時間:2022-05-08 12:26:23
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇ospf協(xié)議,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
一、動態(tài)路由協(xié)議ospf
在計算機網(wǎng)絡(luò)中,路由器是一個轉(zhuǎn)運站,網(wǎng)絡(luò)數(shù)據(jù)的目的是網(wǎng)絡(luò)通過路由器進行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)是基于路由表。路由協(xié)議路由表,路由協(xié)議,作為一種重要的TCP / IP協(xié)議的,路由過程實現(xiàn)好壞將直接影響到整個網(wǎng)絡(luò)的效率。簡單網(wǎng)絡(luò)可以通過靜態(tài)路由協(xié)議之間的網(wǎng)絡(luò)路由,如果您正在使用一個靜態(tài)路由協(xié)議,路由表將會非常大,靜態(tài)路由不會考慮網(wǎng)絡(luò)負載的現(xiàn)狀,并不能自動適應(yīng)網(wǎng)絡(luò)拓撲的變化和路由效率。所以,在現(xiàn)代計算機網(wǎng)絡(luò),通常使用動態(tài)路由協(xié)議自動計算最佳路徑。OSPF動態(tài)路由協(xié)議,使用SPF演算法,用于選擇最佳路徑。基于帶寬更快的收斂速度,支持變長子網(wǎng)掩碼VLSM,路由強大的測量大型網(wǎng)絡(luò)(255),大多數(shù)人支持OSPF路由器的數(shù)量,現(xiàn)在已經(jīng)成為最廣泛使用的動態(tài)路由協(xié)議的內(nèi)部網(wǎng)關(guān)協(xié)議。
二、動態(tài)路由協(xié)議分類
(1)根據(jù)角色路由協(xié)議的范圍可分為:內(nèi)部和外部網(wǎng)關(guān)協(xié)議。內(nèi)部網(wǎng)關(guān)協(xié)議運行是在一個自治系統(tǒng)中,外部網(wǎng)關(guān)協(xié)議是自治系統(tǒng)之間的輪換。OSPF是一個最常用的內(nèi)部網(wǎng)關(guān)協(xié)議。根據(jù)算法和路由協(xié)議可以分為鏈路狀態(tài)和距離向量協(xié)議,距離矢量協(xié)議包括RIP和邊界網(wǎng)關(guān)協(xié)議。鏈路狀態(tài)協(xié)議與OSPF是基本相同的,主要區(qū)別在上述兩個算法和計算發(fā)現(xiàn)路由的方法。
(2)根據(jù)目的地址的路由協(xié)議類型可分為:單播和多播協(xié)議。單播協(xié)議包括RIP、OSPF和東部,包括PIM SM -多播協(xié)議,PIM - DM,等等。根據(jù)網(wǎng)絡(luò)規(guī)模,應(yīng)增加路由器運行OSPF協(xié)議的數(shù)量,并將導致LSDB(鏈路狀態(tài)數(shù)據(jù)庫)占用大量的存儲空間,增加SPF(最短路徑優(yōu)先)算法操作的復雜性,增加CPU的負擔。根據(jù)網(wǎng)絡(luò)規(guī)模增加拓撲變化的概率也將增加,每一個變化可能導致網(wǎng)絡(luò)路由器計算“動蕩”,根據(jù)網(wǎng)絡(luò)往往會導致所傳播的網(wǎng)絡(luò)會有很多OSPF協(xié)議信息,減少網(wǎng)絡(luò)帶寬的利用率。為了解決這個問題,OSPF協(xié)議將自治系統(tǒng)分為不同的區(qū)域(區(qū)域)。邏輯路由器的區(qū)域被劃分為不同的群體。每個區(qū)域獨立于SPF路由算法的基礎(chǔ)上運行,這意味著每個地區(qū)都有自己的LSDB和拓撲的一部分。對于每個區(qū)域,區(qū)域外的網(wǎng)絡(luò)拓撲是不可見的。同樣,每一個區(qū)域的路由器也不了解該地區(qū)以外的網(wǎng)絡(luò)結(jié)構(gòu)。OSPF LSA無線電阻礙該地區(qū)邊界,大大減少了OSPF路由信息流動,提高了OSPF運行效率。路由器接口基于區(qū)域,而不是劃分基于路由器,路由器可以屬于一個區(qū)域,也可以屬于多個領(lǐng)域。屬于多個區(qū)域稱為區(qū)域邊界路由器,OSPF路由器應(yīng)注意邊界路由器特征,可以呈現(xiàn)主體與部分之間的關(guān)系,也可以是一個邏輯連接。
三、OSPF協(xié)議的路由算法
OSPF CO pen最短路徑優(yōu)先,使用開放最短路徑優(yōu)先協(xié)議,選擇最佳路徑最短路徑算法(SPF),也被稱為Dijkstra算法。SPF演算法是基于OSPF路由協(xié)議的,SPF算法將每個路由器作為根(ROOT),計算每個目的地的距離路由器,每個路由器拓撲結(jié)構(gòu)的計算方法是根據(jù)一個統(tǒng)一的數(shù)據(jù)庫,結(jié)構(gòu)類似于一個樹,SPF演算法得到最短路徑樹。OSPF路由協(xié)議,根據(jù)樹干的最短路徑長度,即每個目的地路由器的OSPF路由器距離,稱為OSPF成本,根據(jù)最短路徑通過最小化的成本價值判斷每個路由器基于成本的總和值鏈接。每個路由器使用SPF演算法來計算最短路徑樹的根,樹便給了自治系統(tǒng)路由,路由器從表中每個節(jié)點基于最短路徑,最短路徑樹結(jié)構(gòu)是不同的每個路由器的路由表。
四、OSPF協(xié)議網(wǎng)絡(luò)規(guī)劃
1、網(wǎng)絡(luò)的規(guī)模。當網(wǎng)絡(luò)中的路由器的數(shù)量小于10,你可以選擇配置靜態(tài)路由或運行RIP路由協(xié)議。隨著路由器的數(shù)量的增加,用戶網(wǎng)絡(luò)的變化對于路由收斂和網(wǎng)絡(luò)帶寬利用率有更高的要求,比如你應(yīng)該選擇使用OSPF協(xié)議。
2、拓撲結(jié)構(gòu)。如果網(wǎng)絡(luò)拓撲結(jié)構(gòu)是樹型(大多數(shù)這種結(jié)構(gòu)的特點是一個網(wǎng)絡(luò)路由器只有一個出口),可以考慮使用默認路由加靜態(tài)路由。如果網(wǎng)格網(wǎng)絡(luò)拓撲結(jié)構(gòu)和任意兩個路由器的需求相通,應(yīng)該使用OSPF動態(tài)路由協(xié)議。
3、對路由器自身的要求。運行OSPF協(xié)議對于CPU處理能力和內(nèi)存有一定要求,低性能不推薦使用OSPF協(xié)議的路由器。為了使網(wǎng)絡(luò)通信規(guī)劃基于OSPF協(xié)議應(yīng)考慮各種因素,找出IP資源、信道帶寬、網(wǎng)絡(luò)流量,如根據(jù)實際的網(wǎng)絡(luò)環(huán)境形成的思維和方法配置和應(yīng)用程序需求,避免造成不必要的混亂,網(wǎng)絡(luò)拓撲結(jié)構(gòu)調(diào)整將時消除隱患。通過在實踐中不斷學習,系統(tǒng)、全面地掌握網(wǎng)絡(luò)路由設(shè)備、工作原理和動態(tài)路由協(xié)議。通過OSPF網(wǎng)絡(luò)設(shè)計思想,提高網(wǎng)絡(luò)管理水平,確保網(wǎng)絡(luò)的安全、可靠、開放。
參 考 文 獻
[1]王達.Cisco/H3C交換機配置與管理完全手冊(第2版)[M].北京:中國水利水電出版社,2012
[2]公凌.路由和動態(tài)路由協(xié)議介紹及配置分析[fJl.機電信息,2013(9):85一86
[論文摘要]首先闡述開放最短路徑優(yōu)先OSPF協(xié)議的工作過程、接著重點論述自治系統(tǒng)AS的分層結(jié)構(gòu)和指派路由器,希望能夠為學習和研究OSPF協(xié)議的人員提供參考與幫助。
一、背景
眾所周知,隨著因特網(wǎng)規(guī)模的不斷擴大,現(xiàn)在已有幾百萬臺路由器連接在一起,如果讓這些路由器都知道所有網(wǎng)絡(luò)的相關(guān)信息,這樣會導致路由表龐大,處理起來浪費時間,響應(yīng)緩慢等問題;若再加上在鏈路大量傳輸路由信息又會嚴重影響網(wǎng)絡(luò)帶寬。另外,因特網(wǎng)的許多用戶都想使自己的網(wǎng)絡(luò)信息具有安全性和保密性,但又想充分發(fā)揮因特網(wǎng)的作用――相互通信,共享資源。為了解決上述多方面的矛盾,因特網(wǎng)被劃分成許多個較小的自治系統(tǒng)(autonomous system,AS)。一個自治系統(tǒng)就是處于一個管理機構(gòu)控制之下的路由器和網(wǎng)絡(luò)群組。它可以是一個路由器直接連接到一個局域網(wǎng)LAN上,也可以是連到Internet上的,它還可以是一個由企業(yè)骨干網(wǎng)互連的多個局域網(wǎng)。在一個自治系統(tǒng)中的所有路由器必須相互連接,運行相同的路由協(xié)議,在同一個自治系統(tǒng)之內(nèi)的路由器使用同一個自治系統(tǒng)編號。
單個的自治系統(tǒng)AS是由一個ISP運營的網(wǎng)絡(luò),在AS內(nèi)部使用統(tǒng)一的路由協(xié)議,如[1]路由信息協(xié)議(Routing Information Protocol,RIP),但RIP是一種距離向量協(xié)議,在RIP協(xié)議當中,所有的路徑都用跳數(shù)來描述,到達目的地的路由最大不超過16跳,且只保留唯一的一條路由,這就限制了RIP的服務(wù)半徑,即其只適用于小型的簡單網(wǎng)絡(luò)。同時,運行RIP的路由器需要定期地(一般30s)將自己的路由表廣播到網(wǎng)絡(luò)當中,它不但收斂(對于路由協(xié)議,網(wǎng)絡(luò)上的路由器在一條路徑不能用時必須經(jīng)歷決定替代路徑的過程,這個過程稱為收斂)得慢,而且極容易引起廣播風暴、累加到無窮、形成環(huán)路等致命問題,所以它很難適應(yīng)當今計算機網(wǎng)絡(luò)的飛速發(fā)展,尤其是大規(guī)模的異構(gòu)互連網(wǎng)絡(luò)。
為了擺脫諸多因素的困擾,在20世紀80年代中期, Internet工程任務(wù)組(TETF)開發(fā)了另一種新的內(nèi)部網(wǎng)關(guān)協(xié)議,它就是開放最短路徑優(yōu)先協(xié)議(Open Shortes Path First,OSPF),其中的“開放”是說明它的規(guī)范是公開的;“最短路徑”是因為它使用了Dijkstra提出的最短路徑算法(SPF),即在所有的自治系統(tǒng)內(nèi)部使用的路由選擇協(xié)議都是要尋找一條最短的路徑。OSPF協(xié)議是一種分布式的鏈路狀態(tài)信息協(xié)議,在眾多的路由技術(shù)中,OSPF協(xié)議已成為目前廣域網(wǎng)Internet和企業(yè)網(wǎng)Intranet采用最多、應(yīng)用最廣泛的路由技術(shù)之一,但OSPF協(xié)議實現(xiàn)起來比RIP協(xié)議要復雜得多。下面的內(nèi)容是從兩個方面對OSPF協(xié)議進行分析。
二、分析OSPF協(xié)議
(一)自治系統(tǒng)AS采用分層結(jié)構(gòu)
在因特網(wǎng)上,AS是一個ISP(因特網(wǎng)服務(wù)提供商),但大學、研究院和私人組織也可以具有自己的AS。因特網(wǎng)中的AS被劃分為一個主干區(qū)域(backbone)和若干個非主干區(qū)域,所謂的區(qū)域是把許多網(wǎng)絡(luò)和主機,再加上連接這些區(qū)域網(wǎng)絡(luò)上的路由器,所構(gòu)成的邏輯組。AS中的每個區(qū)域內(nèi)部都運行一個基本鏈路狀態(tài)路由算法,即每個區(qū)域內(nèi)部都有它自己相對獨立的鏈路狀態(tài)數(shù)據(jù)庫和相應(yīng)的有向圖(網(wǎng)絡(luò)的拓撲圖),同時區(qū)域內(nèi)的所有路由器運行的鏈路狀態(tài)數(shù)據(jù)庫都是一致的,即它們的數(shù)據(jù)庫是同步的。每一個AS中都有一個主干區(qū)域,稱為區(qū)域O,用區(qū)域ID0.0.0.0來標識。區(qū)域O的功能主要是負責各個非主干區(qū)域之間的路由信息的。主干區(qū)域必須是連續(xù)的,同樣,所有的OSPF區(qū)域必須被連接到區(qū)域O,如果在主干區(qū)域中的連續(xù)性出現(xiàn)斷開現(xiàn)象,則可能需要建立虛鏈路來連接。一個區(qū)域內(nèi)的消息和細節(jié)對本區(qū)域以外的區(qū)域來說都是透明的,即不可見的,這樣可以限制到一個區(qū)域的洪泛流量,使規(guī)模越來越大的AS變得易于管理和維護,也是彌補OSPF協(xié)議占用CPU和內(nèi)存資源的方法,更大大降低了路由信息所耗費的網(wǎng)絡(luò)帶寬。
(二)指派路由器DR和備份指派路由器BDR
OSPF協(xié)議是一個分布式的、動態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議,動態(tài)路由會設(shè)法適應(yīng)網(wǎng)絡(luò)流量、拓撲結(jié)構(gòu)的變化。為了動態(tài)地適應(yīng)如故障、網(wǎng)絡(luò)擁塞等網(wǎng)絡(luò)狀態(tài)的變化,結(jié)點間必須交換鏈路狀態(tài),如本路由器與哪些路由器相鄰、費用、距離、延時、帶寬等。當鏈路狀態(tài)發(fā)生變化時,就會發(fā)送這些信息。不是所有的路由器之間都會發(fā)送信息,只有成為鄰接的路由器之間才會發(fā)送鏈路狀態(tài)信息。 轉(zhuǎn)貼于
當一個OSPF路由器初始化時,首先初始化路由器自身的協(xié)議數(shù)據(jù)庫,然后等待低層協(xié)議(數(shù)據(jù)鏈路層)提示端口是否處于工作狀態(tài)。
如果低層協(xié)議得知一個端口處于工作狀態(tài)時,OSPF協(xié)議會通過其Hello分組與其余的OSPF路由器建立交互關(guān)系。當一個OSPF路由器向其相鄰路由器發(fā)送Hello數(shù)據(jù)包時,如果它自己接收到某一路由器返回給它的Hello數(shù)據(jù)包,則這兩個OSPF路由器之間就建立起了OSPF交互關(guān)系,這個過程在OSPF中被稱為鄰接,只有成為鄰接的路由器之間才可能發(fā)送鏈路狀態(tài)信息。
