的分公司或办事处连接起来,提高公司办事效率,增强市场竞争能力。可是传统路由器组网模式的缺点逐渐显现,路由器成本高、扩展能力差以及维护管理复杂的因素制约了网络的发展和推广。而利用三层交换接入解决方案,对于规模大、下联节点多的网络,有助于降低其组网成本。
路由器的价格相对于交换机来说比较昂贵,而且低端路由器不支持G.703 (ITU颁布的有关各种数字接口的物理和电气特性的标准,包括64kbps和2.048Mbps的接口)的直接接入,必须使用G/V转换器设备。在分支节点中,一般不会配置高端路由器,即使低端路由器也要比交换机贵数倍,所以三层交换接入解决方案,对于规模越大、下联节点越多的网络,节省的资金就越可观。
三层交换机组网优势
端口密度大和扩展能力强。
由于路由器存在接口数量少(例如Cisco 7513路由器能提供最大E1端口密度仅为168个)、单端口价格高的特点,如果使用交换机就不存在端口数量的限制,例如Cisco Catalyst 6509交换机的10/100M端口的密度可以达到336个,对于更多数量的接入还可通过级联支持更多的端口。
数据处理能力强。
路由器的包转发率一般为几百kpps,总线带宽2Gbps; 而交换机的包转发率可达150Mpps以上,背板带宽更可高达32Gbps。由此可以看出,三层交换机的数据处理能力远远高于路由器。
支持丰富协议。
三层交换机与路由器一样,支持IP、IPX、DECnet等众多的网络协议,路由协议如RIP(Routing Information Protocol,路由信息协议)、OSPF(Open Shortest-Path First,开放式最短路径优先协议)、访问例表等,交换机都能够实现,而交换机特有的一些功能路由器则无法实现。
支持冗余通道。
当冗余通道是相同的数字通道时,交换机有个特有的功能就是将两条以上的相同物理链路集合成一条逻辑链路,带宽累加,只要其中一条链路是好的,就可保持连通性。该功能在3Com的设备上定义为Trunk,在Cisco设备上定义为Channel,其原理类似,都是在物理链路层实现的。当冗余通道是数字通道和模拟通道并存时,必须用路由器,为避免动态路由占用广域网带宽,在分支节点可根据使用产品不同而选用HSRP(Hot Standby Routing Protocol,热备份路由器协议)或VRRP(Virtual Router Routing Protocol,虚拟路由器冗余协议),中心端可在局域网中用RIP或OSPF动态路由协议实现路由器与交换机之间的路由信息交换。
性能价格比高。
路由器与交换机的性能和价格本是不可比较的,但从成本来看,路由器的单端口设备费用远高于交换机。例如交换机的每个端口都是10M~100M自适应,甚至可配置1000M的光端口,而路由器的一个2M的E1端口高达1万元人民币,如果采用155兆端口模块则价格高达十几万元人民币,一台具有一定E1端口接入数量的路由器需几十万元人民币,而一台支持三层的中低端交换机需几万元人民币,高端核心交换机也仅需几十万元。在经济实力有限的企业,适当采用三层交换解决方案,不失为节约成本的一个好方法。
案例分析
以某公司信息网为例,它是典型的星型结构,以总公司为中心连接各市分公司。在这种通过数字通道下联许多节点的星型广域网络拓扑结构中,若用传统的网络连接模式,会存在两个制约技术方案的重要因素,即路由器设备有限的处理能力和高昂的成本。
总公司和各市分公司各配置1台CISCO C3560E三层交换机,全网采用OSPF路由协议。总公司到分公司电路带宽为4M数字电路,先由电信公司将2 个E1电路捆绑成4M电路,再通过光电转换器转成以太网接口接入C3560E交换机的以太端口。
假设总公司网段为192.18.1.0,各分公司网段为192.18.2.0~192.18.25.0,广域网段位192.118.XX.XX,启用OSPF路由协议,网络拓扑见附图。
具体配置如下:
在总公司C3560交换机上划分vlan1、vlan2、vlan3等虚拟局域网,其中vlan1连接内部网、vlan2连接广州分公司、 vlan3连接珠海公司,使用超级终端通过CONSOLE口进入交换机超级用户模式
创建vlan 1
[C3560]vlan 1
[C3560-vlan1]port ethernet0/1
!
[C3560]interface vlan 1
[C3560-vlan-interface1]ip addess 192.18.1.1 255.255.255.250
!
[C3560]vlan 2
[C3560-vlan2]port ethernet0/2
!
[C3560]interface vlan 2
[C3560-vlan-interface2]ip addess 192.118.2.1 255.255.255.252
!
[C3560]interface vlan 3
[C3560-vlan-interface3]ip addess 192.118.3.1 255.255.255.252
!
