時間:2022-05-08 12:26:23
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇ospf協議,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
一、動態路由協議ospf
在計算機網絡中,路由器是一個轉運站,網絡數據的目的是網絡通過路由器進行轉發,轉發是基于路由表。路由協議路由表,路由協議,作為一種重要的TCP / IP協議的,路由過程實現好壞將直接影響到整個網絡的效率。簡單網絡可以通過靜態路由協議之間的網絡路由,如果您正在使用一個靜態路由協議,路由表將會非常大,靜態路由不會考慮網絡負載的現狀,并不能自動適應網絡拓撲的變化和路由效率。所以,在現代計算機網絡,通常使用動態路由協議自動計算最佳路徑。OSPF動態路由協議,使用SPF演算法,用于選擇最佳路徑。基于帶寬更快的收斂速度,支持變長子網掩碼VLSM,路由強大的測量大型網絡(255),大多數人支持OSPF路由器的數量,現在已經成為最廣泛使用的動態路由協議的內部網關協議。
二、動態路由協議分類
(1)根據角色路由協議的范圍可分為:內部和外部網關協議。內部網關協議運行是在一個自治系統中,外部網關協議是自治系統之間的輪換。OSPF是一個最常用的內部網關協議。根據算法和路由協議可以分為鏈路狀態和距離向量協議,距離矢量協議包括RIP和邊界網關協議。鏈路狀態協議與OSPF是基本相同的,主要區別在上述兩個算法和計算發現路由的方法。
(2)根據目的地址的路由協議類型可分為:單播和多播協議。單播協議包括RIP、OSPF和東部,包括PIM SM -多播協議,PIM - DM,等等。根據網絡規模,應增加路由器運行OSPF協議的數量,并將導致LSDB(鏈路狀態數據庫)占用大量的存儲空間,增加SPF(最短路徑優先)算法操作的復雜性,增加CPU的負擔。根據網絡規模增加拓撲變化的概率也將增加,每一個變化可能導致網絡路由器計算“動蕩”,根據網絡往往會導致所傳播的網絡會有很多OSPF協議信息,減少網絡帶寬的利用率。為了解決這個問題,OSPF協議將自治系統分為不同的區域(區域)。邏輯路由器的區域被劃分為不同的群體。每個區域獨立于SPF路由算法的基礎上運行,這意味著每個地區都有自己的LSDB和拓撲的一部分。對于每個區域,區域外的網絡拓撲是不可見的。同樣,每一個區域的路由器也不了解該地區以外的網絡結構。OSPF LSA無線電阻礙該地區邊界,大大減少了OSPF路由信息流動,提高了OSPF運行效率。路由器接口基于區域,而不是劃分基于路由器,路由器可以屬于一個區域,也可以屬于多個領域。屬于多個區域稱為區域邊界路由器,OSPF路由器應注意邊界路由器特征,可以呈現主體與部分之間的關系,也可以是一個邏輯連接。
三、OSPF協議的路由算法
OSPF CO pen最短路徑優先,使用開放最短路徑優先協議,選擇最佳路徑最短路徑算法(SPF),也被稱為Dijkstra算法。SPF演算法是基于OSPF路由協議的,SPF算法將每個路由器作為根(ROOT),計算每個目的地的距離路由器,每個路由器拓撲結構的計算方法是根據一個統一的數據庫,結構類似于一個樹,SPF演算法得到最短路徑樹。OSPF路由協議,根據樹干的最短路徑長度,即每個目的地路由器的OSPF路由器距離,稱為OSPF成本,根據最短路徑通過最小化的成本價值判斷每個路由器基于成本的總和值鏈接。每個路由器使用SPF演算法來計算最短路徑樹的根,樹便給了自治系統路由,路由器從表中每個節點基于最短路徑,最短路徑樹結構是不同的每個路由器的路由表。
四、OSPF協議網絡規劃
1、網絡的規模。當網絡中的路由器的數量小于10,你可以選擇配置靜態路由或運行RIP路由協議。隨著路由器的數量的增加,用戶網絡的變化對于路由收斂和網絡帶寬利用率有更高的要求,比如你應該選擇使用OSPF協議。
2、拓撲結構。如果網絡拓撲結構是樹型(大多數這種結構的特點是一個網絡路由器只有一個出口),可以考慮使用默認路由加靜態路由。如果網格網絡拓撲結構和任意兩個路由器的需求相通,應該使用OSPF動態路由協議。
3、對路由器自身的要求。運行OSPF協議對于CPU處理能力和內存有一定要求,低性能不推薦使用OSPF協議的路由器。為了使網絡通信規劃基于OSPF協議應考慮各種因素,找出IP資源、信道帶寬、網絡流量,如根據實際的網絡環境形成的思維和方法配置和應用程序需求,避免造成不必要的混亂,網絡拓撲結構調整將時消除隱患。通過在實踐中不斷學習,系統、全面地掌握網絡路由設備、工作原理和動態路由協議。通過OSPF網絡設計思想,提高網絡管理水平,確保網絡的安全、可靠、開放。
參 考 文 獻
[1]王達.Cisco/H3C交換機配置與管理完全手冊(第2版)[M].北京:中國水利水電出版社,2012
[2]公凌.路由和動態路由協議介紹及配置分析[fJl.機電信息,2013(9):85一86
[論文摘要]首先闡述開放最短路徑優先OSPF協議的工作過程、接著重點論述自治系統AS的分層結構和指派路由器,希望能夠為學習和研究OSPF協議的人員提供參考與幫助。
一、背景
眾所周知,隨著因特網規模的不斷擴大,現在已有幾百萬臺路由器連接在一起,如果讓這些路由器都知道所有網絡的相關信息,這樣會導致路由表龐大,處理起來浪費時間,響應緩慢等問題;若再加上在鏈路大量傳輸路由信息又會嚴重影響網絡帶寬。另外,因特網的許多用戶都想使自己的網絡信息具有安全性和保密性,但又想充分發揮因特網的作用――相互通信,共享資源。為了解決上述多方面的矛盾,因特網被劃分成許多個較小的自治系統(autonomous system,AS)。一個自治系統就是處于一個管理機構控制之下的路由器和網絡群組。它可以是一個路由器直接連接到一個局域網LAN上,也可以是連到Internet上的,它還可以是一個由企業骨干網互連的多個局域網。在一個自治系統中的所有路由器必須相互連接,運行相同的路由協議,在同一個自治系統之內的路由器使用同一個自治系統編號。
單個的自治系統AS是由一個ISP運營的網絡,在AS內部使用統一的路由協議,如[1]路由信息協議(Routing Information Protocol,RIP),但RIP是一種距離向量協議,在RIP協議當中,所有的路徑都用跳數來描述,到達目的地的路由最大不超過16跳,且只保留唯一的一條路由,這就限制了RIP的服務半徑,即其只適用于小型的簡單網絡。同時,運行RIP的路由器需要定期地(一般30s)將自己的路由表廣播到網絡當中,它不但收斂(對于路由協議,網絡上的路由器在一條路徑不能用時必須經歷決定替代路徑的過程,這個過程稱為收斂)得慢,而且極容易引起廣播風暴、累加到無窮、形成環路等致命問題,所以它很難適應當今計算機網絡的飛速發展,尤其是大規模的異構互連網絡。
為了擺脫諸多因素的困擾,在20世紀80年代中期, Internet工程任務組(TETF)開發了另一種新的內部網關協議,它就是開放最短路徑優先協議(Open Shortes Path First,OSPF),其中的“開放”是說明它的規范是公開的;“最短路徑”是因為它使用了Dijkstra提出的最短路徑算法(SPF),即在所有的自治系統內部使用的路由選擇協議都是要尋找一條最短的路徑。OSPF協議是一種分布式的鏈路狀態信息協議,在眾多的路由技術中,OSPF協議已成為目前廣域網Internet和企業網Intranet采用最多、應用最廣泛的路由技術之一,但OSPF協議實現起來比RIP協議要復雜得多。下面的內容是從兩個方面對OSPF協議進行分析。
二、分析OSPF協議
(一)自治系統AS采用分層結構
在因特網上,AS是一個ISP(因特網服務提供商),但大學、研究院和私人組織也可以具有自己的AS。因特網中的AS被劃分為一個主干區域(backbone)和若干個非主干區域,所謂的區域是把許多網絡和主機,再加上連接這些區域網絡上的路由器,所構成的邏輯組。AS中的每個區域內部都運行一個基本鏈路狀態路由算法,即每個區域內部都有它自己相對獨立的鏈路狀態數據庫和相應的有向圖(網絡的拓撲圖),同時區域內的所有路由器運行的鏈路狀態數據庫都是一致的,即它們的數據庫是同步的。每一個AS中都有一個主干區域,稱為區域O,用區域ID0.0.0.0來標識。區域O的功能主要是負責各個非主干區域之間的路由信息的。主干區域必須是連續的,同樣,所有的OSPF區域必須被連接到區域O,如果在主干區域中的連續性出現斷開現象,則可能需要建立虛鏈路來連接。一個區域內的消息和細節對本區域以外的區域來說都是透明的,即不可見的,這樣可以限制到一個區域的洪泛流量,使規模越來越大的AS變得易于管理和維護,也是彌補OSPF協議占用CPU和內存資源的方法,更大大降低了路由信息所耗費的網絡帶寬。
(二)指派路由器DR和備份指派路由器BDR
OSPF協議是一個分布式的、動態的內部網關協議,動態路由會設法適應網絡流量、拓撲結構的變化。為了動態地適應如故障、網絡擁塞等網絡狀態的變化,結點間必須交換鏈路狀態,如本路由器與哪些路由器相鄰、費用、距離、延時、帶寬等。當鏈路狀態發生變化時,就會發送這些信息。不是所有的路由器之間都會發送信息,只有成為鄰接的路由器之間才會發送鏈路狀態信息。 轉貼于
當一個OSPF路由器初始化時,首先初始化路由器自身的協議數據庫,然后等待低層協議(數據鏈路層)提示端口是否處于工作狀態。
如果低層協議得知一個端口處于工作狀態時,OSPF協議會通過其Hello分組與其余的OSPF路由器建立交互關系。當一個OSPF路由器向其相鄰路由器發送Hello數據包時,如果它自己接收到某一路由器返回給它的Hello數據包,則這兩個OSPF路由器之間就建立起了OSPF交互關系,這個過程在OSPF中被稱為鄰接,只有成為鄰接的路由器之間才可能發送鏈路狀態信息。
在一個廣播性的、多點接入的網絡中存在一個指派路由器(Designated Router,DR)。例如:[2]一個共有N個路由器連接的以太網中所有鄰居都是鄰接路由器,則總共可能有N(N-1)/2條鄰接,每次當有一個路由器收到一條鏈路狀態時,它將發送這個信息的副本給所有其它鄰接路由器,最壞情況下可能有2N個這個消息的副本在網絡上傳輸,實際只需要N個拷貝即可。如果所有的路由器都把自己的本地鏈路狀態信息對全網進行廣播,那么各路由器只要將這些信息綜合起來就可得到鏈路狀態數據庫。但這樣做開銷太大了。對于這種情況,在這個區域內會選取一個路由器作為代表――指派路由器DR,它是這個團體中最受歡迎的成員,與所有鄰居路由器鄰接,指派路由器主要負責把與它連接的網絡的鏈路狀態信息傳播給其他路由器。這樣可以大大減少廣播消息的數量,從而避免路由器之間建立完全相鄰關系而引起的大量開銷,也進一步解決了網絡帶寬的瓶頸問題。在這個區域中往往還會有一個隨時更新數據的備用指派路由器(Backup Designated Router,BDR),它主要是防止指派路由器崩潰,可緩解當時的危機。