在一個廣播性的、多點接入的網(wǎng)絡(luò)中存在一個指派路由器(Designated Router,DR)。例如:[2]一個共有N個路由器連接的以太網(wǎng)中所有鄰居都是鄰接路由器,則總共可能有N(N-1)/2條鄰接,每次當有一個路由器收到一條鏈路狀態(tài)時,它將發(fā)送這個信息的副本給所有其它鄰接路由器,最壞情況下可能有2N個這個消息的副本在網(wǎng)絡(luò)上傳輸,實際只需要N個拷貝即可。如果所有的路由器都把自己的本地鏈路狀態(tài)信息對全網(wǎng)進行廣播,那么各路由器只要將這些信息綜合起來就可得到鏈路狀態(tài)數(shù)據(jù)庫。但這樣做開銷太大了。對于這種情況,在這個區(qū)域內(nèi)會選取一個路由器作為代表――指派路由器DR,它是這個團體中最受歡迎的成員,與所有鄰居路由器鄰接,指派路由器主要負責把與它連接的網(wǎng)絡(luò)的鏈路狀態(tài)信息傳播給其他路由器。這樣可以大大減少廣播消息的數(shù)量,從而避免路由器之間建立完全相鄰關(guān)系而引起的大量開銷,也進一步解決了網(wǎng)絡(luò)帶寬的瓶頸問題。在這個區(qū)域中往往還會有一個隨時更新數(shù)據(jù)的備用指派路由器(Backup Designated Router,BDR),它主要是防止指派路由器崩潰,可緩解當時的危機。
OPSF作為一種重要的內(nèi)部網(wǎng)關(guān)協(xié)協(xié)議的普遍應(yīng)用,極大地增強了網(wǎng)絡(luò)的可擴展性和穩(wěn)定性,同時也反映出了動態(tài)路由協(xié)議的強大功能。但是,在有關(guān)OSPF協(xié)議的研究、實現(xiàn)中尚存在一些問題,如數(shù)據(jù)庫的溢出、度量的刻畫、以及MTU協(xié)商等。
參考文獻:
【關(guān)鍵詞】OSPF;鄰接;實驗;驗證
1.引言
OSPF路由協(xié)議是一種鏈路狀態(tài)路由協(xié)議。同時由于它是一種公有的協(xié)議,因此得到了廣大網(wǎng)絡(luò)設(shè)備廠商的支持。運行OSPF協(xié)議的路由器必須先建立完全鄰接關(guān)系,然后才能傳遞路由信息。點到點網(wǎng)絡(luò)是OSPF支持的多種網(wǎng)絡(luò)類型其中的一種,本文將在GNS3模擬器上驗證在點到點網(wǎng)絡(luò)中運行OSPF協(xié)議時,各路由器建立完全鄰接關(guān)系的過程。
2. OSPF路由協(xié)議
OSPF協(xié)議是一種內(nèi)部網(wǎng)關(guān)協(xié)議,它在同一個自治系統(tǒng)中的各個路由器之間交換路由信息。運行OSPF的路由器會將LSA泛洪到同一區(qū)域內(nèi)的所有OSPF路由器,而不僅僅是直連的路由器。OSPF路由器通過收集其他路由器發(fā)過來的LSA創(chuàng)建OSPF的LSDB(鏈路狀態(tài)數(shù)據(jù)庫)。然后使用SPF算法算出到每個目的網(wǎng)絡(luò)的最短路徑,并將其寫入路由表。由此可見,OSPF路由器的路由條目并不是其他路由傳遞過來的,而是路由器本身通過LSDB和SPF算法計算得來的。OSPF定義了點到點網(wǎng)絡(luò)(point-to-point)、廣播型網(wǎng)絡(luò)(broadcast)等多種類型的網(wǎng)絡(luò)。本文只驗證點到點網(wǎng)絡(luò)的環(huán)境。
3. OSPF完全鄰接關(guān)系建立過程
OSPF鄰接關(guān)系有7個狀態(tài)。
假設(shè)路由器A和B直連,A的路由器ID比B的大。并且都運行OSPF。當路由器接口開啟,并講相關(guān)接口宣告進OSPF進程之后,就開始建立鄰居。以下為OSPF路由器完全鄰接關(guān)系建立的過程:
(1)初始化時ospf協(xié)議處于down的狀態(tài)。
(2)當A路由器通過宣告進OSPF協(xié)議進程的接口發(fā)送第一個組播hello報文后進入init狀態(tài)。B也可以通過同樣的方式進入init狀態(tài)。
(3)當路由器B接收到A發(fā)過來的第一個hello報文后,會根據(jù)這個hello報文里的Router ID字段提取出來,作為自己的鄰居的RID(Router ID)。然后將A的RID寫入hello報文的鄰居字段,將自己的RID寫入Router ID字段,發(fā)送給A。A接收到該hello包,在鄰居字段看到自己的RID時,A就認為B已經(jīng)知道自己是它的鄰居,從而A達到2way的狀態(tài)。B也可以通過同樣的方式達到2way狀態(tài),這時雙方進入雙向通信階段。
(4)到達2way狀態(tài)后,路由器開始發(fā)送第一個DBD(數(shù)據(jù)庫描述)報文,這個報文用來選舉主/從(master/slave)關(guān)系。選舉的方法是Router ID大的路由器為master。選舉完成后由master發(fā)起LSA的交互。在這里由于假設(shè)A的路由器ID比B的大,所以選舉的結(jié)果為路由器A是master。此時雙方到達exstart狀態(tài)。
(5)A發(fā)起接下來的DBD報文交互。此時到達exchange狀態(tài)。這時交互的DBD不同于上面所講第一個DBD,exchange狀態(tài)交互的DBD包含每臺路由器LSDB中的LSA報頭。相當于告知對方路由器,本路由器上有哪些網(wǎng)段的路由。
(6)當交互完DBD報文之后,路由器通過LSA報頭的信息和本地LSDA中的信息進行比較,得知本地路由器缺少哪些網(wǎng)段的路由,從而向?qū)Ψ铰酚善靼l(fā)送LSR報文請求這些缺少的LSA。而收到LSR的路由器就會響應(yīng)這些請求,發(fā)送對應(yīng)的LSU報文。此時雙方的狀態(tài)為loading。
(7)當loading狀態(tài)結(jié)束后,雙方就進入了完全鄰接FULL狀態(tài)。
4. GNS3介紹
GNS3是一款思科模擬器軟件,它具有圖形化的界面,并且直接采用cisco路由器的網(wǎng)絡(luò)操作系統(tǒng)IOS,因此可以提供接近于真實cisco路由交換設(shè)備的虛擬網(wǎng)絡(luò)環(huán)境。GNS3實際上整合了Dynamips、Dynagen、Pemu和Winpcap等軟件。
5.實驗拓撲
在GNS3中創(chuàng)建兩臺路由器R1和R2,給R1和R2分別安裝一個NM-4T的模塊,該模塊可為路由器提供4個串行接口。在R1上給環(huán)回口Loopback 0 配置ip地址1.1.1.1/8,模擬一個1.0.0.0/8的網(wǎng)段。配置R1連接R2的接口S0/0的IP地址為12.1.1.1/8并將接口開啟,配置R2連接R1的接口的IP地址為12.1.1.2/8并將接口開啟。在R1上啟用OSPF路由協(xié)議,指定Router ID為1.1.1.1,將lookback 0所連接的網(wǎng)絡(luò)1.0.0.0/8以及S0/0接口所連接的網(wǎng)絡(luò)12.0.0.0/8都宣告進OSPF進程。在R2上啟用OSPF路由協(xié)議,指定Router ID為2.2.2.2,將S0/0接口所連接的網(wǎng)絡(luò)12.0.0.0/8宣告進OSPF進程。R1和R2在同一個區(qū)域0。配置完畢后,R2通過OSPF路由協(xié)議從R1的S0/0接口獲取到一條關(guān)于目標網(wǎng)絡(luò)為1.0.0.0/8的路由條目。實驗拓撲圖如圖所示。
6.基本配置命令
6.1 R1的基本配置
8.結(jié)束語
本文對OSPF路由協(xié)議作了介紹,對OSPF鄰接關(guān)系的建立過程進行了分析,并在GNS3模擬器上搭建了一個OSPF點到點實驗拓撲,對這一過程進行了模擬,通過查看和分析調(diào)試信息驗證了鄰接關(guān)系從down變成full的各個過程。
參考文獻:
關(guān)鍵詞:Linux系統(tǒng);路又器;配置
Linux 作為一種新近崛起的操作系統(tǒng),由于其性能穩(wěn)定,源碼開放及價格方面的優(yōu)勢而逐漸被廣大用戶所接受。現(xiàn)在Linux的主要用武之地在于服務(wù)器領(lǐng)域,但是,經(jīng)過適當?shù)呐渲弥螅€可以擔當互聯(lián)網(wǎng)的物理基石--路由器這一重要角色。
一、BGP/OSPF 概述
路由器是與兩個或兩個以上的網(wǎng)絡(luò)連接的計算機,它根據(jù)路由協(xié)議生成并維護一個路由表,并按照該路由表中的信息轉(zhuǎn)發(fā)包。這些路由器對公司內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)了如指掌,知道將分組送到目的地的全部細節(jié),但對于其他公司的網(wǎng)絡(luò)結(jié)構(gòu)并不了解。像這樣“在同一機構(gòu)下管理的一系列路由器和網(wǎng)絡(luò)”被稱為自治系統(tǒng)(AS)。由不同機構(gòu)掌管的自治系統(tǒng),可以采用不同的路由選擇算法;但同一自治系統(tǒng)內(nèi)的所有路由器都使用同一路由協(xié)議,以便于自治系統(tǒng)內(nèi)部各個路由器互換路由信息來維持相互的連通性。每一個自治系統(tǒng)都有一個16位的“自治系統(tǒng)(AS)編號”作為標志,就像 IP 地址一樣,它是由專門機構(gòu)來分配的。
自治系統(tǒng)內(nèi)的路由器稱為“內(nèi)部網(wǎng)關(guān)”,所用的協(xié)議稱為“內(nèi)部網(wǎng)關(guān)協(xié)議”。內(nèi)部網(wǎng)關(guān)協(xié)議大體上分為兩類,一類是距離向量協(xié)議,如 RIP,EIGRP 協(xié)議;另一類是鏈路狀態(tài)協(xié)議如 OSPF 協(xié)議。鏈路狀態(tài)路由協(xié)議與距離向量協(xié)議的不同之處在于,采用鏈路狀態(tài)路由協(xié)議的路由器不是交換到達目的地的距離,而是維護一張網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。然后用數(shù)據(jù)庫表示該圖,其中的表項對應(yīng)網(wǎng)絡(luò)的一條鏈路。路由器根據(jù)數(shù)據(jù)庫的信息計算出“最佳路由”,由此指導包的轉(zhuǎn)發(fā)。當網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化時,只需將相應(yīng)紀錄而非整個數(shù)據(jù)庫通知其他節(jié)點。各路由器做出相應(yīng)修改并重新計算路由后,就可以繼續(xù)正常工作。
OSPF 具有支持多重度量制式和多重路徑等諸多優(yōu)點,因此成為因特網(wǎng)上推薦使用的內(nèi)部網(wǎng)關(guān)協(xié)議,RIP 卻由于自身的局限性而被打入冷宮。現(xiàn)在,在性能上唯一能夠與 OSPF 相匹敵的內(nèi)部網(wǎng)關(guān)協(xié)議便是 EIGRP--Cisco 的一個專有協(xié)議,但 OSPF 的“開放”本身就是一個響亮的招牌,因為誰也不想受制于某家供應(yīng)商。
二、建立路由器
(1)安裝 Zebra
既可以從 Zebra.org 網(wǎng)站下載 Zebra 的最新源程序,也能從 Redhat 和 Debian 中獲得它,但不一定是最新版的。從源代碼中進行軟件安裝,就會發(fā)現(xiàn)使用的是一些普通的安裝過程。
配置腳本會搜索系統(tǒng)上已經(jīng)安裝的 IP 棧并且自動地設(shè)置成支持他們。當前,IP 棧很可能僅僅是指 IPv4,但是 IPv6 用戶也不用擔心,因為 Zebra 也會發(fā)現(xiàn)并且支持它。
程序安裝之后,還可能必須在 /etc/services 中增加一些命令行。Zebra 的守護程序在他們自己的虛擬終端連接(VTY)下運行,所以的系統(tǒng)必須知道這些虛擬終端連接。
(2)配置 Zebra
如果已經(jīng)熟悉 Cisco IOS,就能在短時間內(nèi)掌握 Zebra,因為會發(fā)現(xiàn)兩者極為相似。Zebra 的每個守護程序使用一個單獨的 VTY,這些 VTY 可以通過一個遠程登錄會話進行動態(tài)配置。所以,如果需要設(shè)置 OSPF,簡單地遠程登錄到該 Linux 上 2604 端口;為了修改內(nèi)核的路由表或設(shè)置路由協(xié)議間的再分發(fā),可以遠程登錄到端口 2601,該 Zebra 守護程序充當內(nèi)核管理器,管理其他的守護程序和系統(tǒng)本身之間的通信。
現(xiàn)在介紹如何在一個服務(wù)器上創(chuàng)建和運行 OSPF 和 BGP。Zebra 的守護程序運用純文本文件儲存它們的配置。對于 OSPF/BGP 路由器,將用到三個文件∶zebra.conf、ospfd.conf 和 bgpd.conf。
這里的感嘆號充當注解標識或分隔符。盡管存在大量不同的網(wǎng)絡(luò)接口類型(Ethernet、ISDN 等等),但只要是 Linux 內(nèi)核能夠辨認的網(wǎng)絡(luò)接口類型,Zebra 都可以使用。
(3)設(shè)置OSPF
接下來,我們還需要告訴守護程序?qū)⑼ㄟ^ OSPF 廣播哪些網(wǎng)絡(luò)以及相關(guān)的域(area)。OSPF 的可伸縮性允許它支持多個域。鍵入 router ospf 開始配置 OSPF,然后鍵入 network 192.168.66.0/24 area 0。這告訴路由器,我們將使用 OSPF 廣播一個子網(wǎng)掩碼為 255.255.255.0 的 192.168.66.0 網(wǎng)絡(luò)。
在本例中,我們讓 eth0 接口變成一個被動(passive)接口,以便使它不能發(fā)送路由更新。這對于實驗是非常重要的,因為在那個方向上的其他的路由器可能監(jiān)聽到發(fā)送的路由更新,將接口變成一個被動(passive)接口,從而有效的避免擾亂網(wǎng)絡(luò)的正常運行。為此,鍵入命令 passive - interface eth0。如果打算將此路由器作為工作路由器使用時,就沒有這個必要了。一旦完成修改,用 end 命令從配置模式中退出,然后用 write file 命令保存。為了讓 OSPF 或 BGP 在某接口上工作,那么該接口必須處于""運行""狀態(tài)。為手工運行一個接口,登錄到端口 2601 并且在該接口上執(zhí)行 no shut 命令。
關(guān)鍵詞:ospf;漏洞;數(shù)字簽名