…
启用OSPF协议:
[C3560]ip routing
[C3560] router ospf 1
[C3560-ospf]network 192.18.1.0 0.0.0.255area 18
[C3560-ospf] network 192.118.2.0 0.0.0.255 area 18
[C3560-ospf] network 192.118.3.0 0.0.0.255 area 18
…
分公司的配置:
在C3560交换机上配置f0/1用于连接总公司的广域网:
C3560(config) #int f0/1
C3560(config-if) #ip address 192.118.32.2 255.255.255.252
由于采用以太网模式,必须启用广播模式:
C3560(config-if) #ip directed-broadcast
C3560(config-if) #no ip mroute-cache
C3560(config-if) #speed auto
C3560(config-if) #full-duplex
配置广州公司接口f0/2用于连接内网:
C3560(config) #int f0/2
C3560(config-if) #ip address 192.18.2.254 255.255.255.0
启用OSPF协议:
[C3560]#ip routing
[C3560]#router ospf 1
[C3560-ospf] # router-id 198.118.2.2
[C3560-ospf] #redistribute static
[C3560-ospf] #network 192.18.2.0 0.0.0.255 area 18
[C3560-ospf]#network 192.118.2.0 0.0.0.255 area 18
[C3560-ospf]#network 0.0.0.0 255.255.255.255 area 18
ospf协议篇7
关键词:模拟器;网络;实验教学
中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2013)27-6162-03
高等职业院校计算机人才培养的是面向一线的应用型人才。然而在目前的实际教学中,普遍存在着理论讲的多,实践操作少;在考核上也同样是以理论知识的考核为主,实践技能所占比例较小。教学改革没有实质性突破。教学内容、教学方法、教学观念和教学模式都有了很大改变,但任然不能达到企业的要求。
1 高职院校计算机网络实验室情况
1.1计算机网络实验室不足
高职院校办学时间不长,有的学校建设了网络专业实验室包括网络操作系统及服务器实训室、交换机/路由器实训室、网络综合布线实训室及网络安全实训室等,有的学校却只有部分网络专业实验室,甚至有的学校还没有这样的专业实验室。但都比较单一和设备数量不足,尤其是作者所在的西部欠发达地区。
1.2专业及实验室建设不能与市场同步
计算机专业建设必须是以市场为导向,并符合企业对人才低需求。这就要求高职院校要不断对计算机专业结构和专业课程及时进行调整。不过在目前的情况下,与其相应配套的专业实验室却得不到及时改建和更新应有的设备。
2 网络实训平台及模拟器软件选择
2.1 使用网络仿真软件的必要性
在计算机网络的教学中,交换路由等
内容的学习是需要相应实验平台来支撑,这样一个完整的实验平台,所需要的路由器、交换机、计算机等设备数量较多,建设成本比较高。目前,由于实验硬件设备数量的不足,要使所有学生都能教好地掌握相关操作技能,使用模拟器软件来构建仿真实训平台是首要选择。
2.2模拟器软件选择
目前高级的模拟器主要有cisco的GNS3和huawei公司的eNSP。这两个模拟器的功能强大,操作简单,友好的图像化界面。他们的功能和操作相似,区别在于所针对的路由器/交换机等设备及IOS不同,GNS面向cisco设备,而eNSP面向的是huawei的设备。
1) Cisco的模拟器GNS3
GNS3(Graphical Network Simulator)是dynamips的一个图形显示前端,具有图形化操作界面的虚拟软件。相比之前的虚拟软件,其更易上手,更具可操作性。GNS3上是可以运行在多种操作系统平台(如Windows, Linux, and MacOS等)的网络虚拟软件。它可以模拟Cisco公司出品的网络设备并能完成相应的实验配置操作。也可以虚拟体验Cisco网络操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。
GNS3整合的平台包括:Dynamips(运行Cisco系统(IOS)的模拟器),Dynagen(Dynamips的文字显示前端),Pemu(PIX防火墙设备模拟器),Winpcap(windows平台下一个公共的网络访问系统)。
2)华为的eNSP模拟器
eNSP是华为公司研发的一款界面友好,操作简单,并且具备极高仿真度的数通设备模拟器——eNSP(Enterprise Network Simulation Platform)。这款仿真软件运行的是物理设备的VRP操作系统,最大程度地模拟真实设备环境,可以利用eNSP模拟工程开局与网络测试,协助构建企业优质的ICT网络。eNSP支持对接真实设备,数据包的实时抓取,可以帮助对网络协议的运行原理深刻理解,协助更好得进行网络技术的钻研和探索。
数通模拟器eNSP能近距离体验华为设备。无论是操作数通产品,维护现网的技术工程师;还是教授网络技术的培训讲师;或者是想要考取华为认证,获得能力认可的在校学生,都可以从eNSP中受益。