OPSF作為一種重要的內部網關協協議的普遍應用,極大地增強了網絡的可擴展性和穩定性,同時也反映出了動態路由協議的強大功能。但是,在有關OSPF協議的研究、實現中尚存在一些問題,如數據庫的溢出、度量的刻畫、以及MTU協商等。
參考文獻:
【關鍵詞】OSPF;鄰接;實驗;驗證
1.引言
OSPF路由協議是一種鏈路狀態路由協議。同時由于它是一種公有的協議,因此得到了廣大網絡設備廠商的支持。運行OSPF協議的路由器必須先建立完全鄰接關系,然后才能傳遞路由信息。點到點網絡是OSPF支持的多種網絡類型其中的一種,本文將在GNS3模擬器上驗證在點到點網絡中運行OSPF協議時,各路由器建立完全鄰接關系的過程。
2. OSPF路由協議
OSPF協議是一種內部網關協議,它在同一個自治系統中的各個路由器之間交換路由信息。運行OSPF的路由器會將LSA泛洪到同一區域內的所有OSPF路由器,而不僅僅是直連的路由器。OSPF路由器通過收集其他路由器發過來的LSA創建OSPF的LSDB(鏈路狀態數據庫)。然后使用SPF算法算出到每個目的網絡的最短路徑,并將其寫入路由表。由此可見,OSPF路由器的路由條目并不是其他路由傳遞過來的,而是路由器本身通過LSDB和SPF算法計算得來的。OSPF定義了點到點網絡(point-to-point)、廣播型網絡(broadcast)等多種類型的網絡。本文只驗證點到點網絡的環境。
3. OSPF完全鄰接關系建立過程
OSPF鄰接關系有7個狀態。
假設路由器A和B直連,A的路由器ID比B的大。并且都運行OSPF。當路由器接口開啟,并講相關接口宣告進OSPF進程之后,就開始建立鄰居。以下為OSPF路由器完全鄰接關系建立的過程:
(1)初始化時ospf協議處于down的狀態。
(2)當A路由器通過宣告進OSPF協議進程的接口發送第一個組播hello報文后進入init狀態。B也可以通過同樣的方式進入init狀態。
(3)當路由器B接收到A發過來的第一個hello報文后,會根據這個hello報文里的Router ID字段提取出來,作為自己的鄰居的RID(Router ID)。然后將A的RID寫入hello報文的鄰居字段,將自己的RID寫入Router ID字段,發送給A。A接收到該hello包,在鄰居字段看到自己的RID時,A就認為B已經知道自己是它的鄰居,從而A達到2way的狀態。B也可以通過同樣的方式達到2way狀態,這時雙方進入雙向通信階段。
(4)到達2way狀態后,路由器開始發送第一個DBD(數據庫描述)報文,這個報文用來選舉主/從(master/slave)關系。選舉的方法是Router ID大的路由器為master。選舉完成后由master發起LSA的交互。在這里由于假設A的路由器ID比B的大,所以選舉的結果為路由器A是master。此時雙方到達exstart狀態。
(5)A發起接下來的DBD報文交互。此時到達exchange狀態。這時交互的DBD不同于上面所講第一個DBD,exchange狀態交互的DBD包含每臺路由器LSDB中的LSA報頭。相當于告知對方路由器,本路由器上有哪些網段的路由。
(6)當交互完DBD報文之后,路由器通過LSA報頭的信息和本地LSDA中的信息進行比較,得知本地路由器缺少哪些網段的路由,從而向對方路由器發送LSR報文請求這些缺少的LSA。而收到LSR的路由器就會響應這些請求,發送對應的LSU報文。此時雙方的狀態為loading。
(7)當loading狀態結束后,雙方就進入了完全鄰接FULL狀態。
4. GNS3介紹
GNS3是一款思科模擬器軟件,它具有圖形化的界面,并且直接采用cisco路由器的網絡操作系統IOS,因此可以提供接近于真實cisco路由交換設備的虛擬網絡環境。GNS3實際上整合了Dynamips、Dynagen、Pemu和Winpcap等軟件。
5.實驗拓撲
在GNS3中創建兩臺路由器R1和R2,給R1和R2分別安裝一個NM-4T的模塊,該模塊可為路由器提供4個串行接口。在R1上給環回口Loopback 0 配置ip地址1.1.1.1/8,模擬一個1.0.0.0/8的網段。配置R1連接R2的接口S0/0的IP地址為12.1.1.1/8并將接口開啟,配置R2連接R1的接口的IP地址為12.1.1.2/8并將接口開啟。在R1上啟用OSPF路由協議,指定Router ID為1.1.1.1,將lookback 0所連接的網絡1.0.0.0/8以及S0/0接口所連接的網絡12.0.0.0/8都宣告進OSPF進程。在R2上啟用OSPF路由協議,指定Router ID為2.2.2.2,將S0/0接口所連接的網絡12.0.0.0/8宣告進OSPF進程。R1和R2在同一個區域0。配置完畢后,R2通過OSPF路由協議從R1的S0/0接口獲取到一條關于目標網絡為1.0.0.0/8的路由條目。實驗拓撲圖如圖所示。
6.基本配置命令
6.1 R1的基本配置
8.結束語
本文對OSPF路由協議作了介紹,對OSPF鄰接關系的建立過程進行了分析,并在GNS3模擬器上搭建了一個OSPF點到點實驗拓撲,對這一過程進行了模擬,通過查看和分析調試信息驗證了鄰接關系從down變成full的各個過程。
參考文獻:
關鍵詞:Linux系統;路又器;配置
Linux 作為一種新近崛起的操作系統,由于其性能穩定,源碼開放及價格方面的優勢而逐漸被廣大用戶所接受。現在Linux的主要用武之地在于服務器領域,但是,經過適當的配置之后,它還可以擔當互聯網的物理基石--路由器這一重要角色。
一、BGP/OSPF 概述
路由器是與兩個或兩個以上的網絡連接的計算機,它根據路由協議生成并維護一個路由表,并按照該路由表中的信息轉發包。這些路由器對公司內部的網絡結構了如指掌,知道將分組送到目的地的全部細節,但對于其他公司的網絡結構并不了解。像這樣“在同一機構下管理的一系列路由器和網絡”被稱為自治系統(AS)。由不同機構掌管的自治系統,可以采用不同的路由選擇算法;但同一自治系統內的所有路由器都使用同一路由協議,以便于自治系統內部各個路由器互換路由信息來維持相互的連通性。每一個自治系統都有一個16位的“自治系統(AS)編號”作為標志,就像 IP 地址一樣,它是由專門機構來分配的。
自治系統內的路由器稱為“內部網關”,所用的協議稱為“內部網關協議”。內部網關協議大體上分為兩類,一類是距離向量協議,如 RIP,EIGRP 協議;另一類是鏈路狀態協議如 OSPF 協議。鏈路狀態路由協議與距離向量協議的不同之處在于,采用鏈路狀態路由協議的路由器不是交換到達目的地的距離,而是維護一張網絡拓撲結構圖。然后用數據庫表示該圖,其中的表項對應網絡的一條鏈路。路由器根據數據庫的信息計算出“最佳路由”,由此指導包的轉發。當網絡拓撲結構發生變化時,只需將相應紀錄而非整個數據庫通知其他節點。各路由器做出相應修改并重新計算路由后,就可以繼續正常工作。
OSPF 具有支持多重度量制式和多重路徑等諸多優點,因此成為因特網上推薦使用的內部網關協議,RIP 卻由于自身的局限性而被打入冷宮。現在,在性能上唯一能夠與 OSPF 相匹敵的內部網關協議便是 EIGRP--Cisco 的一個專有協議,但 OSPF 的“開放”本身就是一個響亮的招牌,因為誰也不想受制于某家供應商。
二、建立路由器
(1)安裝 Zebra
既可以從 Zebra.org 網站下載 Zebra 的最新源程序,也能從 Redhat 和 Debian 中獲得它,但不一定是最新版的。從源代碼中進行軟件安裝,就會發現使用的是一些普通的安裝過程。
配置腳本會搜索系統上已經安裝的 IP 棧并且自動地設置成支持他們。當前,IP 棧很可能僅僅是指 IPv4,但是 IPv6 用戶也不用擔心,因為 Zebra 也會發現并且支持它。
程序安裝之后,還可能必須在 /etc/services 中增加一些命令行。Zebra 的守護程序在他們自己的虛擬終端連接(VTY)下運行,所以的系統必須知道這些虛擬終端連接。
(2)配置 Zebra
如果已經熟悉 Cisco IOS,就能在短時間內掌握 Zebra,因為會發現兩者極為相似。Zebra 的每個守護程序使用一個單獨的 VTY,這些 VTY 可以通過一個遠程登錄會話進行動態配置。所以,如果需要設置 OSPF,簡單地遠程登錄到該 Linux 上 2604 端口;為了修改內核的路由表或設置路由協議間的再分發,可以遠程登錄到端口 2601,該 Zebra 守護程序充當內核管理器,管理其他的守護程序和系統本身之間的通信。
現在介紹如何在一個服務器上創建和運行 OSPF 和 BGP。Zebra 的守護程序運用純文本文件儲存它們的配置。對于 OSPF/BGP 路由器,將用到三個文件∶zebra.conf、ospfd.conf 和 bgpd.conf。
這里的感嘆號充當注解標識或分隔符。盡管存在大量不同的網絡接口類型(Ethernet、ISDN 等等),但只要是 Linux 內核能夠辨認的網絡接口類型,Zebra 都可以使用。
(3)設置OSPF
接下來,我們還需要告訴守護程序將通過 OSPF 廣播哪些網絡以及相關的域(area)。OSPF 的可伸縮性允許它支持多個域。鍵入 router ospf 開始配置 OSPF,然后鍵入 network 192.168.66.0/24 area 0。這告訴路由器,我們將使用 OSPF 廣播一個子網掩碼為 255.255.255.0 的 192.168.66.0 網絡。
在本例中,我們讓 eth0 接口變成一個被動(passive)接口,以便使它不能發送路由更新。這對于實驗是非常重要的,因為在那個方向上的其他的路由器可能監聽到發送的路由更新,將接口變成一個被動(passive)接口,從而有效的避免擾亂網絡的正常運行。為此,鍵入命令 passive - interface eth0。如果打算將此路由器作為工作路由器使用時,就沒有這個必要了。一旦完成修改,用 end 命令從配置模式中退出,然后用 write file 命令保存。為了讓 OSPF 或 BGP 在某接口上工作,那么該接口必須處于""運行""狀態。為手工運行一個接口,登錄到端口 2601 并且在該接口上執行 no shut 命令。
關鍵詞:ospf;漏洞;數字簽名
一 ospf 協議概述
ospf(open shortest path first)作為目前互聯網絡應用最為廣泛的內部網關路由協議,主要提供自治系統(autonomous system,as)內的動態選擇路由。它是一種典型的鏈路狀態協議,不同于距離向量協議(如 rip 等)。ospf 主要有以下特性:
適應范圍廣——支持各種規模的網絡,最大可支持數百臺路由器。
快速收斂——網絡拓撲結構發生變化后立刻發送更新報文,使這一變化在自治系統中同步。
無自環——由于 ospf 根據收集到的鏈路狀態用 spf 算法計算路由,從算法本身保證了不會生成自環路由。
區域劃分——允許將自治系統劃分成區域,區域間傳送的路由信息被進一步抽象,從而減少了占用的網絡帶寬。
等價路由——支持到同一目的地的多條等價路由。
二ospf 的漏洞分析
2.1 存在的漏洞