一 ospf 協(xié)議概述
ospf(open shortest path first)作為目前互聯(lián)網(wǎng)絡(luò)應(yīng)用最為廣泛的內(nèi)部網(wǎng)關(guān)路由協(xié)議,主要提供自治系統(tǒng)(autonomous system,as)內(nèi)的動態(tài)選擇路由。它是一種典型的鏈路狀態(tài)協(xié)議,不同于距離向量協(xié)議(如 rip 等)。ospf 主要有以下特性:
適應(yīng)范圍廣——支持各種規(guī)模的網(wǎng)絡(luò),最大可支持數(shù)百臺路由器。
快速收斂——網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化后立刻發(fā)送更新報文,使這一變化在自治系統(tǒng)中同步。
無自環(huán)——由于 ospf 根據(jù)收集到的鏈路狀態(tài)用 spf 算法計算路由,從算法本身保證了不會生成自環(huán)路由。
區(qū)域劃分——允許將自治系統(tǒng)劃分成區(qū)域,區(qū)域間傳送的路由信息被進一步抽象,從而減少了占用的網(wǎng)絡(luò)帶寬。
等價路由——支持到同一目的地的多條等價路由。
二ospf 的漏洞分析
2.1 存在的漏洞
ospf 路由協(xié)議雖然采取了多種安全機制來保護其不受侵犯,但是這些安全機制并非能讓 ospf 路由協(xié)議成為一個絕對安全的協(xié)議,它還存在相當多的漏洞。
1、空驗證和簡單口令驗證的安全漏洞分析
當驗證類型字段置為 0 時,即表示該報文為空驗證。空驗證時驗證字段的值可為任意值,路由器在發(fā)送和接收該報文時不做任何額外的身份驗證處理,接收方只要校驗和無誤便接收該 ospf 報文并將其中的 lsa 加入到鏈路狀態(tài)數(shù)據(jù)庫中。這一驗證類型可以認為是沒有任何的安全性的。當使用簡單口令驗證時,驗證類型字段置為 1,64 位的驗證字段中存放的是簡單口令驗證用的口令。簡單口令驗證的報文是以明文的形式傳輸?shù)?這其中也包括口令。接收方只要確定校驗和正確且驗證字段的口令等于預先約定的值即可接收。這一方案對于在傳輸過程中的竊聽者,沒有任何的安全性可言。竊聽者可以很輕松地監(jiān)聽到口令,然后偽造 ospf 報文并發(fā)送出去,擾亂正常的路由秩序。
2、加密驗證的漏洞
加密驗證可預防外部竊聽、重播、修改路由消息及阻塞協(xié)議報文傳輸?shù)裙簟5峭獠康墓粽哌€可以通過發(fā)送惡意報文來耗盡路由器的資源,使得路由器由于一直應(yīng)付這樣的惡意攻擊而陷入一種更加脆弱的境界。
3、協(xié)議中的其它威脅
(1)最大年齡攻擊:
在 ospf 路由協(xié)議中,由于 lsa 的 age 字段在經(jīng)過任何一個路由器的時候都需要修改其值,因此它一般不被驗證字段的 md5 摘要所覆蓋。攻擊者可輕松利用該漏洞在lsa 的傳播過程中將其截獲并修改 lsa 的 age 為 maxage。一旦一個 lsa 的 age 字段被修改為 maxage,就可引起路由器鏈路狀態(tài)數(shù)據(jù)庫中 lsa 的早熟,lsdb 過早的將lsa 剔除導致 lsdb 中路由信息的缺失。
(2)針對序列號的攻擊:
由于 ospf 的 lsa 是采用泛洪的方式傳播的,因此在泛洪途中區(qū)域中的入侵者或錯誤路由器都可以對 lsa 信息發(fā)起攻擊,篡改其內(nèi)容。針對序列號的攻擊有兩種,序列號加一攻擊和最大序列號攻擊。
(3)分塊網(wǎng)絡(luò)攻擊:
如果使虛假 lsa 不被泛洪給該 lsa 的合法生成者,則該 lsa 的合法生成者就不會啟動其自反擊機制來糾正該 lsa。假設(shè)有一個被入侵的路由器所處的位置可以將區(qū)域分為兩個子區(qū)域,則攻擊者就可以只向其中的一個子區(qū)域以另一個子區(qū)域中的某路由器的身份注入虛假 lsa,而不向另一個子區(qū)域注入 lsa,這顯然就可以達到欺騙的效果。
2.2漏洞防范策略
1、針對空驗證和簡單口令驗證漏洞的防范策略
采用密碼驗證類型來解決對 ospf 報文任意修改、甚至生成新報文的漏洞,并且驗證類型時,每個 ospf 路由器發(fā)出的報文都包含 32 位無符號非遞減加密序列號,在所有鄰居路由器中都存放著當前該路由器的最新加密序列號,并要求接收到的 ospf 報文的加密序列號必須大于或等于存儲在路由器中的加密序列號。
2、針對密碼驗證漏洞的防范策略
密碼驗證雖然是三種驗證方案中最為安全的一種方案,但是它還遠沒有達到牢不可破的程度。密碼驗證方案中,lsu 報文的頭部仍然是以明文的形式在網(wǎng)絡(luò)中傳播,這給惡意攻擊者以很大的機會篡改 lsu 報文。另外,采用 md5 算法并非絕對安全,中國山東大學的科學家已經(jīng)破解出 md5 算法。再者,維護、管理密鑰的成本較高。本文建議在此驗證類型的基礎(chǔ)上,結(jié)合數(shù)字簽名保護機制來確保 ospf 路由協(xié)議的安全。這樣的防護可以有效的防備大部分的威脅。本文在后面將提出一種基于 lsu 的報文數(shù)字簽名方案,可以實現(xiàn)上述功能。
三 基于 lsu 的數(shù)字簽名 ospf
基于 lsu 的數(shù)字簽名方案與 ospf 路由協(xié)議報文的加密驗證機制的有機結(jié)合,有效防止了一系列的威脅、攻擊。具體分析如下:
1.內(nèi)部的惡意路由器篡改 lsa 鏈路狀態(tài)信息。由于內(nèi)部的惡意路由器掌握了加密驗證所需的密鑰,因此它可以毫不費力的修改 lsa 數(shù)據(jù),然后重新生成一個 md5 摘要放入驗證字段。但是采用上述的數(shù)字簽名方案后,除生成該 lsu 的源路由器外,其它路由器一旦修改 lsu 的內(nèi)容都將在接收方路由器被驗證出來,這很好的保證了路由信息不被外來入侵者尤其是內(nèi)部錯誤路由器的篡改。這主要得益于數(shù)字簽名的不可否認性。這同樣解決了困擾 ospf 路由協(xié)議安全的序列號攻擊,包括序列號加一攻擊和最大序列號攻擊,原理與防止篡改內(nèi)容是相同的。
2.最大程度的防止了最大年齡攻擊:在標準 ospf 中,maxage 字段是 lsa 中最容易受到攻擊的地方,這是由于 maxage 的特殊性而造成的。在簽名的 lsu 中添加了 is maxage 字段用于判斷該 lsu 中是否攜帶了最大年齡的 lsa。本文提出的這種方案有效地阻止了入侵者對年齡字段的修改,一旦年齡字段修改為 maxage,則路由器在接收該 lsu 報文后的驗證過程中通過比對消息摘要時可發(fā)現(xiàn)篡改,從而拋棄該 lsu。這在一定程度上阻止了針對 lsa 的最大年齡攻擊。但是,有些入侵者將 lsa 的 age 字段修改為一個很接近maxage 的值,這種情況本方案將很難對此進行判別并作出應(yīng)對,目前來看也沒有有效的應(yīng)對措施。這種攻擊方式從一定程度上加快了路由器更新 lsa 的速度,消耗了一定的資源,卻無特別大的威脅,應(yīng)該在可以容忍的范圍之內(nèi)。
基于 lsu 的數(shù)字簽名 ospf 機制的效率可以從計算時間、網(wǎng)絡(luò)帶寬和存儲三方面來分析。
時間:數(shù)字簽名保護的 ospf 協(xié)議其核心內(nèi)容就是對一定的內(nèi)容進行數(shù)字簽名。這一過程包括求不定長度的數(shù)據(jù)的 hash 序列、使用不對稱密鑰加解密數(shù)據(jù)。實驗在一臺amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上進行,系統(tǒng)為 cygwin 仿真的 unix 操作系統(tǒng)。采用 rsaref2 庫算法得到如下的結(jié)果:對于一個 16 比特的數(shù)據(jù),使用 512-bit 的 key 產(chǎn)生和驗證一個數(shù)字簽名數(shù)據(jù)需要耗時 0.47 秒和 0.023 秒。事實上本文采用的 hash 函數(shù)計算出的散列值長度為 128 比特,也就是說系統(tǒng)在產(chǎn)生和驗證該數(shù)字簽名時需要耗費的時間可能還要多。
網(wǎng)絡(luò)帶寬:數(shù)字簽名保護的 ospf 協(xié)議相對于標準 ospf,其多占用的網(wǎng)絡(luò)帶寬主要體現(xiàn)在以下幾個方面:1、lsu 中數(shù)字簽名保護數(shù)據(jù)使得 lsu 的長度增大,直接增大了網(wǎng)絡(luò)中數(shù)據(jù)的傳輸量。2、數(shù)字簽名體制中 key 的分發(fā)與管理,這包括 pklsa 的傳播以及相應(yīng)的應(yīng)答等。這些額外的網(wǎng)絡(luò)帶寬負載與網(wǎng)絡(luò)的容量相比都是極其微小的。
存儲:數(shù)字簽名的 ospf路由器都需要存放自身的私鑰和區(qū)域中其它路由器的公鑰,這一部分存儲空間大小一定程度上決定于 area 的大小。而對于數(shù)字簽名的 lsu 或 lsa,在接受 lsu 報文后通過驗證后會將這些報文中的 lsa 存入鏈路狀態(tài)數(shù)據(jù)庫之中,這與普通的 ospf 路由器無異,不會將額外的簽名信息保存下來占用空間。而對于那些不能通過驗證的 lsa 則拋棄不用。
參考文獻
[1]鐘廷龍,李鑫,郭云飛. ospf 路由協(xié)議安全性分析[j]. 微計算機信息, 2005
在網(wǎng)絡(luò)部署中,路由協(xié)議是非常重要的組成部分,良好的路由設(shè)計,是保證網(wǎng)絡(luò)可靠、穩(wěn)定運行的基礎(chǔ)。現(xiàn)有IPv4路由選擇協(xié)議大都增加了對IPV6的支持。
2 IPv6路由協(xié)議對比與選擇
IPv6路由的產(chǎn)生可以通過3種方式:通過鏈路層協(xié)議直接發(fā)現(xiàn)生成的直連路由、通過手工配置生成的靜態(tài)路由以及通過路由協(xié)議計算生成的動態(tài)路由。
靜態(tài)路由配置簡單、可靠、路由開銷少,適合規(guī)模不大、結(jié)構(gòu)穩(wěn)定的網(wǎng)絡(luò)。
動態(tài)路由是通過相互連接的路由器之間交換彼此信息,然后按照一定的算法優(yōu)化出來的,這些路由信息在一定時間間隙里不斷更新,以適應(yīng)不斷變化的網(wǎng)絡(luò),以隨時獲得最優(yōu)的尋路效果。動態(tài)路由主要適用于大型和復雜的網(wǎng)絡(luò)環(huán)境。
IPv6動態(tài)路由協(xié)議有下一代路由選擇協(xié)議(RIPng)、開放最短路徑優(yōu)先版本3(OSPFv3)、中間系統(tǒng)到中間系統(tǒng)(IS-IS)、增強的內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP)和邊界網(wǎng)關(guān)協(xié)議(BGP)等。
其中,OSPF是一種鏈路狀態(tài)路由協(xié)議,它具有標準開放、收斂迅速、無環(huán)路、便于層級化設(shè)計等眾多優(yōu)點,在IPv4網(wǎng)絡(luò)中得到廣泛使用。為了適應(yīng)IPv6協(xié)議的變化,OSPFv3協(xié)議在保留OSPFv2協(xié)議優(yōu)點的基礎(chǔ)上進行了更新,進一步增強了OSPF協(xié)議的功能,提高了其擴展性能。
武漢紡織大學校園網(wǎng)IPv4網(wǎng)絡(luò)采用的也是OSPFv2路由協(xié)議,在IPv6路由協(xié)議選擇時為了保證路由策略的延續(xù)性,也選擇OSPF協(xié)議,不過使用的是升級后的OSPFv3。
3 園區(qū)網(wǎng)OSPFv3部署設(shè)計
目前校園網(wǎng)IPv6部署采取的是雙棧運行模式,即三層設(shè)備上同時運行IPv4和IPv6協(xié)議簇,同時啟用OSPFv2和OSPFv3兩套路由協(xié)議系統(tǒng)。盡管兩套路由協(xié)議運行在同一設(shè)備上,但是它們互相獨立運行,區(qū)域的劃分以及區(qū)域中設(shè)備的數(shù)量和拓撲等都可以相同或不同。在設(shè)計過程中考慮到網(wǎng)絡(luò)管理的便捷,也可采用與現(xiàn)有OSPF v2相同的拓撲規(guī)劃和區(qū)域劃分。
OSPFv3需要設(shè)置32位的Router ID標識連接的鄰居路由器。OSPFv3與OSPFv2自動選擇路由器上最大的IP地址或lookback地址作為Router ID不同,它需要對Router ID進行手工設(shè)置,以防止Router ID的不確定性帶來的如LSA泛洪等潛在不穩(wěn)定因素。因OSPFv3 Router ID形式與OSPFv2 Router ID形式一樣,均采用IPv4地址格式,為了管理方便,可對所有路由器的OSPFv3 Router ID配置與OSPFv2一樣的Router ID。
部署OSPFv3協(xié)議,區(qū)域劃分是不可缺少的工作,通過劃分區(qū)域可以降低路由器上承載的LSA數(shù)量,從而提高網(wǎng)絡(luò)的性能和擴展性。部署中,OSPFv3的區(qū)域劃分與OSPFv2的區(qū)域劃分設(shè)計一致。網(wǎng)絡(luò)核心以及重要匯聚設(shè)備劃分為area 0,作為骨干區(qū)域使用,匯聚及其他設(shè)備劃分為其他area,并連接到area 0。如南湖校區(qū)辦公樓匯聚作為area 101與骨干area 0互聯(lián),陽光校區(qū)每棟學生公寓作為一個單獨的area與骨干area 0互聯(lián)。同時將area 101、area 201、area 202等區(qū)域設(shè)置成stub區(qū)域,防止LSA的泛洪,降低區(qū)域中LSA的數(shù)量,節(jié)約設(shè)備性能。
需要注意的是,OSPFv3區(qū)域的配置與OSPFv2不同,它是在每個端口(或者VLAN)上明確啟動OSPFv3,并指定其屬于的區(qū)域號。
在網(wǎng)絡(luò)出口,一般采用默認路由,一些特殊區(qū)域使用靜態(tài)路由。可將這部分路由信息重分發(fā)到OSPFv3進程中,從而通告給網(wǎng)絡(luò)內(nèi)部的其他路由器。
4 OSPFv3配置
在CISCO IOS平臺下IPv6相關(guān)設(shè)置如下:
ipv6 unicast-routing//啟動IPv6功能
ipv6 router ospf 1//開啟OSPFv3進程
router-id 192.168.0.255//設(shè)置OSPFv3 RouterID