3 模拟器应用实例
3.1应用模拟器的可行性
在OSI七层模型和TCP/IP模型中,路由是网络层的基本功能,网络层的协议有 IP,ICMP,RIP,OSPF,BGP,IGMP等。开放式最短路径优先协议OSPF(Open Shortest Path First)是一种链路状态路由协议,属于内部网关协议IGP中的一个。思科OSPF的协议管理距离(AD)是110,华为OSPF的协议管理距离是150。
虚链路(Virtual-link):在复杂的网络拓扑结构中,有时不能够满足每个区域都必须和骨干区域直接相连的要求。为了能够解决此问题,OSPF提出了虚链路的概念。
所谓虚链路是指在两个路由器之间,通过另外一个非主干区域相连,并且,这两个路由器都与这个非主干区域直接链接。在OSPF路由协议中,虚链路属于主干区域,虚链路两端的路由器被一个点对点的链路连接在一起。在OSPF路由协议中,通过虚连接的路由信息作为域内路由。
学生在学习了理论知识后,可以通过实验来深入学习和理解ospf协议。要完成关于ospf协议及虚链路的实验,需要至少路由器4台,交换机2台, 终端pc机4台。这样的需求相对于学校现有的硬件设备数量来说是比较高的,尤其是让每位同学都能做实验是远远不够的。不过可以通过模拟器平台来实现这一要求,让所有学生都独立完成相应的组网及配置,并分析结果,从而使得教学效果大大改善。
3.2 应用实例
本实验主要是用来实现ospf路由协议和虚链路的配置操作。并验证ospf路由协议报文。采用模拟器来实现该实验。
1)网络拓扑结构及IP地址规划
在GNS3模拟器中搭建好网络拓扑图,并进行区域和IP地址规划,其中R6是用路由器来代替的交换机,如图1所示。在拓扑图中,area0为骨干区域,area1和area2为非骨干区域。area1与area0相邻,area2与area1相邻。各个路由器相应接口的IP地址配置如表1所示。
2) ospf路由协议配置
4 结论
将模拟器引入到计算机网络课程实验课堂中来,可以为学生提供一个网络技术学习和实践的环境。其成本低,效果好。能让网络课程实验教学有很大的改善。在实验室硬件设备有限的情况下,能加深学生对理论知识的理解并且有效地培养了学生动手能力。
参考文献:
[1] GNS3在线 http:///
[2] 关玉英,黄国雄.高职高专计算机专业教学改革的思路[J].现代教育技术,2007(10).
ospf协议篇8
[关键词] OSPF STP VRRP
随着综合业务的逐步发展,网络业务的应用也越来越丰富。从早期的文件传输,电子邮件,到Web浏览、电子商务等,网络正在为各机构、部门和个人提供着方便快捷的通讯服务。随着网络应用的变化,网络信息技术也随着改变。今天的网络信息平台上的应用扩展到了以前不曾想到的领域,比如电话业务、传真业务、视频业务、多媒体业务和一些增值业务。伴随着网络应用的发展,病毒、黑客严重威胁着运营商的组网安全,也给互联网安全性和自愈性提出新的要求。下面从某区域网络结构调整、网络保护优化等方面具体阐述。
1、原有组网结构及分析
原有网络结构采用网络组网的树形结构:IP城域网的骨干网、核心层、汇聚层、接入层,设备采用中兴T64G路由器进行数据转发,同时完成网络的核心层及汇聚层功能。汇聚接入层的所有BAS设备,由BAS完成下挂Dslam设备功能,具体组网如图1所示。
网络前期,在接入层没有细化VLAN,用户之间可以互访,用户的安全及隐私得不到保障,当有大量的数据报文在网内用户间传递,占用用户带宽,及上行到BAS的链路带宽时,就会危害到BAS的处理能力和转发质量。接入层BAS至汇聚层路由器由单根光纤连接,缺乏保护。当光纤受外界因素中断时,会造成BAS下挂用户上网业务中断。在汇聚路由器间,采用侧挂架构,对BAS及自身无法实现保护,当自身出现故障或BAS间链路出现故障,无法实现网络自愈,造成网络瘫痪,整个城域网将短时间内无法修复。
图1 IP网络架构图
2、网络结构调整
光纤资源紧张一直是网络安全的一个突出问题,如何利用既有光网络资源,合理设置局点,安放数据设备,形成网络保护,提出新的要求。在原有网络基础上,将每二个BAS间采用光纤直驱形式,进行互联,形成环网,为防止环路引起广播问题,采用动态协议OSPF和STP来完成修剪网络树的目的。调整后的网络如图2所示。
图2 网络优化结构图
3、网络优化分析
目前优化后的网络架构及相关数据设备能够完成基础的数据交换功能,并能够开展多种新型业务。网络调整的起点从接入层的BAS开始,将接入层至汇聚层进行保护和自愈,依赖于设备对协议的支持。先简单介绍部分使用的协议。
3.1STP生成树协议
生成树协议(Spanning Tree)定义在 IEEE 802.1D 中,是一种链路管理协议,它为网络提供路径冗余同时防止产生环路。为使以太网更好地工作,两个工作站之间只能有一条活动路径。STP 允许交换机之间相互通信以发现网络物理环路。该协议定义了一种算法,交换机能够使用它创建无环路(loop-free)的逻辑拓朴结构。
同样,STP协议在交换机之间传递一种特殊的协议报文BPDU,确定网络的拓扑结构。即从所有的网桥中选择一个作为根网桥;计算从本网桥到根网桥的最短路径;对每个共享网段,选择距离根网桥最近的网桥作为指定网桥,负责该网段的数据转发;对每个LAN,选择一个根端口,从根端口给出的路径是从本网桥到根网桥的最短路径;选择除根端口以外的指定端口。
配置流程:1.使能STP;2.配置网桥优先级;配置实例如下:
ZXR10# spanning enable
ZXR10#spanning mode rstp
3.2动态路由协议(OSPF)
