时间:2022-05-08 12:26:23
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇ospf协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、动态路由协议ospf
在计算机网络中,路由器是一个转运站,网络数据的目的是网络通过路由器进行转发,转发是基于路由表。路由协议路由表,路由协议,作为一种重要的TCP / IP协议的,路由过程实现好坏将直接影响到整个网络的效率。简单网络可以通过静态路由协议之间的网络路由,如果您正在使用一个静态路由协议,路由表将会非常大,静态路由不会考虑网络负载的现状,并不能自动适应网络拓扑的变化和路由效率。所以,在现代计算机网络,通常使用动态路由协议自动计算最佳路径。OSPF动态路由协议,使用SPF演算法,用于选择最佳路径。基于带宽更快的收敛速度,支持变长子网掩码VLSM,路由强大的测量大型网络(255),大多数人支持OSPF路由器的数量,现在已经成为最广泛使用的动态路由协议的内部网关协议。
二、动态路由协议分类
(1)根据角色路由协议的范围可分为:内部和外部网关协议。内部网关协议运行是在一个自治系统中,外部网关协议是自治系统之间的轮换。OSPF是一个最常用的内部网关协议。根据算法和路由协议可以分为链路状态和距离向量协议,距离矢量协议包括RIP和边界网关协议。链路状态协议与OSPF是基本相同的,主要区别在上述两个算法和计算发现路由的方法。
(2)根据目的地址的路由协议类型可分为:单播和多播协议。单播协议包括RIP、OSPF和东部,包括PIM SM -多播协议,PIM - DM,等等。根据网络规模,应增加路由器运行OSPF协议的数量,并将导致LSDB(链路状态数据库)占用大量的存储空间,增加SPF(最短路径优先)算法操作的复杂性,增加CPU的负担。根据网络规模增加拓扑变化的概率也将增加,每一个变化可能导致网络路由器计算“动荡”,根据网络往往会导致所传播的网络会有很多OSPF协议信息,减少网络带宽的利用率。为了解决这个问题,OSPF协议将自治系统分为不同的区域(区域)。逻辑路由器的区域被划分为不同的群体。每个区域独立于SPF路由算法的基础上运行,这意味着每个地区都有自己的LSDB和拓扑的一部分。对于每个区域,区域外的网络拓扑是不可见的。同样,每一个区域的路由器也不了解该地区以外的网络结构。OSPF LSA无线电阻碍该地区边界,大大减少了OSPF路由信息流动,提高了OSPF运行效率。路由器接口基于区域,而不是划分基于路由器,路由器可以属于一个区域,也可以属于多个领域。属于多个区域称为区域边界路由器,OSPF路由器应注意边界路由器特征,可以呈现主体与部分之间的关系,也可以是一个逻辑连接。
三、OSPF协议的路由算法
OSPF CO pen最短路径优先,使用开放最短路径优先协议,选择最佳路径最短路径算法(SPF),也被称为Dijkstra算法。SPF演算法是基于OSPF路由协议的,SPF算法将每个路由器作为根(ROOT),计算每个目的地的距离路由器,每个路由器拓扑结构的计算方法是根据一个统一的数据库,结构类似于一个树,SPF演算法得到最短路径树。OSPF路由协议,根据树干的最短路径长度,即每个目的地路由器的OSPF路由器距离,称为OSPF成本,根据最短路径通过最小化的成本价值判断每个路由器基于成本的总和值链接。每个路由器使用SPF演算法来计算最短路径树的根,树便给了自治系统路由,路由器从表中每个节点基于最短路径,最短路径树结构是不同的每个路由器的路由表。
四、OSPF协议网络规划
1、网络的规模。当网络中的路由器的数量小于10,你可以选择配置静态路由或运行RIP路由协议。随着路由器的数量的增加,用户网络的变化对于路由收敛和网络带宽利用率有更高的要求,比如你应该选择使用OSPF协议。
2、拓扑结构。如果网络拓扑结构是树型(大多数这种结构的特点是一个网络路由器只有一个出口),可以考虑使用默认路由加静态路由。如果网格网络拓扑结构和任意两个路由器的需求相通,应该使用OSPF动态路由协议。
3、对路由器自身的要求。运行OSPF协议对于CPU处理能力和内存有一定要求,低性能不推荐使用OSPF协议的路由器。为了使网络通信规划基于OSPF协议应考虑各种因素,找出IP资源、信道带宽、网络流量,如根据实际的网络环境形成的思维和方法配置和应用程序需求,避免造成不必要的混乱,网络拓扑结构调整将时消除隐患。通过在实践中不断学习,系统、全面地掌握网络路由设备、工作原理和动态路由协议。通过OSPF网络设计思想,提高网络管理水平,确保网络的安全、可靠、开放。
参 考 文 献
[1]王达.Cisco/H3C交换机配置与管理完全手册(第2版)[M].北京:中国水利水电出版社,2012
[2]公凌.路由和动态路由协议介绍及配置分析[fJl.机电信息,2013(9):85一86
[论文摘要]首先阐述开放最短路径优先OSPF协议的工作过程、接着重点论述自治系统AS的分层结构和指派路由器,希望能够为学习和研究OSPF协议的人员提供参考与帮助。
一、背景
众所周知,随着因特网规模的不断扩大,现在已有几百万台路由器连接在一起,如果让这些路由器都知道所有网络的相关信息,这样会导致路由表庞大,处理起来浪费时间,响应缓慢等问题;若再加上在链路大量传输路由信息又会严重影响网络带宽。另外,因特网的许多用户都想使自己的网络信息具有安全性和保密性,但又想充分发挥因特网的作用――相互通信,共享资源。为了解决上述多方面的矛盾,因特网被划分成许多个较小的自治系统(autonomous system,AS)。一个自治系统就是处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个局域网LAN上,也可以是连到Internet上的,它还可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,在同一个自治系统之内的路由器使用同一个自治系统编号。
单个的自治系统AS是由一个ISP运营的网络,在AS内部使用统一的路由协议,如[1]路由信息协议(Routing Information Protocol,RIP),但RIP是一种距离向量协议,在RIP协议当中,所有的路径都用跳数来描述,到达目的地的路由最大不超过16跳,且只保留唯一的一条路由,这就限制了RIP的服务半径,即其只适用于小型的简单网络。同时,运行RIP的路由器需要定期地(一般30s)将自己的路由表广播到网络当中,它不但收敛(对于路由协议,网络上的路由器在一条路径不能用时必须经历决定替代路径的过程,这个过程称为收敛)得慢,而且极容易引起广播风暴、累加到无穷、形成环路等致命问题,所以它很难适应当今计算机网络的飞速发展,尤其是大规模的异构互连网络。
为了摆脱诸多因素的困扰,在20世纪80年代中期, Internet工程任务组(TETF)开发了另一种新的内部网关协议,它就是开放最短路径优先协议(Open Shortes Path First,OSPF),其中的“开放”是说明它的规范是公开的;“最短路径”是因为它使用了Dijkstra提出的最短路径算法(SPF),即在所有的自治系统内部使用的路由选择协议都是要寻找一条最短的路径。OSPF协议是一种分布式的链路状态信息协议,在众多的路由技术中,OSPF协议已成为目前广域网Internet和企业网Intranet采用最多、应用最广泛的路由技术之一,但OSPF协议实现起来比RIP协议要复杂得多。下面的内容是从两个方面对OSPF协议进行分析。
二、分析OSPF协议
(一)自治系统AS采用分层结构
在因特网上,AS是一个ISP(因特网服务提供商),但大学、研究院和私人组织也可以具有自己的AS。因特网中的AS被划分为一个主干区域(backbone)和若干个非主干区域,所谓的区域是把许多网络和主机,再加上连接这些区域网络上的路由器,所构成的逻辑组。AS中的每个区域内部都运行一个基本链路状态路由算法,即每个区域内部都有它自己相对独立的链路状态数据库和相应的有向图(网络的拓扑图),同时区域内的所有路由器运行的链路状态数据库都是一致的,即它们的数据库是同步的。每一个AS中都有一个主干区域,称为区域O,用区域ID0.0.0.0来标识。区域O的功能主要是负责各个非主干区域之间的路由信息的。主干区域必须是连续的,同样,所有的OSPF区域必须被连接到区域O,如果在主干区域中的连续性出现断开现象,则可能需要建立虚链路来连接。一个区域内的消息和细节对本区域以外的区域来说都是透明的,即不可见的,这样可以限制到一个区域的洪泛流量,使规模越来越大的AS变得易于管理和维护,也是弥补OSPF协议占用CPU和内存资源的方法,更大大降低了路由信息所耗费的网络带宽。
(二)指派路由器DR和备份指派路由器BDR
OSPF协议是一个分布式的、动态的内部网关协议,动态路由会设法适应网络流量、拓扑结构的变化。为了动态地适应如故障、网络拥塞等网络状态的变化,结点间必须交换链路状态,如本路由器与哪些路由器相邻、费用、距离、延时、带宽等。当链路状态发生变化时,就会发送这些信息。不是所有的路由器之间都会发送信息,只有成为邻接的路由器之间才会发送链路状态信息。 转贴于
当一个OSPF路由器初始化时,首先初始化路由器自身的协议数据库,然后等待低层协议(数据链路层)提示端口是否处于工作状态。
如果低层协议得知一个端口处于工作状态时,OSPF协议会通过其Hello分组与其余的OSPF路由器建立交互关系。当一个OSPF路由器向其相邻路由器发送Hello数据包时,如果它自己接收到某一路由器返回给它的Hello数据包,则这两个OSPF路由器之间就建立起了OSPF交互关系,这个过程在OSPF中被称为邻接,只有成为邻接的路由器之间才可能发送链路状态信息。
在一个广播性的、多点接入的网络中存在一个指派路由器(Designated Router,DR)。例如:[2]一个共有N个路由器连接的以太网中所有邻居都是邻接路由器,则总共可能有N(N-1)/2条邻接,每次当有一个路由器收到一条链路状态时,它将发送这个信息的副本给所有其它邻接路由器,最坏情况下可能有2N个这个消息的副本在网络上传输,实际只需要N个拷贝即可。如果所有的路由器都把自己的本地链路状态信息对全网进行广播,那么各路由器只要将这些信息综合起来就可得到链路状态数据库。但这样做开销太大了。对于这种情况,在这个区域内会选取一个路由器作为代表――指派路由器DR,它是这个团体中最受欢迎的成员,与所有邻居路由器邻接,指派路由器主要负责把与它连接的网络的链路状态信息传播给其他路由器。这样可以大大减少广播消息的数量,从而避免路由器之间建立完全相邻关系而引起的大量开销,也进一步解决了网络带宽的瓶颈问题。在这个区域中往往还会有一个随时更新数据的备用指派路由器(Backup Designated Router,BDR),它主要是防止指派路由器崩溃,可缓解当时的危机。
