大型校園網OSPF安全性優化研究和實現

蔣 億 項 卓 金卓義 胡耀輝 尹向東

（湖南科技學院 計算機與通信工程系，湖南 永州 425199）

1 引言

現今許多高等院校辦學規模越來越大，特別是有多所學校合并的高校，由于很多分校地理上分布范圍比較遠，可以達到幾公里甚至十幾公里，校園網規模也隨之越來越大，許多高校校園網采用了 OSPF路由協議。在具體的網絡環境中，部署OSPF路由協議有很多具體的問題，尤其是安全方面的問題。下面以湖南科技學院為例，具體分析幾種可能在現實的大型校園網中會出現的影響OSPF安全性的問題。

2 大型校園網OSPF路由安全控制

2.1 非骨干區域分割匯總路由控制

如圖 1所示是模擬湖南科技學院校園網的網絡拓撲環境，其中R1，R2，R3，R4組成區域0；R1，R2，R7，R8組成區域2。R7下面接一個網絡192.168.20.0/24，R8下面接一個網絡192.168.25.0/24，同時我們在R1與R2上做路由匯總area 2 range 192.168.0.0 255.255.0.0，在正常情況下，整個網絡的數據轉發不會有問題。然而當R7與R8之間的鏈路斷后，區域2將被分割。

正常情況下，當我們做好區域間路由匯總后，區域邊界路由器 (ABR，Area Border Router)上會自動產生一條指向匯總后路由的黑洞路由[1]。例如在上面的例子中為192.168.0.0/16 is a summary, 00:00:48, Null0。當R7與R8之間鏈路故障后，R1上將不會有去往192.168.25.0/24的路由。將有數據被轉發到R1上時，就會根據路由匹配的最精確（最長掩碼的原則）匹配路由192.168.0.0/16 Null0，最終R1將丟棄這個數據包。從而影響數據包的正常轉發。

圖1.區域分割圖

針對上述問題，我們提出的解決方案為在R1與R2之間增加一條鏈路，或者為R1與R2之間的鏈路增加子接口。而后把新增加的子接口與鏈路發布在區域2中。這樣在Area 2的R7，R8之間的鏈路斷后，區域仍然不會被分割。

2.2 外部路由傳播控制

在大型校園網絡中，一般擁有一個總部和很多分部，有可能總部與分部通過骨干網絡相連，同時骨干網絡為區域0，其它分部，總部是非骨干區域，與骨干區域相連。分部與其它分部與總部相互訪問就通過骨干區域，而各個分部訪問當地銀行，政府，Internet等。則是各自通過不同的 ISP接入點。這樣分部就可能會引入訪問Internet等的缺省路由，這樣，在不做任何保護措施與控制的情況下，這些缺省路由會傳播到其它區域[2]?，F在則要求各分部的外網訪問業務不能影響總部和其它分部。

針對上述問題，我們采用了各分部子網與外網對接使用靜態路由的措施，并將這此外部路由重發布至OSPF。各分部子網都在各自NSSA區域中，控制外部路上不讓其擴散至Area0，只需在相應的ABR上做外部路由過濾即可。

2.3 區域間路由傳播控制

各個分部的網絡可能有不同的網絡管理者，分部網絡可能會自己私自改變發布到自己區域內的路由，同時這個網絡的改變可能會影響到整個校園網絡，包括其它的分部與總部，這樣使得整個網絡極不穩定。

此時我們使用了路由策略控制OSPF的3類路由。這樣可以防止區域間傳播錯誤的路由。隔離區域內亂配地址，錯配地址對其它區域的影響。

前綴列表示例如下：

Ip prefix-list ospf seq 5 permit 10.0.24.0/21 ge 32。

Ip prefix-list ospf seq 10 permit 10.1.24.0/21 ge 32。

Ip prefix-list ospf seq 15 permit 10.4.24.0/21 ge 32。

在OSPF中區域間路由傳播時應用前綴列表，可以限制本區域只向其它區域傳播哪些路由，只從其它區域接受哪些路由。

圖2.區域間路由傳播控制

在如圖2所示，我們配置一個前綴列表：

Ip prefix-list ospf-area 2 seq 6 permit 172.16.25.0/24

Router ospf 1

Area 2 fillter-lis prefix ospf-area-2 out。

則作為 ABR的 R1只會向 OSPF的 Area 0傳播172.16.25.0/24路由，其它的路由不會向Area 0傳播。

3 實驗測試

本文的實驗環境使用GNS3模擬器來實現，對應圖1 中所示的設備，分別配置 R1-R8八個路由器，下面從三個方面來進行實驗：

3.1 解決非骨干區域路由匯總可達性問題

R3(config)#interface FastEthernet1/0.24

R3(config-if)#Encapsolution dot1q 24

R3(config-if)#Ip add 10.1.24,1 255.255.255.252

R4(config)#interface FastEthernet1/0.24

R4(config-if)#Encapsolution dot1q 24

R4(config-if)#Ip add 10.1.24,2 255.255.255.252

3.2 OSPF外部路由傳播控制

R3：Router ospf 1

Summary-address 0.0.0.0 0.0.0.0 not-advertise

3.3 OSPF區域間路由傳播控制

在ABR上控制所有非Area 0區域發布出來的3類路由。

R5，R6：

R5(config)#ip prefix-list ospf-a4-out seq 5 permit 10.0.32.0/21 ge 32

R5(config)#ip prefix-list ospf-a4-out seq 10 permit 10.1.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 15 permit 10.4.32.0/21 le 32

R5(config)#ip prefix-list ospf-a4-out seq 20 permit 10.5.32.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 5 permit 10.0.56.0/21 ge 32

R5(config)#ip prefix-list ospf-a7-out seq 10 permit 10.1.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 15 permit 10.4.56.0/21 le 32

R5(config)#ip prefix-list ospf-a7-out seq 20 permit 10.5.56.0/21 le 32

R5(config)#router ospf 1

R5(config-router)# area 4 filter-list prefix ospf-a5-out out

R5(config-router)# area 7 filter-list prefix ospf-a5-out out

通過上述路由器關鍵命令配置，實驗結果表明OSPF網絡中非骨干區域路由、外部路由傳播、區域間路由傳播均得到了有效控制。

4 小結

本文從非骨干區域路由匯總可達性，OSPF外部路由傳播控制，OSPF區域間路由傳播控制等3個方面研究和實現了大型校園網OSPF安全性優化設計。對于OSPF的安全優化設計，最重要的就是根據經驗把握好區域的設計。同時在具體分析網絡組網需求的情況下，盡時的減少路由器的路由表，從而得到更優的網絡安全性能。

[1]Thomas M.Thomas II著.盧澤新,彭偉,白建軍譯.OSPF網絡設計解決方案(第二版)[M].北京:人民郵電出版社,2008.

[2]王云,黃曉彤,楊陟卓.網絡工程設計與系統集成(第 2版)[M].北京:清華大學出版社,2010.