OSPF属于链路状态路由协议.工作过程:每个路由器通过泛洪链路状态LSA->收集链路状态形成链路状态数据库LSDB->以SPF算法计算一个以自己为根,以网络中其他节点为叶的最短生成树->SPF算法生成一棵无环的最短路径树->计算出本路由器到其他网络节点的路由表。在优化网络中将整个城域网划分为一个主区域0,启用动态协议OSPF。
实施步骤:创建LOOPBACK1,配置接口地址; 将所有路由器及BAS 设置Router ID;开启OSPF协议;统一设置主区域area 0;指定各区域包含的网段,掩码采用反掩码;配置完成后,使用命令display ospf routing显示OSPF的路由表信息。
以T1200为例主要代码段如下:
ZXR10#interface loopback1 /创建环回接口loopback1;
ZXR10(config-if)ip address 1.1.1.1 255.255.255.255 /创建环回接口地址1.1.1.1/32;
ZXR10(config)#ospf 10 /启用OSPF协议;
ZXR10(config-router) #network 1.1.1.1 0.0.0.0 area0 /声明用户网段;
3.3 VRRP路由冗余备份
网络安全对城域网来说很重要,如果采用硬件防火墙成本高,配置策略复杂,硬件的转发能力有限,会话表受硬件的限制,防火墙不仅防外也防内。如果城域网内部出现问题,对外界也会造成危害,网络知识丰富的用户会探测出地市城域网的边缘及核心路由器,如果针对核心路由发动试探攻击或尝试登录路由器,就会对城域网的网络安全造成隐患。对于这种情况,可以使用VRRP协议来隐藏真实路由器,虚拟出一个不存在的路由器,T1200组网主要供专线用户使用,这些用户具有高带宽、固定IP地址,下挂局域网,因此T1200的上行网关的安全就很重要。VRRP动态选取协议从一组路由器中选取一个主路由器(Master),并将Master关联到一个虚拟的路由器,作为所连接网段的网关。
在调整后的城域网结构图中,T1200、8900组成虚拟路由器网,被选举出来关联到一个虚拟路由器,VRRP主用路由器为优先级较高的路由承担,由该路由器处理发往虚拟路由器的数据报文,当主用路由器发生故障,VRRP从其他的VRRP路由器中重新选举一个Master,既另外一台T1200备用路由器,并关联到同一个虚拟路由器,由新的Master继续处理发往虚拟路由器的数据报文。这种机制允许VRRP路由器所连接网段上的终端只使用一个虚拟路由器的IP地址做为默认网关,无需关心VRRP路由器的物理IP地址,也无需在Master故障之后重新配置默认网关。因此,使用VRRP可以极大的增强默认网关的可靠性。
两个T1200上的主要配置如下:
R*(config-if)#vrrp 1 ip 202.199.10.20
4、总结
随着信息产业的迅猛发展的背景下,带动个人计算机的普及和对宽带网络的巨大接入需求,宽带业务已经列入各公司发展的重点。这里着重分析在网络硬件资源不足的情况下,如何利用现有设备或者光纤资源,通过较少的投资,做好网络的优化调整,同时兼顾整个网络的冗余性和抗干扰性。
参考文献:
[1]中兴通信编著《中兴通信认证数据通信教材》
[2]中兴通信编著《中兴通信认证数据通信实习手册》
[3] support.省略
作者简介:
ospf协议篇9
【关键词】 重分布 双向双点 管理距离 次优路径 PBR
The solution of sub-optimal path in two-way route redistribution
LI Doujie,College of Overseas Education, New York Institute of Technology, Nanjing Campus(NYIT-NUPT) and Nanjing University of Posts and Telecommunications
CHEN Deyuan,School of Electronic Science and Engineering Nanjing University of Posts and Telecommunications
LI Rui,School of Photonic and Electronic Engineering Nanjing University of Posts and Telecommunications
Abstract:Large networks will running multiple protocols, so the routes have to redistribute. Redistribution insure the validity of the networks. In the process of the redistribution, it may generate the trouble of sub-optimal path. In order to solve this problem, we use GNS3(Graphical Network Simulator) to build simulation network environment. By researching the two-way redistribution, we can analyze the effect of the administrative distance in routing selection. In this paper, we designed four solutions to correct sub-optimal.