ospf 路由協議雖然采取了多種安全機制來保護其不受侵犯,但是這些安全機制并非能讓 ospf 路由協議成為一個絕對安全的協議,它還存在相當多的漏洞。
1、空驗證和簡單口令驗證的安全漏洞分析
當驗證類型字段置為 0 時,即表示該報文為空驗證。空驗證時驗證字段的值可為任意值,路由器在發送和接收該報文時不做任何額外的身份驗證處理,接收方只要校驗和無誤便接收該 ospf 報文并將其中的 lsa 加入到鏈路狀態數據庫中。這一驗證類型可以認為是沒有任何的安全性的。當使用簡單口令驗證時,驗證類型字段置為 1,64 位的驗證字段中存放的是簡單口令驗證用的口令。簡單口令驗證的報文是以明文的形式傳輸的,這其中也包括口令。接收方只要確定校驗和正確且驗證字段的口令等于預先約定的值即可接收。這一方案對于在傳輸過程中的竊聽者,沒有任何的安全性可言。竊聽者可以很輕松地監聽到口令,然后偽造 ospf 報文并發送出去,擾亂正常的路由秩序。
2、加密驗證的漏洞
加密驗證可預防外部竊聽、重播、修改路由消息及阻塞協議報文傳輸等攻擊。但是外部的攻擊者還可以通過發送惡意報文來耗盡路由器的資源,使得路由器由于一直應付這樣的惡意攻擊而陷入一種更加脆弱的境界。
3、協議中的其它威脅
(1)最大年齡攻擊:
在 ospf 路由協議中,由于 lsa 的 age 字段在經過任何一個路由器的時候都需要修改其值,因此它一般不被驗證字段的 md5 摘要所覆蓋。攻擊者可輕松利用該漏洞在lsa 的傳播過程中將其截獲并修改 lsa 的 age 為 maxage。一旦一個 lsa 的 age 字段被修改為 maxage,就可引起路由器鏈路狀態數據庫中 lsa 的早熟,lsdb 過早的將lsa 剔除導致 lsdb 中路由信息的缺失。
(2)針對序列號的攻擊:
由于 ospf 的 lsa 是采用泛洪的方式傳播的,因此在泛洪途中區域中的入侵者或錯誤路由器都可以對 lsa 信息發起攻擊,篡改其內容。針對序列號的攻擊有兩種,序列號加一攻擊和最大序列號攻擊。
(3)分塊網絡攻擊:
如果使虛假 lsa 不被泛洪給該 lsa 的合法生成者,則該 lsa 的合法生成者就不會啟動其自反擊機制來糾正該 lsa。假設有一個被入侵的路由器所處的位置可以將區域分為兩個子區域,則攻擊者就可以只向其中的一個子區域以另一個子區域中的某路由器的身份注入虛假 lsa,而不向另一個子區域注入 lsa,這顯然就可以達到欺騙的效果。
2.2漏洞防范策略
1、針對空驗證和簡單口令驗證漏洞的防范策略
采用密碼驗證類型來解決對 ospf 報文任意修改、甚至生成新報文的漏洞,并且驗證類型時,每個 ospf 路由器發出的報文都包含 32 位無符號非遞減加密序列號,在所有鄰居路由器中都存放著當前該路由器的最新加密序列號,并要求接收到的 ospf 報文的加密序列號必須大于或等于存儲在路由器中的加密序列號。
2、針對密碼驗證漏洞的防范策略
密碼驗證雖然是三種驗證方案中最為安全的一種方案,但是它還遠沒有達到牢不可破的程度。密碼驗證方案中,lsu 報文的頭部仍然是以明文的形式在網絡中傳播,這給惡意攻擊者以很大的機會篡改 lsu 報文。另外,采用 md5 算法并非絕對安全,中國山東大學的科學家已經破解出 md5 算法。再者,維護、管理密鑰的成本較高。本文建議在此驗證類型的基礎上,結合數字簽名保護機制來確保 ospf 路由協議的安全。這樣的防護可以有效的防備大部分的威脅。本文在后面將提出一種基于 lsu 的報文數字簽名方案,可以實現上述功能。
三 基于 lsu 的數字簽名 ospf
基于 lsu 的數字簽名方案與 ospf 路由協議報文的加密驗證機制的有機結合,有效防止了一系列的威脅、攻擊。具體分析如下:
1.內部的惡意路由器篡改 lsa 鏈路狀態信息。由于內部的惡意路由器掌握了加密驗證所需的密鑰,因此它可以毫不費力的修改 lsa 數據,然后重新生成一個 md5 摘要放入驗證字段。但是采用上述的數字簽名方案后,除生成該 lsu 的源路由器外,其它路由器一旦修改 lsu 的內容都將在接收方路由器被驗證出來,這很好的保證了路由信息不被外來入侵者尤其是內部錯誤路由器的篡改。這主要得益于數字簽名的不可否認性。這同樣解決了困擾 ospf 路由協議安全的序列號攻擊,包括序列號加一攻擊和最大序列號攻擊,原理與防止篡改內容是相同的。
2.最大程度的防止了最大年齡攻擊:在標準 ospf 中,maxage 字段是 lsa 中最容易受到攻擊的地方,這是由于 maxage 的特殊性而造成的。在簽名的 lsu 中添加了 is maxage 字段用于判斷該 lsu 中是否攜帶了最大年齡的 lsa。本文提出的這種方案有效地阻止了入侵者對年齡字段的修改,一旦年齡字段修改為 maxage,則路由器在接收該 lsu 報文后的驗證過程中通過比對消息摘要時可發現篡改,從而拋棄該 lsu。這在一定程度上阻止了針對 lsa 的最大年齡攻擊。但是,有些入侵者將 lsa 的 age 字段修改為一個很接近maxage 的值,這種情況本方案將很難對此進行判別并作出應對,目前來看也沒有有效的應對措施。這種攻擊方式從一定程度上加快了路由器更新 lsa 的速度,消耗了一定的資源,卻無特別大的威脅,應該在可以容忍的范圍之內。
基于 lsu 的數字簽名 ospf 機制的效率可以從計算時間、網絡帶寬和存儲三方面來分析。
時間:數字簽名保護的 ospf 協議其核心內容就是對一定的內容進行數字簽名。這一過程包括求不定長度的數據的 hash 序列、使用不對稱密鑰加解密數據。實驗在一臺amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上進行,系統為 cygwin 仿真的 unix 操作系統。采用 rsaref2 庫算法得到如下的結果:對于一個 16 比特的數據,使用 512-bit 的 key 產生和驗證一個數字簽名數據需要耗時 0.47 秒和 0.023 秒。事實上本文采用的 hash 函數計算出的散列值長度為 128 比特,也就是說系統在產生和驗證該數字簽名時需要耗費的時間可能還要多。
網絡帶寬:數字簽名保護的 ospf 協議相對于標準 ospf,其多占用的網絡帶寬主要體現在以下幾個方面:1、lsu 中數字簽名保護數據使得 lsu 的長度增大,直接增大了網絡中數據的傳輸量。2、數字簽名體制中 key 的分發與管理,這包括 pklsa 的傳播以及相應的應答等。這些額外的網絡帶寬負載與網絡的容量相比都是極其微小的。
存儲:數字簽名的 ospf路由器都需要存放自身的私鑰和區域中其它路由器的公鑰,這一部分存儲空間大小一定程度上決定于 area 的大小。而對于數字簽名的 lsu 或 lsa,在接受 lsu 報文后通過驗證后會將這些報文中的 lsa 存入鏈路狀態數據庫之中,這與普通的 ospf 路由器無異,不會將額外的簽名信息保存下來占用空間。而對于那些不能通過驗證的 lsa 則拋棄不用。
參考文獻
[1]鐘廷龍,李鑫,郭云飛. ospf 路由協議安全性分析[j]. 微計算機信息, 2005
在網絡部署中,路由協議是非常重要的組成部分,良好的路由設計,是保證網絡可靠、穩定運行的基礎。現有IPv4路由選擇協議大都增加了對IPV6的支持。
2 IPv6路由協議對比與選擇
IPv6路由的產生可以通過3種方式:通過鏈路層協議直接發現生成的直連路由、通過手工配置生成的靜態路由以及通過路由協議計算生成的動態路由。
靜態路由配置簡單、可靠、路由開銷少,適合規模不大、結構穩定的網絡。
動態路由是通過相互連接的路由器之間交換彼此信息,然后按照一定的算法優化出來的,這些路由信息在一定時間間隙里不斷更新,以適應不斷變化的網絡,以隨時獲得最優的尋路效果。動態路由主要適用于大型和復雜的網絡環境。
IPv6動態路由協議有下一代路由選擇協議(RIPng)、開放最短路徑優先版本3(OSPFv3)、中間系統到中間系統(IS-IS)、增強的內部網關路由協議(EIGRP)和邊界網關協議(BGP)等。
其中,OSPF是一種鏈路狀態路由協議,它具有標準開放、收斂迅速、無環路、便于層級化設計等眾多優點,在IPv4網絡中得到廣泛使用。為了適應IPv6協議的變化,OSPFv3協議在保留OSPFv2協議優點的基礎上進行了更新,進一步增強了OSPF協議的功能,提高了其擴展性能。
武漢紡織大學校園網IPv4網絡采用的也是OSPFv2路由協議,在IPv6路由協議選擇時為了保證路由策略的延續性,也選擇OSPF協議,不過使用的是升級后的OSPFv3。
3 園區網OSPFv3部署設計
目前校園網IPv6部署采取的是雙棧運行模式,即三層設備上同時運行IPv4和IPv6協議簇,同時啟用OSPFv2和OSPFv3兩套路由協議系統。盡管兩套路由協議運行在同一設備上,但是它們互相獨立運行,區域的劃分以及區域中設備的數量和拓撲等都可以相同或不同。在設計過程中考慮到網絡管理的便捷,也可采用與現有OSPF v2相同的拓撲規劃和區域劃分。
OSPFv3需要設置32位的Router ID標識連接的鄰居路由器。OSPFv3與OSPFv2自動選擇路由器上最大的IP地址或lookback地址作為Router ID不同,它需要對Router ID進行手工設置,以防止Router ID的不確定性帶來的如LSA泛洪等潛在不穩定因素。因OSPFv3 Router ID形式與OSPFv2 Router ID形式一樣,均采用IPv4地址格式,為了管理方便,可對所有路由器的OSPFv3 Router ID配置與OSPFv2一樣的Router ID。
部署OSPFv3協議,區域劃分是不可缺少的工作,通過劃分區域可以降低路由器上承載的LSA數量,從而提高網絡的性能和擴展性。部署中,OSPFv3的區域劃分與OSPFv2的區域劃分設計一致。網絡核心以及重要匯聚設備劃分為area 0,作為骨干區域使用,匯聚及其他設備劃分為其他area,并連接到area 0。如南湖校區辦公樓匯聚作為area 101與骨干area 0互聯,陽光校區每棟學生公寓作為一個單獨的area與骨干area 0互聯。同時將area 101、area 201、area 202等區域設置成stub區域,防止LSA的泛洪,降低區域中LSA的數量,節約設備性能。
需要注意的是,OSPFv3區域的配置與OSPFv2不同,它是在每個端口(或者VLAN)上明確啟動OSPFv3,并指定其屬于的區域號。
在網絡出口,一般采用默認路由,一些特殊區域使用靜態路由。可將這部分路由信息重分發到OSPFv3進程中,從而通告給網絡內部的其他路由器。
4 OSPFv3配置
在CISCO IOS平臺下IPv6相關設置如下:
ipv6 unicast-routing//啟動IPv6功能
ipv6 router ospf 1//開啟OSPFv3進程
router-id 192.168.0.255//設置OSPFv3 RouterID
interface Loopback0//設置Loopback地址并對其進行
ipv6 address 2001:DA8:3004:XXXX::XXXX/128
ipv6 enable
