OSPF特殊區域網絡原理分析及應用

孟旭瑩 李鵬 馮相榕

摘要：OSPF協議在公司或校園網絡體系中應用廣泛，對目前網絡體系結構有重要影響。對OSPF協議進行分析，對其運行機理展開論述，并對OSPF路由協議中提出的區域理念及其特殊區域進行了研究，基于陜西師范大學網絡架構，引入區域間密文認證以加強校園網絡環境的安全性，通過仿真實驗對Stub區域與普通區域、完全Stub區域及NSSA區域進行了對比及總結，驗證了區域劃分及密文認證方法的正確性和有效性。

關鍵詞：OSPF協議；區域；Stub區域；NSSA區域；MD5驗證

中圖分類號：TP301.6文獻標志碼：A文章編號：1008-1739（2019）14-65-4

0引言

目前廣泛使用的互聯網主要是基于IP協議，IP路由協議分為內部網關路由協議和外部網關路由協議2類。在內部網關路由協議中，OSPF應用最為廣泛。與RIP協議相比，OSPF可支持大規模網絡，在設計上避免了環路，有著更快的收斂速度；與IS-IS相比較，OSPF有更多特性，包括路由標簽、完全末梢區域、NSSA及虛擬鏈路等，故OSPF是一個性能較優的協議。本文驗證了OSPF特殊區域路由機制的有效性及密文認證方法的安全性。

1 OSPF協議工作原理

1.1鏈路狀態型路由協議

OSPF路由協議是基于鏈路狀態的內部網關協議（Interior Gateway Protocol，IGP），由Internet工程任務組（IETF）開發。OSPF協議是為IP協議提供路由功能的路由協議，直接工作于IP層之上，協議號為89。通過路由器通告網絡接口的狀態，收集全網拓撲，建立鏈路狀態數據庫，生成以自己為根的最短路徑樹。鏈路狀態型路由協議是基于連接源和目標設備的鏈路狀態來決定路由的協議，鏈路狀態廣播（Link-State Advertisement，LSA）是鏈接狀態協議使用的一個分組，它包括有關鄰居和通道成本的信息。LSA報文頭的3個關鍵字：LS TYPE（LSA的類型）、Link state ID（鏈路狀態ID，不同的LSA的鏈路狀態ID不同）和Advertising Router（產生這條LSA的Router ID），這3個關鍵字標識了唯一的LSA。

1.2 OSPF路由協議的運行過程

OSPF路由協議的運行過程分為4個步驟：①尋找“鄰居”，啟動OSPF之后，路由器以224.0.0.5為組播地址動態地發送Hello包，尋找可以建立連接、彼此交換路由信息的周邊設備；②選舉DR和BDR，DR和BDR用來管理一個單區域，優先級第2的作為BDR，第1的作為DR；③同步鏈路狀態信息，使得鄰接路由器達到Full狀態；④進行路由計算，計算區域內的路由使用的LSA是Router-LSA，Network-LSA。路由器根據LSDB得到帶權有向圖，依據SPF算法，以每個路由器為根計算其到每個目標路由器的距離，根據數據庫計算出路由域的拓撲結構圖，即最短路徑樹。OSPF動態監視網絡狀態，發生變化則迅速擴散，以達到對網絡拓撲的快速聚合，確定出新的路由表。

2 OSPF的區域工作機制

2.1區域

OSPF雖然支持大型網絡路由管理，但當網絡規模較大時，會形成十分龐大的數據存儲量。一方面容易導致數據庫溢出；另一方面，當網絡中某一鏈路狀態發生變化時，整個網絡中每個節點都需要重新計算一遍自己的路由表，這樣既浪費資源和時間，又影響性能。所以，OSPF將大型網絡分成若干個小型網絡進行管理，在分層過程中可以實現區域隔離，隱藏內部區域，降低受其他路由區域錯誤路由信息的影響。

2.2 OSPF的特殊區域網絡原理分析

Stub區域就是對區域十分典型的應用。Stub區域內的路由器不需要記錄外部地址，當它們要把數據包傳送至OSPF之外時，只需把數據包交給ABR，再由ABR與外部建立連接進行傳送，此時ABR會產生一條0.0.0.0的默認路由并通告給整個Stub區域內的路由器，即內部路由器對外溝通的默認網關。使得域內路由器OSPF數據庫、路由表以及路由信息傳遞量都會大大減少，Stub區域只攜帶區域內路由和區域間的路由。所以，Stub區域是一個不允許AS外部LSA在其內部泛洪的區域，并且默認路由只會泛洪到本Stub區域，不會傳遞到其他的區域。

完全Stub區域是所有區域中最受限制的區域，它不能攜帶外部路由，也不能攜帶區域間的路由，只能攜帶區域內的路由。區域內路由器的OSPF數據庫和路由表規模以及路由信息的傳遞量較Stub區域有大幅度降低，設備要求的性能更低。為了到達區域外的路由，該區域的ABR生成一條缺省路由0.0.0.0，需要到該區域外部的路由都必須通過ABR。

NSSA區域是為了彌補Stub區域的缺陷而引進的一種新概念，取消了Stub關于ASE（引入的外部路由協議的路由信息）的雙向傳播的限制，改為單向限制。在NSSA區域中，存在ASBR，雖然不接受4類和5類LSA，但是區域可引入外部路由，引入的路由以7類LSA的形式通告出去，能將外部路由發送給其他區域。7類LSA是NSSA新定義的一種LSA，它的頭部與5類的頭部信息基本相同，只是type字段不同。