OPSF作为一种重要的内部网关协协议的普遍应用,极大地增强了网络的可扩展性和稳定性,同时也反映出了动态路由协议的强大功能。但是,在有关OSPF协议的研究、实现中尚存在一些问题,如数据库的溢出、度量的刻画、以及MTU协商等。
参考文献:
【关键词】OSPF;邻接;实验;验证
1.引言
OSPF路由协议是一种链路状态路由协议。同时由于它是一种公有的协议,因此得到了广大网络设备厂商的支持。运行OSPF协议的路由器必须先建立完全邻接关系,然后才能传递路由信息。点到点网络是OSPF支持的多种网络类型其中的一种,本文将在GNS3模拟器上验证在点到点网络中运行OSPF协议时,各路由器建立完全邻接关系的过程。
2. OSPF路由协议
OSPF协议是一种内部网关协议,它在同一个自治系统中的各个路由器之间交换路由信息。运行OSPF的路由器会将LSA泛洪到同一区域内的所有OSPF路由器,而不仅仅是直连的路由器。OSPF路由器通过收集其他路由器发过来的LSA创建OSPF的LSDB(链路状态数据库)。然后使用SPF算法算出到每个目的网络的最短路径,并将其写入路由表。由此可见,OSPF路由器的路由条目并不是其他路由传递过来的,而是路由器本身通过LSDB和SPF算法计算得来的。OSPF定义了点到点网络(point-to-point)、广播型网络(broadcast)等多种类型的网络。本文只验证点到点网络的环境。
3. OSPF完全邻接关系建立过程
OSPF邻接关系有7个状态。
假设路由器A和B直连,A的路由器ID比B的大。并且都运行OSPF。当路由器接口开启,并讲相关接口宣告进OSPF进程之后,就开始建立邻居。以下为OSPF路由器完全邻接关系建立的过程:
(1)初始化时ospf协议处于down的状态。
(2)当A路由器通过宣告进OSPF协议进程的接口发送第一个组播hello报文后进入init状态。B也可以通过同样的方式进入init状态。
(3)当路由器B接收到A发过来的第一个hello报文后,会根据这个hello报文里的Router ID字段提取出来,作为自己的邻居的RID(Router ID)。然后将A的RID写入hello报文的邻居字段,将自己的RID写入Router ID字段,发送给A。A接收到该hello包,在邻居字段看到自己的RID时,A就认为B已经知道自己是它的邻居,从而A达到2way的状态。B也可以通过同样的方式达到2way状态,这时双方进入双向通信阶段。
(4)到达2way状态后,路由器开始发送第一个DBD(数据库描述)报文,这个报文用来选举主/从(master/slave)关系。选举的方法是Router ID大的路由器为master。选举完成后由master发起LSA的交互。在这里由于假设A的路由器ID比B的大,所以选举的结果为路由器A是master。此时双方到达exstart状态。
(5)A发起接下来的DBD报文交互。此时到达exchange状态。这时交互的DBD不同于上面所讲第一个DBD,exchange状态交互的DBD包含每台路由器LSDB中的LSA报头。相当于告知对方路由器,本路由器上有哪些网段的路由。
(6)当交互完DBD报文之后,路由器通过LSA报头的信息和本地LSDA中的信息进行比较,得知本地路由器缺少哪些网段的路由,从而向对方路由器发送LSR报文请求这些缺少的LSA。而收到LSR的路由器就会响应这些请求,发送对应的LSU报文。此时双方的状态为loading。
(7)当loading状态结束后,双方就进入了完全邻接FULL状态。
4. GNS3介绍
GNS3是一款思科模拟器软件,它具有图形化的界面,并且直接采用cisco路由器的网络操作系统IOS,因此可以提供接近于真实cisco路由交换设备的虚拟网络环境。GNS3实际上整合了Dynamips、Dynagen、Pemu和Winpcap等软件。
5.实验拓扑
在GNS3中创建两台路由器R1和R2,给R1和R2分别安装一个NM-4T的模块,该模块可为路由器提供4个串行接口。在R1上给环回口Loopback 0 配置ip地址1.1.1.1/8,模拟一个1.0.0.0/8的网段。配置R1连接R2的接口S0/0的IP地址为12.1.1.1/8并将接口开启,配置R2连接R1的接口的IP地址为12.1.1.2/8并将接口开启。在R1上启用OSPF路由协议,指定Router ID为1.1.1.1,将lookback 0所连接的网络1.0.0.0/8以及S0/0接口所连接的网络12.0.0.0/8都宣告进OSPF进程。在R2上启用OSPF路由协议,指定Router ID为2.2.2.2,将S0/0接口所连接的网络12.0.0.0/8宣告进OSPF进程。R1和R2在同一个区域0。配置完毕后,R2通过OSPF路由协议从R1的S0/0接口获取到一条关于目标网络为1.0.0.0/8的路由条目。实验拓扑图如图所示。
6.基本配置命令
6.1 R1的基本配置
8.结束语
本文对OSPF路由协议作了介绍,对OSPF邻接关系的建立过程进行了分析,并在GNS3模拟器上搭建了一个OSPF点到点实验拓扑,对这一过程进行了模拟,通过查看和分析调试信息验证了邻接关系从down变成full的各个过程。
参考文献:
关键词:Linux系统;路又器;配置
Linux 作为一种新近崛起的操作系统,由于其性能稳定,源码开放及价格方面的优势而逐渐被广大用户所接受。现在Linux的主要用武之地在于服务器领域,但是,经过适当的配置之后,它还可以担当互联网的物理基石--路由器这一重要角色。
一、BGP/OSPF 概述
路由器是与两个或两个以上的网络连接的计算机,它根据路由协议生成并维护一个路由表,并按照该路由表中的信息转发包。这些路由器对公司内部的网络结构了如指掌,知道将分组送到目的地的全部细节,但对于其他公司的网络结构并不了解。像这样“在同一机构下管理的一系列路由器和网络”被称为自治系统(AS)。由不同机构掌管的自治系统,可以采用不同的路由选择算法;但同一自治系统内的所有路由器都使用同一路由协议,以便于自治系统内部各个路由器互换路由信息来维持相互的连通性。每一个自治系统都有一个16位的“自治系统(AS)编号”作为标志,就像 IP 地址一样,它是由专门机构来分配的。
自治系统内的路由器称为“内部网关”,所用的协议称为“内部网关协议”。内部网关协议大体上分为两类,一类是距离向量协议,如 RIP,EIGRP 协议;另一类是链路状态协议如 OSPF 协议。链路状态路由协议与距离向量协议的不同之处在于,采用链路状态路由协议的路由器不是交换到达目的地的距离,而是维护一张网络拓扑结构图。然后用数据库表示该图,其中的表项对应网络的一条链路。路由器根据数据库的信息计算出“最佳路由”,由此指导包的转发。当网络拓扑结构发生变化时,只需将相应纪录而非整个数据库通知其他节点。各路由器做出相应修改并重新计算路由后,就可以继续正常工作。
OSPF 具有支持多重度量制式和多重路径等诸多优点,因此成为因特网上推荐使用的内部网关协议,RIP 却由于自身的局限性而被打入冷宫。现在,在性能上唯一能够与 OSPF 相匹敌的内部网关协议便是 EIGRP--Cisco 的一个专有协议,但 OSPF 的“开放”本身就是一个响亮的招牌,因为谁也不想受制于某家供应商。
二、建立路由器
(1)安装 Zebra
既可以从 Zebra.org 网站下载 Zebra 的最新源程序,也能从 Redhat 和 Debian 中获得它,但不一定是最新版的。从源代码中进行软件安装,就会发现使用的是一些普通的安装过程。
配置脚本会搜索系统上已经安装的 IP 栈并且自动地设置成支持他们。当前,IP 栈很可能仅仅是指 IPv4,但是 IPv6 用户也不用担心,因为 Zebra 也会发现并且支持它。
程序安装之后,还可能必须在 /etc/services 中增加一些命令行。Zebra 的守护程序在他们自己的虚拟终端连接(VTY)下运行,所以的系统必须知道这些虚拟终端连接。
(2)配置 Zebra
如果已经熟悉 Cisco IOS,就能在短时间内掌握 Zebra,因为会发现两者极为相似。Zebra 的每个守护程序使用一个单独的 VTY,这些 VTY 可以通过一个远程登录会话进行动态配置。所以,如果需要设置 OSPF,简单地远程登录到该 Linux 上 2604 端口;为了修改内核的路由表或设置路由协议间的再分发,可以远程登录到端口 2601,该 Zebra 守护程序充当内核管理器,管理其他的守护程序和系统本身之间的通信。
现在介绍如何在一个服务器上创建和运行 OSPF 和 BGP。Zebra 的守护程序运用纯文本文件储存它们的配置。对于 OSPF/BGP 路由器,将用到三个文件∶zebra.conf、ospfd.conf 和 bgpd.conf。
这里的感叹号充当注解标识或分隔符。尽管存在大量不同的网络接口类型(Ethernet、ISDN 等等),但只要是 Linux 内核能够辨认的网络接口类型,Zebra 都可以使用。
(3)设置OSPF
接下来,我们还需要告诉守护程序将通过 OSPF 广播哪些网络以及相关的域(area)。OSPF 的可伸缩性允许它支持多个域。键入 router ospf 开始配置 OSPF,然后键入 network 192.168.66.0/24 area 0。这告诉路由器,我们将使用 OSPF 广播一个子网掩码为 255.255.255.0 的 192.168.66.0 网络。
在本例中,我们让 eth0 接口变成一个被动(passive)接口,以便使它不能发送路由更新。这对于实验是非常重要的,因为在那个方向上的其他的路由器可能监听到发送的路由更新,将接口变成一个被动(passive)接口,从而有效的避免扰乱网络的正常运行。为此,键入命令 passive - interface eth0。如果打算将此路由器作为工作路由器使用时,就没有这个必要了。一旦完成修改,用 end 命令从配置模式中退出,然后用 write file 命令保存。为了让 OSPF 或 BGP 在某接口上工作,那么该接口必须处于""运行""状态。为手工运行一个接口,登录到端口 2601 并且在该接口上执行 no shut 命令。
关键词:ospf;漏洞;数字签名
一 ospf 协议概述
ospf(open shortest path first)作为目前互联网络应用最为广泛的内部网关路由协议,主要提供自治系统(autonomous system,as)内的动态选择路由。它是一种典型的链路状态协议,不同于距离向量协议(如 rip 等)。ospf 主要有以下特性:
适应范围广——支持各种规模的网络,最大可支持数百台路由器。
快速收敛——网络拓扑结构发生变化后立刻发送更新报文,使这一变化在自治系统中同步。
无自环——由于 ospf 根据收集到的链路状态用 spf 算法计算路由,从算法本身保证了不会生成自环路由。
区域划分——允许将自治系统划分成区域,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。
等价路由——支持到同一目的地的多条等价路由。
二ospf 的漏洞分析
2.1 存在的漏洞