ipv6 ospf 1 area 0
interface GigabitEthernet9/18//設置端口地址并對其進行
ipv6 address 2001:DA8:3004:YYYY::YYYY/64
ipv6 enable
ipv6 ospf 1 area 0
interface Vlan11//設置vlan地址并對其進行
ipv6 address 2001:DA8:3004:ZZZZ::ZZZZ/64
ipv6 enable
ipv6 ospf 1 area 101
ipv6 router ospf 1
redistribute static//重靜態路由
default default-information originate//重默認路由
關鍵詞 下一代互聯網技術;IPV6;智能電網
中圖分類號:TM76 文獻標識碼:A 文章編號:1671-7597(2013)22-0009-02
本次項目試點建設主要內容主要包括試點網絡建設、輸變電狀態監測系統示范應用建設和信息安全防護三部分建設內容,目標是實現IPv6在智能電網重要業務中的應用,并為整個電力信息通信網絡及業務應用向IPv6演進提供借鑒,服務于智能電網建設,實現IPv6在智能電網中的推廣應用。本文著重介紹試點IPv6網絡的改造情況。
在青海電力公司改造一套針對IPv6相關系統的網絡環境。對輸變電狀態監測系統、網絡建設和前端采集裝置(CMA/CAC)進行改造,實現對IPv4和IPv6的兼容支持并對改造后的輸變電設備狀態監測系統進行聯調,完成總部與青海公司兩級狀態監測系統的縱向貫通,為智能電網的建設與運行提供更好的支撐。對輸變電設備狀態監測系統進行信息安全防護建設和等級保護安全測評,解決IPv6電力試點網絡與示范應用的信息網絡安全防護問題,增強智能電網信息安全防護能力,提升信息安全自主可控能力,以確保智能電網業務系統安全穩定運行,確保業務數據安全。
1 網絡結構規劃及設計思路
網絡結構層次清晰;采用核心層、匯聚層、接入層三層結構;業務支撐能力上,設備之間的互聯帶寬鏈路能夠滿足未來5年內的業務需求。設備選擇上,盡可能要能滿足未來10年的擴容能力的需求,在核心層、匯聚層、接入層的節點設備的性能上需要差別考慮;網絡需要高可靠性和良好的擴展能力,不能出現單設備、單鏈路的情況,要有冗余設備及鏈路。當某個設備或某條鏈路失效時,不會影響到業務的正常訪問;網絡整體功能結構及流量清晰化,易于網絡部署實施及策略規劃,網絡拓撲要易于管理;IPv6試點網絡采用整體控制的原則,在滿足功能的前提下,盡可能的節約投資。
根據以上設計思路,在各試點現網基礎上,在各變電站新建一套IPv6網絡。采用核心—匯聚—接入的三層拓撲結構層次。采用此種網絡結構,對現網的業務影響最小,同時也能滿足IPV6的測試功能。
2 網絡的設計
2.1 網絡路由設計
域內路由設計:域內路由協議(IGP)在城域網中起著連通骨干、選徑和自動迂回的作用。IGP通過計算每條路徑的權值來尋找最佳路徑。根據網絡實際情況,域內路由協議采用OSPF進行部署,統一劃分到區域0中,實現最快的網絡收斂速度。通過調節開銷值(COST)來實現鏈路的主備切換,所有的網絡全屬于骨干區域0。
域間路由設計:目前,PE-CE間可采用的路由協議主要有幾種:靜態路由、OSPF、RIP2、ISIS、EIGRP、BGP-4。在國家電網數據通信骨干網中主要采用的是BGP-4協議來實現PE-CE間路由交互,其優點在于配置方便,路由控制策略極其豐富(主要依靠BGP的各種屬性來實現),同時也是僅有的在PE路由器上無需做路由重分布的協議。
本方案中對于骨干PE路由器與CE路由器之間的路由協議,采用EBGP的方式進行路由交互。通過配置IGP路由協議的重分布和BGP-4路由協議的各種選路屬性,可以控制不同的路由在網絡中的分布與傳播。
2.2 IPv6地址規劃
IPv6地址設計需要考慮和遵從以下原則:IPv6地址資源應全網統一進行管理、分配;IPv6地址分配應簡單易于管理,體現網絡層次,降低網絡管理和網絡擴展的復雜性,具有可視性;IPv6地址分配應具有一定的可擴展性,IPv6地址分配在每一層次上都要留有余量,在網絡規模擴展時能保證地址聚合所需的連續性;IPv6地址分配應具有連續性,連續地址在層次結構網絡中易于進行路由聚合,簡化路由表,提高路由算法的效率;IPv6地址分配應具有靈活性,以滿足多種流量策略、安全策略、路由策略的優化,充分利用地址空間。
3 IPv6試點網絡改造與實施
對公司格爾木換流站局域網、應用平臺、平臺局域網及接入網的網絡進行改造,使其均支持IPv4/IPv6雙棧,不具備雙棧條件的網絡設備進行設備版本升級或更換。
3.1 IPv6試點網絡改造方案
省公司端:對省公司端CE路由器、cisco 6509核心交換機和電科院端接入交換機進行支持IPv4/IPv6雙協議棧的配置,同時對統一視頻監控平臺進行改造,使其支持IPv4/IPv6雙協議棧,通過IPv4/IPv6雙棧方式實現變電站IPv6網絡及ipv4網絡與省公司電科院改造后的輸變電狀態監測平臺系統(雙棧)之間的數據交互。
省公司至格爾木換流站:換流站新增接入路由器通過傳輸鏈路直連至省公司cisco 6509核心交換機上,且兩臺設備全部支持IPv4/IPv6雙協議棧,故無需配置隧道。
格爾木換流站端:換流站新增1臺三層交換機、1臺接入路由器,支持IPv4/IPv6雙協議棧,用于換流站新增IPv6終端設備的接入,對換流站原接入路由器進行IPv4/IPv6雙協議棧配置,變電站原IPv4業務及新增IPv6終端通過新增三層交換機及(雙棧)和新增路由器接入路由器(雙棧)實現與省公司輸變電狀態監控平臺(雙棧)之間的數據交互。
3.2 IPv6試點網絡改造實施內容
省公司新增CE路由器的配置雙棧,并啟用BGP和OSPF路由協議;省公司新增核心交換機的配置雙棧,并啟用OSPF路由協議,通過配置IPv6 Over IPv4隧道與變電站接入路由器進行連接;變電站新增接入路由器、接入交換機配置雙棧及相關配置,通過IPv6 Over IPv4隧道與省公司核心交換機進行連接。
1)核心交換機配置:主要包括OPSF路由配置;snmp配置;vlan配置;登陸方式配置;ntp配置;日志服務器配置。
參考帶寬:內網匯聚交換機與核心區主交換機之間的cost值設置為10;與備核心交換機之間的cost值設置為100;根據ospf選路原則,優先選取與主核心交換機的鏈路為主鏈路。
網絡類型:設備之間的物理連接均為以太網連接,ospf默認的網絡類型為廣播型,為了加快路由的收斂,將網絡設備間的互聯接口的ospf網絡類型設置為點到點類型。
鏈路聚合:主核心交換機與備核心交換機做動態鏈路捆綁。
2)CE路由器配置:主要包括OPSF路由配置,BGP配置;snmp配置;登陸方式配置;ntp配置;日志服務器配置。
OSPF路由設計原則:使用IPV6的OSPF V3配置。內網ospf的進程號設置為1;使用Loopback地址作為ospf router-id手工指定;內網ospf運行在單域模式,服務器區匯聚交換機與核心交換機之間運行Area3;運行ospf設備之間啟用MD5認證;Ospf進程內的所有設備都使用network方式業務網段和互連網段。
BGP路由設計原則:使用IPv6 的BGP配置。內網BGP的進程號使用統一的進程號;手工指定loopback地址作為router-id;通過ospf學習到業務網段;分別與綜合數據網的PE和CE建立鄰居關系;指定相應的路由策略。
3)接入路由器配置:主要包括OPSF路由配置配置;單臂路由;snmp配置;默認路由配置;vlan配置;登陸方式配置;ntp配置;日志服務器配置。
參考帶寬:接入路由器與核心區主交換機之間的cost值設置為10;與備核心交換機之間的cost值設置為100;根據ospf選路原則,優先選取與主核心交換機的鏈路為主鏈路;
網絡類型:設備之間的物理連接均為以太網連接,ospf默認的網絡類型為廣播型,為了加快路由的收斂,將網絡設備間的互聯接口的ospf網絡類型設置為點到點類型。
單臂路由:變電站端的業務、管理網關配置在路由器上,需要在路由器配置單臂路由。
4)接入交換機配置:主要包括:snmp配置;默認路由配置;vlan配置;登陸方式配置;ntp配置;日志服務器配置。業務數據流走二層trunk,管理vlan數據流使用靜態路由指向匯聚交換機;端口劃入相應的業務vlan,無用端口手工down;接入交換機與匯聚交換機啟用動態鏈路聚合。
4 結束語
本次項目試點建設實現了IPv6在智能電網重要業務中的應用,通過對IPv6應用技術、實驗網絡、試點網絡、示范應用內容進行研究,在現有電力數據網中建立試點IPv6網絡,選擇智能電網相關的輸變電狀態監測系統的應用進行示范建設,全面推動下一代互聯網技術在電力行業的應用,并為整個電力信息通信網絡及業務應用向IPv6演進提供借鑒,服務于智能電網建設,實現IPv6在智能電網中的推廣應用。
關鍵詞:VLAN;VTP;Packet Tracer;綜合路由
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)05-0052-03
1 VLAN技術概述
虛擬局域網VLAN是一種以交換式網絡為基礎,以軟件的方式將局域網內的設備邏輯上劃分為若干個虛擬工作組的技術。同一邏輯工作組成員可以分布在同一物理網段上,也可以分布在不同的網絡上。通過VLAN將二層交換網絡的一個廣播域分隔成多個廣播域,這樣不僅提高網絡的性能,同時也提高了網絡的安全性。
通常情況下,一個網絡使用了VLAN后,需要對眾多交換機進行相同VLAN的配置和維護,以保證交換機能進行正確的數據轉發。如果靠網管人員逐臺交換機進行人工配置,工作量巨大,且也不利于日后維護。
為了解決這個困難,思科提供了VTP(VLAN Trunking Protocol)技術。所謂的VTP就是虛擬局域網中繼協議。在一個VTP域中,一臺交換機處于以下三種模式之一:服務器模式、客戶端模式和透明模式。VTP模式通過在一臺設備(設置為VTP服務器)上配置VLAN數據庫,并將配置信息通過交換網絡傳遞給VTP客戶機來實現,此時所有的交換機互連端口,必須啟用中繼。通過VTP技術,減少了創建、管理VLAN的工作量。
2 VLAN間的通信
主機分屬不同的VLAN,也就意味著屬于不同的廣播域,因此不同的VLAN的主機間無法直接通信。VLAN間的通信就相當于不同局域網之間的通信,因此VLAN間的通信問題實質上就是VLAN間的路由問題,需要利用OSI參考模型中更高一層網絡層來進行,即要借助路由器或三層交換機來實現。
不同物理網絡間路由模式有直連路由、靜態路由和動態路由三種。動態路由可以由不同的路由協議來實現,如RIP、OSPF、ISIS和BGP等。
3 跨網絡VLAN路由通信實例
3.1 網絡環境
校園網由兩個物理局域網構成:網絡1、網絡2。網絡1為校園西區,網絡2為東區。
