时间:2022-05-08 12:26:23
【关键词】 OSPF协议 安全性 报文验证
OSPF全称为Open Shortest Path First,属于内部网关协议,在如今的互联网之中应用最为广泛。OSPF本身具有一定的安全性,但是其本身所具备的安全性却并不能够完全胜任新形势下的网络安全要求。为此,我们必须要加强对OSPF协议安全性的研究,在在此基础上强化OSPF安全性。
一、OSPF安全机制
1.1 层次化路由结构
利用OSPF路由协议可以将自治网络划分成为多个区域,在每一个划分之后的区域之中都存在有独立的链路状态数据库,并各自独立执行链路状态路由算法。这就可以让本区域中的拓扑结构对区域之外的网络进行隐藏,并可以让自治系统在交换、传播路由信息的时候的网络流量得到减少,促进收敛速度的加速。
1.2 具有可靠的泛洪机制
在OSPF协议之中采用LSU报文来对路由信息进行携带,并运用协议本身所定义的泛洪机制让区域之中的路由器的链路状态数据库保持良好的一致性,让路由选择一致性得到保障。LSA是OSPF路由协议中路由协议的最小单元,由路由器生成,并在其中包含了LSA的路由器的标识信息,根据这个标识之下的机制,让OSPF拥有一定自我纠错的能力。
1.3 优良的报文验证机制
OSPF的报文之中包含了认证类型以及认证数据字段。当前,在OSPF路由协议中主要有密码认证、空认证以及明文认证这三种认证模式。其中,明文认证是将口令通过明文的方式来进行传输,只要可以访问到网络的人都可以获得这个口令,很容易让OSPF路由域的安全受到威胁。而密码认证则能够提供良好的安全性。为接入同一个网络或者是子网的路由器配置一个共享密码,然后这些路由器所发送的每一个OSPF报文都会携带一个建立在这个共享密码基础之上的信息摘要。通过MD5算法以及OSPF的报文来生成相应的信息摘要,当路由器接收到这个报文之后,根据路由器上配置的共享密码以及接收到的这个报文来生成一个信息摘要,并将所生成的信息摘要和接收到的信息摘要进行对比,如果两者一致那么就接收,如果不一致则丢弃。
二、OSPF路由协议安全性完善措施
相对来讲OSPF的安全性较高,在很多时候外部对其进行攻击都是因为OSPF路由没有启用密码认证机制或者是攻击者对密码破译之后所实现的。当然即使是启用了密码认证也可以利用重放攻击的方式来进行攻击。要加强其安全性需要注意以下几点:
2.1 对于空验证与简单口令验证的防范
对于空验证和简单口令验证带来的安全问题,可以启用密码验证来进行防范。当启用密码验证之后,OSPF报文会产生一个无符号非递减的加密序列号。在附近的所有邻居路由器中会存放该路由器的最新加密序列号。对于邻居路由器所收到的报文的加密序列号需要大于或者等于所存储的加密序列号,如果不满足该要求则丢弃。
2.2 对于密码验证漏洞的防范
在三种验证方案之中密码验证是最为安全的一种,但是也并不是牢不可破的。即使是启用了密码验证也不代表所有报文内容都是经过加密后传输的,其中LSU报文头部仍然会采用明文,这就存在被攻击者篡改的可能性。即使是采用的MD5算法也并不是绝对安全,例如中国山东大学的科学家就已经破解了MD5算法。对密钥进行管理与维护需要较高成本,所以可以考虑和其他成本较低的方式进行结合,例如数字签名技术。这样可以对大部分的威胁进行有效的抵御。
但是用于生成与验证签名的开销也是非常巨大的。一个路由器需要验证签名的数量会受到很多因素的影响,例如网络之中路由器的数量、对网络区域的划分、链路状态信息的变化以及刷新频率等等。在OSPF之中,因为每一条外部子网络径存在有单独的链路状态信息描述,因此在网络之中就有可能存在有成千上万条这一类链路状态信息。因此,还需要考虑到缓解这些信息对于路由器性能的影响。通常情况下采用的方法是在路由器之上采用额外的硬件,对OSPF路由协议进行改进,周期性或者是按需进行验证签名。在当前的研究方向是在利用密码体制安全性的同时,利用有效的入侵检测技术让OSPF的安全性得到保证。
三、结语
作为一种应用非常广泛的路由协议OSPF的安全性受到广泛的关注,虽然其本身具有一定的安全性,但是却难以满足当前网络安全形势的需要。为此我们需要加强对OSPF安全性的研究,并积极思考如何对其安全性进行完善。
参考文献
[论文摘要]首先阐述开放最短路径优先ospf协议的工作过程、接着重点论述自治系统as的分层结构和指派路由器,希望能够为学习和研究ospf协议的人员提供参考与帮助。
一、背景
众所周知,随着因特网规模的不断扩大,现在已有几百万台路由器连接在一起,如果让这些路由器都知道所有网络的相关信息,这样会导致路由表庞大,处理起来浪费时间,响应缓慢等问题;若再加上在链路大量传输路由信息又会严重影响网络带宽。另外,因特网的许多用户都想使自己的网络信息具有安全性和保密性,但又想充分发挥因特网的作用??相互通信,共享资源。为了解决上述多方面的矛盾,因特网被划分成许多个较小的自治系统(autonomous system,as)。一个自治系统就是处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个局域网lan上,也可以是连到internet上的,它还可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,在同一个自治系统之内的路由器使用同一个自治系统编号。
单个的自治系统as是由一个isp运营的网络,在as内部使用统一的路由协议,如[1]路由信息协议(routing information protocol,rip),但rip是一种距离向量协议,在rip协议当中,所有的路径都用跳数来描述,到达目的地的路由最大不超过16跳,且只保留唯一的一条路由,这就限制了rip的服务半径,即其只适用于小型的简单网络。同时,运行rip的路由器需要定期地(一般30s)将自己的路由表广播到网络当中,它不但收敛(对于路由协议,网络上的路由器在一条路径不能用时必须经历决定替代路径的过程,这个过程称为收敛)得慢,而且极容易引起广播风暴、累加到无穷、形成环路等致命问题,所以它很难适应当今计算机网络的飞速发展,尤其是大规模的异构互连网络。
为了摆脱诸多因素的困扰,在20世纪80年代中期, internet工程任务组(tetf)开发了另一种新的内部网关协议,它就是开放最短路径优先协议(open shortes path first,ospf),其中的“开放”是说明它的规范是公开的;“最短路径”是因为它使用了dijkstra提出的最短路径算法(spf),即在所有的自治系统内部使用的路由选择协议都是要寻找一条最短的路径。ospf协议是一种分布式的链路状态信息协议,在众多的路由技术中,ospf协议已成为目前广域网internet和企业网intranet采用最多、应用最广泛的路由技术之一,但ospf协议实现起来比rip协议要复杂得多。下面的内容是从两个方面对ospf协议进行分析。
二、分析ospf协议
(一)自治系统as采用分层结构