keywords:Redistribution,Two-way,Administrative distance,Optimal-path,PBR
根据中国电信集团公司的统一规划,中国电信湖北分公司需要完成HSTP同点码替换割接工程。在HSTP割接的同时,为确保骨干DXC设备的退网,按照省公司的要求,同步进行了骨干DXC省内电路退网工程。为了确保骨干信令业务在割接期间的安全性,我们在工程实施过程中提出并采用了“两次过江方案”,以解决骨干DXC省内电路退网过程中带来的安全隐患。
一、两次过江方案提出的背景
1.1 HSTP割接中与骨干DXC省内电路退网相关的基本原则
由于本次HSTP替换割接是采用“同信令点编码”方式进行割接,在考虑到安全性方面的相关因素后,HSTP替换割接工程中与骨干DXC省内电路退网有关的基本原则如下:(1)在割接准备及实施阶段的网络调整,必须保证骨干七号信令网的安全性;(2)在割接过程中,原则上不在进行数据异动,主要以传输电路割接为主,且割接点原则上应集中在一个长途传输机房内;(3)骨干DXC上的省内电路退网后,HSTP至省内任意一个局点间至少应开放2个不同传输路由的电路用于承载信令链路。
1.2 割接前省内信令网网络现状
如图1所示,在HSTP割接前,HSTPA/B到省内各本地网共开放电路4个2M,且在LSTP侧的一条电路中同时存在到HSTPA和HSTPB的链路。因此针对本次HSTP割接替换工程,省内信令网存在以下两个问题:(1)HSTPA/B至省内LSTP1/2只开放了4个2M,不满足两个局点间至少应开放2个不同传输路由的电路用于承载信令链路的要求;(2)省内LSTP侧同一条电路中存在开往2个不同HSTP的电路,导致HSTPA割接时,省内LSTP到HSTPB的信令链路也同时中断。
二、网络优化基本思路与两次过江方案的提出
针对省内信令网网络结构中存在的两个不同问题,我们提出了以下网络优化基本思路:(1)在HSTPA/B所在机楼的长途传输机房各新增2个2M以满足两个局点间至少应开放2个不同传输路由的电路用于承载信令链路的要求;(2)通过调整骨干DXC数据,使每一条电路上仅开放1个方向的信令链路;(3)在HSTP替换割接前,HSTPA/B至LSTP1/2必须各有一半链路分别经过DXC1/2进行交叉。(4)原已开放的电路由同一机楼的HSTP使用,分别与省内LSTP1、LSTP2对开信令链路。(5)对于分布在2个长途传输机房新增的4个2M如何使用,可采用以下两种方式中的一种:方法一:4个2M分别由另一个机楼的HSTP使用;方法二:4个2M分别由所在一个机楼的HSTP使用。
目前唯一存在问题的就是新增电路的使用方法。经过对两个方法的分析,对比如下:
(1)方法一:对原有网络结构异动较小,容易实现HSTPA/B至LSTP1/2各有一半链路分别经过DXC1/2进行交叉;由于HSTP与长途传输电路不在一个机楼,因此在HSTP替换割接时,割接点会大量分散到两个长途传输机房内,增加HSTP割接难度;该方法会长期大量占用过江中继资源。
(2)方法二:HSTP与长途传输电路在一个机楼,割接点可集中在一个长途传输机房;不占用任何过江中继资源。需要提出专门的方案以实现HSTPA/B至LSTP1/2各有一半链路分别经过DXC1/2进行交叉。
经过统筹分析,并结合HSTP替换割接基本原则,建议采用方法二的思路进行网络优化。
为此,我们第一次提出了以下解决方案(以HSTPA 链路C为例):如图2所示,当链路C从交换机出来后,通过第一条过江电路达到另一机楼的DXC2设备,经过DXC2交叉后,通过第二条过江电路5回到HSTPA所在机楼的长途传输机房,接入到省内长途传输电路中。在割接完毕后,原链路使用的2条过江电路均可释放。
在整个方案中,链路C分别经历了两次过江中继,因此该方案也就是本文的重点――“两次过江方案”。
三、结束语
按照二次过江方案,完成对HSTPA/B至全省14个本地网(含武汉)进行了网络优化。总计节约过江中继资源52个2M,也为湖北省HSTP替换割接工程和骨干DXC省内电路退网工作奠定了良好的基础。同时,两次过江方案在对于后期的骨干DXC省际电路的退网也有着一定的借鉴作用。
在整个IP互联网络中如果从配置管理和故障管理角度看,我们通常更愿意运行一种路由选择协议,而不是多种路由选择协议。然而,现代网络又常常迫使我们接受多协议IP路由选择这一事实。在某些情况下(如公司的合并,多个网络管理员管理的多个部门,使用多个厂商设备的网络环境等)必须使用多个路由协议。运行多个路由协议的网络环境必须使用路由重分布技术[2]。当多种路由协议“被拼凑”在一起时,使用重分布是很有必要的,而且重分布也是严谨网络设计的一部分[3]。