在網絡1中,根據應用,劃分三個VLAN,通過三層交換機作為VLAN的VTP服務器,實現VLAN的自動創建并實現不同VLAN間的通信;網絡2中,劃分二個VLAN,通過單臂路由實現VLAN間的通信;網絡1和網絡2之間通過路由器實現跨網絡VLAN間的通信。
3.2 網絡配置
根據網絡規劃的設想,基于Packet Tracer模擬軟件創建網絡拓撲結構圖如下:
網絡1由一臺3560三層交換機及二臺2960二層交換機組成,每臺2960交換機上創建三個VLAN:DZ、RJ、WL。網絡1中VLAN采用VTP方式來建立,以3560交換機作為VTP服務器,2960交換機為VTP客戶端。網絡2由一臺2960交換機SWITCH3和一臺2621XM路由器R2組成,在2960上劃分出二個VLAN:XZ、WG,通過R2單臂路由實現VLAN間的通信。網絡1和網絡2之間通過一臺2621路由器R1相連接,二個網絡之間通過綜合路由實現互訪:3560和路由器R1之間配置RIP協議,路由器R1和R2之間配置OSPF協議。網絡1中PC的網關指向相應VLAN的IP地址,網絡2中PC網關指向單臂路由虛擬端口地址。
網絡中主機設備的地址規劃如表1:
路由器、三層交換機端口地址分配如表2:
網絡1中,每臺2960交換機的端口1、2、3分別分配VLAN號 :101、102、103,網絡2中,交換機2960的4、5端口分別分配VLAN號:104、105,設備之間連接端口如前圖所示。
4 實現過程如下:
4.1 網絡1:三層交換機實現VLAN間通信
第一步:配置VTP域
首先在3560建立VTP域xmist:
3560#conf t
3560(config)#vtp domain xmist
然后在2960交換機SWITCH1、2上分別配置VTP的客戶端模式:
Switch1(config)#vtp domain xmist
Switch1(config)#vtp mode client
第二步:3560上建立VLAN數據庫
3560#vlan database
3560(vlan)#vlan 101 name dz
3560(vlan)#vlan 102 name rj
3560(vlan)#vlan 103 name wl
第三步:創建交換機之間的中繼鏈路
分別將3560和switch1、switch2之間的鏈路端口配置成為中繼模式,讓不同的Vlan ID的報文通過。在3560上配置如下:
3560#conf t
3560(config)#int range f0/1-f0/2
3560(config-if-range)#switchport mode trunk
在Switch1上進行配置:
Switch1#conf t
Switch1(config)#int f0/24
Switch1(config)# switchport mode trunk
在switch2上進行相同的配置。
完成后查看2960交換機switch1和2 可以發現:在交換機1、2上也都創建了與3560上相同的VLAN。
此時PING不同的交換機下屬于同一VLAN的PC,如同屬VLAN 101的PC11、PC12之間能夠通信。但不同的VLAN間的PC不能互訪。
第四步:開啟三層交換路由
在3560交換機上進行VLAN節點配置:
3560(config)#int vlan 101 // 配置VLAN 101網關
3560(config-if)#ip address 172.17.10.1 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
重復上述過程為VLAN 10 2、VLAN 103配置節點地址172.17.20.1/24、172.17.30.1/24。
并開啟三層路由:
3560(config)#ip routing
這時三個VLAN間的PC可以實現互訪,例如:PC11與PC21互相可以通信。通過三層交換機實現了不同VLAN間的通信。
4.2 網絡2:單臂路由實現VLAN間通信
具體步驟如下:
第一步:創建VLAN
在2960交換機switch3上創建VLAN 104,VLAN 105,將與路由器R2鏈接的f0/24端口配置為Trunk模式。參照前述相關過程進行,不再贅述。
第二步:實現單臂路由
在R2路由器上進行如下配置
R2(config)#int f 0/1.1 //創建第1子接口
R2(config-subif)#encapsulation dot1Q 104 //封裝vlan 104
R2(config-subif)#ip address 172.17.40.1 255.255.255.0 //配置子接口IP地址
R2(config-subif)#exit
R2(config)#int fa 0/1.2 //創建第2子接口
R2r(config-subif)#encapsulation dot1Q 105 // 封裝vlan 105
R2(config-subif)#ip address 172.17.50.1 255.255.255.0 //配置子接口IP地址
完成后,測試PC41與PC51之間可以PING通。表明利用單臂路由實現了不同VLAN間的通信。
4.3 通過綜合路由實現跨網絡VLAN間的通信
經過前述二個步驟,用二種不同的方式實現了同一物理網絡中VLAN之間的通信,但是尚未實現兩個物理網絡(網絡1和網絡2)之間的VLAN的通信。
本項目中網絡1和網絡2之間通過2621路由器R1來鏈接,借助綜合路由協議配置來實現路由,即在R1路由器上運行二個路由協議進程,網絡1的一端運行RIP協議,網絡2的一端運行OSPF協議。要實現這個功能,要實現路由的重分布,即既要將OSPF路由域的路由重新分布后通告RIP路由域中,也要將RIP路由域的路由重新分布后通告到OSPF路由域中。過程如下:
1)在3560上配置RIPV2協議
3560(config)#int fa0/24
3560(config-if)#no switchport
3560(config-if)#ip address 172.16.0.1 255.255.0.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#router rip //運行RIP協議
3560(config-router)#network 172.16.0.0
3560(config-router)#network 172.17.10.0
3560(config-router)#network 172.17.20.0
3560(config-router)#network 172.17.30.0
3560(config-router)#version 2
設置結束,觀察此時3560上的路由情況。
3560#show ip route
C 172.16.0.0/16 is directly connected, FastEthernet0/24
C 172.17.10.0/24 is directly connected, Vlan101
C 172.17.20.0/24 is directly connected, Vlan102
C 172.17.30.0/24 is directly connected, Vlan103
2)在R2路由器上配置ospf協議
R2(config)#int f0/0
R2(config-if)#ip address 172.18.0.1 255.255.0.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#router ospf 1 //R2上運行OSPF協議
R2(config-router)#network 172.18.0.0 0.0.255.255 area 0
R2(config-router)#network 172.17.40.0 0.0.0.255 area 0
R2(config-router)#network 172.17.50.0 0.0.0.255 area 0
R2(config-router)#end
觀察此時R2上的路由情況
R2#show ip route
C 172.18.0.0/16 is directly connected, FastEthernet0/0
C 172.17.40.0 /24 is directly connected, FastEthernet0/1.1
C 172.17.50.0/24 is directly connected, FastEthernet0/1.2
3)在R1路由器上配置綜合路由
配置R1兩端口IP地址:
R1(config)#int f0/1
R1(config-if)#ip address 172.16.0.2 255.255.0.0
R1(config-if)#no shut
R1r(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip address 172.18.0.2 255.255.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1路由器上配置RIP協議:
R1(config)#router rip
R1(config-router)#network 172.16.0.0
R1(config-router)#version 2
R1路由器上配置OSPF協議:
R1(config)#router ospf 1
R1(config-router)network 172.18.0.0 0.0.255.255 area 0
進行PC11對PC41的訪問,發現目標不可達。因為此時的RIP協議和OSPF協議之間未進行重分布,觀察3560交換機和R2路由表均無對方路由信息。
4)在R1上進行路由重分布
R1(config)#router rip
R1(config-router)#redistribute ospf 1
R1(config-router)#exit
R1(config)#router ospf 1
R1(config-router)#redistribute rip subnets
R1(config-router)#end
此時R2上的路由情況如下:
同樣觀察其他的主機的訪問情況,發現皆能連通。實現了跨物理網絡的VLAN間通信。
4 結束語
VLAN技術是局域網應用中的重要技術,實現VLAN間的通信是網管人員和網絡工程人員必將面對的問題。本文利用Packet Tracer軟件,模擬了同一物理網絡中,使用三層路由和單臂路由的方法實現VLAN間的通信;采用綜合路由配置方法,實現了不同物理網絡的VLAN間通信。過程中分析了路由器的端口設置、IP地址分配、三層交換機的配置,對相關的配置命令和路由表的信息進行了解析,并對組建的虛擬網絡進行了通信仿真測試,實現了預期的設想。
參考文獻:
[1] 孫秀英, 史紅彥. 路由交換技術與應用項目化教程[M]. 北京: 機械工業出版社, 2014.