interface Loopback0//設(shè)置Loopback地址并對其進行
ipv6 address 2001:DA8:3004:XXXX::XXXX/128
ipv6 enable
ipv6 ospf 1 area 0
interface GigabitEthernet9/18//設(shè)置端口地址并對其進行
ipv6 address 2001:DA8:3004:YYYY::YYYY/64
ipv6 enable
ipv6 ospf 1 area 0
interface Vlan11//設(shè)置vlan地址并對其進行
ipv6 address 2001:DA8:3004:ZZZZ::ZZZZ/64
ipv6 enable
ipv6 ospf 1 area 101
ipv6 router ospf 1
redistribute static//重靜態(tài)路由
default default-information originate//重默認路由
關(guān)鍵詞 下一代互聯(lián)網(wǎng)技術(shù);IPV6;智能電網(wǎng)
中圖分類號:TM76 文獻標識碼:A 文章編號:1671-7597(2013)22-0009-02
本次項目試點建設(shè)主要內(nèi)容主要包括試點網(wǎng)絡(luò)建設(shè)、輸變電狀態(tài)監(jiān)測系統(tǒng)示范應(yīng)用建設(shè)和信息安全防護三部分建設(shè)內(nèi)容,目標是實現(xiàn)IPv6在智能電網(wǎng)重要業(yè)務(wù)中的應(yīng)用,并為整個電力信息通信網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用向IPv6演進提供借鑒,服務(wù)于智能電網(wǎng)建設(shè),實現(xiàn)IPv6在智能電網(wǎng)中的推廣應(yīng)用。本文著重介紹試點IPv6網(wǎng)絡(luò)的改造情況。
在青海電力公司改造一套針對IPv6相關(guān)系統(tǒng)的網(wǎng)絡(luò)環(huán)境。對輸變電狀態(tài)監(jiān)測系統(tǒng)、網(wǎng)絡(luò)建設(shè)和前端采集裝置(CMA/CAC)進行改造,實現(xiàn)對IPv4和IPv6的兼容支持并對改造后的輸變電設(shè)備狀態(tài)監(jiān)測系統(tǒng)進行聯(lián)調(diào),完成總部與青海公司兩級狀態(tài)監(jiān)測系統(tǒng)的縱向貫通,為智能電網(wǎng)的建設(shè)與運行提供更好的支撐。對輸變電設(shè)備狀態(tài)監(jiān)測系統(tǒng)進行信息安全防護建設(shè)和等級保護安全測評,解決IPv6電力試點網(wǎng)絡(luò)與示范應(yīng)用的信息網(wǎng)絡(luò)安全防護問題,增強智能電網(wǎng)信息安全防護能力,提升信息安全自主可控能力,以確保智能電網(wǎng)業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行,確保業(yè)務(wù)數(shù)據(jù)安全。
1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃及設(shè)計思路
網(wǎng)絡(luò)結(jié)構(gòu)層次清晰;采用核心層、匯聚層、接入層三層結(jié)構(gòu);業(yè)務(wù)支撐能力上,設(shè)備之間的互聯(lián)帶寬鏈路能夠滿足未來5年內(nèi)的業(yè)務(wù)需求。設(shè)備選擇上,盡可能要能滿足未來10年的擴容能力的需求,在核心層、匯聚層、接入層的節(jié)點設(shè)備的性能上需要差別考慮;網(wǎng)絡(luò)需要高可靠性和良好的擴展能力,不能出現(xiàn)單設(shè)備、單鏈路的情況,要有冗余設(shè)備及鏈路。當某個設(shè)備或某條鏈路失效時,不會影響到業(yè)務(wù)的正常訪問;網(wǎng)絡(luò)整體功能結(jié)構(gòu)及流量清晰化,易于網(wǎng)絡(luò)部署實施及策略規(guī)劃,網(wǎng)絡(luò)拓撲要易于管理;IPv6試點網(wǎng)絡(luò)采用整體控制的原則,在滿足功能的前提下,盡可能的節(jié)約投資。
根據(jù)以上設(shè)計思路,在各試點現(xiàn)網(wǎng)基礎(chǔ)上,在各變電站新建一套IPv6網(wǎng)絡(luò)。采用核心—匯聚—接入的三層拓撲結(jié)構(gòu)層次。采用此種網(wǎng)絡(luò)結(jié)構(gòu),對現(xiàn)網(wǎng)的業(yè)務(wù)影響最小,同時也能滿足IPV6的測試功能。
2 網(wǎng)絡(luò)的設(shè)計
2.1 網(wǎng)絡(luò)路由設(shè)計
域內(nèi)路由設(shè)計:域內(nèi)路由協(xié)議(IGP)在城域網(wǎng)中起著連通骨干、選徑和自動迂回的作用。IGP通過計算每條路徑的權(quán)值來尋找最佳路徑。根據(jù)網(wǎng)絡(luò)實際情況,域內(nèi)路由協(xié)議采用OSPF進行部署,統(tǒng)一劃分到區(qū)域0中,實現(xiàn)最快的網(wǎng)絡(luò)收斂速度。通過調(diào)節(jié)開銷值(COST)來實現(xiàn)鏈路的主備切換,所有的網(wǎng)絡(luò)全屬于骨干區(qū)域0。
域間路由設(shè)計:目前,PE-CE間可采用的路由協(xié)議主要有幾種:靜態(tài)路由、OSPF、RIP2、ISIS、EIGRP、BGP-4。在國家電網(wǎng)數(shù)據(jù)通信骨干網(wǎng)中主要采用的是BGP-4協(xié)議來實現(xiàn)PE-CE間路由交互,其優(yōu)點在于配置方便,路由控制策略極其豐富(主要依靠BGP的各種屬性來實現(xiàn)),同時也是僅有的在PE路由器上無需做路由重分布的協(xié)議。
本方案中對于骨干PE路由器與CE路由器之間的路由協(xié)議,采用EBGP的方式進行路由交互。通過配置IGP路由協(xié)議的重分布和BGP-4路由協(xié)議的各種選路屬性,可以控制不同的路由在網(wǎng)絡(luò)中的分布與傳播。
2.2 IPv6地址規(guī)劃
IPv6地址設(shè)計需要考慮和遵從以下原則:IPv6地址資源應(yīng)全網(wǎng)統(tǒng)一進行管理、分配;IPv6地址分配應(yīng)簡單易于管理,體現(xiàn)網(wǎng)絡(luò)層次,降低網(wǎng)絡(luò)管理和網(wǎng)絡(luò)擴展的復雜性,具有可視性;IPv6地址分配應(yīng)具有一定的可擴展性,IPv6地址分配在每一層次上都要留有余量,在網(wǎng)絡(luò)規(guī)模擴展時能保證地址聚合所需的連續(xù)性;IPv6地址分配應(yīng)具有連續(xù)性,連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進行路由聚合,簡化路由表,提高路由算法的效率;IPv6地址分配應(yīng)具有靈活性,以滿足多種流量策略、安全策略、路由策略的優(yōu)化,充分利用地址空間。
3 IPv6試點網(wǎng)絡(luò)改造與實施
對公司格爾木換流站局域網(wǎng)、應(yīng)用平臺、平臺局域網(wǎng)及接入網(wǎng)的網(wǎng)絡(luò)進行改造,使其均支持IPv4/IPv6雙棧,不具備雙棧條件的網(wǎng)絡(luò)設(shè)備進行設(shè)備版本升級或更換。
3.1 IPv6試點網(wǎng)絡(luò)改造方案
省公司端:對省公司端CE路由器、cisco 6509核心交換機和電科院端接入交換機進行支持IPv4/IPv6雙協(xié)議棧的配置,同時對統(tǒng)一視頻監(jiān)控平臺進行改造,使其支持IPv4/IPv6雙協(xié)議棧,通過IPv4/IPv6雙棧方式實現(xiàn)變電站IPv6網(wǎng)絡(luò)及ipv4網(wǎng)絡(luò)與省公司電科院改造后的輸變電狀態(tài)監(jiān)測平臺系統(tǒng)(雙棧)之間的數(shù)據(jù)交互。
省公司至格爾木換流站:換流站新增接入路由器通過傳輸鏈路直連至省公司cisco 6509核心交換機上,且兩臺設(shè)備全部支持IPv4/IPv6雙協(xié)議棧,故無需配置隧道。
格爾木換流站端:換流站新增1臺三層交換機、1臺接入路由器,支持IPv4/IPv6雙協(xié)議棧,用于換流站新增IPv6終端設(shè)備的接入,對換流站原接入路由器進行IPv4/IPv6雙協(xié)議棧配置,變電站原IPv4業(yè)務(wù)及新增IPv6終端通過新增三層交換機及(雙棧)和新增路由器接入路由器(雙棧)實現(xiàn)與省公司輸變電狀態(tài)監(jiān)控平臺(雙棧)之間的數(shù)據(jù)交互。
3.2 IPv6試點網(wǎng)絡(luò)改造實施內(nèi)容
省公司新增CE路由器的配置雙棧,并啟用BGP和OSPF路由協(xié)議;省公司新增核心交換機的配置雙棧,并啟用OSPF路由協(xié)議,通過配置IPv6 Over IPv4隧道與變電站接入路由器進行連接;變電站新增接入路由器、接入交換機配置雙棧及相關(guān)配置,通過IPv6 Over IPv4隧道與省公司核心交換機進行連接。
1)核心交換機配置:主要包括OPSF路由配置;snmp配置;vlan配置;登陸方式配置;ntp配置;日志服務(wù)器配置。
參考帶寬:內(nèi)網(wǎng)匯聚交換機與核心區(qū)主交換機之間的cost值設(shè)置為10;與備核心交換機之間的cost值設(shè)置為100;根據(jù)ospf選路原則,優(yōu)先選取與主核心交換機的鏈路為主鏈路。
網(wǎng)絡(luò)類型:設(shè)備之間的物理連接均為以太網(wǎng)連接,ospf默認的網(wǎng)絡(luò)類型為廣播型,為了加快路由的收斂,將網(wǎng)絡(luò)設(shè)備間的互聯(lián)接口的ospf網(wǎng)絡(luò)類型設(shè)置為點到點類型。
鏈路聚合:主核心交換機與備核心交換機做動態(tài)鏈路捆綁。
2)CE路由器配置:主要包括OPSF路由配置,BGP配置;snmp配置;登陸方式配置;ntp配置;日志服務(wù)器配置。
OSPF路由設(shè)計原則:使用IPV6的OSPF V3配置。內(nèi)網(wǎng)ospf的進程號設(shè)置為1;使用Loopback地址作為ospf router-id手工指定;內(nèi)網(wǎng)ospf運行在單域模式,服務(wù)器區(qū)匯聚交換機與核心交換機之間運行Area3;運行ospf設(shè)備之間啟用MD5認證;Ospf進程內(nèi)的所有設(shè)備都使用network方式業(yè)務(wù)網(wǎng)段和互連網(wǎng)段。
BGP路由設(shè)計原則:使用IPv6 的BGP配置。內(nèi)網(wǎng)BGP的進程號使用統(tǒng)一的進程號;手工指定loopback地址作為router-id;通過ospf學習到業(yè)務(wù)網(wǎng)段;分別與綜合數(shù)據(jù)網(wǎng)的PE和CE建立鄰居關(guān)系;指定相應(yīng)的路由策略。
3)接入路由器配置:主要包括OPSF路由配置配置;單臂路由;snmp配置;默認路由配置;vlan配置;登陸方式配置;ntp配置;日志服務(wù)器配置。
參考帶寬:接入路由器與核心區(qū)主交換機之間的cost值設(shè)置為10;與備核心交換機之間的cost值設(shè)置為100;根據(jù)ospf選路原則,優(yōu)先選取與主核心交換機的鏈路為主鏈路;
網(wǎng)絡(luò)類型:設(shè)備之間的物理連接均為以太網(wǎng)連接,ospf默認的網(wǎng)絡(luò)類型為廣播型,為了加快路由的收斂,將網(wǎng)絡(luò)設(shè)備間的互聯(lián)接口的ospf網(wǎng)絡(luò)類型設(shè)置為點到點類型。
單臂路由:變電站端的業(yè)務(wù)、管理網(wǎng)關(guān)配置在路由器上,需要在路由器配置單臂路由。
4)接入交換機配置:主要包括:snmp配置;默認路由配置;vlan配置;登陸方式配置;ntp配置;日志服務(wù)器配置。業(yè)務(wù)數(shù)據(jù)流走二層trunk,管理vlan數(shù)據(jù)流使用靜態(tài)路由指向匯聚交換機;端口劃入相應(yīng)的業(yè)務(wù)vlan,無用端口手工down;接入交換機與匯聚交換機啟用動態(tài)鏈路聚合。
4 結(jié)束語
本次項目試點建設(shè)實現(xiàn)了IPv6在智能電網(wǎng)重要業(yè)務(wù)中的應(yīng)用,通過對IPv6應(yīng)用技術(shù)、實驗網(wǎng)絡(luò)、試點網(wǎng)絡(luò)、示范應(yīng)用內(nèi)容進行研究,在現(xiàn)有電力數(shù)據(jù)網(wǎng)中建立試點IPv6網(wǎng)絡(luò),選擇智能電網(wǎng)相關(guān)的輸變電狀態(tài)監(jiān)測系統(tǒng)的應(yīng)用進行示范建設(shè),全面推動下一代互聯(lián)網(wǎng)技術(shù)在電力行業(yè)的應(yīng)用,并為整個電力信息通信網(wǎng)絡(luò)及業(yè)務(wù)應(yīng)用向IPv6演進提供借鑒,服務(wù)于智能電網(wǎng)建設(shè),實現(xiàn)IPv6在智能電網(wǎng)中的推廣應(yīng)用。
關(guān)鍵詞:VLAN;VTP;Packet Tracer;綜合路由
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)05-0052-03
1 VLAN技術(shù)概述
虛擬局域網(wǎng)VLAN是一種以交換式網(wǎng)絡(luò)為基礎(chǔ),以軟件的方式將局域網(wǎng)內(nèi)的設(shè)備邏輯上劃分為若干個虛擬工作組的技術(shù)。同一邏輯工作組成員可以分布在同一物理網(wǎng)段上,也可以分布在不同的網(wǎng)絡(luò)上。通過VLAN將二層交換網(wǎng)絡(luò)的一個廣播域分隔成多個廣播域,這樣不僅提高網(wǎng)絡(luò)的性能,同時也提高了網(wǎng)絡(luò)的安全性。
通常情況下,一個網(wǎng)絡(luò)使用了VLAN后,需要對眾多交換機進行相同VLAN的配置和維護,以保證交換機能進行正確的數(shù)據(jù)轉(zhuǎn)發(fā)。如果靠網(wǎng)管人員逐臺交換機進行人工配置,工作量巨大,且也不利于日后維護。