Stub區域、完全Stub區域和NSSA對比如表1所示。

3實驗仿真

3.1拓撲結構的搭建

基于華為的eNSP平臺，進行拓撲結構的搭建。拓撲結構如圖1所示。

采用7臺路由器和2臺PC機進行仿真，7臺路由器分別搭建OSPF普通區域及特殊區域，2臺PC機作為外部設備。對9臺設備的接口配置IP地址，劃分出3個OSPF區域，Area 0為骨干區域，Area 7為普通區域，對Area 11分別進行Stub、完全Stub、NSSA和完全NSSA的配置，對比試驗結果。

3.2外部路由的注入機制

執行引入外部路由的操作后，在鏈路數據庫中，普通區域和NSSA區域都可顯示AS External Database。因此，普通區域和NSSA區域皆允許引入外部路由。但Stub區域無法顯示，故只有Stub區域不能引入外部路由。

3.3 LSA機制

通過對不同區域的配置，顯示其鏈路數據庫，通過數據庫的數據，可得普通區域有1，2，3，5類LSA；Stub區域沒有1，2，3類LSA和一個特殊的3類LSA；完全Stub區域在Stub區域的基礎上，去除了3類LSA；NSSA區域沒有4，5類LSA，但有7類LSA。普通區域依據LSA5，LSA4管理外部路由，NSSA區域依據LSA7管理外部路由，Stub區域對外部路由有雙向傳播的限制，所以沒有這3類路由，NSSA將此限制優化為單向限制，即區域內部的信息可以出去，此時將LSA7轉化為LSA5運作。Stub區域LSA如圖2所示。

3.4默認路由機制

2個區域在去除了3類LSA之后變成完全區域，查看其轉發表，有一條特殊的3類LSA，指向區域外部，即缺省路由，表示的是一條默認的路由的鏈路狀態。所以只要骨干區域中有去往其他網絡的鏈路通告，2種特殊區域都能到達目的區域。不同之處在于，NSSA在去除3類LSA之前，區域內沒有一條特殊的3類LSA（默認路由的鏈路通告），在執行去除3類LSA命令后，自動生成了一條特殊的3類LSA。

3.5連接建立的安全性

特殊區域通過過濾LSA機制減少了洪泛，簡化了區域的管理，增強了安全性。基于此，利用eNSP平臺和Wireshark工具對域內的安全性連接進行進一步研究。

3.5.1 Hello報文

普通區域的標志位為0x02，外部路由引入為Capable；完全Stub區域的標志位等同于Stub區域，均為0x00；完全NSSA區域的標志位等同于NSSA區域。區域內的路由器在建立連接關系時，發送Hello報文，不同區域的報文中標志位不同，僅當發送方和接收方的報文標志位一致時，二者才能建立連接，否則，無法連接傳播信息，提高了安全性。NSSA區域標志如圖3所示。

3.5.2 2種認證方式

安全認證模式分為2種，一種是利用設備接口的接口認證模式，另一種是利用OSPF區域的區域認證模式。加密方式也分為明文和密文2種，仿真中采用的密文加密方式為MD5碼。

若采用接口方式的明文認證方法，抓包中Auth Type為Simplepasswoed；Auth Data為設置的密碼。由實驗可得，在鄰居建立的過程中，只有兩端采用相同的加密方式且密碼一致時，方能建立連接。明文密碼采用明示的方式，易被中間人盜取，密文安全性更高。區域密文抓包如圖4所示。

4應用

基于對OSPF區域中特殊區域的研究，將其應用于校園網絡的建設中，增加校園網絡的安全性和層次化、區域化的管理性。通過對一般校園網絡拓撲結構的研究，延伸至陜師大的校園網絡建設中。

一般的校園OSPF網絡采取星型架構和層次化管理，大致分為核心層、匯聚層和接入層。匯聚層將所有接入層的設備匯聚至一起傳至核心層進行管理。在這種架構中，NSSA特殊區域可應用于匯聚層和接入層之間，以各個部門為一個特殊的區域，防止外部的不必要信息在部門區域內部泛洪，增加安全性和可靠性，可應用于陜師大的部門區域劃分中。一般校園網絡結構如圖5所示，陜師大校園網絡結構如圖6所示。

5結束語

針對OSPF中的Stub區域的研究，通過仿真實驗分別對各個特殊區域進行全面分析，發現NSSA區域更具有普適性，且具有一定的安全性，可應用于校園網絡的建設。

參考文獻

[1] Thomas M.Thomas II. OSPF網絡設計解決方案（第2版）[M].北京：人民郵電出版社，2004.

[2] Doyler J. OSPF和IS-IS詳解[M].北京：人民郵電出版社， 2014.

[3]侯安才，栗楠.計算機網絡實驗教程[M].西安：西安電子科技大學出版社，2016.

[4]謝希仁.計算機網絡[M].北京：電子工業出版社，2008.

[5]李丹，龍毅宏.MD5算法破解對實際應用的影響[J].信息安全與通信保密， 2005（4）：91.

[6]張國清，車斌.路由技術（IPv4版）[M].北京：電子工業出版社，2012.

[7] Doyle J，Carroll J D.Routing TCP/IP （Volmun I：2nd Edition）[M].USA：Cisco Press，2001.

[8]張國清.最新CCNP認證之BSCI寶典[M].北京：電子工業出版社，2007.