[2] 鄭耿凡. 淺析CiscoPacketTracer在Vlan間通信教學的應用[J]. 河北軟件職業技術學院學報, 2014,16(3): 54-57.
論文摘要:介紹了天津水利辦公廣域網的建設情況,重點闡述了相關路由協議配置以及安全防范措施。通過天津水利辦公廣域網的建設,下屬單位與局機關實現了穩定、快速的網上辦公、信息傳遞,并同時滿足了未來網絡數據、語音和視頻等信息業務發展的需求。
論文關鍵詞:水利廣域網 信息化
天津市水利局是天津市水利行政主管部門,承擔著防汛抗旱、農田水利建設、水資源綜合開發利用和引灤供水等重要任務。經過多年的建設,天津水利內部辦公網絡已經初步形成,局機關實現了網上公文運轉、檔案管理及信息等功能,全水利系統實現了網上公文、信息傳遞。隨著網上信息量的不斷增加、網絡依賴性的提高,原有幀中繼和電話撥號的聯網方式,在網絡帶寬和網絡穩定性方面已經不能滿足全局辦公自動化的需要,由于局機關是水利部門的指揮中樞,各種水利相關信息要快速、可靠地向局中心網絡傳輸,天津水利辦公廣域網正是適應這種新形勢的需求而建設的。
1建設前接入內部網絡情況
天津水利內部辦公網絡建設完成后,局機關辦公自動化系統全面應用,局下屬單位分別以幀中繼和電話撥號方式與局中心計算機網絡連接,但中心端速率只有1M,隨著水利信息化建設的不斷發展,對水利信息資源的應用逐步深入,需要傳輸各種大量的水利數據、視頻等信息,對于網絡的依賴性越來越強,以光纖接入替代原來的電話線接入,提高整個網絡的帶寬和接入響應方式已迫在眉睫。并且隨著天津水利辦公廣域網的逐漸擴大,網絡節點的增加,原有的靜態路由方式廣域網也已經不能適應新的網絡結構要求,見圖1。
2天津水利辦公廣域網建設后整體網絡結構
局屬單位水科所等22家單位新增為2M光纖方式接入,實現與局網絡中心的寬帶互聯。改造后水利局的核心網絡以原有的防火墻作為水利局內部網絡與其他各機構網絡中間的隔離。網絡內只允許用戶端能夠訪問到水利局內部網絡的相關服務器網站所對應的端口。
新增加網絡內核心的接入路由器,起主路由作用,并在其上新建1塊CPOS光口卡,此光口卡連接到網通的SDH節點設備上,帶寬為155M,此通道可以劃分為63個2M,最多為63個分支機構提供2M的接入通道。
原有的路由器作為原有網絡核心接入設備,現在作為于橋水庫備用路由設備。
引灤入津沿線7個管理處使用引灤入津工程管理信息系統建設的光纖網絡,采用統一門戶,通過引灤工程管理處至水利局的光纖通道,實現引灤工程信息網與局網絡中心的網絡互聯。
3相關技術實現手段
3.1選用OSPF路由協議
天津水利辦公廣域網肩負著OA文件系統傳輸和實時水雨情信息的傳輸以及各種大量的水利數據、視頻等其他信息傳輸的網絡重任,要求網絡必須可靠穩定。
整個網絡必須具有多路由選擇、路由迂回、路由備份的能力,以防止因單路由的損壞而造成全網或非損壞節點的中斷。同時,網絡禁止出現路由循環或路由不被利用的情況。并對有多條電路連接的情況,盡可能地做到各條電路上的流量和負載均衡,保證帶寬的合理和充分利用。
天津水利辦公廣域網網絡覆蓋面廣,經過的路由復雜節點多。以局網絡中心機房為中心,連接局機關及局所屬企、事業單位和區縣水務(利)局等單位的網絡,實現全水利系統計算機網絡的互聯互通,為水利信息化提供硬件基礎,見圖2。
OSPF路由協議具有以下優點:可適應大規模網絡、路由變化收斂速度快、無路由自環、支持變長子網掩碼VLSM、支持等值路由、支持區域劃分、提供路由分級管理、支持驗證、支持以組播地址發送協議報文等。所以在水利辦公廣域網的設計和建設時,采用以OSPF為主,靜態路由為輔的路由策略,使原先的辦公網絡平滑的融合和過渡到新的網絡體系中。
3.1.1 OSPF區域劃分天津水利辦公廣域網運行OSPF路由協議,對現節點OSPF協議中的AREA值設定為1O0。隨著更多設備接入,網絡擴充,可劃分更多區域,根據不同區域的網絡特點設定相應的網絡環境。達到隔離故障,防止蠕蟲病毒及網絡設備失效(如端口故障)等對全網的影響作用。并可對外隱蔽網絡結構,阻止外部用戶通過掃描探測網絡的結構。
3.1.2路由器配置內容①核心路由器0SPF配置為:
routerospf100
/啟動OFPS協議/
log-adjacency-changes /記錄OSPF鄰居狀態的改變/
redistributestatic
/引入靜態路由信息/
network192.168..O.O.O.3area100/通告本地連接網段路由信息/
(其他節點互連網段略)
②下屬各單位路由器OSPF配置。以cisco2821接入路
由器為例0SPF配置如下:
routerospf1OO
log—adjacency—changes
redistributestatic
network192.168..O.O0.255 area1OO
netw ork192.168..O.O.O.0area 1OO
3.1.3 OSPF路由的實現廣域網的連接自動完成OSPF路由學習功能,把整個區域的所有路由自動學習到默認網關上面,完全不需要人工設置路由,達到了路由自動尋找和更新的目的。
配置完成后,鍵入顯示路由命令show Proute,可顯示路由表中各路由獲取方式:
3.2安全防范措施
在天津水利辦公網絡系統中,要確保網絡設備的安全,保證非授權用戶不能訪問路由器、交換機或防火墻等關鍵網絡設備。主要采用了以下措施:
3.2.1對網絡設備的控制臺訪問和遠程訪問都必須在嚴格的管理和控制之下,提供強認證機制,保證用戶口令不在網絡中明碼傳輸,并定期更換口令。配置認證服務器,對網絡設備的訪問進行統一的認證、授權、審計(AAA)。
3.2.2通過對設備的配置,使得只能由某個指定JP地址的網管工作站才能進行網絡管理,對路由器或網絡設備進行讀寫操作。
3.3.3根據全網的安全訪問控制策略,配置防火墻的過濾規則;訪問控制的原則為必須是缺省禁止,即凡是沒有被明令允許的訪問一律禁止。
3.3.4關閉路由器的源路由功能,以防止通過假冒lP地址和源路由技術侵入內部網;在路由器或交換機上配置靜態ARP,以防止假冒lP地址的主機接入內部網。
3.3.5由于撥號網絡使用公用的電話交換網,在網絡上傳輸的機密信息存在被竊聽、篡改等威脅。針對以上威脅,必須保障用戶口令不在網絡上以明碼形式傳輸。
3.3.6水利專業網絡作為業務系統的內部網絡,從路由概念上講不與公用網絡直接互連。
由于TDCS/CTC系統屬于行車指揮設備,考慮到其安全性,都采用雙套設備,其中防火墻每2臺屬于1套,故一共設置4臺防火墻。其功能主要是保護內部網絡免受外部網絡的攻擊、惡性訪問及病毒傳播。防火墻一般設置在路由器和交換機之間。2種接入模式的優缺點如下。
1.1 系統中心防火墻路由模式
路由模式工作數據包轉發過程中尋址基于IP地址,而選路是通過路由選擇協議計算并選擇數據包轉發的最佳路徑。故如圖1所示TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機必須單獨形成一個路由選擇協議區域,以供完成數據包轉發及防火墻訪問控制和數據包過濾等工作。
路由選擇協議是數據包轉發計算并選擇最佳路徑的協議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協議屬于CISCO公司的私有協議,只有該公司生產的設備支持該協議。根據路由選擇協議是數據包轉發計算并選擇最佳路徑的協議,一般常見的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP協議屬于CISCO公司的私有協議,只有該公司生產的設備支持該協議。根據TDCS/CTC中心網絡構架的特點及設備選型等多方面因素,路由模式中選用OSPF協議。如圖1中路由器、防火墻及交換機之間建立一個OSPF區域,專門為數據包轉發及防火墻的工作服務,而路由器連接的外部網絡及交換機連接的內部網絡所采用的路由選擇協議對防火墻來說均不考慮。但為了能夠保證外部網絡與內部網絡的正常數據傳遞,需要在路由器及交換機上,將外部及內部網絡的其他路由選擇協議區域與該OSPF區域選擇性的聯通(即路由選擇協議區域間的雙方向路由重)。
1.2 系統中心防火墻透明橋接模式。
透明橋接模式之所以“透明”,是由于防火墻以此種模式連接在交換機與路由器之間后,從路由器和交換機的角度“看”都可以認為此防火墻是“瞧不見”的。這主要是因為基于OSI參考模型的第二層(數據鏈路層),在數據包轉發過程中使用MAC地址作出轉發決定,這樣就等于位于一個單獨的邏輯地址空間內,也不作為數據包的源和目的地,連接起來的網段好像在一條透明的管道中一樣。故如圖2所示,TDCS/CTC系統調度中心網絡中的路由器、防火墻及交換機不必單獨形成一個路由選擇協議區域,因此減少了路由器和交換機為不同路由選擇協議區域間交互而進行的大量計算。
2 采用透明橋接模式的優勢
2.1 路由模式存在的幾個缺陷
1,網絡瓶頸問題。在路由模式中,為了保證每臺防火墻都能得到路由器中完整的路由表,故必須在路由器與防火墻之間增加2臺小型交換機,根據圖1中的結構能夠看出這2臺小型交換機成為整個系統數據傳輸過程中的瓶頸,如果發生故障影響也比較大。
2 結構過于復雜導致維護工作難度加大。在路由模式中,為了保證系統的安全性要求就需要提供大量的冗余路徑,通過圖1可以看出,結構相當復雜,這樣給日常的維護工作及故障處理增加了很大的難度。
2.2 透明橋接模式的優勢
1 不存在網絡瓶頸問題。如前所述,防火墻不需要像路由模式那樣為了保證路由更新及路由表的完整增加小型交換機。從圖2可以看出透明橋接模式并不存在瓶頸問題。
2 結構相對簡單,便于維護。如圖2所示,根據透明橋接模式工作原理所形成的拓撲結構明顯比路由模式,極大地方便了維護人員的日常維護及故障排查。
3 結束語
目前,計算機網絡技術已在我國鐵路系統中廣泛應用,帶來的網絡安全問題也日益明顯。隨著計算機和通信技術的發展,如何不斷改進和完善網絡的安全方案也將成為我們日后研究的方向之一。
參考文獻
[1]姜全生,王彬,侯麗萍,馬文坤,計算機網絡技術應用[M],北京:清華大學出版社,2010.9
Abstract: This paper mainly analyzes the current shortcomings of network practices and comes up with the necessity to build the network virtual laboratory based on DYNAMIPS platform. Focuses on virtual laboratory architecture, function modules and experimental methods, at last gives examples of advanced routing experiments. Virtual Laboratory can improve students' comprehensive and analytic capabilities, which achieves good results.