為了解決這個困難,思科提供了VTP(VLAN Trunking Protocol)技術(shù)。所謂的VTP就是虛擬局域網(wǎng)中繼協(xié)議。在一個VTP域中,一臺交換機處于以下三種模式之一:服務(wù)器模式、客戶端模式和透明模式。VTP模式通過在一臺設(shè)備(設(shè)置為VTP服務(wù)器)上配置VLAN數(shù)據(jù)庫,并將配置信息通過交換網(wǎng)絡(luò)傳遞給VTP客戶機來實現(xiàn),此時所有的交換機互連端口,必須啟用中繼。通過VTP技術(shù),減少了創(chuàng)建、管理VLAN的工作量。
2 VLAN間的通信
主機分屬不同的VLAN,也就意味著屬于不同的廣播域,因此不同的VLAN的主機間無法直接通信。VLAN間的通信就相當于不同局域網(wǎng)之間的通信,因此VLAN間的通信問題實質(zhì)上就是VLAN間的路由問題,需要利用OSI參考模型中更高一層網(wǎng)絡(luò)層來進行,即要借助路由器或三層交換機來實現(xiàn)。
不同物理網(wǎng)絡(luò)間路由模式有直連路由、靜態(tài)路由和動態(tài)路由三種。動態(tài)路由可以由不同的路由協(xié)議來實現(xiàn),如RIP、OSPF、ISIS和BGP等。
3 跨網(wǎng)絡(luò)VLAN路由通信實例
3.1 網(wǎng)絡(luò)環(huán)境
校園網(wǎng)由兩個物理局域網(wǎng)構(gòu)成:網(wǎng)絡(luò)1、網(wǎng)絡(luò)2。網(wǎng)絡(luò)1為校園西區(qū),網(wǎng)絡(luò)2為東區(qū)。
在網(wǎng)絡(luò)1中,根據(jù)應(yīng)用,劃分三個VLAN,通過三層交換機作為VLAN的VTP服務(wù)器,實現(xiàn)VLAN的自動創(chuàng)建并實現(xiàn)不同VLAN間的通信;網(wǎng)絡(luò)2中,劃分二個VLAN,通過單臂路由實現(xiàn)VLAN間的通信;網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間通過路由器實現(xiàn)跨網(wǎng)絡(luò)VLAN間的通信。
3.2 網(wǎng)絡(luò)配置
根據(jù)網(wǎng)絡(luò)規(guī)劃的設(shè)想,基于Packet Tracer模擬軟件創(chuàng)建網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如下:
網(wǎng)絡(luò)1由一臺3560三層交換機及二臺2960二層交換機組成,每臺2960交換機上創(chuàng)建三個VLAN:DZ、RJ、WL。網(wǎng)絡(luò)1中VLAN采用VTP方式來建立,以3560交換機作為VTP服務(wù)器,2960交換機為VTP客戶端。網(wǎng)絡(luò)2由一臺2960交換機SWITCH3和一臺2621XM路由器R2組成,在2960上劃分出二個VLAN:XZ、WG,通過R2單臂路由實現(xiàn)VLAN間的通信。網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間通過一臺2621路由器R1相連接,二個網(wǎng)絡(luò)之間通過綜合路由實現(xiàn)互訪:3560和路由器R1之間配置RIP協(xié)議,路由器R1和R2之間配置OSPF協(xié)議。網(wǎng)絡(luò)1中PC的網(wǎng)關(guān)指向相應(yīng)VLAN的IP地址,網(wǎng)絡(luò)2中PC網(wǎng)關(guān)指向單臂路由虛擬端口地址。
網(wǎng)絡(luò)中主機設(shè)備的地址規(guī)劃如表1:
路由器、三層交換機端口地址分配如表2:
網(wǎng)絡(luò)1中,每臺2960交換機的端口1、2、3分別分配VLAN號 :101、102、103,網(wǎng)絡(luò)2中,交換機2960的4、5端口分別分配VLAN號:104、105,設(shè)備之間連接端口如前圖所示。
4 實現(xiàn)過程如下:
4.1 網(wǎng)絡(luò)1:三層交換機實現(xiàn)VLAN間通信
第一步:配置VTP域
首先在3560建立VTP域xmist:
3560#conf t
3560(config)#vtp domain xmist
然后在2960交換機SWITCH1、2上分別配置VTP的客戶端模式:
Switch1(config)#vtp domain xmist
Switch1(config)#vtp mode client
第二步:3560上建立VLAN數(shù)據(jù)庫
3560#vlan database
3560(vlan)#vlan 101 name dz
3560(vlan)#vlan 102 name rj
3560(vlan)#vlan 103 name wl
第三步:創(chuàng)建交換機之間的中繼鏈路
分別將3560和switch1、switch2之間的鏈路端口配置成為中繼模式,讓不同的Vlan ID的報文通過。在3560上配置如下:
3560#conf t
3560(config)#int range f0/1-f0/2
3560(config-if-range)#switchport mode trunk
在Switch1上進行配置:
Switch1#conf t
Switch1(config)#int f0/24
Switch1(config)# switchport mode trunk
在switch2上進行相同的配置。
完成后查看2960交換機switch1和2 可以發(fā)現(xiàn):在交換機1、2上也都創(chuàng)建了與3560上相同的VLAN。
此時PING不同的交換機下屬于同一VLAN的PC,如同屬VLAN 101的PC11、PC12之間能夠通信。但不同的VLAN間的PC不能互訪。
第四步:開啟三層交換路由
在3560交換機上進行VLAN節(jié)點配置:
3560(config)#int vlan 101 // 配置VLAN 101網(wǎng)關(guān)
3560(config-if)#ip address 172.17.10.1 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
重復上述過程為VLAN 10 2、VLAN 103配置節(jié)點地址172.17.20.1/24、172.17.30.1/24。
并開啟三層路由:
3560(config)#ip routing
這時三個VLAN間的PC可以實現(xiàn)互訪,例如:PC11與PC21互相可以通信。通過三層交換機實現(xiàn)了不同VLAN間的通信。
4.2 網(wǎng)絡(luò)2:單臂路由實現(xiàn)VLAN間通信
具體步驟如下:
第一步:創(chuàng)建VLAN
在2960交換機switch3上創(chuàng)建VLAN 104,VLAN 105,將與路由器R2鏈接的f0/24端口配置為Trunk模式。參照前述相關(guān)過程進行,不再贅述。
第二步:實現(xiàn)單臂路由
在R2路由器上進行如下配置
R2(config)#int f 0/1.1 //創(chuàng)建第1子接口
R2(config-subif)#encapsulation dot1Q 104 //封裝vlan 104
R2(config-subif)#ip address 172.17.40.1 255.255.255.0 //配置子接口IP地址
R2(config-subif)#exit
R2(config)#int fa 0/1.2 //創(chuàng)建第2子接口
R2r(config-subif)#encapsulation dot1Q 105 // 封裝vlan 105
R2(config-subif)#ip address 172.17.50.1 255.255.255.0 //配置子接口IP地址
完成后,測試PC41與PC51之間可以PING通。表明利用單臂路由實現(xiàn)了不同VLAN間的通信。
4.3 通過綜合路由實現(xiàn)跨網(wǎng)絡(luò)VLAN間的通信
經(jīng)過前述二個步驟,用二種不同的方式實現(xiàn)了同一物理網(wǎng)絡(luò)中VLAN之間的通信,但是尚未實現(xiàn)兩個物理網(wǎng)絡(luò)(網(wǎng)絡(luò)1和網(wǎng)絡(luò)2)之間的VLAN的通信。
本項目中網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間通過2621路由器R1來鏈接,借助綜合路由協(xié)議配置來實現(xiàn)路由,即在R1路由器上運行二個路由協(xié)議進程,網(wǎng)絡(luò)1的一端運行RIP協(xié)議,網(wǎng)絡(luò)2的一端運行OSPF協(xié)議。要實現(xiàn)這個功能,要實現(xiàn)路由的重分布,即既要將OSPF路由域的路由重新分布后通告RIP路由域中,也要將RIP路由域的路由重新分布后通告到OSPF路由域中。過程如下:
1)在3560上配置RIPV2協(xié)議
3560(config)#int fa0/24
3560(config-if)#no switchport
3560(config-if)#ip address 172.16.0.1 255.255.0.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#router rip //運行RIP協(xié)議
3560(config-router)#network 172.16.0.0
3560(config-router)#network 172.17.10.0
3560(config-router)#network 172.17.20.0
3560(config-router)#network 172.17.30.0
3560(config-router)#version 2
設(shè)置結(jié)束,觀察此時3560上的路由情況。
3560#show ip route
C 172.16.0.0/16 is directly connected, FastEthernet0/24
C 172.17.10.0/24 is directly connected, Vlan101
C 172.17.20.0/24 is directly connected, Vlan102
C 172.17.30.0/24 is directly connected, Vlan103
2)在R2路由器上配置ospf協(xié)議
R2(config)#int f0/0
R2(config-if)#ip address 172.18.0.1 255.255.0.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#router ospf 1 //R2上運行OSPF協(xié)議
R2(config-router)#network 172.18.0.0 0.0.255.255 area 0
R2(config-router)#network 172.17.40.0 0.0.0.255 area 0
R2(config-router)#network 172.17.50.0 0.0.0.255 area 0
R2(config-router)#end
觀察此時R2上的路由情況
R2#show ip route
C 172.18.0.0/16 is directly connected, FastEthernet0/0
C 172.17.40.0 /24 is directly connected, FastEthernet0/1.1
C 172.17.50.0/24 is directly connected, FastEthernet0/1.2
3)在R1路由器上配置綜合路由
配置R1兩端口IP地址:
R1(config)#int f0/1
R1(config-if)#ip address 172.16.0.2 255.255.0.0
R1(config-if)#no shut
R1r(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip address 172.18.0.2 255.255.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1路由器上配置RIP協(xié)議:
R1(config)#router rip
R1(config-router)#network 172.16.0.0
R1(config-router)#version 2
R1路由器上配置OSPF協(xié)議:
R1(config)#router ospf 1
R1(config-router)network 172.18.0.0 0.0.255.255 area 0
進行PC11對PC41的訪問,發(fā)現(xiàn)目標不可達。因為此時的RIP協(xié)議和OSPF協(xié)議之間未進行重分布,觀察3560交換機和R2路由表均無對方路由信息。
4)在R1上進行路由重分布
R1(config)#router rip
R1(config-router)#redistribute ospf 1
R1(config-router)#exit
R1(config)#router ospf 1
R1(config-router)#redistribute rip subnets
R1(config-router)#end
此時R2上的路由情況如下:
同樣觀察其他的主機的訪問情況,發(fā)現(xiàn)皆能連通。實現(xiàn)了跨物理網(wǎng)絡(luò)的VLAN間通信。
4 結(jié)束語
VLAN技術(shù)是局域網(wǎng)應(yīng)用中的重要技術(shù),實現(xiàn)VLAN間的通信是網(wǎng)管人員和網(wǎng)絡(luò)工程人員必將面對的問題。本文利用Packet Tracer軟件,模擬了同一物理網(wǎng)絡(luò)中,使用三層路由和單臂路由的方法實現(xiàn)VLAN間的通信;采用綜合路由配置方法,實現(xiàn)了不同物理網(wǎng)絡(luò)的VLAN間通信。過程中分析了路由器的端口設(shè)置、IP地址分配、三層交換機的配置,對相關(guān)的配置命令和路由表的信息進行了解析,并對組建的虛擬網(wǎng)絡(luò)進行了通信仿真測試,實現(xiàn)了預期的設(shè)想。
參考文獻:
[1] 孫秀英, 史紅彥. 路由交換技術(shù)與應(yīng)用項目化教程[M]. 北京: 機械工業(yè)出版社, 2014.