ospf 路由协议虽然采取了多种安全机制来保护其不受侵犯,但是这些安全机制并非能让 ospf 路由协议成为一个绝对安全的协议,它还存在相当多的漏洞。
1、空验证和简单口令验证的安全漏洞分析
当验证类型字段置为 0 时,即表示该报文为空验证。空验证时验证字段的值可为任意值,路由器在发送和接收该报文时不做任何额外的身份验证处理,接收方只要校验和无误便接收该 ospf 报文并将其中的 lsa 加入到链路状态数据库中。这一验证类型可以认为是没有任何的安全性的。当使用简单口令验证时,验证类型字段置为 1,64 位的验证字段中存放的是简单口令验证用的口令。简单口令验证的报文是以明文的形式传输的,这其中也包括口令。接收方只要确定校验和正确且验证字段的口令等于预先约定的值即可接收。这一方案对于在传输过程中的窃听者,没有任何的安全性可言。窃听者可以很轻松地监听到口令,然后伪造 ospf 报文并发送出去,扰乱正常的路由秩序。
2、加密验证的漏洞
加密验证可预防外部窃听、重播、修改路由消息及阻塞协议报文传输等攻击。但是外部的攻击者还可以通过发送恶意报文来耗尽路由器的资源,使得路由器由于一直应付这样的恶意攻击而陷入一种更加脆弱的境界。
3、协议中的其它威胁
(1)最大年龄攻击:
在 ospf 路由协议中,由于 lsa 的 age 字段在经过任何一个路由器的时候都需要修改其值,因此它一般不被验证字段的 md5 摘要所覆盖。攻击者可轻松利用该漏洞在lsa 的传播过程中将其截获并修改 lsa 的 age 为 maxage。一旦一个 lsa 的 age 字段被修改为 maxage,就可引起路由器链路状态数据库中 lsa 的早熟,lsdb 过早的将lsa 剔除导致 lsdb 中路由信息的缺失。
(2)针对序列号的攻击:
由于 ospf 的 lsa 是采用泛洪的方式传播的,因此在泛洪途中区域中的入侵者或错误路由器都可以对 lsa 信息发起攻击,篡改其内容。针对序列号的攻击有两种,序列号加一攻击和最大序列号攻击。
(3)分块网络攻击:
如果使虚假 lsa 不被泛洪给该 lsa 的合法生成者,则该 lsa 的合法生成者就不会启动其自反击机制来纠正该 lsa。假设有一个被入侵的路由器所处的位置可以将区域分为两个子区域,则攻击者就可以只向其中的一个子区域以另一个子区域中的某路由器的身份注入虚假 lsa,而不向另一个子区域注入 lsa,这显然就可以达到欺骗的效果。
2.2漏洞防范策略
1、针对空验证和简单口令验证漏洞的防范策略
采用密码验证类型来解决对 ospf 报文任意修改、甚至生成新报文的漏洞,并且验证类型时,每个 ospf 路由器发出的报文都包含 32 位无符号非递减加密序列号,在所有邻居路由器中都存放着当前该路由器的最新加密序列号,并要求接收到的 ospf 报文的加密序列号必须大于或等于存储在路由器中的加密序列号。
2、针对密码验证漏洞的防范策略
密码验证虽然是三种验证方案中最为安全的一种方案,但是它还远没有达到牢不可破的程度。密码验证方案中,lsu 报文的头部仍然是以明文的形式在网络中传播,这给恶意攻击者以很大的机会篡改 lsu 报文。另外,采用 md5 算法并非绝对安全,中国山东大学的科学家已经破解出 md5 算法。再者,维护、管理密钥的成本较高。本文建议在此验证类型的基础上,结合数字签名保护机制来确保 ospf 路由协议的安全。这样的防护可以有效的防备大部分的威胁。本文在后面将提出一种基于 lsu 的报文数字签名方案,可以实现上述功能。
三 基于 lsu 的数字签名 ospf
基于 lsu 的数字签名方案与 ospf 路由协议报文的加密验证机制的有机结合,有效防止了一系列的威胁、攻击。具体分析如下:
1.内部的恶意路由器篡改 lsa 链路状态信息。由于内部的恶意路由器掌握了加密验证所需的密钥,因此它可以毫不费力的修改 lsa 数据,然后重新生成一个 md5 摘要放入验证字段。但是采用上述的数字签名方案后,除生成该 lsu 的源路由器外,其它路由器一旦修改 lsu 的内容都将在接收方路由器被验证出来,这很好的保证了路由信息不被外来入侵者尤其是内部错误路由器的篡改。这主要得益于数字签名的不可否认性。这同样解决了困扰 ospf 路由协议安全的序列号攻击,包括序列号加一攻击和最大序列号攻击,原理与防止篡改内容是相同的。
2.最大程度的防止了最大年龄攻击:在标准 ospf 中,maxage 字段是 lsa 中最容易受到攻击的地方,这是由于 maxage 的特殊性而造成的。在签名的 lsu 中添加了 is maxage 字段用于判断该 lsu 中是否携带了最大年龄的 lsa。本文提出的这种方案有效地阻止了入侵者对年龄字段的修改,一旦年龄字段修改为 maxage,则路由器在接收该 lsu 报文后的验证过程中通过比对消息摘要时可发现篡改,从而抛弃该 lsu。这在一定程度上阻止了针对 lsa 的最大年龄攻击。但是,有些入侵者将 lsa 的 age 字段修改为一个很接近maxage 的值,这种情况本方案将很难对此进行判别并作出应对,目前来看也没有有效的应对措施。这种攻击方式从一定程度上加快了路由器更新 lsa 的速度,消耗了一定的资源,却无特别大的威胁,应该在可以容忍的范围之内。
基于 lsu 的数字签名 ospf 机制的效率可以从计算时间、网络带宽和存储三方面来分析。
时间:数字签名保护的 ospf 协议其核心内容就是对一定的内容进行数字签名。这一过程包括求不定长度的数据的 hash 序列、使用不对称密钥加解密数据。实验在一台amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上进行,系统为 cygwin 仿真的 unix 操作系统。采用 rsaref2 库算法得到如下的结果:对于一个 16 比特的数据,使用 512-bit 的 key 产生和验证一个数字签名数据需要耗时 0.47 秒和 0.023 秒。事实上本文采用的 hash 函数计算出的散列值长度为 128 比特,也就是说系统在产生和验证该数字签名时需要耗费的时间可能还要多。
网络带宽:数字签名保护的 ospf 协议相对于标准 ospf,其多占用的网络带宽主要体现在以下几个方面:1、lsu 中数字签名保护数据使得 lsu 的长度增大,直接增大了网络中数据的传输量。2、数字签名体制中 key 的分发与管理,这包括 pklsa 的传播以及相应的应答等。这些额外的网络带宽负载与网络的容量相比都是极其微小的。
存储:数字签名的 ospf路由器都需要存放自身的私钥和区域中其它路由器的公钥,这一部分存储空间大小一定程度上决定于 area 的大小。而对于数字签名的 lsu 或 lsa,在接受 lsu 报文后通过验证后会将这些报文中的 lsa 存入链路状态数据库之中,这与普通的 ospf 路由器无异,不会将额外的签名信息保存下来占用空间。而对于那些不能通过验证的 lsa 则抛弃不用。
参考文献
[1]钟廷龙,李鑫,郭云飞. ospf 路由协议安全性分析[j]. 微计算机信息, 2005
在网络部署中,路由协议是非常重要的组成部分,良好的路由设计,是保证网络可靠、稳定运行的基础。现有IPv4路由选择协议大都增加了对IPV6的支持。
2 IPv6路由协议对比与选择
IPv6路由的产生可以通过3种方式:通过链路层协议直接发现生成的直连路由、通过手工配置生成的静态路由以及通过路由协议计算生成的动态路由。
静态路由配置简单、可靠、路由开销少,适合规模不大、结构稳定的网络。
动态路由是通过相互连接的路由器之间交换彼此信息,然后按照一定的算法优化出来的,这些路由信息在一定时间间隙里不断更新,以适应不断变化的网络,以随时获得最优的寻路效果。动态路由主要适用于大型和复杂的网络环境。
IPv6动态路由协议有下一代路由选择协议(RIPng)、开放最短路径优先版本3(OSPFv3)、中间系统到中间系统(IS-IS)、增强的内部网关路由协议(EIGRP)和边界网关协议(BGP)等。
其中,OSPF是一种链路状态路由协议,它具有标准开放、收敛迅速、无环路、便于层级化设计等众多优点,在IPv4网络中得到广泛使用。为了适应IPv6协议的变化,OSPFv3协议在保留OSPFv2协议优点的基础上进行了更新,进一步增强了OSPF协议的功能,提高了其扩展性能。
武汉纺织大学校园网IPv4网络采用的也是OSPFv2路由协议,在IPv6路由协议选择时为了保证路由策略的延续性,也选择OSPF协议,不过使用的是升级后的OSPFv3。
3 园区网OSPFv3部署设计
目前校园网IPv6部署采取的是双栈运行模式,即三层设备上同时运行IPv4和IPv6协议簇,同时启用OSPFv2和OSPFv3两套路由协议系统。尽管两套路由协议运行在同一设备上,但是它们互相独立运行,区域的划分以及区域中设备的数量和拓扑等都可以相同或不同。在设计过程中考虑到网络管理的便捷,也可采用与现有OSPF v2相同的拓扑规划和区域划分。
OSPFv3需要设置32位的Router ID标识连接的邻居路由器。OSPFv3与OSPFv2自动选择路由器上最大的IP地址或lookback地址作为Router ID不同,它需要对Router ID进行手工设置,以防止Router ID的不确定性带来的如LSA泛洪等潜在不稳定因素。因OSPFv3 Router ID形式与OSPFv2 Router ID形式一样,均采用IPv4地址格式,为了管理方便,可对所有路由器的OSPFv3 Router ID配置与OSPFv2一样的Router ID。
部署OSPFv3协议,区域划分是不可缺少的工作,通过划分区域可以降低路由器上承载的LSA数量,从而提高网络的性能和扩展性。部署中,OSPFv3的区域划分与OSPFv2的区域划分设计一致。网络核心以及重要汇聚设备划分为area 0,作为骨干区域使用,汇聚及其他设备划分为其他area,并连接到area 0。如南湖校区办公楼汇聚作为area 101与骨干area 0互联,阳光校区每栋学生公寓作为一个单独的area与骨干area 0互联。同时将area 101、area 201、area 202等区域设置成stub区域,防止LSA的泛洪,降低区域中LSA的数量,节约设备性能。
需要注意的是,OSPFv3区域的配置与OSPFv2不同,它是在每个端口(或者VLAN)上明确启动OSPFv3,并指定其属于的区域号。
在网络出口,一般采用默认路由,一些特殊区域使用静态路由。可将这部分路由信息重分发到OSPFv3进程中,从而通告给网络内部的其他路由器。
4 OSPFv3配置
在CISCO IOS平台下IPv6相关设置如下:
ipv6 unicast-routing//启动IPv6功能
ipv6 router ospf 1//开启OSPFv3进程
router-id 192.168.0.255//设置OSPFv3 RouterID
interface Loopback0//设置Loopback地址并对其进行
ipv6 address 2001:DA8:3004:XXXX::XXXX/128
ipv6 enable
ipv6 ospf 1 area 0
