基于OSPF和NAT企業網可靠性和安全性仿真實驗設計

◆劉開森 李天賜 李勝輝 王靖悅

基于OSPF和NAT企業網可靠性和安全性仿真實驗設計

◆劉開森 李天賜 李勝輝 王靖悅

（湖北工業大學計算機學院 湖北 430068）

企業網的穩定和安全是企業正常運營的基礎，但還有很多企業在其企業網的搭建上存在很多問題，例如網絡結構過于復雜、協議配置不合理、技術過時等，為企業網的穩定性和安全性留下來隱患。基于OSPF和NAT應用在企業網來保證其穩定性和安全性的設計方案，摒棄了傳統企業使用的RIP，將OSPF用在大中型企業乃至小型企業，可以有效地解決RIP所帶來的一些問題，使網絡的管理更加方便，強化了網絡的結構性，提升了企業網的穩定性和安全性。

企業網；穩定性；安全性；OSPF；NAT

0 引言

隨著企業的信息化水不斷提高，現在企業的日常運營已經離不開網絡，企業網的安全性和穩定性對發展顯得日趨重要，在企業內部合理規劃網絡結構和選擇相應的路由協議是保證企業網穩定性和安全性的重要手段。隨著企業網的規模不斷變大，靜態路由的前期配置和后期維護的繁瑣，靜態路由顯然已經不能滿足企業對網絡的要求。目前在企業網中用的比較多的是RIP，但是RIP有時候不能準確地選擇最佳路徑，收斂時間也比較長，不適合大中型企業和網絡拓撲比較復雜的企業網。OSPF協議(Open Shortest Path First開放式最短路徑優先）配置相對簡單，具備自主學習功能，還具有收斂速度快、方便整合和自防環路等特點。將OSPF用在大中型企業乃至小型企業，可以有效地解決RIP所帶來的一些問題，這也是本文的核心和亮點所在。本文還引用NAT技術，解決企業內網連接因特網的問題和緩解IPV4地址緊張的壓力。

1 核心理論

1.1 OSPF協議簡介[1-4 ]

OSPF協議(Open Shortest Path First開放式最短路徑優先）是一個內部網關協議(Interior Gateway Protocol，IGP），是應用于TCP/IP網絡下的路由協議，是一種典型的鏈路狀態（link-state）的路由協議，一般用于同一個路由域內。路由域是指一個自制系統AS（autonomous system），它是指一組通過統一的路由政策或路由協議互相交換路由信息的網絡。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態信息，OSPF路由器正是通過這個數據庫計算其OSPF路由表的。OSPF分為OSPFv2和OSPFv3兩個版本，其中OSPFv2用在IPv4網絡，OSPFv3用在IPv6網絡。OSPFv2是由RFC 2328定義的，OSPFv3是由RFC 5340定義的。與RIP相比，OSPF是鏈路狀態協議，而RIP是距離矢量協議。

1.2 OSPF鏈路狀態收斂過程[1-3 ]

（1）當路由器初始化或者網絡鏈路狀態發生變化時，路由器會產生LSA（鏈路狀態廣播數據包）；

（2）所有路由器通過泛洪交換鏈路狀態信息，相鄰路由器根據接收到的LSA更新自己的數據庫，并將自己的LSA傳送給與其相鄰的路由器，直至達到穩定；

（3）當OSPF路由協議收斂下來時，所有的路由器根據自己的鏈路狀態數據庫(LSDB)計算出各自的路由表；

（4）當網絡狀態穩定后，網絡中傳遞的鏈路狀態信息就變少了，節省了網絡帶寬。

1.3 NAT簡介[1-4]

NAT英文全稱是“Network Address Translation”，中文名稱為“網絡地址轉換”，屬于IETF標準之一，于1994年提出來，一般在路由器上安裝NAT軟甲來實現，所有本地地址的主機在和外界通信時，都要在NAT路由器上將其本地地址轉換成全球IP地址，才能和因特網連接。

NAT的典型應用是將使用私有IP地址（RFC 1918）的園區網絡連接到Internet，NAT技術的應用有效地解決了內部網路私有IP地址如何訪問Internet的難題，這樣公司就不需要再給內部網絡中的每個設備都分配公有IP地址，既避免了公有地址的浪費，又節省了申請公有IP地址的費用，同時也緩解了IPV4地址空間被耗盡的速度。