[2] 鄭耿凡. 淺析CiscoPacketTracer在Vlan間通信教學的應(yīng)用[J]. 河北軟件職業(yè)技術(shù)學院學報, 2014,16(3): 54-57.
論文摘要:介紹了天津水利辦公廣域網(wǎng)的建設(shè)情況,重點闡述了相關(guān)路由協(xié)議配置以及安全防范措施。通過天津水利辦公廣域網(wǎng)的建設(shè),下屬單位與局機關(guān)實現(xiàn)了穩(wěn)定、快速的網(wǎng)上辦公、信息傳遞,并同時滿足了未來網(wǎng)絡(luò)數(shù)據(jù)、語音和視頻等信息業(yè)務(wù)發(fā)展的需求。
論文關(guān)鍵詞:水利廣域網(wǎng) 信息化
天津市水利局是天津市水利行政主管部門,承擔著防汛抗旱、農(nóng)田水利建設(shè)、水資源綜合開發(fā)利用和引灤供水等重要任務(wù)。經(jīng)過多年的建設(shè),天津水利內(nèi)部辦公網(wǎng)絡(luò)已經(jīng)初步形成,局機關(guān)實現(xiàn)了網(wǎng)上公文運轉(zhuǎn)、檔案管理及信息等功能,全水利系統(tǒng)實現(xiàn)了網(wǎng)上公文、信息傳遞。隨著網(wǎng)上信息量的不斷增加、網(wǎng)絡(luò)依賴性的提高,原有幀中繼和電話撥號的聯(lián)網(wǎng)方式,在網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)穩(wěn)定性方面已經(jīng)不能滿足全局辦公自動化的需要,由于局機關(guān)是水利部門的指揮中樞,各種水利相關(guān)信息要快速、可靠地向局中心網(wǎng)絡(luò)傳輸,天津水利辦公廣域網(wǎng)正是適應(yīng)這種新形勢的需求而建設(shè)的。
1建設(shè)前接入內(nèi)部網(wǎng)絡(luò)情況
天津水利內(nèi)部辦公網(wǎng)絡(luò)建設(shè)完成后,局機關(guān)辦公自動化系統(tǒng)全面應(yīng)用,局下屬單位分別以幀中繼和電話撥號方式與局中心計算機網(wǎng)絡(luò)連接,但中心端速率只有1M,隨著水利信息化建設(shè)的不斷發(fā)展,對水利信息資源的應(yīng)用逐步深入,需要傳輸各種大量的水利數(shù)據(jù)、視頻等信息,對于網(wǎng)絡(luò)的依賴性越來越強,以光纖接入替代原來的電話線接入,提高整個網(wǎng)絡(luò)的帶寬和接入響應(yīng)方式已迫在眉睫。并且隨著天津水利辦公廣域網(wǎng)的逐漸擴大,網(wǎng)絡(luò)節(jié)點的增加,原有的靜態(tài)路由方式廣域網(wǎng)也已經(jīng)不能適應(yīng)新的網(wǎng)絡(luò)結(jié)構(gòu)要求,見圖1。
2天津水利辦公廣域網(wǎng)建設(shè)后整體網(wǎng)絡(luò)結(jié)構(gòu)
局屬單位水科所等22家單位新增為2M光纖方式接入,實現(xiàn)與局網(wǎng)絡(luò)中心的寬帶互聯(lián)。改造后水利局的核心網(wǎng)絡(luò)以原有的防火墻作為水利局內(nèi)部網(wǎng)絡(luò)與其他各機構(gòu)網(wǎng)絡(luò)中間的隔離。網(wǎng)絡(luò)內(nèi)只允許用戶端能夠訪問到水利局內(nèi)部網(wǎng)絡(luò)的相關(guān)服務(wù)器網(wǎng)站所對應(yīng)的端口。
新增加網(wǎng)絡(luò)內(nèi)核心的接入路由器,起主路由作用,并在其上新建1塊CPOS光口卡,此光口卡連接到網(wǎng)通的SDH節(jié)點設(shè)備上,帶寬為155M,此通道可以劃分為63個2M,最多為63個分支機構(gòu)提供2M的接入通道。
原有的路由器作為原有網(wǎng)絡(luò)核心接入設(shè)備,現(xiàn)在作為于橋水庫備用路由設(shè)備。
引灤入津沿線7個管理處使用引灤入津工程管理信息系統(tǒng)建設(shè)的光纖網(wǎng)絡(luò),采用統(tǒng)一門戶,通過引灤工程管理處至水利局的光纖通道,實現(xiàn)引灤工程信息網(wǎng)與局網(wǎng)絡(luò)中心的網(wǎng)絡(luò)互聯(lián)。
3相關(guān)技術(shù)實現(xiàn)手段
3.1選用OSPF路由協(xié)議
天津水利辦公廣域網(wǎng)肩負著OA文件系統(tǒng)傳輸和實時水雨情信息的傳輸以及各種大量的水利數(shù)據(jù)、視頻等其他信息傳輸?shù)木W(wǎng)絡(luò)重任,要求網(wǎng)絡(luò)必須可靠穩(wěn)定。
整個網(wǎng)絡(luò)必須具有多路由選擇、路由迂回、路由備份的能力,以防止因單路由的損壞而造成全網(wǎng)或非損壞節(jié)點的中斷。同時,網(wǎng)絡(luò)禁止出現(xiàn)路由循環(huán)或路由不被利用的情況。并對有多條電路連接的情況,盡可能地做到各條電路上的流量和負載均衡,保證帶寬的合理和充分利用。
天津水利辦公廣域網(wǎng)網(wǎng)絡(luò)覆蓋面廣,經(jīng)過的路由復雜節(jié)點多。以局網(wǎng)絡(luò)中心機房為中心,連接局機關(guān)及局所屬企、事業(yè)單位和區(qū)縣水務(wù)(利)局等單位的網(wǎng)絡(luò),實現(xiàn)全水利系統(tǒng)計算機網(wǎng)絡(luò)的互聯(lián)互通,為水利信息化提供硬件基礎(chǔ),見圖2。
OSPF路由協(xié)議具有以下優(yōu)點:可適應(yīng)大規(guī)模網(wǎng)絡(luò)、路由變化收斂速度快、無路由自環(huán)、支持變長子網(wǎng)掩碼VLSM、支持等值路由、支持區(qū)域劃分、提供路由分級管理、支持驗證、支持以組播地址發(fā)送協(xié)議報文等。所以在水利辦公廣域網(wǎng)的設(shè)計和建設(shè)時,采用以O(shè)SPF為主,靜態(tài)路由為輔的路由策略,使原先的辦公網(wǎng)絡(luò)平滑的融合和過渡到新的網(wǎng)絡(luò)體系中。
3.1.1 OSPF區(qū)域劃分天津水利辦公廣域網(wǎng)運行OSPF路由協(xié)議,對現(xiàn)節(jié)點OSPF協(xié)議中的AREA值設(shè)定為1O0。隨著更多設(shè)備接入,網(wǎng)絡(luò)擴充,可劃分更多區(qū)域,根據(jù)不同區(qū)域的網(wǎng)絡(luò)特點設(shè)定相應(yīng)的網(wǎng)絡(luò)環(huán)境。達到隔離故障,防止蠕蟲病毒及網(wǎng)絡(luò)設(shè)備失效(如端口故障)等對全網(wǎng)的影響作用。并可對外隱蔽網(wǎng)絡(luò)結(jié)構(gòu),阻止外部用戶通過掃描探測網(wǎng)絡(luò)的結(jié)構(gòu)。
3.1.2路由器配置內(nèi)容①核心路由器0SPF配置為:
routerospf100
/啟動OFPS協(xié)議/
log-adjacency-changes /記錄OSPF鄰居狀態(tài)的改變/
redistributestatic
/引入靜態(tài)路由信息/
network192.168..O.O.O.3area100/通告本地連接網(wǎng)段路由信息/
(其他節(jié)點互連網(wǎng)段略)
②下屬各單位路由器OSPF配置。以cisco2821接入路
由器為例0SPF配置如下:
routerospf1OO
log—adjacency—changes
redistributestatic
network192.168..O.O0.255 area1OO
netw ork192.168..O.O.O.0area 1OO
3.1.3 OSPF路由的實現(xiàn)廣域網(wǎng)的連接自動完成OSPF路由學習功能,把整個區(qū)域的所有路由自動學習到默認網(wǎng)關(guān)上面,完全不需要人工設(shè)置路由,達到了路由自動尋找和更新的目的。
配置完成后,鍵入顯示路由命令show Proute,可顯示路由表中各路由獲取方式:
3.2安全防范措施
在天津水利辦公網(wǎng)絡(luò)系統(tǒng)中,要確保網(wǎng)絡(luò)設(shè)備的安全,保證非授權(quán)用戶不能訪問路由器、交換機或防火墻等關(guān)鍵網(wǎng)絡(luò)設(shè)備。主要采用了以下措施:
3.2.1對網(wǎng)絡(luò)設(shè)備的控制臺訪問和遠程訪問都必須在嚴格的管理和控制之下,提供強認證機制,保證用戶口令不在網(wǎng)絡(luò)中明碼傳輸,并定期更換口令。配置認證服務(wù)器,對網(wǎng)絡(luò)設(shè)備的訪問進行統(tǒng)一的認證、授權(quán)、審計(AAA)。
3.2.2通過對設(shè)備的配置,使得只能由某個指定JP地址的網(wǎng)管工作站才能進行網(wǎng)絡(luò)管理,對路由器或網(wǎng)絡(luò)設(shè)備進行讀寫操作。
3.3.3根據(jù)全網(wǎng)的安全訪問控制策略,配置防火墻的過濾規(guī)則;訪問控制的原則為必須是缺省禁止,即凡是沒有被明令允許的訪問一律禁止。
3.3.4關(guān)閉路由器的源路由功能,以防止通過假冒l(fā)P地址和源路由技術(shù)侵入內(nèi)部網(wǎng);在路由器或交換機上配置靜態(tài)ARP,以防止假冒l(fā)P地址的主機接入內(nèi)部網(wǎng)。
3.3.5由于撥號網(wǎng)絡(luò)使用公用的電話交換網(wǎng),在網(wǎng)絡(luò)上傳輸?shù)臋C密信息存在被竊聽、篡改等威脅。針對以上威脅,必須保障用戶口令不在網(wǎng)絡(luò)上以明碼形式傳輸。
3.3.6水利專業(yè)網(wǎng)絡(luò)作為業(yè)務(wù)系統(tǒng)的內(nèi)部網(wǎng)絡(luò),從路由概念上講不與公用網(wǎng)絡(luò)直接互連。
由于TDCS/CTC系統(tǒng)屬于行車指揮設(shè)備,考慮到其安全性,都采用雙套設(shè)備,其中防火墻每2臺屬于1套,故一共設(shè)置4臺防火墻。其功能主要是保護內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的攻擊、惡性訪問及病毒傳播。防火墻一般設(shè)置在路由器和交換機之間。2種接入模式的優(yōu)缺點如下。
1.1 系統(tǒng)中心防火墻路由模式
路由模式工作數(shù)據(jù)包轉(zhuǎn)發(fā)過程中尋址基于IP地址,而選路是通過路由選擇協(xié)議計算并選擇數(shù)據(jù)包轉(zhuǎn)發(fā)的最佳路徑。故如圖1所示TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機必須單獨形成一個路由選擇協(xié)議區(qū)域,以供完成數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻訪問控制和數(shù)據(jù)包過濾等工作。
路由選擇協(xié)議是數(shù)據(jù)包轉(zhuǎn)發(fā)計算并選擇最佳路徑的協(xié)議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議,只有該公司生產(chǎn)的設(shè)備支持該協(xié)議。根據(jù)路由選擇協(xié)議是數(shù)據(jù)包轉(zhuǎn)發(fā)計算并選擇最佳路徑的協(xié)議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協(xié)議屬于CISCO公司的私有協(xié)議,只有該公司生產(chǎn)的設(shè)備支持該協(xié)議。根據(jù)TDCS/CTC中心網(wǎng)絡(luò)構(gòu)架的特點及設(shè)備選型等多方面因素,路由模式中選用OSPF協(xié)議。如圖1中路由器、防火墻及交換機之間建立一個OSPF區(qū)域,專門為數(shù)據(jù)包轉(zhuǎn)發(fā)及防火墻的工作服務(wù),而路由器連接的外部網(wǎng)絡(luò)及交換機連接的內(nèi)部網(wǎng)絡(luò)所采用的路由選擇協(xié)議對防火墻來說均不考慮。但為了能夠保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的正常數(shù)據(jù)傳遞,需要在路由器及交換機上,將外部及內(nèi)部網(wǎng)絡(luò)的其他路由選擇協(xié)議區(qū)域與該OSPF區(qū)域選擇性的聯(lián)通(即路由選擇協(xié)議區(qū)域間的雙方向路由重)。
1.2 系統(tǒng)中心防火墻透明橋接模式。
透明橋接模式之所以“透明”,是由于防火墻以此種模式連接在交換機與路由器之間后,從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層(數(shù)據(jù)鏈路層),在數(shù)據(jù)包轉(zhuǎn)發(fā)過程中使用MAC地址作出轉(zhuǎn)發(fā)決定,這樣就等于位于一個單獨的邏輯地址空間內(nèi),也不作為數(shù)據(jù)包的源和目的地,連接起來的網(wǎng)段好像在一條透明的管道中一樣。故如圖2所示,TDCS/CTC系統(tǒng)調(diào)度中心網(wǎng)絡(luò)中的路由器、防火墻及交換機不必單獨形成一個路由選擇協(xié)議區(qū)域,因此減少了路由器和交換機為不同路由選擇協(xié)議區(qū)域間交互而進行的大量計算。
2 采用透明橋接模式的優(yōu)勢
2.1 路由模式存在的幾個缺陷
1,網(wǎng)絡(luò)瓶頸問題。在路由模式中,為了保證每臺防火墻都能得到路由器中完整的路由表,故必須在路由器與防火墻之間增加2臺小型交換機,根據(jù)圖1中的結(jié)構(gòu)能夠看出這2臺小型交換機成為整個系統(tǒng)數(shù)據(jù)傳輸過程中的瓶頸,如果發(fā)生故障影響也比較大。
2 結(jié)構(gòu)過于復雜導致維護工作難度加大。在路由模式中,為了保證系統(tǒng)的安全性要求就需要提供大量的冗余路徑,通過圖1可以看出,結(jié)構(gòu)相當復雜,這樣給日常的維護工作及故障處理增加了很大的難度。
2.2 透明橋接模式的優(yōu)勢
1 不存在網(wǎng)絡(luò)瓶頸問題。如前所述,防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問題。
2 結(jié)構(gòu)相對簡單,便于維護。如圖2所示,根據(jù)透明橋接模式工作原理所形成的拓撲結(jié)構(gòu)明顯比路由模式,極大地方便了維護人員的日常維護及故障排查。
3 結(jié)束語
目前,計算機網(wǎng)絡(luò)技術(shù)已在我國鐵路系統(tǒng)中廣泛應(yīng)用,帶來的網(wǎng)絡(luò)安全問題也日益明顯。隨著計算機和通信技術(shù)的發(fā)展,如何不斷改進和完善網(wǎng)絡(luò)的安全方案也將成為我們?nèi)蘸笱芯康姆较蛑弧?/p>
參考文獻
[1]姜全生,王彬,侯麗萍,馬文坤,計算機網(wǎng)絡(luò)技術(shù)應(yīng)用[M],北京:清華大學出版社,2010.9
Abstract: This paper mainly analyzes the current shortcomings of network practices and comes up with the necessity to build the network virtual laboratory based on DYNAMIPS platform. Focuses on virtual laboratory architecture, function modules and experimental methods, at last gives examples of advanced routing experiments. Virtual Laboratory can improve students' comprehensive and analytic capabilities, which achieves good results.