当只使用一台路由器来重分发路由时,如果这台路由器出现故障,不同路由域中的主机就无法互相通信,为避免这种单点故障,大多数重分发设计都要求至少有两台路由器执行重分发。两个领域之间有多个重分发点时,也会带来一些问题[4]。比如说会产生次优路径问题。我们通常所说的路由技术其实是由两项最基本的活动组成,即确定最优路径和传输信息单元[5]。最佳路径依赖于不同的衡量标准,在确定最佳路径的路由算法中,路由表(Routing Tables)是一个重要的数据结构, 其中包含了网络的路由信息[6]。
本文借鉴了路由重分发中次优路径的解决方案[7]一文中的思路,并加以改进,利用PBR(policy based routing)和distance命令语句设计了4种方案来解决这个问题。
一、次优路径的产生
1.1 网络拓扑结构图
图1为双点双向重分布的网络结构拓扑图,本文利用图形化网络环境模拟器GNS3搭建网络拓扑,在GNS3中使用Cisco C7200(即图中的R1-R5)路由器作为实验的路由器。图中R1的s1/1串行接口,R2,R4的s1/0串行接口运行RIP协议,R1的s1/0串行接口,R3,R4的s1/1串行接口以及R4的f0/0以太接口运行OSPF(Open Shortest Path First)协议(是一种在内部网络中广泛使用的路由协议[8]),R1,R4同时运行了RIP和OSPF协议,会在上面进行双向双点的重分布[9]。同时,R2,R3上分别起一个环回口。R5上输入命令:no ip routing ip default-gateway 45.1.1.4用来模拟一台主机。
1.2 次优路径的定义
多路由协议的使用会产生两个或多个到达目的的不用路径,而如何确定目的地的最佳路径,必须基于管理距离(administrative distance)和度量值(Metric)。不同的协议,其度量值不同;RIP的度量是跳数,OSPF的度量是带宽,EIGRP的度量是带宽和延时等[10]。网络中路由器会首先比较管理距离,如果管理距离相同,则比较度量值。管理距离值被看做一个可信度,管理距离值越小,协议可信度越高。下面列出一些协议的管理距离值:
EIGRP(内部管理距离) 90
IGRP 100
OSPF 110
ISIS 115
RIP 120
EIGRP(外部管理距离)170
在这个实验中,R1,R4上同时运行了OSPF和RIP两个协议,并做了双向重分布。因此,路由器就要通过比较管理距离值从中进行比较选择。因此,R4选择了管理距离为110的OSPF路由而没有选择管理距离为120的RIP路由,从而造成了次优路径。 路由协议之间特性相差非常大,在重分发时若忽略了对度量值和管理距离差异的考虑,将导致网络中出现某些或者全部路由交换失败,甚至造成路由环路或者网络黑洞[1]。
1.3 次优路径现象
当R5和R2之间要进行通信时,理论上R4直接从s1/0走去R2是最优的路径,但是实际情况同过命令show ip route可以看到如图2:
通过图2可以得知,R4去R2并没有选择直接从s1/0走,而是走34网段,即经过R3,R1最后再到R2,这说明此时路由并未选择最佳路径,产生了次优路径。
在R4上通过抓包软件Wireshark抓包,可以看到在R4上只收到了来自R3的OSPF路由更新,如图3所示。
二、对次优路径的分析
2.1 理想的路由传输路径
路由器通过评估度量值来决定最佳路径。要确定路由器的最佳路径,就需要对指向相同目的网络的多条路径进行评估,从中选出到达该网络的最佳或最短路径[11]。路由路径的选择也取决于网络中的路由协议[12]。当R5和R2通信时,数据包经过R4,R4上做了双向重分布,因为OSPF的管理距离110小于RIP的管理距离120,所以选择下一跳为R3,再经过R1,R1上也做了双向重分布,最后到达R2。但这不是最理想的路径,数据包应该直接从R4去往R2完成数据的传输,这个路径才是最优的。
2.2 次优路径产生的原因
R2上的路由信息到达R1,R1上做RIP到OSPF的重分布,R1和R3都跑了OSPF并已经建立起了OSPF邻居,R1传递给了R3。一个OSPF区域内的数据库要同步,所以R3可以传递给R4。R4收到一条管理距离为110的OSPF路由,与此同时,R2发给R4的一条管理距离为120的RIP路由也到达R4(为路由协议边界),不同协议学到同一条路由,优先选择管理距离小的。因为OSPF的管理距离小,所以没有安装R(RIP)路由。在R4上做了RIP到OSPF的重分布。但是根据重分布原则,需要复制路由表,但是路由表中没有R(RIP)路由,所以这个重分布其实是失败的。如果重分布失败,那么在R4的数据库中就不会有自己产生的一条2.2.2.2的五类LSA(Link-State Advertisement),所以R4并没有选择直接去R2,而是通过R4―R3―R1―R2,在R3上也只能看到一个下一跳,没有负载均衡。
三、解决方法