interface GigabitEthernet9/18//设置端口地址并对其进行
ipv6 address 2001:DA8:3004:YYYY::YYYY/64
ipv6 enable
ipv6 ospf 1 area 0
interface Vlan11//设置vlan地址并对其进行
ipv6 address 2001:DA8:3004:ZZZZ::ZZZZ/64
ipv6 enable
ipv6 ospf 1 area 101
ipv6 router ospf 1
redistribute static//重静态路由
default default-information originate//重默认路由
关键词 下一代互联网技术;IPV6;智能电网
中图分类号:TM76 文献标识码:A 文章编号:1671-7597(2013)22-0009-02
本次项目试点建设主要内容主要包括试点网络建设、输变电状态监测系统示范应用建设和信息安全防护三部分建设内容,目标是实现IPv6在智能电网重要业务中的应用,并为整个电力信息通信网络及业务应用向IPv6演进提供借鉴,服务于智能电网建设,实现IPv6在智能电网中的推广应用。本文着重介绍试点IPv6网络的改造情况。
在青海电力公司改造一套针对IPv6相关系统的网络环境。对输变电状态监测系统、网络建设和前端采集装置(CMA/CAC)进行改造,实现对IPv4和IPv6的兼容支持并对改造后的输变电设备状态监测系统进行联调,完成总部与青海公司两级状态监测系统的纵向贯通,为智能电网的建设与运行提供更好的支撑。对输变电设备状态监测系统进行信息安全防护建设和等级保护安全测评,解决IPv6电力试点网络与示范应用的信息网络安全防护问题,增强智能电网信息安全防护能力,提升信息安全自主可控能力,以确保智能电网业务系统安全稳定运行,确保业务数据安全。
1 网络结构规划及设计思路
网络结构层次清晰;采用核心层、汇聚层、接入层三层结构;业务支撑能力上,设备之间的互联带宽链路能够满足未来5年内的业务需求。设备选择上,尽可能要能满足未来10年的扩容能力的需求,在核心层、汇聚层、接入层的节点设备的性能上需要差别考虑;网络需要高可靠性和良好的扩展能力,不能出现单设备、单链路的情况,要有冗余设备及链路。当某个设备或某条链路失效时,不会影响到业务的正常访问;网络整体功能结构及流量清晰化,易于网络部署实施及策略规划,网络拓扑要易于管理;IPv6试点网络采用整体控制的原则,在满足功能的前提下,尽可能的节约投资。
根据以上设计思路,在各试点现网基础上,在各变电站新建一套IPv6网络。采用核心—汇聚—接入的三层拓扑结构层次。采用此种网络结构,对现网的业务影响最小,同时也能满足IPV6的测试功能。
2 网络的设计
2.1 网络路由设计
域内路由设计:域内路由协议(IGP)在城域网中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。根据网络实际情况,域内路由协议采用OSPF进行部署,统一划分到区域0中,实现最快的网络收敛速度。通过调节开销值(COST)来实现链路的主备切换,所有的网络全属于骨干区域0。
域间路由设计:目前,PE-CE间可采用的路由协议主要有几种:静态路由、OSPF、RIP2、ISIS、EIGRP、BGP-4。在国家电网数据通信骨干网中主要采用的是BGP-4协议来实现PE-CE间路由交互,其优点在于配置方便,路由控制策略极其丰富(主要依靠BGP的各种属性来实现),同时也是仅有的在PE路由器上无需做路由重分布的协议。
本方案中对于骨干PE路由器与CE路由器之间的路由协议,采用EBGP的方式进行路由交互。通过配置IGP路由协议的重分布和BGP-4路由协议的各种选路属性,可以控制不同的路由在网络中的分布与传播。
2.2 IPv6地址规划
IPv6地址设计需要考虑和遵从以下原则:IPv6地址资源应全网统一进行管理、分配;IPv6地址分配应简单易于管理,体现网络层次,降低网络管理和网络扩展的复杂性,具有可视性;IPv6地址分配应具有一定的可扩展性,IPv6地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址聚合所需的连续性;IPv6地址分配应具有连续性,连续地址在层次结构网络中易于进行路由聚合,简化路由表,提高路由算法的效率;IPv6地址分配应具有灵活性,以满足多种流量策略、安全策略、路由策略的优化,充分利用地址空间。
3 IPv6试点网络改造与实施
对公司格尔木换流站局域网、应用平台、平台局域网及接入网的网络进行改造,使其均支持IPv4/IPv6双栈,不具备双栈条件的网络设备进行设备版本升级或更换。
3.1 IPv6试点网络改造方案
省公司端:对省公司端CE路由器、cisco 6509核心交换机和电科院端接入交换机进行支持IPv4/IPv6双协议栈的配置,同时对统一视频监控平台进行改造,使其支持IPv4/IPv6双协议栈,通过IPv4/IPv6双栈方式实现变电站IPv6网络及ipv4网络与省公司电科院改造后的输变电状态监测平台系统(双栈)之间的数据交互。
省公司至格尔木换流站:换流站新增接入路由器通过传输链路直连至省公司cisco 6509核心交换机上,且两台设备全部支持IPv4/IPv6双协议栈,故无需配置隧道。
格尔木换流站端:换流站新增1台三层交换机、1台接入路由器,支持IPv4/IPv6双协议栈,用于换流站新增IPv6终端设备的接入,对换流站原接入路由器进行IPv4/IPv6双协议栈配置,变电站原IPv4业务及新增IPv6终端通过新增三层交换机及(双栈)和新增路由器接入路由器(双栈)实现与省公司输变电状态监控平台(双栈)之间的数据交互。
3.2 IPv6试点网络改造实施内容
省公司新增CE路由器的配置双栈,并启用BGP和OSPF路由协议;省公司新增核心交换机的配置双栈,并启用OSPF路由协议,通过配置IPv6 Over IPv4隧道与变电站接入路由器进行连接;变电站新增接入路由器、接入交换机配置双栈及相关配置,通过IPv6 Over IPv4隧道与省公司核心交换机进行连接。
1)核心交换机配置:主要包括OPSF路由配置;snmp配置;vlan配置;登陆方式配置;ntp配置;日志服务器配置。
参考带宽:内网汇聚交换机与核心区主交换机之间的cost值设置为10;与备核心交换机之间的cost值设置为100;根据ospf选路原则,优先选取与主核心交换机的链路为主链路。
网络类型:设备之间的物理连接均为以太网连接,ospf默认的网络类型为广播型,为了加快路由的收敛,将网络设备间的互联接口的ospf网络类型设置为点到点类型。
链路聚合:主核心交换机与备核心交换机做动态链路捆绑。
2)CE路由器配置:主要包括OPSF路由配置,BGP配置;snmp配置;登陆方式配置;ntp配置;日志服务器配置。
OSPF路由设计原则:使用IPV6的OSPF V3配置。内网ospf的进程号设置为1;使用Loopback地址作为ospf router-id手工指定;内网ospf运行在单域模式,服务器区汇聚交换机与核心交换机之间运行Area3;运行ospf设备之间启用MD5认证;Ospf进程内的所有设备都使用network方式业务网段和互连网段。
BGP路由设计原则:使用IPv6 的BGP配置。内网BGP的进程号使用统一的进程号;手工指定loopback地址作为router-id;通过ospf学习到业务网段;分别与综合数据网的PE和CE建立邻居关系;指定相应的路由策略。
3)接入路由器配置:主要包括OPSF路由配置配置;单臂路由;snmp配置;默认路由配置;vlan配置;登陆方式配置;ntp配置;日志服务器配置。
参考带宽:接入路由器与核心区主交换机之间的cost值设置为10;与备核心交换机之间的cost值设置为100;根据ospf选路原则,优先选取与主核心交换机的链路为主链路;
网络类型:设备之间的物理连接均为以太网连接,ospf默认的网络类型为广播型,为了加快路由的收敛,将网络设备间的互联接口的ospf网络类型设置为点到点类型。
单臂路由:变电站端的业务、管理网关配置在路由器上,需要在路由器配置单臂路由。
4)接入交换机配置:主要包括:snmp配置;默认路由配置;vlan配置;登陆方式配置;ntp配置;日志服务器配置。业务数据流走二层trunk,管理vlan数据流使用静态路由指向汇聚交换机;端口划入相应的业务vlan,无用端口手工down;接入交换机与汇聚交换机启用动态链路聚合。
4 结束语
本次项目试点建设实现了IPv6在智能电网重要业务中的应用,通过对IPv6应用技术、实验网络、试点网络、示范应用内容进行研究,在现有电力数据网中建立试点IPv6网络,选择智能电网相关的输变电状态监测系统的应用进行示范建设,全面推动下一代互联网技术在电力行业的应用,并为整个电力信息通信网络及业务应用向IPv6演进提供借鉴,服务于智能电网建设,实现IPv6在智能电网中的推广应用。
关键词:VLAN;VTP;Packet Tracer;综合路由
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)05-0052-03
1 VLAN技术概述
虚拟局域网VLAN是一种以交换式网络为基础,以软件的方式将局域网内的设备逻辑上划分为若干个虚拟工作组的技术。同一逻辑工作组成员可以分布在同一物理网段上,也可以分布在不同的网络上。通过VLAN将二层交换网络的一个广播域分隔成多个广播域,这样不仅提高网络的性能,同时也提高了网络的安全性。
通常情况下,一个网络使用了VLAN后,需要对众多交换机进行相同VLAN的配置和维护,以保证交换机能进行正确的数据转发。如果靠网管人员逐台交换机进行人工配置,工作量巨大,且也不利于日后维护。
为了解决这个困难,思科提供了VTP(VLAN Trunking Protocol)技术。所谓的VTP就是虚拟局域网中继协议。在一个VTP域中,一台交换机处于以下三种模式之一:服务器模式、客户端模式和透明模式。VTP模式通过在一台设备(设置为VTP服务器)上配置VLAN数据库,并将配置信息通过交换网络传递给VTP客户机来实现,此时所有的交换机互连端口,必须启用中继。通过VTP技术,减少了创建、管理VLAN的工作量。
2 VLAN间的通信
主机分属不同的VLAN,也就意味着属于不同的广播域,因此不同的VLAN的主机间无法直接通信。VLAN间的通信就相当于不同局域网之间的通信,因此VLAN间的通信问题实质上就是VLAN间的路由问题,需要利用OSI参考模型中更高一层网络层来进行,即要借助路由器或三层交换机来实现。
不同物理网络间路由模式有直连路由、静态路由和动态路由三种。动态路由可以由不同的路由协议来实现,如RIP、OSPF、ISIS和BGP等。
3 跨网络VLAN路由通信实例
3.1 网络环境
校园网由两个物理局域网构成:网络1、网络2。网络1为校园西区,网络2为东区。