在因特网上,as是一个isp(因特网服务提供商),但大学、研究院和私人组织也可以具有自己的as。因特网中的as被划分为一个主干区域(backbone)和若干个非主干区域,所谓的区域是把许多网络和主机,再加上连接这些区域网络上的路由器,所构成的逻辑组。as中的每个区域内部都运行一个基本链路状态路由算法,即每个区域内部都有它自己相对独立的链路状态数据库和相应的有向图(网络的拓扑图),同时区域内的所有路由器运行的链路状态数据库都是一致的,即它们的数据库是同步的。每一个as中都有一个主干区域,称为区域o,用区域id0.0.0.0来标识。区域o的功能主要是负责各个非主干区域之间的路由信息的。主干区域必须是连续的,同样,所有的ospf区域必须被连接到区域o,如果在主干区域中的连续性出现断开现象,则可能需要建立虚链路来连接。一个区域内的消息和细节对本区域以外的区域来说都是透明的,即不可见的,这样可以限制到一个区域的洪泛流量,使规模越来越大的as变得易于管理和维护,也是弥补ospf协议占用cpu和内存资源的方法,更大大降低了路由信息所耗费的网络带宽。
(二)指派路由器dr和备份指派路由器bdr
ospf协议是一个分布式的、动态的内部网关协议,动态路由会设法适应网络流量、拓扑结构的变化。为了动态地适应如故障、网络拥塞等网络状态的变化,结点间必须交换链路状态,如本路由器与哪些路由器相邻、费用、距离、延时、带宽等。当链路状态发生变化时,就会发送这些信息。不是所有的路由器之间都会发送信息,只有成为邻接的路由器之间才会发送链路状态信息。
当一个ospf路由器初始化时,首先初始化路由器自身的协议数据库,然后等待低层协议(数据链路层)提示端口是否处于工作状态。
如果低层协议得知一个端口处于工作状态时,ospf协议会通过其hello分组与其余的ospf路由器建立交互关系。当一个ospf路由器向其相邻路由器发送hello数据包时,如果它自己接收到某一路由器返回给它的hello数据包,则这两个ospf路由器之间就建立起了ospf交互关系,这个过程在ospf中被称为邻接,只有成为邻接的路由器之间才可能发送链路状态信息。
在一个广播性的、多点接入的网络中存在一个指派路由器(designated router,dr)。例如:[2]一个共有n个路由器连接的以太网中所有邻居都是邻接路由器,则总共可能有n(n-1)/2条邻接,每次当有一个路由器收到一条链路状态时,它将发送这个信息的副本给所有其它邻接路由器,最坏情况下可能有2n个这个消息的副本在网络上传输,实际只需要n个拷贝即可。如果所有的路由器都把自己的本地链路状态信息对全网进行广播,那么各路由器只要将这些信息综合起来就可得到链路状态数据库。但这样做开销太大了。对于这种情况,在这个区域内会选取一个路由器作为代表??指派路由器dr,它是这个团体中最受欢迎的成员,与所有邻居路由器邻接,指派路由器主要负责把与它连接的网络的链路状态信息传播给其他路由器。这样可以大大减少广播消息的数量,从而避免路由器之间建立完全相邻关系而引起的大量开销,也进一步解决了网络带宽的瓶颈问题。在这个区域中往往还会有一个随时更新数据的备用指派路由器(backup designated router,bdr),它主要是防止指派路由器崩溃,可缓解当时的危机。
opsf作为一种重要的内部网关协协议的普遍应用,极大地增强了网络的可扩展性和稳定性,同时也反映出了动态路由协议的强大功能。但是,在有关ospf协议的研究、实现中尚存在一些问题,如数据库的溢出、度量的刻画、以及mtu协商等。
参考文献:
【关键词】OSPF;ISIS
1.OSPF与ISIS的特点简述
OSPF与ISIS虽然在协议原理上基本相同,但是由于两种协议最开始时的设计基础不一样,所以在表现形式上还是存在一些不同之处的。受限OSPF是为TCP/IP网络设计,并且本身基于IP协议,相对来说比较容易实现,对于有一定TCP/IP协议基础的用户来说也更容易接受,但是也正是由于OSPF基于IP,所以对网络层协议有比较严格的限制,不能适应IPX、apar talk等网络层协议;对于ISIS协议来说,本身基于七层IOS网络模型设计,直接基于链路层,所以对网络层协议适应性较强,最直观的就是在网络层协议从IPv4过渡到IPv6时,ISIS协议本身几乎没有任何改变,自然ISIS的实现也是比较困难的,对设备是一个比较严格的考验。
由于目前大部分的网络均应用IP协议完成网络层互通,并且OSPF协议更容易被网络管理员所接受,所以OSPF协议的应用比ISIS略广,本文在实现小规模城域网的互通需求上,也选择OSPF进行讨论。
2.实现方案
2.1概述
OSPF协议之所以能够被大多数用户所选择,与他本身的特点是分不开的。完善的链路状态机制,从机理上就防止了路由环路的产生;邻居之间可选的验证功能,有效的保证了网络层的安全;灵活的路由聚合功能,有效的减少了整网路由信息的规模,在减少网络振荡的同时,加快了收敛速度;路由信息的选优方面,OSPF协议本身有比较完备的机制,我们可以通过多种方式控制流量的部署。当然,对于OSPF来说,应付大规模网络的法宝就是area的划分,虽然OSPF在进行area划分的设计上,是为了减小LSDB规模,减轻设备负载,但是设备和软件开发技术发展至今,数通设备的性能已经达到了比较高的水平,OSPF协议本身对一个area内部设备的数目已经不再有严格的要求,只是处于管理和路由收敛、网络可扩充性方面的考虑,才对整个网络进行area的划分。
图1 OSPF中进行area划分的典型组网
如图1所示,对于规模不大的网络,一般我们会把核心设备、各主要节点的落地设备共同部署在area 0当中,对于各主要节点之下的网络在独立部署其他的非0 area。这样一方面可以保证骨干区域的相对稳定,同时各个非0 area可以根据自己的需要进行网络拓扑和设备的调整。各主要节点的落地设备作为ABR,可以通过路由聚合对分支区域内部的路由信息进行有效的聚合,保证骨干区域的路由信息不产生频繁的振荡。
接下来的内容,我们会详细的介绍在上面典型组网中,如何进行流量部署,通过什么方式进行路由引入,还有就是如何有效的应用路由聚合功能完成路由条目控制和路由信息的稳定。
2.2网内的流量部署
在上诉典型组网中,对于非0 area内部的流量我们不作详细分析,总之,对于只存在一个ABR的非骨干区域,本区域的所有上行流量都会通过这台设备上行。我们主要来分析一下对于网络拓扑比较完备的area 0,在这个组网中,RA、RB作为核心设备,我们假设RA、RB都有上行到外网的链路,一般情况下,我们希望整网的对外流量能够同时应用RA、RB的对外链路上行,并且在一条对外链路出现故障时,全部流量能够自动切换到另一条链路上行。
图2 通过cost值实现OSPF协议中的流量部署
本章开始时,我们已经说过,OSPF并不能想BGP那样“随心所欲”的进行路由策略控制,虽然OSPF本身也有比较多的路由选优原则,但是留给用户可控的参数确只有cost,自然我们在作流量控制的时候,也就只有这一种工具了。
OSPF协议中另外一个需要注意的问题就是默认路由的,除了需要进行必要的配置以外,OSPF默认只有在本机有一条默认路由的时候,才会向外type 5的默认路由LSA。