既然造成次优路径的原因是因为管理距离的问题,那么首先我们会想到通过修改管理距离来解决次优路径。本文提供4种解决的方案。
第一种解决方案:
在R4上,希望把重分布过来的路由的管理距离改为121(只要大于RIP的管理距离120即可),而OSPF内部的路由(即R3传递的路由)管理距离值不变。那么利用distance命令来实现这一需求,如图4所示。
第二种解决方案:
第二种方案是写一个访问控制列表精确匹配,只针对1.1.1.1通告的2.2.2.0路由将AD改为121,对1.1.1.1通告的其它路由AD不变。这是对第一种方案的再优化,如图5所示。
这里是对distance命令的一种用法:distance [distance] [IP Source address] [Wildcard bits] [IP Standard access list number] 。distance是想要修改的管理距离值;IP Source address是通告路由器的router-id;Wildcard bits是反掩码,用来确定IP Source address的地址范围;IP Standard access list number是要挂的访问控制列表号。
第三种方案:
还可以通过为OSPF设置外部路由的管理距离来解决,只要将外部路由的管理距离增大到超过重分布进来的协议的AD就可以。
■
修改之后在R4上通过命令show ip route同样可以看到,去往2.2.2.0的下一跳变为24.1.1.2,如图6所示。
这个方案相比第二种方案的优势在于,将来有新的路由加进来,我们不需要再修改列表。这在较大型的网络中比较适合使用,可以省去没添加一条新的路由就要重新编写访问控制列表的麻烦,同时也减少了设备的内存占用。但是,这个方案的缺点是不能对路由进行精确的操控。在路由条目数不多的情况下,推荐第二种方案。
第四种方案:
计算机网络中,传统的路由过程往往是依据一个路由表,根据IP包的目的地址进行路由选择, 在实际的使用中,有时我们希望不仅仅根据IP包的目的地址进行路由,而且希望根据IP包的源地址或其它信息进行路由选择,通常称这种路由为基于策略的路由,策略路由提供了一种更复杂的包转发机制[13]。
PBR就是使用route-map这一工具对某个接口进来的数据流做一些策略,符合条件的按相应的策略进行路由,不符合条件的按正常情况进行转发[14]。PBR优于路由表――如果路由器上设置了PBR,当数据包到达路由器时,是先匹配PBR,如果匹配上了,直接按PBR进行转发,如果没匹配上,再去找路由表进行转发,所以说PBR覆盖了正常的路由选择进程。PBR中不匹配的数据包不会DENY(丢弃),而是normal forwarding(正常转发)。
通过PBR(policy based routing)来对源是45.1.1.5的数据流量设置下一跳,手动让其选择最优路径。在未做更改前,在R5上通过命令traceroute 2.2.2.2 来观察[15],如图7所示:
发现去往R2并没有选择走24网段,而是通过R4―R3―R1―R2。
在R4上建立一个标准访问控制列表匹配来自R5的流量
■
再写一个route-map,如图8所示。
最后调用。PBR的调用是要在数据包传递的入向接口,即R4的f0/0,如图9所示。
此时在R5上traceroute可看到如图10所示。
ospf协议篇10
论文摘要:介绍了天津水利办公广域网的建设情况,重点阐述了相关路由协议配置以及安全防范措施。通过天津水利办公广域网的建设,下属单位与局机关实现了稳定、快速的网上办公、信息传递,并同时满足了未来网络数据、语音和视频等信息业务发展的需求。
论文关键词:水利广域网 信息化
天津市水利局是天津市水利行政主管部门,承担着防汛抗旱、农田水利建设、水资源综合开发利用和引滦供水等重要任务。经过多年的建设,天津水利内部办公网络已经初步形成,局机关实现了网上公文运转、档案管理及信息等功能,全水利系统实现了网上公文、信息传递。随着网上信息量的不断增加、网络依赖性的提高,原有帧中继和电话拨号的联网方式,在网络带宽和网络稳定性方面已经不能满足全局办公自动化的需要,由于局机关是水利部门的指挥中枢,各种水利相关信息要快速、可靠地向局中心网络传输,天津水利办公广域网正是适应这种新形势的需求而建设的。
1建设前接入内部网络情况
天津水利内部办公网络建设完成后,局机关办公自动化系统全面应用,局下属单位分别以帧中继和电话拨号方式与局中心计算机网络连接,但中心端速率只有1M,随着水利信息化建设的不断发展,对水利信息资源的应用逐步深入,需要传输各种大量的水利数据、视频等信息,对于网络的依赖性越来越强,以光纤接入替代原来的电话线接入,提高整个网络的带宽和接入响应方式已迫在眉睫。并且随着天津水利办公广域网的逐渐扩大,网络节点的增加,原有的静态路由方式广域网也已经不能适应新的网络结构要求,见图1。