在网络1中,根据应用,划分三个VLAN,通过三层交换机作为VLAN的VTP服务器,实现VLAN的自动创建并实现不同VLAN间的通信;网络2中,划分二个VLAN,通过单臂路由实现VLAN间的通信;网络1和网络2之间通过路由器实现跨网络VLAN间的通信。
3.2 网络配置
根据网络规划的设想,基于Packet Tracer模拟软件创建网络拓扑结构图如下:
网络1由一台3560三层交换机及二台2960二层交换机组成,每台2960交换机上创建三个VLAN:DZ、RJ、WL。网络1中VLAN采用VTP方式来建立,以3560交换机作为VTP服务器,2960交换机为VTP客户端。网络2由一台2960交换机SWITCH3和一台2621XM路由器R2组成,在2960上划分出二个VLAN:XZ、WG,通过R2单臂路由实现VLAN间的通信。网络1和网络2之间通过一台2621路由器R1相连接,二个网络之间通过综合路由实现互访:3560和路由器R1之间配置RIP协议,路由器R1和R2之间配置OSPF协议。网络1中PC的网关指向相应VLAN的IP地址,网络2中PC网关指向单臂路由虚拟端口地址。
网络中主机设备的地址规划如表1:
路由器、三层交换机端口地址分配如表2:
网络1中,每台2960交换机的端口1、2、3分别分配VLAN号 :101、102、103,网络2中,交换机2960的4、5端口分别分配VLAN号:104、105,设备之间连接端口如前图所示。
4 实现过程如下:
4.1 网络1:三层交换机实现VLAN间通信
第一步:配置VTP域
首先在3560建立VTP域xmist:
3560#conf t
3560(config)#vtp domain xmist
然后在2960交换机SWITCH1、2上分别配置VTP的客户端模式:
Switch1(config)#vtp domain xmist
Switch1(config)#vtp mode client
第二步:3560上建立VLAN数据库
3560#vlan database
3560(vlan)#vlan 101 name dz
3560(vlan)#vlan 102 name rj
3560(vlan)#vlan 103 name wl
第三步:创建交换机之间的中继链路
分别将3560和switch1、switch2之间的链路端口配置成为中继模式,让不同的Vlan ID的报文通过。在3560上配置如下:
3560#conf t
3560(config)#int range f0/1-f0/2
3560(config-if-range)#switchport mode trunk
在Switch1上进行配置:
Switch1#conf t
Switch1(config)#int f0/24
Switch1(config)# switchport mode trunk
在switch2上进行相同的配置。
完成后查看2960交换机switch1和2 可以发现:在交换机1、2上也都创建了与3560上相同的VLAN。
此时PING不同的交换机下属于同一VLAN的PC,如同属VLAN 101的PC11、PC12之间能够通信。但不同的VLAN间的PC不能互访。
第四步:开启三层交换路由
在3560交换机上进行VLAN节点配置:
3560(config)#int vlan 101 // 配置VLAN 101网关
3560(config-if)#ip address 172.17.10.1 255.255.255.0
3560(config-if)#no shut
3560(config-if)#exit
重复上述过程为VLAN 10 2、VLAN 103配置节点地址172.17.20.1/24、172.17.30.1/24。
并开启三层路由:
3560(config)#ip routing
这时三个VLAN间的PC可以实现互访,例如:PC11与PC21互相可以通信。通过三层交换机实现了不同VLAN间的通信。
4.2 网络2:单臂路由实现VLAN间通信
具体步骤如下:
第一步:创建VLAN
在2960交换机switch3上创建VLAN 104,VLAN 105,将与路由器R2链接的f0/24端口配置为Trunk模式。参照前述相关过程进行,不再赘述。
第二步:实现单臂路由
在R2路由器上进行如下配置
R2(config)#int f 0/1.1 //创建第1子接口
R2(config-subif)#encapsulation dot1Q 104 //封装vlan 104
R2(config-subif)#ip address 172.17.40.1 255.255.255.0 //配置子接口IP地址
R2(config-subif)#exit
R2(config)#int fa 0/1.2 //创建第2子接口
R2r(config-subif)#encapsulation dot1Q 105 // 封装vlan 105
R2(config-subif)#ip address 172.17.50.1 255.255.255.0 //配置子接口IP地址
完成后,测试PC41与PC51之间可以PING通。表明利用单臂路由实现了不同VLAN间的通信。
4.3 通过综合路由实现跨网络VLAN间的通信
经过前述二个步骤,用二种不同的方式实现了同一物理网络中VLAN之间的通信,但是尚未实现两个物理网络(网络1和网络2)之间的VLAN的通信。
本项目中网络1和网络2之间通过2621路由器R1来链接,借助综合路由协议配置来实现路由,即在R1路由器上运行二个路由协议进程,网络1的一端运行RIP协议,网络2的一端运行OSPF协议。要实现这个功能,要实现路由的重分布,即既要将OSPF路由域的路由重新分布后通告RIP路由域中,也要将RIP路由域的路由重新分布后通告到OSPF路由域中。过程如下:
1)在3560上配置RIPV2协议
3560(config)#int fa0/24
3560(config-if)#no switchport
3560(config-if)#ip address 172.16.0.1 255.255.0.0
3560(config-if)#no shut
3560(config-if)#exit
3560(config)#router rip //运行RIP协议
3560(config-router)#network 172.16.0.0
3560(config-router)#network 172.17.10.0
3560(config-router)#network 172.17.20.0
3560(config-router)#network 172.17.30.0
3560(config-router)#version 2
设置结束,观察此时3560上的路由情况。
3560#show ip route
C 172.16.0.0/16 is directly connected, FastEthernet0/24
C 172.17.10.0/24 is directly connected, Vlan101
C 172.17.20.0/24 is directly connected, Vlan102
C 172.17.30.0/24 is directly connected, Vlan103
2)在R2路由器上配置ospf协议
R2(config)#int f0/0
R2(config-if)#ip address 172.18.0.1 255.255.0.0
R2(config-if)#no shut
R2(config-if)#exi
R2(config)#router ospf 1 //R2上运行OSPF协议
R2(config-router)#network 172.18.0.0 0.0.255.255 area 0
R2(config-router)#network 172.17.40.0 0.0.0.255 area 0
R2(config-router)#network 172.17.50.0 0.0.0.255 area 0
R2(config-router)#end
观察此时R2上的路由情况
R2#show ip route
C 172.18.0.0/16 is directly connected, FastEthernet0/0
C 172.17.40.0 /24 is directly connected, FastEthernet0/1.1
C 172.17.50.0/24 is directly connected, FastEthernet0/1.2
3)在R1路由器上配置综合路由
配置R1两端口IP地址:
R1(config)#int f0/1
R1(config-if)#ip address 172.16.0.2 255.255.0.0
R1(config-if)#no shut
R1r(config-if)#exit
R1(config)#int f0/0
R1(config-if)#ip address 172.18.0.2 255.255.0.0
R1(config-if)#no shut
R1(config-if)#exit
R1路由器上配置RIP协议:
R1(config)#router rip
R1(config-router)#network 172.16.0.0
R1(config-router)#version 2
R1路由器上配置OSPF协议:
R1(config)#router ospf 1
R1(config-router)network 172.18.0.0 0.0.255.255 area 0
进行PC11对PC41的访问,发现目标不可达。因为此时的RIP协议和OSPF协议之间未进行重分布,观察3560交换机和R2路由表均无对方路由信息。
4)在R1上进行路由重分布
R1(config)#router rip
R1(config-router)#redistribute ospf 1
R1(config-router)#exit
R1(config)#router ospf 1
R1(config-router)#redistribute rip subnets
R1(config-router)#end
此时R2上的路由情况如下:
同样观察其他的主机的访问情况,发现皆能连通。实现了跨物理网络的VLAN间通信。
4 结束语
VLAN技术是局域网应用中的重要技术,实现VLAN间的通信是网管人员和网络工程人员必将面对的问题。本文利用Packet Tracer软件,模拟了同一物理网络中,使用三层路由和单臂路由的方法实现VLAN间的通信;采用综合路由配置方法,实现了不同物理网络的VLAN间通信。过程中分析了路由器的端口设置、IP地址分配、三层交换机的配置,对相关的配置命令和路由表的信息进行了解析,并对组建的虚拟网络进行了通信仿真测试,实现了预期的设想。
参考文献:
[1] 孙秀英, 史红彦. 路由交换技术与应用项目化教程[M]. 北京: 机械工业出版社, 2014.