2.3外部路由的引入
在网络的接入层,一般设备的级别较低,部署OSPF对设备的压力较大,而且,对于单链路上行的网络拓扑来说,配置静态路由也同样可以很好解决互通性问题。我们需要解决的问题是,如何将这些通过静态或者直联方式(运行OSPF的路由器的下行接口作为终端的网关)接入的业务网段引入到OSPF协议中,使整个网络的互通性得到保证。
图3 成为OSPF路由的两种方式
将外部路由引入到OSPF中,有两种方式:通过“network”命令将该端口使能OSPF,同时,该端口IP地址对应的网段路由信息也会从在各类型LSA中有所体现,其他运行OSPF的设备可以通过相应的LSA计算出对应的路由信息(这种方式只适用于直联路由的引入);通过“import-route”命令将其他协议发现的路由信息以type 5(在NSSA区域中以type 7形式)的LSA到OSPF中,每条外部路由对应一条LSA。
以上两种方式虽然都可以将外部路由引入OSPF,但是对于OSPF来说,通过两种方式引入的路由信息是区别对待的。对于通过“network”命令引入的路由信息,在OSPF中是“内部路由”,是OSPF根据最短路径优先算法精确计算出来的;对于通过“import-route”命令引入的路由信息在OSPF中是“外部路由(OSPF-ASE)”,没有精确的拓扑信息,OSPF协议本身并不保证这种路由信息出现环路,当然,只有在IP地址分配错误的网络中(同一IP网段分配给多个地方使用),OSPF外部路由才有成环的可能。除了拓扑信息不完善以外,OSPF-ASE路由在聚合方面也没有OSPF路由灵活,我们会在下一节内容中说明。
2.4路由聚合问题
路由聚合是减少路由条目的有效手段,OSPF本身支持路由聚合,但是对应用路由聚合的位置和聚合的路由类型是有严格要求的。换句话说,OSPF的路由聚合并不是随意在哪一台设备上都能作的,而且在特定的设备上,可聚合的路由类型也是特定的:对OSPF“内部路由”的聚合只能在ABR上操作,OSPF-ASE路由的聚合只能在ASBR上操作。
OSPF的路由聚合是在type 3 LSA和type 5 LSA上实现的。在ABR上,路由器会将每个area内部的网段信息以type 3 LSA在其他area中的,自然在ABR上就可以对OSPF“内部路由”进行聚合。同样,在ASBR上,路由器会将每一条外部路由以一个type 5的LSA进行表述。除了ABR和ASBR以外的路由器不会主动产生type 3和type 5的LSA,所以也不能对type 3和type 5的LSA作任何形式的改动。对于ABR来说,本身就需要type 3的LSA,所以将多个type 3 LSA聚合为一个type 3 LSA不会对影响整个网络的拓扑,对于ASBR对type 5 LSA的处理是同样的道理。
关键词:GNS3;SecureCRT;dynamips;OSPF
中图分类号:G642.0,TP316.8 文献标志码:A 文章编号:1674-9324(2014)42-0273-03
前言
21世纪的到来,让整个世界都步入了信息时代,信息时代最大的代表特征就是计算机网络的广泛使用、信息总量空前的巨大、信息传播速度和更新频率空间快,这些都已经深深的影响着我们的生活,我们已经时时刻刻离不开计算机网络。面临着人们对网络的需求不断膨胀,相对的能提供这方面的服务的人才也就日益增多,就目前来说这一领域的顶级人才还是非常稀缺的,这就需要各大高校在对学生的专业培养上下更大物力、财力、人力等等,才能有效培养出社会所需求的人才。目前,各高校在计算机相关专业基本上都开设了《计算机网络技术》课程,但是配套的计算机、网络硬件设备、专用实验室等等,都因为种种原因得不到有力的支持,在教学上更多采用搭建仿真实验平台来弥补现实中的限制条件。而在模拟器选择上,传统的Cisco Packet Tracer和dynamips都不能很好地满足我们的教学需求,在长期探索中,我们确立了利用界面友好的GNS3与SecureCRT模拟器软件搭建动态路由协议OSPF仿真实验平台的方案,并在实际教学中使用,效果良好。
二、GNS3以及SecureCRT的概述
GNS3是一款优秀的具有GUI界面的网络虚拟软件,可以通过它来完成实验模拟实验,同时它也可以用于虚拟体验Cisco网际操作系统IOS或者是检验将要在真实的路由器上部署实施的相关配置。SecureCRT是一款支持SSH的终端仿真程序,是Windows下登录UNIX或Linux服务器主机的软件。SecureCRT支持SSH,同时支持Telnet和rlogin协议。
三、GNS3平台OSPF的设计与制作过程
右面是实验拓扑结构图。
1.拓扑结构如图。使用OSPF动态协议目的:用前缀列表和分发列表使R1、R5上不能收到22.22.22.0/24的路由;R3、R4只能收到22.22.22.0/24的还回口路由;R2上要能收到所有环回口的路由。
R1上面的链路配置
进入串行链路接口S0/0配置
interface Serial0/0
no shutdown
ip address 12.1.1.1 255.255.255.0
serial restart-delay 0
进入串行链路接口S0/1配置
interface Serial0/1
no shutdown
ip address 13.1.1.1 255.255.255.0
serial restart-delay 0
进入串行链路接口S0/2配置
interface Serial0/2
no shutdown
ip address 14.1.1.1 255.255.255.0
serial restart-delay 0
进入串行链路接口S0/3配置
interface Serial0/3
no shutdown
ip address 15.1.1.1 255.255.255.0
serial restart-delay 0
R2上面的链路配置
进入串行链路接口S0/0配置
interface Serial0/0
no shutdown
ip address 12.1.1.2 255.255.255.0
serial restart-delay 0
进入环回口接口0配置
interface Loopback0
no shutdown
ip address 2.2.2.2 255.255.255.0
进入环回口接口1配置
interface Loopback1
no shutdown
ip address 22.22.22.22 255.255.255.0
由于需要对这个借口进行OSPF路由控制
而OSPF环回口时默认32位 所以要更改类型
ip ospf network point-to-point
R3上面的链路配置
进入串行链路接口S0/1配置
interface Serial0/1
no shutdown
ip address 13.1.1.3 255.255.255.0
serial restart-delay 0
进入环回口接口0配置