關(guān)鍵詞: DYNAMIPS;網(wǎng)絡(luò)虛擬實驗室;實驗體系結(jié)構(gòu)
Key words: DYNAMIPS; network virtual laboratory; laboratory architecture
中圖分類號:TP302.1文獻標識碼:A文章編號:1006-4311(2011)04-0179-02
0引言
目前在大學計算機課程體系中,網(wǎng)絡(luò)課程已經(jīng)成為大部分理工科專業(yè)的必修課以及其他專業(yè)的選修課。網(wǎng)絡(luò)課程既是一門理論抽象又是一門實踐性強的課程,理論抽象主要體現(xiàn)在課程中概念繁多,并且都是建立在抽象的理論模型基礎(chǔ)上[1]。實踐性強主要體現(xiàn)在課程學習的對象是不斷更新的實際設(shè)備。
為了提高網(wǎng)絡(luò)課程的教學效果,教師們采用了很多方法,加強實驗環(huán)節(jié)就是方法之一。但是計算機網(wǎng)絡(luò)是一種高速發(fā)展的技術(shù),要取得好的實驗效果,就需要為學生提供充分的新技術(shù)、網(wǎng)絡(luò)配置優(yōu)化和故障分析的實驗機會,當前網(wǎng)絡(luò)實驗室普遍是利用路由器、交換機、PC機組成實際的網(wǎng)絡(luò)拓撲。這種方法由于經(jīng)費的限制,只能提供有限數(shù)量和型號的設(shè)備,種類較少,設(shè)備更新慢,學生實驗機會少,很難掌握最新技術(shù)[2]。比如網(wǎng)絡(luò)設(shè)備大多是以太網(wǎng)設(shè)備,而ATM網(wǎng)絡(luò)實驗幾乎沒有,實驗效果無法保證。正因為這種局限性,現(xiàn)在行之有效的方法就是開發(fā)一個網(wǎng)絡(luò)虛擬實驗室,使學生可以在單機或者網(wǎng)絡(luò)環(huán)境下進行網(wǎng)絡(luò)的實驗仿真。虛擬實驗室與實際網(wǎng)絡(luò)實驗室相比主要有以下優(yōu)勢:①突破時間和空間的限制,學生在任何有計算機的地方隨時都可以做實驗,并且可以構(gòu)建任何規(guī)模和類型的網(wǎng)絡(luò)來滿足實驗的需要。網(wǎng)絡(luò)課程的綜合性,設(shè)計性實驗較為復雜,若按照實驗課安排的上下課時間無法完成,而且實驗結(jié)果無法保存,下次實驗又需要重新配置,而虛擬網(wǎng)絡(luò)實驗的結(jié)果均是保存在配置文件中,下次做實驗只需調(diào)用文件就可以方便的繼續(xù)實驗[2][3]。②設(shè)備選擇多,網(wǎng)絡(luò)虛擬實驗室?guī)缀醢ㄖ髁鲝S家所有型號的設(shè)備。通常一套完整的網(wǎng)絡(luò)實驗設(shè)備包括二層、三層交換機和路由器,這些設(shè)備的價格是非常昂貴的。涉及核心層的高端網(wǎng)絡(luò)設(shè)備實驗在教學中無法開展,但虛擬實驗室提供的產(chǎn)品均是虛擬的,可以根據(jù)需要更改。③節(jié)省投資,升級方便,使學生能夠跟上網(wǎng)絡(luò)設(shè)備更新?lián)Q代的速度,掌握最新的網(wǎng)絡(luò)知識,比如IPv6隧道和VPN技術(shù)等。借助于網(wǎng)絡(luò)虛擬實驗室,可以像在真實的環(huán)境中一樣完成各種實驗項目,所取得的實驗效果等價于甚至優(yōu)于在真實環(huán)境中所取得的效果[4]。而且虛擬實驗的實現(xiàn)將有效地緩解很多高校實驗室在經(jīng)費、場地、器材等方面普遍面臨的困難和壓力。
1虛擬局域網(wǎng)實驗室構(gòu)建體系
本虛擬實驗室主要目的是培養(yǎng)學生的技術(shù)應(yīng)用能力,并以此為主線設(shè)計提高學生知識、能力、素質(zhì)的實踐教學方法。橫向上與理論課程相互支撐,有機結(jié)合,提高了學生的綜合思維能力和處理問題能力。構(gòu)建實驗室的指導思想是將辯證唯物主義的認識論引入網(wǎng)絡(luò)領(lǐng)域的教學,教學環(huán)節(jié)應(yīng)當遵循認識發(fā)展的辯證規(guī)律,把實踐作為認識論的基礎(chǔ),在教學領(lǐng)域內(nèi)通過實踐對客體的能動反映,揭示認識運動的基本規(guī)律。在虛擬平臺基礎(chǔ)之上,虛擬實驗室要保證對學生基礎(chǔ)、專業(yè)和綜合技能的實踐和培養(yǎng),主要的應(yīng)用領(lǐng)域不局限于傳統(tǒng)的設(shè)備配置,還涉及網(wǎng)絡(luò)攻防、協(xié)議分析等高級領(lǐng)域,最終達到網(wǎng)絡(luò)故障排查的水平。同時還引入了符合專業(yè)要求的評估考核或者業(yè)內(nèi)主流網(wǎng)絡(luò)認證系統(tǒng),對學生最終的技術(shù)水平有一個客觀、真實的考核認證,也提高了學生自主學習的主觀能動性。基于以上目標和指導思想,虛擬局域網(wǎng)實驗室的體系結(jié)構(gòu)如圖1所示。
2虛擬實驗室設(shè)計
2.1 實驗平臺架構(gòu)設(shè)計本系統(tǒng)采用三層客戶機/服務(wù)器(C/S)分布式架構(gòu)。前臺是用戶與虛擬實驗室服務(wù)器進行交互所在的層,后臺主要作為實驗服務(wù)器,在DYNAMIPS虛擬平臺上運行各種網(wǎng)絡(luò)拓撲的虛擬設(shè)備,并通過網(wǎng)絡(luò)連接為客戶機提供遠程登錄服務(wù)。同時在客戶與服務(wù)器模型的基礎(chǔ)上又增加了第三層,即邏輯控制層,主要用于客戶認證和登錄,分配實驗和提供各種實驗報告等功能。引入邏輯控制層可以實現(xiàn)管理集中,具有處理分散,降低后臺服務(wù)器運行負擔的優(yōu)點。
2.2 系統(tǒng)功能設(shè)計系統(tǒng)功能反映了虛擬實驗室構(gòu)建體系的要求,實現(xiàn)路由型與交換網(wǎng)絡(luò)的基本實驗、高級實驗、綜合實驗與網(wǎng)絡(luò)協(xié)議分析,最終達到故障分析和排查、網(wǎng)絡(luò)優(yōu)化的能力。所以,系統(tǒng)功能模塊為:
2.2.1 網(wǎng)絡(luò)設(shè)備基本配置實驗?zāi)K該模塊是網(wǎng)絡(luò)實踐教學中的基本內(nèi)容,也是后續(xù)高級實驗的基礎(chǔ)。是網(wǎng)絡(luò)正常運行的基本保障。內(nèi)容主要有接口模式的配置、路由接口IP地址的配置、交換機端口角色的配置等。
2.2.2 交換型網(wǎng)絡(luò)高級配置實驗?zāi)K是在基本配置模塊的基礎(chǔ)上,對三層交換機實施的高級配置,主要包括多個交換機的VLAN劃分與通信,MSTP(多實例生成樹)在冗余鏈路中實現(xiàn)負載均衡,IEEE802.1q標準的交換機端口角色等探索性實驗。
2.2.3 路由型網(wǎng)絡(luò)高級配置實驗?zāi)K該模式主要運行在核心路由器上,除了流行的動態(tài)協(xié)議的配置,比如RIPV2、OSPF、IS-IS、BGP-4,還可以進行OSPF鄰居MD5認證,動態(tài)路由協(xié)議格式分析,流量分析與檢測等高級網(wǎng)絡(luò)管理與優(yōu)化方面的實驗。
2.2.4 網(wǎng)絡(luò)安全高級配置模塊針對目前網(wǎng)絡(luò)安全的突出問題,選用Cisco Pix系列防火墻操作系統(tǒng)與虛擬機技術(shù),用戶可以進行標準與擴展訪問控制列表(ACL)進行網(wǎng)絡(luò)防護,還可以根據(jù)需求進行DMZ(非軍事區(qū)域)劃分、內(nèi)外網(wǎng)服務(wù)訪問與審計等網(wǎng)絡(luò)安全類實驗,有效地解決了目前硬件防火墻投入資金大、無法開展安全實驗的困境。
2.2.5 用戶管理與認證模塊對登錄的用戶進行身份識別,只有合法用戶才可以使用本虛擬實驗室并按用戶要求分配虛擬網(wǎng)絡(luò)拓撲,方便管理人員對虛擬實驗室的管理和維護。
2.3 主要實現(xiàn)技術(shù)
2.3.1 后臺實驗平臺DYNAMIPS是一款優(yōu)秀的Cisco路由交換模擬仿真平臺,可以運行在微軟(XP/2000/2003)或者Linux操作系統(tǒng)上。該平臺實際上是一種虛擬機技術(shù),與VMWARE虛擬機平臺相似,在物理計算機上虛擬出獨立的邏輯計算機,裝載并且運行軟件,使得利用有限的實驗設(shè)備開展以前無法開展的實驗成為可能。DYNAMIPS模擬技術(shù)可以方便地在一個或多個物理計算機上建立多個虛擬路由器,并且這些路由器可以同時運行并且互聯(lián)成網(wǎng)絡(luò)。該平臺模擬的Cisco網(wǎng)絡(luò)設(shè)備型號眾多。比較其他網(wǎng)絡(luò)模擬平臺優(yōu)勢極其明顯。其他模擬平臺只是單純模擬配置命令,只局限在學習配置命令的層面,無法對網(wǎng)絡(luò)進行管理和故障分析與排查。而DYNAMIPS平臺是使用虛擬機技術(shù)而且可以運行Cisco官方的設(shè)備操作系統(tǒng)(IOS),正是如此,在虛擬出的硬件平臺上具備物理設(shè)備的所有功能。
2.3.2 前端應(yīng)用軟件平臺虛擬實驗室前端主要所采用的軟件開發(fā)平臺是Vs2005,使用工具開發(fā),該平臺很好地支持網(wǎng)絡(luò)通信,面向?qū)ο蟮墓δ軓陀煤蛷姶蟮木幊棠芰Α?/p>
網(wǎng)絡(luò)虛擬實驗平臺要實現(xiàn)的功能就是用戶使用這個平臺進行實驗時,只需點擊進入實驗平臺界面,選擇實驗需要的拓撲結(jié)構(gòu),后臺調(diào)用模擬的網(wǎng)絡(luò)實驗設(shè)備,然后用戶就可以在已經(jīng)連接好的網(wǎng)絡(luò)拓撲中自主得進行網(wǎng)絡(luò)實驗。
虛擬實驗室前端實現(xiàn)分為四個步驟:前臺界面實現(xiàn)、生成拓撲配置文件、調(diào)用后臺DYNAMIPS生成虛擬網(wǎng)絡(luò)設(shè)備、遠程登錄開始實驗。步驟如圖2所示。
3仿真實驗實例
用戶首先登錄網(wǎng)絡(luò)虛擬實驗平臺,只需根據(jù)所要進行的實驗選擇拓撲結(jié)構(gòu),前臺程序自動觸發(fā)后臺服務(wù)器上的虛擬機進程,最后用戶telnet遠程登錄到某個虛擬設(shè)備上進行實驗。下面以O(shè)SPF鄰居MD5加密認證實驗為例說明:用戶在前臺選擇高級路由實驗,進入虛擬實驗室前臺界面,如圖3所示。
實驗拓撲和連接接口等參數(shù)已經(jīng)在后臺搭建好,該拓撲包括兩個虛擬路由器和一個交換機,虛擬設(shè)備分別和三臺物理PC橋接。路由器之間采用的是serial串口通信,其余是100M快速以太網(wǎng)連接。
3.1 在路由器上配置MD5認證分別遠程登錄至router1和router2,在它們的S0/0接口子模式下進行OSPF鄰居認證配配置,方式為MD5加密認證,認證密碼為cisco,主要配置命令如下所示:
Router1(config-if)#ip ospf message-digest-key 1 md5 cisco
Router2(config-if)#ip ospf message-digest-key 1 md5 cisco
3.2 在路由器上啟動鄰居驗證機制在路由器上首先配置OSPF協(xié)議,并且啟動鄰居驗證機制。主要配置過程如下所示:
Router1(config)#router ospf 1 // 路由器1配置OSPF協(xié)議
Router1(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router1(config-router)#area 1 authentication message-digest// 在區(qū)域0啟動MD5驗證
Router2(config)#router ospf 1
Router2(config-router)#network 192.168.1.0 0.0.0.255 area 0// 路由器2配置OSPF協(xié)議
Router2(config-router)#network 10.1.1.1 0.0.0.255 area 1
Router2(config-router)#area 1 authentication message-digest // 在區(qū)域0啟動MD5驗證
3.3 實驗結(jié)果分析經(jīng)過認證配置后,可以像真實網(wǎng)絡(luò)一樣對所配置的內(nèi)容進行檢驗和測試。使用網(wǎng)絡(luò)協(xié)議分析捕獲軟件Wireshark在routerB的s0/0接口捕獲OSPF的hello數(shù)據(jù)包并分析其內(nèi)容,其中捕獲得MD5加密認證的hello數(shù)據(jù)包內(nèi)容如圖4所示。