[2] 郑耿凡. 浅析CiscoPacketTracer在Vlan间通信教学的应用[J]. 河北软件职业技术学院学报, 2014,16(3): 54-57.
论文摘要:介绍了天津水利办公广域网的建设情况,重点阐述了相关路由协议配置以及安全防范措施。通过天津水利办公广域网的建设,下属单位与局机关实现了稳定、快速的网上办公、信息传递,并同时满足了未来网络数据、语音和视频等信息业务发展的需求。
论文关键词:水利广域网 信息化
天津市水利局是天津市水利行政主管部门,承担着防汛抗旱、农田水利建设、水资源综合开发利用和引滦供水等重要任务。经过多年的建设,天津水利内部办公网络已经初步形成,局机关实现了网上公文运转、档案管理及信息等功能,全水利系统实现了网上公文、信息传递。随着网上信息量的不断增加、网络依赖性的提高,原有帧中继和电话拨号的联网方式,在网络带宽和网络稳定性方面已经不能满足全局办公自动化的需要,由于局机关是水利部门的指挥中枢,各种水利相关信息要快速、可靠地向局中心网络传输,天津水利办公广域网正是适应这种新形势的需求而建设的。
1建设前接入内部网络情况
天津水利内部办公网络建设完成后,局机关办公自动化系统全面应用,局下属单位分别以帧中继和电话拨号方式与局中心计算机网络连接,但中心端速率只有1M,随着水利信息化建设的不断发展,对水利信息资源的应用逐步深入,需要传输各种大量的水利数据、视频等信息,对于网络的依赖性越来越强,以光纤接入替代原来的电话线接入,提高整个网络的带宽和接入响应方式已迫在眉睫。并且随着天津水利办公广域网的逐渐扩大,网络节点的增加,原有的静态路由方式广域网也已经不能适应新的网络结构要求,见图1。
2天津水利办公广域网建设后整体网络结构
局属单位水科所等22家单位新增为2M光纤方式接入,实现与局网络中心的宽带互联。改造后水利局的核心网络以原有的防火墙作为水利局内部网络与其他各机构网络中间的隔离。网络内只允许用户端能够访问到水利局内部网络的相关服务器网站所对应的端口。
新增加网络内核心的接入路由器,起主路由作用,并在其上新建1块CPOS光口卡,此光口卡连接到网通的SDH节点设备上,带宽为155M,此通道可以划分为63个2M,最多为63个分支机构提供2M的接入通道。
原有的路由器作为原有网络核心接入设备,现在作为于桥水库备用路由设备。
引滦入津沿线7个管理处使用引滦入津工程管理信息系统建设的光纤网络,采用统一门户,通过引滦工程管理处至水利局的光纤通道,实现引滦工程信息网与局网络中心的网络互联。
3相关技术实现手段
3.1选用OSPF路由协议
天津水利办公广域网肩负着OA文件系统传输和实时水雨情信息的传输以及各种大量的水利数据、视频等其他信息传输的网络重任,要求网络必须可靠稳定。
整个网络必须具有多路由选择、路由迂回、路由备份的能力,以防止因单路由的损坏而造成全网或非损坏节点的中断。同时,网络禁止出现路由循环或路由不被利用的情况。并对有多条电路连接的情况,尽可能地做到各条电路上的流量和负载均衡,保证带宽的合理和充分利用。
天津水利办公广域网网络覆盖面广,经过的路由复杂节点多。以局网络中心机房为中心,连接局机关及局所属企、事业单位和区县水务(利)局等单位的网络,实现全水利系统计算机网络的互联互通,为水利信息化提供硬件基础,见图2。
OSPF路由协议具有以下优点:可适应大规模网络、路由变化收敛速度快、无路由自环、支持变长子网掩码VLSM、支持等值路由、支持区域划分、提供路由分级管理、支持验证、支持以组播地址发送协议报文等。所以在水利办公广域网的设计和建设时,采用以OSPF为主,静态路由为辅的路由策略,使原先的办公网络平滑的融合和过渡到新的网络体系中。
3.1.1 OSPF区域划分天津水利办公广域网运行OSPF路由协议,对现节点OSPF协议中的AREA值设定为1O0。随着更多设备接入,网络扩充,可划分更多区域,根据不同区域的网络特点设定相应的网络环境。达到隔离故障,防止蠕虫病毒及网络设备失效(如端口故障)等对全网的影响作用。并可对外隐蔽网络结构,阻止外部用户通过扫描探测网络的结构。
3.1.2路由器配置内容①核心路由器0SPF配置为:
routerospf100
/启动OFPS协议/
log-adjacency-changes /记录OSPF邻居状态的改变/
redistributestatic
/引入静态路由信息/
network192.168..O.O.O.3area100/通告本地连接网段路由信息/
(其他节点互连网段略)
②下属各单位路由器OSPF配置。以cisco2821接入路
由器为例0SPF配置如下:
routerospf1OO
log—adjacency—changes
redistributestatic
network192.168..O.O0.255 area1OO
netw ork192.168..O.O.O.0area 1OO
3.1.3 OSPF路由的实现广域网的连接自动完成OSPF路由学习功能,把整个区域的所有路由自动学习到默认网关上面,完全不需要人工设置路由,达到了路由自动寻找和更新的目的。
配置完成后,键入显示路由命令show Proute,可显示路由表中各路由获取方式:
3.2安全防范措施
在天津水利办公网络系统中,要确保网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施:
3.2.1对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下,提供强认证机制,保证用户口令不在网络中明码传输,并定期更换口令。配置认证服务器,对网络设备的访问进行统一的认证、授权、审计(AAA)。
3.2.2通过对设备的配置,使得只能由某个指定JP地址的网管工作站才能进行网络管理,对路由器或网络设备进行读写操作。
3.3.3根据全网的安全访问控制策略,配置防火墙的过滤规则;访问控制的原则为必须是缺省禁止,即凡是没有被明令允许的访问一律禁止。
3.3.4关闭路由器的源路由功能,以防止通过假冒lP地址和源路由技术侵入内部网;在路由器或交换机上配置静态ARP,以防止假冒lP地址的主机接入内部网。
3.3.5由于拨号网络使用公用的电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁,必须保障用户口令不在网络上以明码形式传输。
3.3.6水利专业网络作为业务系统的内部网络,从路由概念上讲不与公用网络直接互连。
由于TDCS/CTC系统属于行车指挥设备,考虑到其安全性,都采用双套设备,其中防火墙每2台属于1套,故一共设置4台防火墙。其功能主要是保护内部网络免受外部网络的攻击、恶性访问及病毒传播。防火墙一般设置在路由器和交换机之间。2种接入模式的优缺点如下。
1.1 系统中心防火墙路由模式
路由模式工作数据包转发过程中寻址基于IP地址,而选路是通过路由选择协议计算并选择数据包转发的最佳路径。故如图1所示TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机必须单独形成一个路由选择协议区域,以供完成数据包转发及防火墙访问控制和数据包过滤等工作。
路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据路由选择协议是数据包转发计算并选择最佳路径的协议,一般常见的有RIP、OSPF、IGRP及EIGRP等,其中EIGRP协议属于CISCO公司的私有协议,只有该公司生产的设备支持该协议。根据TDCS/CTC中心网络构架的特点及设备选型等多方面因素,路由模式中选用OSPF协议。如图1中路由器、防火墙及交换机之间建立一个OSPF区域,专门为数据包转发及防火墙的工作服务,而路由器连接的外部网络及交换机连接的内部网络所采用的路由选择协议对防火墙来说均不考虑。但为了能够保证外部网络与内部网络的正常数据传递,需要在路由器及交换机上,将外部及内部网络的其他路由选择协议区域与该OSPF区域选择性的联通(即路由选择协议区域间的双方向路由重)。
1.2 系统中心防火墙透明桥接模式。
透明桥接模式之所以“透明”,是由于防火墙以此种模式连接在交换机与路由器之间后,从路由器和交换机的角度“看”都可以认为此防火墙是“瞧不见”的。这主要是因为基于OSI参考模型的第二层(数据链路层),在数据包转发过程中使用MAC地址作出转发决定,这样就等于位于一个单独的逻辑地址空间内,也不作为数据包的源和目的地,连接起来的网段好像在一条透明的管道中一样。故如图2所示,TDCS/CTC系统调度中心网络中的路由器、防火墙及交换机不必单独形成一个路由选择协议区域,因此减少了路由器和交换机为不同路由选择协议区域间交互而进行的大量计算。
2 采用透明桥接模式的优势
2.1 路由模式存在的几个缺陷
1,网络瓶颈问题。在路由模式中,为了保证每台防火墙都能得到路由器中完整的路由表,故必须在路由器与防火墙之间增加2台小型交换机,根据图1中的结构能够看出这2台小型交换机成为整个系统数据传输过程中的瓶颈,如果发生故障影响也比较大。
2 结构过于复杂导致维护工作难度加大。在路由模式中,为了保证系统的安全性要求就需要提供大量的冗余路径,通过图1可以看出,结构相当复杂,这样给日常的维护工作及故障处理增加了很大的难度。
2.2 透明桥接模式的优势
1 不存在网络瓶颈问题。如前所述,防火墙不需要像路由模式那样为了保证路由更新及路由表的完整增加小型交换机。从图2可以看出透明桥接模式并不存在瓶颈问题。
2 结构相对简单,便于维护。如图2所示,根据透明桥接模式工作原理所形成的拓扑结构明显比路由模式,极大地方便了维护人员的日常维护及故障排查。
3 结束语
目前,计算机网络技术已在我国铁路系统中广泛应用,带来的网络安全问题也日益明显。随着计算机和通信技术的发展,如何不断改进和完善网络的安全方案也将成为我们日后研究的方向之一。
参考文献
[1]姜全生,王彬,侯丽萍,马文坤,计算机网络技术应用[M],北京:清华大学出版社,2010.9
Abstract: This paper mainly analyzes the current shortcomings of network practices and comes up with the necessity to build the network virtual laboratory based on DYNAMIPS platform. Focuses on virtual laboratory architecture, function modules and experimental methods, at last gives examples of advanced routing experiments. Virtual Laboratory can improve students' comprehensive and analytic capabilities, which achieves good results.