1.4 RIP協議簡介

RIP[1-3]（Routing Information Protocol）是內部網關協議IGP中最先得到廣泛應用的協議[RFC1058]，其中文名為路由信息協議。RIP是一種分布式的基于距離向量的路由選擇協議，使用距離矢量來決定最優路徑，就是提供跳數（hop count）作為尺度來衡量路由距離。跳數（hop count）是一個報文從本節點到目的節點中途徑的中轉次數，也就是一個包到達目標所必須經過的路由器的數目。RIP最大的特點就是實現原理和配置方法都很簡單，適用于小規模和缺乏專業人員維護的網絡。但是它有時候不能準確地選擇最佳路徑，收斂時間也比較長。RIP允許一條路徑最多只能包含15個路由器，路由器為16時即為不可達。因此RIP不適合大型復雜的網絡。

1.5使用兩者的好處

OSPF可以使企業內網有條不紊地工作，而NAT可以使企業內網和外網比較完美地結合，將兩者結合在一起，企業網的內外問題就可以同時得到解決。

1.6局限性

圖1 基于OSPF和NAT的企業網

首先是OSPF的路由負載均衡能力比較差，當去往同一目的的路由優先級相同時，才能實現負載分擔；當優先級不同時，OSPF只會選擇優先級較高的轉發，優先級不同的路由，不能達到負載分擔的目的。其次就是該NAT更多的功能僅僅就是實現了地址轉換，而真正在網絡安全上起到的作用就可以說是微乎其微了。真正的網絡安全就要通過防火墻等來實現。

2 實驗仿真

本次實驗拓撲利用思科Cisco Packet Tracer模擬器搭建，為了保證企業網的可靠性，該企業網內部部署了R1和R2兩臺核心路由器，并通過R2連接到Internet上，出口路由器R2通過V.35線纜與一臺外部路由器R3相連。在企業網的內部，R1通過三層交換機L3-SW與兩臺二層交換機相連，企業終端PC連接在二層交換機上。在三層交換機L3-SW上劃分VLAN10和VLAN20，將二層交換機L2-SW1劃分到VLAN10，將二層交換機L2-SW2劃分到VLAN20。

企業網內部兩臺核心路由器R1主要承擔企業網內部VLAN10和VLAN20數據包和來自R2的數據包的轉發，R2主要承擔轉發來自R1和R3的數據包和NAT的任務。R1、R2、R3以及三層交換機L3-SW上配置OSPF協議，配置之后，在R1、R2之間選舉產生DR（指定路由器）和BDR（備份指定路由器），從而使整個網絡的鏈路狀態達到穩定狀態。當企業網絡結構比較復雜的時候時，使用OSPF協議就可以在短時間內使鏈路狀態帶達到穩定，并可以減少鏈路中的路由信息數量，有利于企業中網絡的穩定。R2和R4鏈接，模擬企業網接入Internet，需要在R2和R4之間配置靜態路由。本實驗是用單區域中的OSPF應用來模擬企業網絡，其網絡拓撲圖如圖2所示：

圖2 企業網網絡拓撲

3 具體配置方案

3.1 IP地址分配

在三層交換機L3-SW的f0/1-2劃分到VLAN10，接口f0/3劃分到VLAN20，f0/1鏈接R1，f0/2鏈接L2-SW1，f0/3鏈接L2-SW2，終端計算機連接在二層交換機上。在R3上建立loopback接口，用于模擬公網目的IP，各網絡設備IP地址具體分配規劃方案如圖3所示：

設備名稱接口IP地址 L3-SWf0/1-2VLAN10 10.1.1.1 f0/3VLAN20 50.1.1.1 R1f0/010.1.1.2 f0/020.1.1.1 R2f0/020.1.1.2 s0/3/030.1.1.1 s0/3/1222.0.0.1 R3s0/3/030.1.1.2 Loopback040.1.1.1 R4s0/3/0222.0.0.2 f0/0192.168.1.1 PCf0192.168.1.2 Server0f0192.168.2.2

3.2核心配置

（1）OSPF協議的配置

R1(config)#router ospf 10 //在R1上啟用OSPF協議

R1(config-router)#netw 10.1.1.0 0.0.0.255 are 0 //網段宣告

R1(config-router)#netw 20.1.1.0 0.0.0.255 are 0 //網段宣告

L3-SW，R2、R3上的OSPF配置同上。

（2）配置NAT地址轉換

為了讓企業內網用戶能夠訪問互聯網資源，并且讓外部用戶能夠訪問企業的服務器，在核心路由器R2上配置NAT地址轉換。新增路由器R4，模擬外部網絡，PC0模擬外網用戶。服務器Server0是企業園區網內的一臺WEB服務器，其私有IP地址為192.168.2.2/24，現將其私網IP地址映射到全局IP地址222.0.0.3/24上，外網用戶可以通過訪問222.0.0.3登錄到該公司內部的WEB服務器上。