關鍵詞: DYNAMIPS;網絡虛擬實驗室;實驗體系結構
Key words: DYNAMIPS; network virtual laboratory; laboratory architecture
中圖分類號:TP302.1文獻標識碼:A文章編號:1006-4311(2011)04-0179-02
0引言
目前在大學計算機課程體系中,網絡課程已經成為大部分理工科專業的必修課以及其他專業的選修課。網絡課程既是一門理論抽象又是一門實踐性強的課程,理論抽象主要體現在課程中概念繁多,并且都是建立在抽象的理論模型基礎上[1]。實踐性強主要體現在課程學習的對象是不斷更新的實際設備。
為了提高網絡課程的教學效果,教師們采用了很多方法,加強實驗環節就是方法之一。但是計算機網絡是一種高速發展的技術,要取得好的實驗效果,就需要為學生提供充分的新技術、網絡配置優化和故障分析的實驗機會,當前網絡實驗室普遍是利用路由器、交換機、PC機組成實際的網絡拓撲。這種方法由于經費的限制,只能提供有限數量和型號的設備,種類較少,設備更新慢,學生實驗機會少,很難掌握最新技術[2]。比如網絡設備大多是以太網設備,而ATM網絡實驗幾乎沒有,實驗效果無法保證。正因為這種局限性,現在行之有效的方法就是開發一個網絡虛擬實驗室,使學生可以在單機或者網絡環境下進行網絡的實驗仿真。虛擬實驗室與實際網絡實驗室相比主要有以下優勢:①突破時間和空間的限制,學生在任何有計算機的地方隨時都可以做實驗,并且可以構建任何規模和類型的網絡來滿足實驗的需要。網絡課程的綜合性,設計性實驗較為復雜,若按照實驗課安排的上下課時間無法完成,而且實驗結果無法保存,下次實驗又需要重新配置,而虛擬網絡實驗的結果均是保存在配置文件中,下次做實驗只需調用文件就可以方便的繼續實驗[2][3]。②設備選擇多,網絡虛擬實驗室幾乎包括主流廠家所有型號的設備。通常一套完整的網絡實驗設備包括二層、三層交換機和路由器,這些設備的價格是非常昂貴的。涉及核心層的高端網絡設備實驗在教學中無法開展,但虛擬實驗室提供的產品均是虛擬的,可以根據需要更改。③節省投資,升級方便,使學生能夠跟上網絡設備更新換代的速度,掌握最新的網絡知識,比如IPv6隧道和VPN技術等。借助于網絡虛擬實驗室,可以像在真實的環境中一樣完成各種實驗項目,所取得的實驗效果等價于甚至優于在真實環境中所取得的效果[4]。而且虛擬實驗的實現將有效地緩解很多高校實驗室在經費、場地、器材等方面普遍面臨的困難和壓力。
1虛擬局域網實驗室構建體系
本虛擬實驗室主要目的是培養學生的技術應用能力,并以此為主線設計提高學生知識、能力、素質的實踐教學方法。橫向上與理論課程相互支撐,有機結合,提高了學生的綜合思維能力和處理問題能力。構建實驗室的指導思想是將辯證唯物主義的認識論引入網絡領域的教學,教學環節應當遵循認識發展的辯證規律,把實踐作為認識論的基礎,在教學領域內通過實踐對客體的能動反映,揭示認識運動的基本規律。在虛擬平臺基礎之上,虛擬實驗室要保證對學生基礎、專業和綜合技能的實踐和培養,主要的應用領域不局限于傳統的設備配置,還涉及網絡攻防、協議分析等高級領域,最終達到網絡故障排查的水平。同時還引入了符合專業要求的評估考核或者業內主流網絡認證系統,對學生最終的技術水平有一個客觀、真實的考核認證,也提高了學生自主學習的主觀能動性。基于以上目標和指導思想,虛擬局域網實驗室的體系結構如圖1所示。
2虛擬實驗室設計
2.1 實驗平臺架構設計本系統采用三層客戶機/服務器(C/S)分布式架構。前臺是用戶與虛擬實驗室服務器進行交互所在的層,后臺主要作為實驗服務器,在DYNAMIPS虛擬平臺上運行各種網絡拓撲的虛擬設備,并通過網絡連接為客戶機提供遠程登錄服務。同時在客戶與服務器模型的基礎上又增加了第三層,即邏輯控制層,主要用于客戶認證和登錄,分配實驗和提供各種實驗報告等功能。引入邏輯控制層可以實現管理集中,具有處理分散,降低后臺服務器運行負擔的優點。
2.2 系統功能設計系統功能反映了虛擬實驗室構建體系的要求,實現路由型與交換網絡的基本實驗、高級實驗、綜合實驗與網絡協議分析,最終達到故障分析和排查、網絡優化的能力。所以,系統功能模塊為:
2.2.1 網絡設備基本配置實驗模塊該模塊是網絡實踐教學中的基本內容,也是后續高級實驗的基礎。是網絡正常運行的基本保障。內容主要有接口模式的配置、路由接口IP地址的配置、交換機端口角色的配置等。
2.2.2 交換型網絡高級配置實驗模塊是在基本配置模塊的基礎上,對三層交換機實施的高級配置,主要包括多個交換機的VLAN劃分與通信,MSTP(多實例生成樹)在冗余鏈路中實現負載均衡,IEEE802.1q標準的交換機端口角色等探索性實驗。
2.2.3 路由型網絡高級配置實驗模塊該模式主要運行在核心路由器上,除了流行的動態協議的配置,比如RIPV2、OSPF、IS-IS、BGP-4,還可以進行OSPF鄰居MD5認證,動態路由協議格式分析,流量分析與檢測等高級網絡管理與優化方面的實驗。
2.2.4 網絡安全高級配置模塊針對目前網絡安全的突出問題,選用Cisco Pix系列防火墻操作系統與虛擬機技術,用戶可以進行標準與擴展訪問控制列表(ACL)進行網絡防護,還可以根據需求進行DMZ(非軍事區域)劃分、內外網服務訪問與審計等網絡安全類實驗,有效地解決了目前硬件防火墻投入資金大、無法開展安全實驗的困境。
2.2.5 用戶管理與認證模塊對登錄的用戶進行身份識別,只有合法用戶才可以使用本虛擬實驗室并按用戶要求分配虛擬網絡拓撲,方便管理人員對虛擬實驗室的管理和維護。
2.3 主要實現技術
2.3.1 后臺實驗平臺DYNAMIPS是一款優秀的Cisco路由交換模擬仿真平臺,可以運行在微軟(XP/2000/2003)或者Linux操作系統上。該平臺實際上是一種虛擬機技術,與VMWARE虛擬機平臺相似,在物理計算機上虛擬出獨立的邏輯計算機,裝載并且運行軟件,使得利用有限的實驗設備開展以前無法開展的實驗成為可能。DYNAMIPS模擬技術可以方便地在一個或多個物理計算機上建立多個虛擬路由器,并且這些路由器可以同時運行并且互聯成網絡。該平臺模擬的Cisco網絡設備型號眾多。比較其他網絡模擬平臺優勢極其明顯。其他模擬平臺只是單純模擬配置命令,只局限在學習配置命令的層面,無法對網絡進行管理和故障分析與排查。而DYNAMIPS平臺是使用虛擬機技術而且可以運行Cisco官方的設備操作系統(IOS),正是如此,在虛擬出的硬件平臺上具備物理設備的所有功能。
2.3.2 前端應用軟件平臺虛擬實驗室前端主要所采用的軟件開發平臺是Vs2005,使用工具開發,該平臺很好地支持網絡通信,面向對象的功能復用和強大的編程能力。
網絡虛擬實驗平臺要實現的功能就是用戶使用這個平臺進行實驗時,只需點擊進入實驗平臺界面,選擇實驗需要的拓撲結構,后臺調用模擬的網絡實驗設備,然后用戶就可以在已經連接好的網絡拓撲中自主得進行網絡實驗。
虛擬實驗室前端實現分為四個步驟:前臺界面實現、生成拓撲配置文件、調用后臺DYNAMIPS生成虛擬網絡設備、遠程登錄開始實驗。步驟如圖2所示。
3仿真實驗實例
用戶首先登錄網絡虛擬實驗平臺,只需根據所要進行的實驗選擇拓撲結構,前臺程序自動觸發后臺服務器上的虛擬機進程,最后用戶telnet遠程登錄到某個虛擬設備上進行實驗。下面以OSPF鄰居MD5加密認證實驗為例說明:用戶在前臺選擇高級路由實驗,進入虛擬實驗室前臺界面,如圖3所示。
實驗拓撲和連接接口等參數已經在后臺搭建好,該拓撲包括兩個虛擬路由器和一個交換機,虛擬設備分別和三臺物理PC橋接。路由器之間采用的是serial串口通信,其余是100M快速以太網連接。
3.1 在路由器上配置MD5認證分別遠程登錄至router1和router2,在它們的S0/0接口子模式下進行OSPF鄰居認證配配置,方式為MD5加密認證,認證密碼為cisco,主要配置命令如下所示:
Router1(config-if)#ip ospf message-digest-key 1 md5 cisco
Router2(config-if)#ip ospf message-digest-key 1 md5 cisco
3.2 在路由器上啟動鄰居驗證機制在路由器上首先配置OSPF協議,并且啟動鄰居驗證機制。主要配置過程如下所示:
Router1(config)#router ospf 1 // 路由器1配置OSPF協議
Router1(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router1(config-router)#area 1 authentication message-digest// 在區域0啟動MD5驗證
Router2(config)#router ospf 1
Router2(config-router)#network 192.168.1.0 0.0.0.255 area 0// 路由器2配置OSPF協議
Router2(config-router)#network 10.1.1.1 0.0.0.255 area 1
Router2(config-router)#area 1 authentication message-digest // 在區域0啟動MD5驗證
3.3 實驗結果分析經過認證配置后,可以像真實網絡一樣對所配置的內容進行檢驗和測試。使用網絡協議分析捕獲軟件Wireshark在routerB的s0/0接口捕獲OSPF的hello數據包并分析其內容,其中捕獲得MD5加密認證的hello數據包內容如圖4所示。
本實驗捕獲的是routerA發給routerB的MD5加密hello數據包,內容顯示認證鍵值為1,認證內容是MD5加密過的哈希值,該加密過程是非可逆解密的,所以從中無法獲得用戶的密碼信息,測試結果表明配置成功。在實驗設計中,還可以加入OSPF鄰居明文認證實驗,采用同樣的驗證方法,截獲出明文密碼,采用對比的方式體現出加密認證的安全性和可靠性。
4結束語
實踐性教學是培養學生實踐能力、創新精神和創業意識的最好手段之一。而網絡虛擬實驗室的引入與應用,改變了以往網絡課程教學落后于生產實踐的被動局面。經過近三年的運行,在鞏固和擴大教學成果方面取得了較好效果,同時也探索出了一條新的實踐教學體系。
參考文獻:
[1]陳建銳.基于虛擬機的VPN實驗環境構建[J].實驗室研究與探索,2010,29(1):59-61.