关键词: DYNAMIPS;网络虚拟实验室;实验体系结构
Key words: DYNAMIPS; network virtual laboratory; laboratory architecture
中图分类号:TP302.1文献标识码:A文章编号:1006-4311(2011)04-0179-02
0引言
目前在大学计算机课程体系中,网络课程已经成为大部分理工科专业的必修课以及其他专业的选修课。网络课程既是一门理论抽象又是一门实践性强的课程,理论抽象主要体现在课程中概念繁多,并且都是建立在抽象的理论模型基础上[1]。实践性强主要体现在课程学习的对象是不断更新的实际设备。
为了提高网络课程的教学效果,教师们采用了很多方法,加强实验环节就是方法之一。但是计算机网络是一种高速发展的技术,要取得好的实验效果,就需要为学生提供充分的新技术、网络配置优化和故障分析的实验机会,当前网络实验室普遍是利用路由器、交换机、PC机组成实际的网络拓扑。这种方法由于经费的限制,只能提供有限数量和型号的设备,种类较少,设备更新慢,学生实验机会少,很难掌握最新技术[2]。比如网络设备大多是以太网设备,而ATM网络实验几乎没有,实验效果无法保证。正因为这种局限性,现在行之有效的方法就是开发一个网络虚拟实验室,使学生可以在单机或者网络环境下进行网络的实验仿真。虚拟实验室与实际网络实验室相比主要有以下优势:①突破时间和空间的限制,学生在任何有计算机的地方随时都可以做实验,并且可以构建任何规模和类型的网络来满足实验的需要。网络课程的综合性,设计性实验较为复杂,若按照实验课安排的上下课时间无法完成,而且实验结果无法保存,下次实验又需要重新配置,而虚拟网络实验的结果均是保存在配置文件中,下次做实验只需调用文件就可以方便的继续实验[2][3]。②设备选择多,网络虚拟实验室几乎包括主流厂家所有型号的设备。通常一套完整的网络实验设备包括二层、三层交换机和路由器,这些设备的价格是非常昂贵的。涉及核心层的高端网络设备实验在教学中无法开展,但虚拟实验室提供的产品均是虚拟的,可以根据需要更改。③节省投资,升级方便,使学生能够跟上网络设备更新换代的速度,掌握最新的网络知识,比如IPv6隧道和VPN技术等。借助于网络虚拟实验室,可以像在真实的环境中一样完成各种实验项目,所取得的实验效果等价于甚至优于在真实环境中所取得的效果[4]。而且虚拟实验的实现将有效地缓解很多高校实验室在经费、场地、器材等方面普遍面临的困难和压力。
1虚拟局域网实验室构建体系
本虚拟实验室主要目的是培养学生的技术应用能力,并以此为主线设计提高学生知识、能力、素质的实践教学方法。横向上与理论课程相互支撑,有机结合,提高了学生的综合思维能力和处理问题能力。构建实验室的指导思想是将辩证唯物主义的认识论引入网络领域的教学,教学环节应当遵循认识发展的辩证规律,把实践作为认识论的基础,在教学领域内通过实践对客体的能动反映,揭示认识运动的基本规律。在虚拟平台基础之上,虚拟实验室要保证对学生基础、专业和综合技能的实践和培养,主要的应用领域不局限于传统的设备配置,还涉及网络攻防、协议分析等高级领域,最终达到网络故障排查的水平。同时还引入了符合专业要求的评估考核或者业内主流网络认证系统,对学生最终的技术水平有一个客观、真实的考核认证,也提高了学生自主学习的主观能动性。基于以上目标和指导思想,虚拟局域网实验室的体系结构如图1所示。
2虚拟实验室设计
2.1 实验平台架构设计本系统采用三层客户机/服务器(C/S)分布式架构。前台是用户与虚拟实验室服务器进行交互所在的层,后台主要作为实验服务器,在DYNAMIPS虚拟平台上运行各种网络拓扑的虚拟设备,并通过网络连接为客户机提供远程登录服务。同时在客户与服务器模型的基础上又增加了第三层,即逻辑控制层,主要用于客户认证和登录,分配实验和提供各种实验报告等功能。引入逻辑控制层可以实现管理集中,具有处理分散,降低后台服务器运行负担的优点。
2.2 系统功能设计系统功能反映了虚拟实验室构建体系的要求,实现路由型与交换网络的基本实验、高级实验、综合实验与网络协议分析,最终达到故障分析和排查、网络优化的能力。所以,系统功能模块为:
2.2.1 网络设备基本配置实验模块该模块是网络实践教学中的基本内容,也是后续高级实验的基础。是网络正常运行的基本保障。内容主要有接口模式的配置、路由接口IP地址的配置、交换机端口角色的配置等。
2.2.2 交换型网络高级配置实验模块是在基本配置模块的基础上,对三层交换机实施的高级配置,主要包括多个交换机的VLAN划分与通信,MSTP(多实例生成树)在冗余链路中实现负载均衡,IEEE802.1q标准的交换机端口角色等探索性实验。
2.2.3 路由型网络高级配置实验模块该模式主要运行在核心路由器上,除了流行的动态协议的配置,比如RIPV2、OSPF、IS-IS、BGP-4,还可以进行OSPF邻居MD5认证,动态路由协议格式分析,流量分析与检测等高级网络管理与优化方面的实验。
2.2.4 网络安全高级配置模块针对目前网络安全的突出问题,选用Cisco Pix系列防火墙操作系统与虚拟机技术,用户可以进行标准与扩展访问控制列表(ACL)进行网络防护,还可以根据需求进行DMZ(非军事区域)划分、内外网服务访问与审计等网络安全类实验,有效地解决了目前硬件防火墙投入资金大、无法开展安全实验的困境。
2.2.5 用户管理与认证模块对登录的用户进行身份识别,只有合法用户才可以使用本虚拟实验室并按用户要求分配虚拟网络拓扑,方便管理人员对虚拟实验室的管理和维护。
2.3 主要实现技术
2.3.1 后台实验平台DYNAMIPS是一款优秀的Cisco路由交换模拟仿真平台,可以运行在微软(XP/2000/2003)或者Linux操作系统上。该平台实际上是一种虚拟机技术,与VMWARE虚拟机平台相似,在物理计算机上虚拟出独立的逻辑计算机,装载并且运行软件,使得利用有限的实验设备开展以前无法开展的实验成为可能。DYNAMIPS模拟技术可以方便地在一个或多个物理计算机上建立多个虚拟路由器,并且这些路由器可以同时运行并且互联成网络。该平台模拟的Cisco网络设备型号众多。比较其他网络模拟平台优势极其明显。其他模拟平台只是单纯模拟配置命令,只局限在学习配置命令的层面,无法对网络进行管理和故障分析与排查。而DYNAMIPS平台是使用虚拟机技术而且可以运行Cisco官方的设备操作系统(IOS),正是如此,在虚拟出的硬件平台上具备物理设备的所有功能。
2.3.2 前端应用软件平台虚拟实验室前端主要所采用的软件开发平台是Vs2005,使用工具开发,该平台很好地支持网络通信,面向对象的功能复用和强大的编程能力。
网络虚拟实验平台要实现的功能就是用户使用这个平台进行实验时,只需点击进入实验平台界面,选择实验需要的拓扑结构,后台调用模拟的网络实验设备,然后用户就可以在已经连接好的网络拓扑中自主得进行网络实验。
虚拟实验室前端实现分为四个步骤:前台界面实现、生成拓扑配置文件、调用后台DYNAMIPS生成虚拟网络设备、远程登录开始实验。步骤如图2所示。
3仿真实验实例
用户首先登录网络虚拟实验平台,只需根据所要进行的实验选择拓扑结构,前台程序自动触发后台服务器上的虚拟机进程,最后用户telnet远程登录到某个虚拟设备上进行实验。下面以OSPF邻居MD5加密认证实验为例说明:用户在前台选择高级路由实验,进入虚拟实验室前台界面,如图3所示。
实验拓扑和连接接口等参数已经在后台搭建好,该拓扑包括两个虚拟路由器和一个交换机,虚拟设备分别和三台物理PC桥接。路由器之间采用的是serial串口通信,其余是100M快速以太网连接。
3.1 在路由器上配置MD5认证分别远程登录至router1和router2,在它们的S0/0接口子模式下进行OSPF邻居认证配配置,方式为MD5加密认证,认证密码为cisco,主要配置命令如下所示:
Router1(config-if)#ip ospf message-digest-key 1 md5 cisco
Router2(config-if)#ip ospf message-digest-key 1 md5 cisco
3.2 在路由器上启动邻居验证机制在路由器上首先配置OSPF协议,并且启动邻居验证机制。主要配置过程如下所示:
Router1(config)#router ospf 1 // 路由器1配置OSPF协议
Router1(config-router)#network 192.168.1.0 0.0.0.255 area 0
Router1(config-router)#area 1 authentication message-digest// 在区域0启动MD5验证
Router2(config)#router ospf 1
Router2(config-router)#network 192.168.1.0 0.0.0.255 area 0// 路由器2配置OSPF协议
Router2(config-router)#network 10.1.1.1 0.0.0.255 area 1
Router2(config-router)#area 1 authentication message-digest // 在区域0启动MD5验证
3.3 实验结果分析经过认证配置后,可以像真实网络一样对所配置的内容进行检验和测试。使用网络协议分析捕获软件Wireshark在routerB的s0/0接口捕获OSPF的hello数据包并分析其内容,其中捕获得MD5加密认证的hello数据包内容如图4所示。
本实验捕获的是routerA发给routerB的MD5加密hello数据包,内容显示认证键值为1,认证内容是MD5加密过的哈希值,该加密过程是非可逆解密的,所以从中无法获得用户的密码信息,测试结果表明配置成功。在实验设计中,还可以加入OSPF邻居明文认证实验,采用同样的验证方法,截获出明文密码,采用对比的方式体现出加密认证的安全性和可靠性。
4结束语
实践性教学是培养学生实践能力、创新精神和创业意识的最好手段之一。而网络虚拟实验室的引入与应用,改变了以往网络课程教学落后于生产实践的被动局面。经过近三年的运行,在巩固和扩大教学成果方面取得了较好效果,同时也探索出了一条新的实践教学体系。
参考文献:
[1]陈建锐.基于虚拟机的VPN实验环境构建[J].实验室研究与探索,2010,29(1):59-61.