interface Loopback0
no shutdown
ip address 2.2.2.3 255.255.255.192
R4上面的链路配置
进入串行链路接口S0/2配置
interface Serial0/2
no shutdown
ip address 14.1.1.4 255.255.255.0
serial restart-delay 0
进入环回口接口0配置
interface Loopback0
no shutdown
ip address 2.2.2.22 255.255.255.128
R5上面的链路配置
进入串行链路接口S0/3配置
interface Serial0/3
no shutdown
ip address 15.1.1.5 255.255.255.0
serial restart-delay 0
进入环回口接口0配置
interface Loopback0
no shutdown
ip address 2.2.2.5 255.255.255.224
2.配置好基础链路之后,配置OSPF动态路由协议:
R1上的动态路由OSPF配置方式
开启OSPF路由协议 协议号110
router ospf 110
R1上的OSPF标识1.1.1.1
router-id 1.1.1.1
log-adjacency-changes
路由
network 12.1.1.1 0.0.0.0 area 0
network 13.1.1.1 0.0.0.0 area 0
network 14.1.1.1 0.0.0.0 area 0
network 15.1.1.1 0.0.0.0 area 0
R2上的动态路由OSPF配置方式
开启OSPF路由协议 协议号110
router ospf 110
R2上的OSPF标识2.2.2.2
router-id 2.2.2.2
log-adjacency-changes
路由
network 2.2.2.2 0.0.0.0 area 0
network 12.1.1.2 0.0.0.0 area 0
network 22.22.22.22 0.0.0.0 are 0
R3上的动态路由OSPF配置方式
开启OSPF路由协议 协议号110
router ospf 110
R3上的OSPF标识3.3.3.3
router-id 3.3.3.3
log-adjacency-changes
路由
network 2.2.2.3 0.0.0.0 area 0
network 13.1.1.3 0.0.0.0 area 0
R4上的动态路由OSPF配置方式
开启OSPF路由协议 协议号110
router ospf 110
R4上的OSPF标识4.4.4.4
router-id 4.4.4.4
log-adjacency-changes
路由
network 2.2.2.22 0.0.0.0 area 0
network 14.1.1.4 0.0.0.0 area 0
R5上的动态路由OSPF配置方式
开启OSPF路由协议 协议号110
router ospf 110
R5上的OSPF标识5.5.5.5
router-id 5.5.5.5
log-adjacency-changes
路由
network 2.2.2.5 0.0.0.0 area 0
network 15.1.1.5 0.0.0.0 area 0
最后是R2上要接收到所有环回口地址,R1上已经没有22.22.22.0/24的路由,R5上已经没有22.22.22.0/24的路由,R3上只有22.22.22.0/24的路由,R4上只有22.22.22.0/24的路由。
四、总结
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由,OSPF采用著名的迪克斯加算法被用来计算最短路径树,与RIP相比,OSPF是链路状态协议,而RIP是距离矢量协议。
利用GNS3和SecreCRT搭建仿真实验平台,为学生们提供了自主学习的环境,开展了开创新的实验,从而使得学生的所学知识掌握的更加牢靠,而且能更好地应用到实践中去。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
关键词:ospf;漏洞;数字签名
一 ospf 协议概述
ospf(open shortest path first)作为目前互联网络应用最为广泛的内部网关路由协议,主要提供自治系统(autonomous system,as)内的动态选择路由。它是一种典型的链路状态协议,不同于距离向量协议(如 rip 等)。ospf 主要有以下特性:
适应范围广——支持各种规模的网络,最大可支持数百台路由器。
快速收敛——网络拓扑结构发生变化后立刻发送更新报文,使这一变化在自治系统中同步。
无自环——由于 ospf 根据收集到的链路状态用 spf 算法计算路由,从算法本身保证了不会生成自环路由。
区域划分——允许将自治系统划分成区域,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。
等价路由——支持到同一目的地的多条等价路由。
二ospf 的漏洞分析
2.1 存在的漏洞
ospf 路由协议虽然采取了多种安全机制来保护其不受侵犯,但是这些安全机制并非能让 ospf 路由协议成为一个绝对安全的协议,它还存在相当多的漏洞。
1、空验证和简单口令验证的安全漏洞分析
当验证类型字段置为 0 时,即表示该报文为空验证。空验证时验证字段的值可为任意值,路由器在发送和接收该报文时不做任何额外的身份验证处理,接收方只要校验和无误便接收该 ospf 报文并将其中的 lsa 加入到链路状态数据库中。这一验证类型可以认为是没有任何的安全性的。当使用简单口令验证时,验证类型字段置为 1,64 位的验证字段中存放的是简单口令验证用的口令。简单口令验证的报文是以明文的形式传输的,这其中也包括口令。接收方只要确定校验和正确且验证字段的口令等于预先约定的值即可接收。这一方案对于在传输过程中的窃听者,没有任何的安全性可言。窃听者可以很轻松地监听到口令,然后伪造 ospf 报文并发送出去,扰乱正常的路由秩序。
2、加密验证的漏洞
加密验证可预防外部窃听、重播、修改路由消息及阻塞协议报文传输等攻击。但是外部的攻击者还可以通过发送恶意报文来耗尽路由器的资源,使得路由器由于一直应付这样的恶意攻击而陷入一种更加脆弱的境界。
3、协议中的其它威胁
(1)最大年龄攻击:
在 ospf 路由协议中,由于 lsa 的 age 字段在经过任何一个路由器的时候都需要修改其值,因此它一般不被验证字段的 md5 摘要所覆盖。攻击者可轻松利用该漏洞在lsa 的传播过程中将其截获并修改 lsa 的 age 为 maxage。一旦一个 lsa 的 age 字段被修改为 maxage,就可引起路由器链路状态数据库中 lsa 的早熟,lsdb 过早的将lsa 剔除导致 lsdb 中路由信息的缺失。
(2)针对序列号的攻击:
由于 ospf 的 lsa 是采用泛洪的方式传播的,因此在泛洪途中区域中的入侵者或错误路由器都可以对 lsa 信息发起攻击,篡改其内容。针对序列号的攻击有两种,序列号加一攻击和最大序列号攻击。
(3)分块网络攻击:
如果使虚假 lsa 不被泛洪给该 lsa 的合法生成者,则该 lsa 的合法生成者就不会启动其自反击机制来纠正该 lsa。假设有一个被入侵的路由器所处的位置可以将区域分为两个子区域,则攻击者就可以只向其中的一个子区域以另一个子区域中的某路由器的身份注入虚假 lsa,而不向另一个子区域注入 lsa,这显然就可以达到欺骗的效果。
2.2漏洞防范策略
1、针对空验证和简单口令验证漏洞的防范策略
采用密码验证类型来解决对 ospf 报文任意修改、甚至生成新报文的漏洞,并且验证类型时,每个 ospf 路由器发出的报文都包含 32 位无符号非递减加密序列号,在所有邻居路由器中都存放着当前该路由器的最新加密序列号,并要求接收到的 ospf 报文的加密序列号必须大于或等于存储在路由器中的加密序列号。
2、针对密码验证漏洞的防范策略
密码验证虽然是三种验证方案中最为安全的一种方案,但是它还远没有达到牢不可破的程度。密码验证方案中,lsu 报文的头部仍然是以明文的形式在网络中传播,这给恶意攻击者以很大的机会篡改 lsu 报文。另外,采用 md5 算法并非绝对安全,中国山东大学的科学家已经破解出 md5 算法。再者,维护、管理密钥的成本较高。本文建议在此验证类型的基础上,结合数字签名保护机制来确保 ospf 路由协议的安全。这样的防护可以有效的防备大部分的威胁。本文在后面将提出一种基于 lsu 的报文数字签名方案,可以实现上述功能。
三 基于 lsu 的数字签名 ospf
基于 lsu 的数字签名方案与 ospf 路由协议报文的加密验证机制的有机结合,有效防止了一系列的威胁、攻击。具体分析如下:
1.内部的恶意路由器篡改 lsa 链路状态信息。由于内部的恶意路由器掌握了加密验证所需的密钥,因此它可以毫不费力的修改 lsa 数据,然后重新生成一个 md5 摘要放入验证字段。但是采用上述的数字签名方案后,除生成该 lsu 的源路由器外,其它路由器一旦修改 lsu 的内容都将在接收方路由器被验证出来,这很好的保证了路由信息不被外来入侵者尤其是内部错误路由器的篡改。这主要得益于数字签名的不可否认性。这同样解决了困扰 ospf 路由协议安全的序列号攻击,包括序列号加一攻击和最大序列号攻击,原理与防止篡改内容是相同的。
2.最大程度的防止了最大年龄攻击:在标准 ospf 中,maxage 字段是 lsa 中最容易受到攻击的地方,这是由于 maxage 的特殊性而造成的。在签名的 lsu 中添加了 is maxage 字段用于判断该 lsu 中是否携带了最大年龄的 lsa。本文提出的这种方案有效地阻止了入侵者对年龄字段的修改,一旦年龄字段修改为 maxage,则路由器在接收该 lsu 报文后的验证过程中通过比对消息摘要时可发现篡改,从而抛弃该 lsu。这在一定程度上阻止了针对 lsa 的最大年龄攻击。但是,有些入侵者将 lsa 的 age 字段修改为一个很接近maxage 的值,这种情况本方案将很难对此进行判别并作出应对,目前来看也没有有效的应对措施。这种攻击方式从一定程度上加快了路由器更新 lsa 的速度,消耗了一定的资源,却无特别大的威胁,应该在可以容忍的范围之内。
基于 lsu 的数字签名 ospf 机制的效率可以从计算时间、网络带宽和存储三方面来分析。
时间:数字签名保护的 ospf 协议其核心内容就是对一定的内容进行数字签名。这一过程包括求不定长度的数据的 hash 序列、使用不对称密钥加解密数据。实验在一台amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上进行,系统为 cygwin 仿真的 unix 操作系统。采用 rsaref2 库算法得到如下的结果:对于一个 16 比特的数据,使用 512-bit 的 key 产生和验证一个数字签名数据需要耗时 0.47 秒和 0.023 秒。事实上本文采用的 hash 函数计算出的散列值长度为 128 比特,也就是说系统在产生和验证该数字签名时需要耗费的时间可能还要多。
网络带宽:数字签名保护的 ospf 协议相对于标准 ospf,其多占用的网络带宽主要体现在以下几个方面:1、lsu 中数字签名保护数据使得 lsu 的长度增大,直接增大了网络中数据的传输量。2、数字签名体制中 key 的分发与管理,这包括 pklsa 的传播以及相应的应答等。这些额外的网络带宽负载与网络的容量相比都是极其微小的。
存储:数字签名的 ospf路由器都需要存放自身的私钥和区域中其它路由器的公钥,这一部分存储空间大小一定程度上决定于 area 的大小。而对于数字签名的 lsu 或 lsa,在接受 lsu 报文后通过验证后会将这些报文中的 lsa 存入链路状态数据库之中,这与普通的 ospf 路由器无异,不会将额外的签名信息保存下来占用空间。而对于那些不能通过验证的 lsa 则抛弃不用。
参考文献
[1]钟廷龙,李鑫,郭云飞. ospf 路由协议安全性分析[j]. 微计算机信息, 2005
关键词:路由;监测;管理平面;控制平面
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)15-30704-02
Research on the Method of IGP Route Monitoring
QIAO Jun1,ZHANG Xian-hua2
(1.Department of Information Technology Hubei Three Gorges Vocational and Technical College, Yichang 443000,China;2.Yichang Institute of Automation,Yichang 443000,China)
Abstract:In view of the main route protocols of IGP (OSPF、IS-IS) running in IP network universally, this paper discusses the monitoring method from management plane and control plane, it can be analyzed how the network topology changes influence the performance of Internet. Thus enhances the network’s ability to response congestion and network topology changes, provides the effective safeguard method for implementation of network SLA.