本實驗捕獲的是routerA發(fā)給routerB的MD5加密hello數(shù)據(jù)包,內(nèi)容顯示認證鍵值為1,認證內(nèi)容是MD5加密過的哈希值,該加密過程是非可逆解密的,所以從中無法獲得用戶的密碼信息,測試結(jié)果表明配置成功。在實驗設(shè)計中,還可以加入OSPF鄰居明文認證實驗,采用同樣的驗證方法,截獲出明文密碼,采用對比的方式體現(xiàn)出加密認證的安全性和可靠性。
4結(jié)束語
實踐性教學是培養(yǎng)學生實踐能力、創(chuàng)新精神和創(chuàng)業(yè)意識的最好手段之一。而網(wǎng)絡(luò)虛擬實驗室的引入與應(yīng)用,改變了以往網(wǎng)絡(luò)課程教學落后于生產(chǎn)實踐的被動局面。經(jīng)過近三年的運行,在鞏固和擴大教學成果方面取得了較好效果,同時也探索出了一條新的實踐教學體系。
參考文獻:
[1]陳建銳.基于虛擬機的VPN實驗環(huán)境構(gòu)建[J].實驗室研究與探索,2010,29(1):59-61.
[2]胡禮廣.基于Web的虛擬金相實驗室構(gòu)建[J].實驗室研究與探索,2010,29(1):69-70.
[3]朱乾坤.基于虛擬實驗系統(tǒng)的教學模式[J].實驗室研究與探索,2008,27(6):84-86.
關(guān)鍵詞:計算機網(wǎng)絡(luò);實驗教學;模擬器
中圖分類號:G642.3 文獻標志碼:A文章編號:1673-291X(2010)02-0207-02
引言
計算機網(wǎng)絡(luò)課程是理論性與實踐性都很強的學科,在大部分高職院校,計算機網(wǎng)絡(luò)課程不僅是計算機專業(yè)學生的必修課,同時也是許多非計算機專業(yè)學生的重要基礎(chǔ)課。但在長期教學過程中,學生普遍反映教學內(nèi)容和教學過程枯燥,知識不易理解,這主要是因為計算機網(wǎng)絡(luò)原理涉及到許多協(xié)議和算法,而這些內(nèi)容在普通的實驗環(huán)境下很難實現(xiàn)。為了在改善實驗環(huán)境的同時盡量節(jié)約實驗成本,我們在實驗教學中利用模擬器軟件技術(shù),建立一個軟件模擬真實實驗的實驗室環(huán)境,使學生能在仿真環(huán)境中將學到的知識應(yīng)用于實踐,提高了學生的動手能力。軟件環(huán)境與真實實驗環(huán)境相結(jié)合,達到了很好的效果,使得計算機網(wǎng)絡(luò)課程教學效果得到明顯提高。
一、幾種模擬器的簡介
目前常見的模擬器主要有以下幾種:
CISCO在線FLASH和LABS實驗產(chǎn)品,該產(chǎn)品配置規(guī)范,要求對實驗內(nèi)容非常熟悉。其最大的缺點就是實驗內(nèi)容單一,缺乏靈活性。
HW-RouteSim是一款華為3COM網(wǎng)絡(luò)設(shè)備的模擬器,功能相對較強,可以模擬在路由器上配置靜態(tài)路由和RIP協(xié)議、OSPF協(xié)議以及華為路由器的高級功能。其缺點是設(shè)備類型較少,PC操作環(huán)境為Linux操作系統(tǒng),習慣使用Windows的用戶上手較難。
Dynamips是一款思科網(wǎng)絡(luò)產(chǎn)品的模擬器,能模擬出最新的思科產(chǎn)品Cisco7200路由器的硬件環(huán)境,在這個環(huán)境中可直接運行Cisco的IOS。缺點是使用者必須具備良好的網(wǎng)絡(luò)理論基礎(chǔ)和開發(fā)能力,對于一般用戶而言,難以完成。
Packet Tracer是一款功能相對較強的模擬器產(chǎn)品,可完成幾乎所有的思科網(wǎng)絡(luò)學院論證考試的Labs實驗。其最大的優(yōu)點在于可以很好地模擬一些型號的路由器、交換機、hub、Wireless Device、PC、IP Phone等。特別地,它提供了可擴展的網(wǎng)絡(luò)設(shè)備,以滿足用戶需要。實驗環(huán)境可根據(jù)實驗要求自行設(shè)定,靈活性較強,使用者只需要選擇實驗設(shè)備,建立網(wǎng)絡(luò)拓撲模型,然后對設(shè)備進行配置即可。
我們以Packet Tracer 5.0為例對計算機網(wǎng)絡(luò)路由協(xié)議的實驗配置過程進行分析。
二、Packet Tracer實驗環(huán)境配置
下面介紹在Cisco路由器上做靜態(tài)路由、RIP路由及OSPF單區(qū)域路由協(xié)議實驗的過程。
(一)構(gòu)造網(wǎng)絡(luò)拓撲圖
根據(jù)實驗要求在Logical Workspace中建立實驗環(huán)境,構(gòu)造網(wǎng)絡(luò)拓撲圖,如圖所示。
圖網(wǎng)絡(luò)拓撲結(jié)構(gòu)
圖中PC0與R0的FastEthernet0/0聯(lián)接,R0的Serial2/0與R1的Serial2/0聯(lián)接,R1的FastEthernet0/0與PC1聯(lián)接。R0的Serial2/0為DCE設(shè)備,時鐘速率為64000,R1的Serial2/0為DTE設(shè)備。
(二)端口及IP地址的配置過程
在拓撲圖中,單擊路由器圖標,打開配置對話框,在對話框中選擇CLI選項卡,進行命令配置。此實驗中網(wǎng)絡(luò)設(shè)備、端口、IP地址及子網(wǎng)掩碼如表所示:
(1)在R0上配置FastEthernet0/0的端口IP地址并予以激活。配置Serial2/0端口,并為該端口的DCE設(shè)備配置相應(yīng)的時鐘速率為64000。
!進入全局配置模式
Router#config t
Enter configuration commands,one per line.End with CNTL/Z.
!將當前路由器命名為R0
Router(config)#hostname R0
!進入fastethernet0/0端口配置模式
R0(config)#int fastethernet 0/0
!配置fastethernet0/0端口的IP地址為172.16.1.1/24
R0(config-if)#ip address 172.16.1.1 255.255.255.0
!激活端口
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R0(config-if)#int serial 2/0
R1(config-if)#ip address 172.16.2.1 255.255.255.0
!配置R0的Serial2/0端口的DCE時鐘速率
R0(config-if)#clock rate 64000
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
(2)R1路由器配置方法同R0,在配置上由于R1路由器的Serial2/0端口為DTE設(shè)備,故無需配置時鐘速率,配置步驟略。
(3)在PC0上配置IP地址為172.16.1.2,子網(wǎng)掩碼為255.255.255.0,網(wǎng)關(guān)為R0的FastEthernet0/0端口IP地址172.16.1.1;在PC1上配置IP地址為172.16.3.2,子網(wǎng)掩碼為255.255.255.0,網(wǎng)關(guān)為R1的FastEthernet0/0端口IP地址172.16.3.1。
三、路由協(xié)議配置及驗證
(一)靜態(tài)路由配置及驗證
(1)配置靜態(tài)路由的語法為:
ip route prefix mask{address|interface}[distance][tag tag][permanent]
Prefix:所要到達的目的網(wǎng)絡(luò);
mask:子網(wǎng)掩碼;
address:下一個跳的IP地址,即相鄰路由器的端口地址;
interface:本地網(wǎng)絡(luò)接口;
distance:管理距離(可選);
tag tag:tag值(可選);
permanent:指定此路由即使該端口關(guān)掉也不被移掉。
(2)根據(jù)實驗的要求,在R0和R1上分別配置靜態(tài)路由如下:
R0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
R0(config)#exit
R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
R1(config)#exit
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況,或者在PC0和PC1之間做PING測試。
(二)RIP協(xié)議配置及驗證
(1)在R0和R1上利用no ip route命令關(guān)閉靜態(tài)路由。
R0(config)#no ip route 172.16.3.0 255.255.255.0 172.16.2.2
R1(config)#no ip route 172.16.1.0 255.255.255.0 172.16.2.1
(2)在R0和R1上啟動RIP協(xié)議并將直連網(wǎng)絡(luò)地址加入本地路由表中,經(jīng)過一段時間后路由器會自動根據(jù)相鄰路由器中的路由表信息對本地路由表進行更新。配置過程如下:
R0(config)#router rip
R0(config-router)#network 172.16.1.0
R0(config-router)#network 172.16.2.0
R0(config-router)#exit
R1(config)#router rip
R1(config-router)#network 172.16.2.0
R1(config-router)#network 172.16.3.0
R1(config-router)#exit
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況或者在PC0和PC1之間做PING測試。
(三)OSPF協(xié)議單區(qū)域配置及驗證
(1)在R0和R1上利用no router rip命令關(guān)閉靜態(tài)路由。
(2)在R0和R1上啟動OSPF協(xié)議,將直連網(wǎng)絡(luò)地址加入本地路由表,并配置區(qū)域為area0,經(jīng)過一段時間后路由器會自動根據(jù)相鄰路由器中的路由表信息對本地路由表進行更新。配置過程如下:
R0(config)#router ospf 1
R0(config-router)#network 172.16.1.0 0.0.0.255 area 0
R0(config-router)#network 172.16.2.0 0.0.0.255 area 0
R0(config-router)#^Z
R1(config)#router ospf 1
R1(config-router)#network 172.16.2.0 0.0.0.255 area 0
R1(config-router)#network 172.16.3.0 0.0.0.255 area 0
R1(config-router)#^Z
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況,或者在PC0和PC1之間做PING測試。
四、結(jié)束語
在實驗教學中由于使用了Packet Tracer模擬軟件,在一定程度上緩解了高職院校網(wǎng)絡(luò)實驗室建設(shè)的壓力;另一方面使學生真實地看到了路由協(xié)議的作用,激發(fā)了學生的學習興趣,提高了學生的動手實踐能力,從而實現(xiàn)培養(yǎng)技能型創(chuàng)新人才的教學目標。同時,還可以為參加CCNA、CCNP、CCIE認證考試的學生提供更好的練習環(huán)境,對提高高職院校計算機網(wǎng)絡(luò)課程教學質(zhì)量有著深遠的意義。
參考文獻:
[1] 駱耀祖.Cisco路由器實用技術(shù)教程[M].北京:電子工業(yè)出版社,2002.
[2] 郭秋萍.計算機網(wǎng)絡(luò)實驗教程[M].北京:北京航空航天大學出版社,2005.
[3] 吳黎兵.計算機網(wǎng)絡(luò)實驗教程[M].北京:機械工業(yè)出版社,2007.