[2]胡礼广.基于Web的虚拟金相实验室构建[J].实验室研究与探索,2010,29(1):69-70.
[3]朱乾坤.基于虚拟实验系统的教学模式[J].实验室研究与探索,2008,27(6):84-86.
关键词:计算机网络;实验教学;模拟器
中图分类号:G642.3 文献标志码:A文章编号:1673-291X(2010)02-0207-02
引言
计算机网络课程是理论性与实践性都很强的学科,在大部分高职院校,计算机网络课程不仅是计算机专业学生的必修课,同时也是许多非计算机专业学生的重要基础课。但在长期教学过程中,学生普遍反映教学内容和教学过程枯燥,知识不易理解,这主要是因为计算机网络原理涉及到许多协议和算法,而这些内容在普通的实验环境下很难实现。为了在改善实验环境的同时尽量节约实验成本,我们在实验教学中利用模拟器软件技术,建立一个软件模拟真实实验的实验室环境,使学生能在仿真环境中将学到的知识应用于实践,提高了学生的动手能力。软件环境与真实实验环境相结合,达到了很好的效果,使得计算机网络课程教学效果得到明显提高。
一、几种模拟器的简介
目前常见的模拟器主要有以下几种:
CISCO在线FLASH和LABS实验产品,该产品配置规范,要求对实验内容非常熟悉。其最大的缺点就是实验内容单一,缺乏灵活性。
HW-RouteSim是一款华为3COM网络设备的模拟器,功能相对较强,可以模拟在路由器上配置静态路由和RIP协议、OSPF协议以及华为路由器的高级功能。其缺点是设备类型较少,PC操作环境为Linux操作系统,习惯使用Windows的用户上手较难。
Dynamips是一款思科网络产品的模拟器,能模拟出最新的思科产品Cisco7200路由器的硬件环境,在这个环境中可直接运行Cisco的IOS。缺点是使用者必须具备良好的网络理论基础和开发能力,对于一般用户而言,难以完成。
Packet Tracer是一款功能相对较强的模拟器产品,可完成几乎所有的思科网络学院论证考试的Labs实验。其最大的优点在于可以很好地模拟一些型号的路由器、交换机、hub、Wireless Device、PC、IP Phone等。特别地,它提供了可扩展的网络设备,以满足用户需要。实验环境可根据实验要求自行设定,灵活性较强,使用者只需要选择实验设备,建立网络拓扑模型,然后对设备进行配置即可。
我们以Packet Tracer 5.0为例对计算机网络路由协议的实验配置过程进行分析。
二、Packet Tracer实验环境配置
下面介绍在Cisco路由器上做静态路由、RIP路由及OSPF单区域路由协议实验的过程。
(一)构造网络拓扑图
根据实验要求在Logical Workspace中建立实验环境,构造网络拓扑图,如图所示。
图网络拓扑结构
图中PC0与R0的FastEthernet0/0联接,R0的Serial2/0与R1的Serial2/0联接,R1的FastEthernet0/0与PC1联接。R0的Serial2/0为DCE设备,时钟速率为64000,R1的Serial2/0为DTE设备。
(二)端口及IP地址的配置过程
在拓扑图中,单击路由器图标,打开配置对话框,在对话框中选择CLI选项卡,进行命令配置。此实验中网络设备、端口、IP地址及子网掩码如表所示:
(1)在R0上配置FastEthernet0/0的端口IP地址并予以激活。配置Serial2/0端口,并为该端口的DCE设备配置相应的时钟速率为64000。
!进入全局配置模式
Router#config t
Enter configuration commands,one per line.End with CNTL/Z.
!将当前路由器命名为R0
Router(config)#hostname R0
!进入fastethernet0/0端口配置模式
R0(config)#int fastethernet 0/0
!配置fastethernet0/0端口的IP地址为172.16.1.1/24
R0(config-if)#ip address 172.16.1.1 255.255.255.0
!激活端口
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R0(config-if)#int serial 2/0
R1(config-if)#ip address 172.16.2.1 255.255.255.0
!配置R0的Serial2/0端口的DCE时钟速率
R0(config-if)#clock rate 64000
R0(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
(2)R1路由器配置方法同R0,在配置上由于R1路由器的Serial2/0端口为DTE设备,故无需配置时钟速率,配置步骤略。
(3)在PC0上配置IP地址为172.16.1.2,子网掩码为255.255.255.0,网关为R0的FastEthernet0/0端口IP地址172.16.1.1;在PC1上配置IP地址为172.16.3.2,子网掩码为255.255.255.0,网关为R1的FastEthernet0/0端口IP地址172.16.3.1。
三、路由协议配置及验证
(一)静态路由配置及验证
(1)配置静态路由的语法为:
ip route prefix mask{address|interface}[distance][tag tag][permanent]
Prefix:所要到达的目的网络;
mask:子网掩码;
address:下一个跳的IP地址,即相邻路由器的端口地址;
interface:本地网络接口;
distance:管理距离(可选);
tag tag:tag值(可选);
permanent:指定此路由即使该端口关掉也不被移掉。
(2)根据实验的要求,在R0和R1上分别配置静态路由如下:
R0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
R0(config)#exit
R1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
R1(config)#exit
(3)在R0和R1上通过Show ip route命令查看当前路由表的情况,或者在PC0和PC1之间做PING测试。
(二)RIP协议配置及验证
(1)在R0和R1上利用no ip route命令关闭静态路由。
R0(config)#no ip route 172.16.3.0 255.255.255.0 172.16.2.2
R1(config)#no ip route 172.16.1.0 255.255.255.0 172.16.2.1
(2)在R0和R1上启动RIP协议并将直连网络地址加入本地路由表中,经过一段时间后路由器会自动根据相邻路由器中的路由表信息对本地路由表进行更新。配置过程如下:
R0(config)#router rip
R0(config-router)#network 172.16.1.0
R0(config-router)#network 172.16.2.0
R0(config-router)#exit
R1(config)#router rip
R1(config-router)#network 172.16.2.0
R1(config-router)#network 172.16.3.0
R1(config-router)#exit
(3)在R0和R1上通过Show ip route命令查看当前路由表的情况或者在PC0和PC1之间做PING测试。
(三)OSPF协议单区域配置及验证
(1)在R0和R1上利用no router rip命令关闭静态路由。
(2)在R0和R1上启动OSPF协议,将直连网络地址加入本地路由表,并配置区域为area0,经过一段时间后路由器会自动根据相邻路由器中的路由表信息对本地路由表进行更新。配置过程如下:
R0(config)#router ospf 1
R0(config-router)#network 172.16.1.0 0.0.0.255 area 0
R0(config-router)#network 172.16.2.0 0.0.0.255 area 0
R0(config-router)#^Z
R1(config)#router ospf 1
R1(config-router)#network 172.16.2.0 0.0.0.255 area 0
R1(config-router)#network 172.16.3.0 0.0.0.255 area 0
R1(config-router)#^Z
(3)在R0和R1上通过Show ip route命令查看当前路由表的情况,或者在PC0和PC1之间做PING测试。
四、结束语
在实验教学中由于使用了Packet Tracer模拟软件,在一定程度上缓解了高职院校网络实验室建设的压力;另一方面使学生真实地看到了路由协议的作用,激发了学生的学习兴趣,提高了学生的动手实践能力,从而实现培养技能型创新人才的教学目标。同时,还可以为参加CCNA、CCNP、CCIE认证考试的学生提供更好的练习环境,对提高高职院校计算机网络课程教学质量有着深远的意义。
参考文献:
[1] 骆耀祖.Cisco路由器实用技术教程[M].北京:电子工业出版社,2002.
[2] 郭秋萍.计算机网络实验教程[M].北京:北京航空航天大学出版社,2005.
[3] 吴黎兵.计算机网络实验教程[M].北京:机械工业出版社,2007.