Key words:Route;Monitor;Management plane;Control plane
1 引言
互连网的鲁棒性和可靠性与高效、稳定的路由密切相关。当前,IP网络正在被考虑成为各种通信业务统一承载的网络。当用户依赖这一基础设施来传输关键业务时,要求IP网络提供更加可靠的服务,诸如VPN、虚拟专线VLL、VoIP等新业务以及增值服务要求网络路由有更高的可预见性和可靠性。因此,IP网络服务提供商需要对网络路由进行有效的监测与分析。内部路由协议IS-IS和OSPF是目前广泛使用的域内路由协议。在大型的运营网络中,尤其是网络处在较大流量压力下,IS-IS和OSPF的行为没有很好的监测、了解与分析。内部路由监测方法主要有基于管理平面的方法和基于控制平面的方法。
2 基于管理平面路由监测方法
大量网络管理系统是基于SNMP来管理路由。由于SNMP在IP网络中的广泛使用,因而可以利用SNMP监测内部路由,IETF目前尚没有基于SNMP的标准来管理IS-IS路由信息,但可以利用SNMP来管理OSPF路由信息。
IETF在RFC1850中定义了OSPF SNMP MIB,这些MIB变量定义了指示OSPF邻接关系是处在正常连接还是连接断开状况,这些MIB变量由路由器维护,可以通过SNMP GET和SNMP GET-NEXT方法获取。
此外,SNMP也定义了TRAP消息,当OSPF状态发生改变时,例如发生端口生效/失效情况和邻居发现/断开等情况时,可以触发产生TRAP消息。在路由器中启动TRAP功能后,可以这些TRAP消息传送给指定的SNMP管理站。通过TRAP消息,可以较及时地发现路由改变情况。
3 基于控制平面路由监测方法
控制平面方法监测路由协议,是利用IGP路由协议的消息包来监测内部路由状况。IS-IS和OSPF协议是链路状态路由协议,它们通过泛洪(Flooding)将IS-IS的LSP (OSPF的LSA)传送至整个区域(Area),以保证整个网络中有统一的链路状态拓扑视图。可以在网络中加入路由探测设备,使这个设备地参与到这些IGP路由协议运行中,这样便可以获取网络的路由信息,实现对路由的监测。路由探测设备只是被动地参与路由运行中,即是只接收IGP的链路状态信息而不向网络中路由信息,这样对网络中的路由不会造成影响。
3.1 集中式IGP路由监测
监测IGP路由协议需要在网络中加入一个路由探测设备LSA汇聚器LSAG(LSA aggregator)。LSAG参与到直接相连Area的路由中;对于没有直接相连的区域,可以使LSAG与相应区域建立Tunnel方式,从而使LSAG也能参与到相应区域的IGP路由中。
实现被动参与OSPF路由有两种方法:
一是对连接LSAG的链路的Metric值赋予无限大(实际应用中赋予非常大的值),使路由计算不可能经过LSAG转发数据包。
二是对OSPF协议特征进行修改,使LSAG和路由器邻接关系处于一个中间状态,这种状态可以使两端进行数据库同步,但是没有达到完成状态。这样,邻接路由器不会将LSAG与路由器相连接的链路状态通告给网络中的其它路由器。因此,这条链路如果不稳定性,也不会影响网络中的其它路由器的路由计算。
实际应用中,我们推荐使用后一种方法。
集中式IGP路由监测的好处是在网络中部署的设备少,只需要一台主机来充当LSAG,比较适用于中等规模的网络。由于与非直接相连的区域需要建立Tunnel,因而需要对网络中一些路由器进行配置。
3.2 分布式IGP路由监测
基于控制平面分布式IGP路由监测与分析由如图3所示,图中考虑的是监测OSPF情况,对IS-IS路由监测类似。有两个主要的功能组件组成:LSA反射器LSAR (LSA Reflector)和LSA汇聚器LSAG(LSA aggregator)。LSAR是被动参与OSPF路由,它不是一个真正的路由器,它不充当转发数据包的功能。LSAR在每个AREA放置一个,与该区域内路由器建立邻接关系并收集LSA信息。收到的LSA信息可以可靠的TCP连接传送给LSAG,LSAG对整个网络的路由信息进行管理。
使用LSAR和LSAG分离的结构优点是,首先它提供了一定程度上的故障隔离,其次LSAR的功能得到简化并独立工作可增加全局的可靠性,LSAG也可根据情况只管理一部分LSAR。
基于控制平面的分布式IGP路由监测与分析方法适合于管理大型网络的链路状态IGP路由。
4 IGP路由监测方法比较
对于基于管理平面和基于控制平面的IGP路由监测方法,以下从操作性方面对它们进行比较。
从系统部署来看。采用控制平面方法,LSAR需要与每个区域一个路由器建立邻接关系,这意味者与这个路由器需要有物理或Tunnel连接。使用分布式控制平面方法监测IGP路由,需要部署多个LSAR才能覆盖整个路由域;使用管理平面方法,管理站不需要与被监测路由器建立邻接关系,但对于大型网络需要采用高性能管理站。