[2]胡禮廣.基于Web的虛擬金相實驗室構建[J].實驗室研究與探索,2010,29(1):69-70.
[3]朱乾坤.基于虛擬實驗系統的教學模式[J].實驗室研究與探索,2008,27(6):84-86.
關鍵詞:計算機網絡;實驗教學;模擬器
中圖分類號:G642.3 文獻標志碼:A文章編號:1673-291X(2010)02-0207-02
引言
計算機網絡課程是理論性與實踐性都很強的學科,在大部分高職院校,計算機網絡課程不僅是計算機專業學生的必修課,同時也是許多非計算機專業學生的重要基礎課。但在長期教學過程中,學生普遍反映教學內容和教學過程枯燥,知識不易理解,這主要是因為計算機網絡原理涉及到許多協議和算法,而這些內容在普通的實驗環境下很難實現。為了在改善實驗環境的同時盡量節約實驗成本,我們在實驗教學中利用模擬器軟件技術,建立一個軟件模擬真實實驗的實驗室環境,使學生能在仿真環境中將學到的知識應用于實踐,提高了學生的動手能力。軟件環境與真實實驗環境相結合,達到了很好的效果,使得計算機網絡課程教學效果得到明顯提高。
一、幾種模擬器的簡介
目前常見的模擬器主要有以下幾種:
CISCO在線FLASH和LABS實驗產品,該產品配置規范,要求對實驗內容非常熟悉。其最大的缺點就是實驗內容單一,缺乏靈活性。
HW-RouteSim是一款華為3COM網絡設備的模擬器,功能相對較強,可以模擬在路由器上配置靜態路由和RIP協議、OSPF協議以及華為路由器的高級功能。其缺點是設備類型較少,PC操作環境為Linux操作系統,習慣使用Windows的用戶上手較難。
Dynamips是一款思科網絡產品的模擬器,能模擬出最新的思科產品Cisco7200路由器的硬件環境,在這個環境中可直接運行Cisco的IOS。缺點是使用者必須具備良好的網絡理論基礎和開發能力,對于一般用戶而言,難以完成。
Packet Tracer是一款功能相對較強的模擬器產品,可完成幾乎所有的思科網絡學院論證考試的Labs實驗。其最大的優點在于可以很好地模擬一些型號的路由器、交換機、hub、Wireless Device、PC、IP Phone等。特別地,它提供了可擴展的網絡設備,以滿足用戶需要。實驗環境可根據實驗要求自行設定,靈活性較強,使用者只需要選擇實驗設備,建立網絡拓撲模型,然后對設備進行配置即可。
我們以Packet Tracer 5.0為例對計算機網絡路由協議的實驗配置過程進行分析。
二、Packet Tracer實驗環境配置
下面介紹在Cisco路由器上做靜態路由、RIP路由及OSPF單區域路由協議實驗的過程。
(一)構造網絡拓撲圖
根據實驗要求在Logical Workspace中建立實驗環境,構造網絡拓撲圖,如圖所示。
圖網絡拓撲結構
圖中PC0與R0的FastEthernet0/0聯接,R0的Serial2/0與R1的Serial2/0聯接,R1的FastEthernet0/0與PC1聯接。R0的Serial2/0為DCE設備,時鐘速率為64000,R1的Serial2/0為DTE設備。
(二)端口及IP地址的配置過程
在拓撲圖中,單擊路由器圖標,打開配置對話框,在對話框中選擇CLI選項卡,進行命令配置。此實驗中網絡設備、端口、IP地址及子網掩碼如表所示:
(1)在R0上配置FastEthernet0/0的端口IP地址并予以激活。配置Serial2/0端口,并為該端口的DCE設備配置相應的時鐘速率為64000。
!進入全局配置模式
Router#config t
Enter configuration commands,one per line.End with CNTL/Z.
!將當前路由器命名為R0
Router(config)#hostname R0
!進入fastethernet0/0端口配置模式
R0(config)#int fastethernet 0/0
!配置fastethernet0/0端口的IP地址為172.16.1.1/24
R0(config-if)#ip address 172.16.1.1 255.255.255.0
!激活端口
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R0(config-if)#int serial 2/0
R1(config-if)#ip address 172.16.2.1 255.255.255.0
!配置R0的Serial2/0端口的DCE時鐘速率
R0(config-if)#clock rate 64000
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
(2)R1路由器配置方法同R0,在配置上由于R1路由器的Serial2/0端口為DTE設備,故無需配置時鐘速率,配置步驟略。
(3)在PC0上配置IP地址為172.16.1.2,子網掩碼為255.255.255.0,網關為R0的FastEthernet0/0端口IP地址172.16.1.1;在PC1上配置IP地址為172.16.3.2,子網掩碼為255.255.255.0,網關為R1的FastEthernet0/0端口IP地址172.16.3.1。
三、路由協議配置及驗證
(一)靜態路由配置及驗證
(1)配置靜態路由的語法為:
ip route prefix mask{address|interface}[distance][tag tag][permanent]
Prefix:所要到達的目的網絡;
mask:子網掩碼;
address:下一個跳的IP地址,即相鄰路由器的端口地址;
interface:本地網絡接口;
distance:管理距離(可選);
tag tag:tag值(可選);
permanent:指定此路由即使該端口關掉也不被移掉。
(2)根據實驗的要求,在R0和R1上分別配置靜態路由如下:
R0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
R0(config)#exit
R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
R1(config)#exit
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況,或者在PC0和PC1之間做PING測試。
(二)RIP協議配置及驗證
(1)在R0和R1上利用no ip route命令關閉靜態路由。
R0(config)#no ip route 172.16.3.0 255.255.255.0 172.16.2.2
R1(config)#no ip route 172.16.1.0 255.255.255.0 172.16.2.1
(2)在R0和R1上啟動RIP協議并將直連網絡地址加入本地路由表中,經過一段時間后路由器會自動根據相鄰路由器中的路由表信息對本地路由表進行更新。配置過程如下:
R0(config)#router rip
R0(config-router)#network 172.16.1.0
R0(config-router)#network 172.16.2.0
R0(config-router)#exit
R1(config)#router rip
R1(config-router)#network 172.16.2.0
R1(config-router)#network 172.16.3.0
R1(config-router)#exit
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況或者在PC0和PC1之間做PING測試。
(三)OSPF協議單區域配置及驗證
(1)在R0和R1上利用no router rip命令關閉靜態路由。
(2)在R0和R1上啟動OSPF協議,將直連網絡地址加入本地路由表,并配置區域為area0,經過一段時間后路由器會自動根據相鄰路由器中的路由表信息對本地路由表進行更新。配置過程如下:
R0(config)#router ospf 1
R0(config-router)#network 172.16.1.0 0.0.0.255 area 0
R0(config-router)#network 172.16.2.0 0.0.0.255 area 0
R0(config-router)#^Z
R1(config)#router ospf 1
R1(config-router)#network 172.16.2.0 0.0.0.255 area 0
R1(config-router)#network 172.16.3.0 0.0.0.255 area 0
R1(config-router)#^Z
(3)在R0和R1上通過Show ip route命令查看當前路由表的情況,或者在PC0和PC1之間做PING測試。
四、結束語
在實驗教學中由于使用了Packet Tracer模擬軟件,在一定程度上緩解了高職院校網絡實驗室建設的壓力;另一方面使學生真實地看到了路由協議的作用,激發了學生的學習興趣,提高了學生的動手實踐能力,從而實現培養技能型創新人才的教學目標。同時,還可以為參加CCNA、CCNP、CCIE認證考試的學生提供更好的練習環境,對提高高職院校計算機網絡課程教學質量有著深遠的意義。
參考文獻:
[1] 駱耀祖.Cisco路由器實用技術教程[M].北京:電子工業出版社,2002.
[2] 郭秋萍.計算機網絡實驗教程[M].北京:北京航空航天大學出版社,2005.
[3] 吳黎兵.計算機網絡實驗教程[M].北京:機械工業出版社,2007.