①在R2上配置靜態路由：

R2(config)#ip route 192.168.1.0 255.255.255.0 222.0.0.2

②在R2上配置NAT轉換[5]：

R2(config)#interface fastEthernet 0/0 //進入接口f0/0

R2(config-if)#ip NAT inside //將接口f0/0設置為企業網內網接口

R2(config-if)#exit

R2(config)#interface serial 0/3/1 //進入接口s0/3/1

R2(config-if)#ip NAT outside //將s0/3/1設置為外網接口

R2(config-if)#exit

R2(config-if)#IP NAT inside source static 192.168.2.2 222.0.0.3 // 將服務器的私有地址轉換成公有地址。

4 仿真實驗測試

4.1測試內網中各個設備的連通性

（1） 用ping命令測試L3-SW訪問服務器的連通性

L3-SW#ping 192.168.2.2（如圖4）。

圖4 L3-SW訪問內網服務器

（2） 用ping命令測試L3-SW訪問R3的連通性

L3-SW#ping 40.1.1.1（如圖5）。

圖5 L3-SW訪問R3的連通性

4.2驗證NAT服務

（1）在服務器上開啟http服務，在index.html文件下上編寫簡單的HTML語句；

（2）在外網PC機上登錄Web Browser，訪問轉換后的公網IP，可以訪問；

（3）在外網PC機上登錄Web Browser，訪問其私有IP，無法訪問；

（4）將某一域名與該企業的共有IP地址綁定（也可以和私有IP綁定）。

在WEB服務器上，同時開啟DNS域名服務，將公網IP地址222.0.0.3與www.test.com綁定；同時在PC上設置DNS服務器，其IP地址為222.0.0.3，進行域名解析；此時即可在外網PC機上登錄Web Browser，訪問www.test.com，可以訪問。

5 結論

本文解決了企業內部網絡的穩定和與外部網絡通信的問題，在企業網內部部署OSPF協議，保證企業網內部的穩定和正常通信。對于大型企業來說，其企業網絡拓撲結構比較復雜，在其內網配置OSPF協議可以使企業網內部鏈路狀態快速收斂，減少網絡鏈路中的信息量。在IPV4地址日趨緊張的情況下，企業網使用NAT就顯得尤為重要，一是可以緩解全球IPV4地址緊張的壓力，二是可以為企業節約申請IPV4地址的資金，在一定程度上還可以抵御來自外網攻擊，保證企業網絡的安全。

基于單區域中的OSPF應用來模擬企業網絡，還沒有涉及防火墻的配置和VLAN的劃分，在以后的學習實驗中，應該嘗試模擬更加全面的企業網，包括VLAN的劃分、防火墻、WIFI等。

企業網的穩定和企業內部的路由控制策略也有著很大的關系，這也是我以后學習和研究的主要方向。一個企業網不可能只用某一個單一的路由協議，應該在不同的區域或者不同的場景選擇合適的協議，這樣從多方面上保證企業網絡的安全和穩定。

[1]高霞，陳智罡，袁宗福.網絡設備互連學習指南[M].北京:科學出版社，2009.

[2]杭州華三通信技術有限公司.H3C大規模路由技術V7.0 [M].浙江:杭州華三通信技術有限公司，2017.

[3]謝希仁.計算機網絡[M].北京:電子工業出版社，2003.

[4]段寧華.計算機網絡應用與實踐教程[M].北京:清華大學出版社，2007.

[5]王達.Cisco路由器配置與管理完全手冊（第二版）[M].北京:中國水利水電出版社，2013.

[6]張鋼, 黃小波.思科虛擬實驗平臺的構建[J].實驗室研究與探索，2010.

[7]陳英，馬洪濤.NAT技術的研究與應用[J].實驗室研究與探索，2007.

[8]桑世慶，盧小慧.交換機/路由器配置與管理[M].北京:人民郵電出版社，2010.

國家自然科學基金面上項目（編號：61772180）：基于深度學習的非結構化大數據分析算法研究。