从使用方法所引起的开销来看。使用控制平面方法,与LSAR建立邻接关系的每个路由器需要维护一个额外的邻接关系,路由器需要将所有LSA传送给LSAR。此外,对于分布式监测方法,LSAR-LSAG通信也引入了额外的流量。使用管理平面方法,所有路由需要响应SNMP Query,当拓扑发生变化时路由器产生TRAP消息,这些也引入了额外的流量。
从消息的正确性来看。控制平面的正确性依赖于网络设备的IGP(IS-IS/OSPF)路由实现的好坏,IP网络经过多年发展,各厂商设备IGP路由的基本算法实现得较好。然而,厂商在SNMP支持上往往是非标准的、不完全的。OSPF MIB和TRAP在许多厂商的设备(包括CISCO路由器)中没有完全实现。
5 IGP路由分析
5.1 刷新LSA/LSP(Refresh LSA/LSP)分析
在OSPF和IS-IS等IGP中,有一类软状态刷新机制,每隔一定周期(缺省值为30分钟)路由器扫描整个路由数据库,将LSA/LSP泛洪通告至整个网络。如果网络中OSPF和IS-IS路由协议的刷新LSA/LSP出现同步,这样网络中所有的路由器几乎同时产生大量的刷新LSA流量。对于大型的运营商网络,这种同步现象尤其需要注意。因为,路由器在收到这些LSA时,需要消耗大量的路由器资源,影响路由器性能。
对刷新LSA/LSP进行监测后,对刷新LSA进行时序分析,由于刷新LSA是周期性的,正常情况下,这些刷新LSA/LSP随时间变化有一定的分布规律,这样可以建立起协议动态特性基线值。路由异常情况下,可能会严重偏离这个基线值。
5.2 更新LSA/LSP(Change LSA/LSP)分析
更新LSA/LSP是引起网络路由计算、路由变化的直接原因,需要对这些信息进行有效监测。需要对Change LSA/LSP进行分类研究,确定这些LSA/LSP是由于内部变化还是由于外部变化引起的。
内部变化是由于一个IGP(OSPF或IS-IS)路由域内的状态发生变化,产生相应的Change LSA/LSP。这些变化包括:一个区域的路由器或网络链路状态而产生的LSA/LSP统计、其它区域传送过来的Summary LSA发生变化的统计。
在广播网络中,特别需要监测Change LSA/LSP是否是与DR、BDR有联系,根据监测情况,要尽量避免有问题的路由器成为DR或BDR。
外部变化是由于一个IGP路由域外的状态发生变化,产生External LSA。统计这种路由信息可以判断由于外部变化所引起IGP变化的情况。
综合分析内部变化和外部变化的LSA/LSP,可以分析路由变化的根本起因。此外,还可以进一步分析内部LSA/LSP和外部LSA/LSP的比例,确定路由变化的主要因素。
5.3 重复LSA/LSP(Duplicate-LSA/LSP)分析
对重复LSA/LSP需要进行统计分析,这是由于对重复的LSA会浪费路由器的CPU资源。美国的一些研究机构曾经发现,即使在具有同样物理结构的网络,出现重复LSA/LSP的程度也相差很大。重复LSA/LSP产生的原因,需要仔细地分析。
5.4 IGP路由拓扑分析
通过IGP路由监测,可以得到网络链路状态数据库,也即得到网络的拓扑情况,及时发现拓扑变化情况。此外,依据链路状态数据库还可进行网络路由的对称性分析,路由优化分析,端到端路径分析,路由不稳定性频率分析。
6 IGP协议优化建议
对于链路状态路由协议IS-IS或OSPF,路由收敛时间是一个重要的参数。在路由收敛过程中,路由器对每个网络的视图存在不一致性,这时可能导致以下情况:路由环路、黑洞路由、非优化路由。
对于大型运营商网络,目前骨干链路带宽一般有几G,上面承载的业务流量已经很大。因此,路由收敛时间的长短对网络上所承载的业务有着很大的影响。如果路由收敛很快,则不存在上面所述的问题。然而,目前的IGP路由(IS-IS/OSPF)收敛速度并不是很快,一般需要几秒钟时间才能收敛。许多新网络业务如实时性要求高的网络流媒体业务,对网络延时要求很高,更是不能忍受长时间的路由中断。
由物理链路状态改变到形成新的路由表,所需要的时间一般受到以下几个方面影响:链路失效/修复检测所需时间; LSA/LSP传播时间;由SPF计算间隔所引起的延时;SPF计算时间。
针对这些IGP路由收敛时间影响因素,提出以下方面的IGP路由优化建议:
(1)寻找更快的链路失效检测方法
(2)快速发送检测链路失效信息
(3)放慢发送检测链路恢复正常信息
此外,建议设备厂商采用适应式过滤算法来克服链路频繁抖动。
7 结语
IS-IS和OSPF路由器在大型的运营网络中得到了广泛应用,然而其路由行为,尤其是网络处在较大流量压力下的路由行为并没有得到很好的监测与分析。通过对现有网络IGP路由协议的行为进行监测与分析,可以达到详细观测路由的动态特性、深入了解ISP周围网络中断的情况、分析网络拓扑改变对互连网性能的影响、分析网络基础设施对于某些关键路径的依赖性,从而提高网络响应拥塞和拓扑改变的能力。
参考文献:
[1]J.Moy RFC 2328 - OSPF Version 2 April 1998.