2天津水利办公广域网建设后整体网络结构
局属单位水科所等22家单位新增为2M光纤方式接入,实现与局网络中心的宽带互联。改造后水利局的核心网络以原有的防火墙作为水利局内部网络与其他各机构网络中间的隔离。网络内只允许用户端能够访问到水利局内部网络的相关服务器网站所对应的端口。
新增加网络内核心的接入路由器,起主路由作用,并在其上新建1块CPOS光口卡,此光口卡连接到网通的SDH节点设备上,带宽为155M,此通道可以划分为63个2M,最多为63个分支机构提供2M的接入通道。
原有的路由器作为原有网络核心接入设备,现在作为于桥水库备用路由设备。
引滦入津沿线7个管理处使用引滦入津工程管理信息系统建设的光纤网络,采用统一门户,通过引滦工程管理处至水利局的光纤通道,实现引滦工程信息网与局网络中心的网络互联。
3相关技术实现手段
3.1选用OSPF路由协议
天津水利办公广域网肩负着OA文件系统传输和实时水雨情信息的传输以及各种大量的水利数据、视频等其他信息传输的网络重任,要求网络必须可靠稳定。
整个网络必须具有多路由选择、路由迂回、路由备份的能力,以防止因单路由的损坏而造成全网或非损坏节点的中断。同时,网络禁止出现路由循环或路由不被利用的情况。并对有多条电路连接的情况,尽可能地做到各条电路上的流量和负载均衡,保证带宽的合理和充分利用。
天津水利办公广域网网络覆盖面广,经过的路由复杂节点多。以局网络中心机房为中心,连接局机关及局所属企、事业单位和区县水务(利)局等单位的网络,实现全水利系统计算机网络的互联互通,为水利信息化提供硬件基础,见图2。
OSPF路由协议具有以下优点:可适应大规模网络、路由变化收敛速度快、无路由自环、支持变长子网掩码VLSM、支持等值路由、支持区域划分、提供路由分级管理、支持验证、支持以组播地址发送协议报文等。所以在水利办公广域网的设计和建设时,采用以OSPF为主,静态路由为辅的路由策略,使原先的办公网络平滑的融合和过渡到新的网络体系中。
3.1.1 OSPF区域划分天津水利办公广域网运行OSPF路由协议,对现节点OSPF协议中的AREA值设定为1O0。随着更多设备接入,网络扩充,可划分更多区域,根据不同区域的网络特点设定相应的网络环境。达到隔离故障,防止蠕虫病毒及网络设备失效(如端口故障)等对全网的影响作用。并可对外隐蔽网络结构,阻止外部用户通过扫描探测网络的结构。
3.1.2路由器配置内容①核心路由器0SPF配置为:
routerospf100
/启动OFPS协议/
log-adjacency-changes /记录OSPF邻居状态的改变/
redistributestatic
/引入静态路由信息/
network192.168..O.O.O.3area100/通告本地连接网段路由信息/
(其他节点互连网段略)
②下属各单位路由器OSPF配置。以cisco2821接入路
由器为例0SPF配置如下:
routerospf1OO
log—adjacency—changes
redistributestatic
network192.168..O.O0.255 area1OO
netw ork192.168..O.O.O.0area 1OO
3.1.3 OSPF路由的实现广域网的连接自动完成OSPF路由学习功能,把整个区域的所有路由自动学习到默认网关上面,完全不需要人工设置路由,达到了路由自动寻找和更新的目的。
配置完成后,键入显示路由命令show Proute,可显示路由表中各路由获取方式:
3.2安全防范措施
在天津水利办公网络系统中,要确保网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施:
3.2.1对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下,提供强认证机制,保证用户口令不在网络中明码传输,并定期更换口令。配置认证服务器,对网络设备的访问进行统一的认证、授权、审计(AAA)。
3.2.2通过对设备的配置,使得只能由某个指定JP地址的网管工作站才能进行网络管理,对路由器或网络设备进行读写操作。
3.3.3根据全网的安全访问控制策略,配置防火墙的过滤规则;访问控制的原则为必须是缺省禁止,即凡是没有被明令允许的访问一律禁止。
3.3.4关闭路由器的源路由功能,以防止通过假冒lP地址和源路由技术侵入内部网;在路由器或交换机上配置静态ARP,以防止假冒lP地址的主机接入内部网。
3.3.5由于拨号网络使用公用的电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁,必须保障用户口令不在网络上以明码形式传输。
3.3.6水利专业网络作为业务系统的内部网络,从路由概念上讲不与公用网络直接互连。