关键词: MSTP;VPN;OSPF
中图分类号:P41 文献标识码:A 文章编号:1671-7597(2011)1210041-01
1 升级前网络现状
随着地县级高清视频系统建设工作的开展,现有的地县级SDH网络,只实现了一个E1的接入,即只具备2M的带宽,传输带宽受到限制,已经不足以满足正常的业务应用。而SDH线路带宽的扩充方式极不灵活,SDH线路不能实现带宽的平滑升级,一般推荐12M以下通过E1线路捆绑的方式,大于12M,需要更换路由器接口板卡,直接实现34M或155M的线路接入,没有中间的过渡速率,使得业务发的展受到限制。
1.1 地市到县的网络速度的提升
针对现有的县级接入路由器呈现出接口配置不足、接入带宽不够,性能瓶颈等问题,急需进行区县级接入带宽扩展。
在硬件方面,推荐了性价比较高的博达R2622型路由器。该路由器为接入级路由器,包含广域网接口:1个AUX端口,1个CE1接口,1个Console端口;局域网接口:2个10/100M快速以太网端口;其他控制端口:1个Console端口,1个AUX口,1个CE1接口;以及2个扩展插槽。将2个扩展插槽接入2路以太网接口卡,实现区县级路由器4路以太口接入方案。
在线路方面,配合运营商搭建的4M MSTP线路做为专线接入。MSTP网络即基于SDH的多业务传送平台,是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。MSTP主要特点:业务的带宽灵活配置、可以根据业务的需要,工作在端口组方式和VLAN方式、可以工作在全双工、半双工和自适应模式下、具备MAC地址自学习功能。采用MSTP专线方式可以有效地解决带宽问题,再做带宽升级时候就不再受硬件限制,以太网口最大可实现100M带宽接入。4路以太口分别做MSTP专线、Internet、内网、视频终端的接入。
1.2 全省气象广域网路由方式的调整
图1 全省气象广域网网络拓补图
当MSTP网络中节点故障时,县级气象局无法实时数据,必须通过手动拨VPN的方式传输数据。该方案对人员的依赖性太大,不利于数据实时性的保障。此次改造中引入MSTP专线+VPN实时备份的方案。保证专线不通的情况下,数据能自动切转到VPN链路上。此方案对县级接入路由器的性能,功能,接口都提出了升级的要求。同时需要在省局增加一台专用VPN局端设备,要求该设备支持100路VPN同时在线的能力。全省气象广域网网络拓扑结构如图1所示。
实现MSTP专线+VPN实时备份后。线路及设备正常的情况下,MSTP专线为数据传输通道,一旦MSTP线路故障,数据自动切换到路由器的VPN通道上,无须管理人员手动切换电脑VPN拨号。同时,保留原有的手动电脑拨VPN方式,当MSTP线路和备份的路由器VPN线路同时故障时,手动切换原有的电脑VPN拨号方案,实际上是实现了数据传输的三重保障。而替换下来的博达1721型路由器则做好备份的上网配置。一旦博达2622出现设备故障,可以保证县局上Internet网。同时,依然可以通过电脑VPN的方式传输数据。
全省气象广域网线路备份示意图如下图所示:
图2 全省气象广域网备份线路示意图
2 OSPF与动态路由规划
根据中国气象局相关网络地址规划的精神,我省原分配给地区局使用的172.20.16.0-172.20.49.0可以继续使用,同时将国家气象局规划的新网络地址10.105.0.0-10.108.0.0分配给我省地县气象部门使用。
本次为每个地区新增4个C网网段。为每个县局分配2个C网网段,一个用于县局数据业务(其中保留最后64个地址作为全省性业务设备的网络地址,这64个地址由省局统一规划,各地区、县局不得自行使用),一个用于高清可视会商。
2.1 OSPF动态路由选择
智能的路由选择能够实现在无人工干预的时候,网络节点可根据线路的通断,线路的负载、稳定性、时延等指标,对目的路径自动进行优选,
并在此基础上引导数据流沿着最优路径流动。在TCP/IP体系中,网络结点设备也就是路由器承担着路由选择的任务。而路由选择的智能路由选择是由路由协议(Routing Protocol)来实现的,路由协议的算法决定了路由器选径的能力。路由协议设计及路由确定技术是路由器应用中最为核心的技术,对网络的实际运行性能起着关键性的作用。
常用的路由协议包括静态路由协议和RIP v1/v2、OSPF、IGRP、EIGRP、BGP等动态路由协议。
RIP由于采用基于跳数的距离矢量路由算法和最大15跳的限制而不适合在大型网络中使用。EIGRP协议虽然是距离矢量路由协议,可是综合考虑了带宽、时延、负载和可靠性等多个方面的因素,具有收敛时间短、带宽占用小、支持负载均衡、支持变长子网掩码及扩展性好等优点。但是EIGRP是思科的私有路由协议,一般只有思科的路由器支持,所以不建议采用。
OSPF是IETF开发的开放的链路状态路由协议。在OSPF网络中,每一条链路都具有一个COST值,从源到目的的COST值之和最小的路径为最佳路径。OSPF是层次化的路由协议,整个OSPF网络可以划分为多个域(Area),域之间的路由可以进行总结。这样的设计具有较好的扩展性,并且可以将链路状态发生变化造成的影响控制在一个域内,而不影响整个网络。另外OSPF还具有收敛时间短、带宽占用小、支持负载均衡、支持变长子网掩码等优点。所以针对气象广域网选择以OSPF动态路由协议为主,另外适当采用静态路由协议的策略。
2.2 全网动态路由规划(见图3)
省气象局现有网络都采用静态路由的方式,条目多而复杂,不能灵活适应各种组网拓扑变化,管理极其不方便。升级改造后,气象局三级广域网MSTP专线主要采用OSPF路由协议,三级广域的VPN备份线路网主要通过静态路由协议。在市级汇聚路由器作为AS边界路由器,通过重路由技术、路由过滤、路由汇总等技术,可以有选择的向核心通告各县路由路径或者某市所属县的汇总路由,实现可操控路由,避免接入单位网络故障引起全网的路由振荡。
图3
3 结语
通过此次网络升级,使得网络设计更加智能化,更加稳定和安全,并且减少了人工干预,降低了县局工作人员的劳动强度。同时,不仅提升了现有业务的传输质量,也为以后日益增加的气象业务的传输做好了准备工作。
【关键词】建构主义 计算机网络 专业教学 支架式教学
【中图分类号】G【文献标识码】A
【文章编号】0450-9889(2013)04C-0143-03
在当前对教学的研究中,有关教学的定义有很多种,有些学者认为:“所谓教学,乃是教师教、学生学的统一活动”。另外一些学者认为,“教学就是指教的人指导学的人进行学习的活动”。还有学者认为,“教学是以课程内容为中介的师生双方教和学的共同活动”。这些不同的定义虽来自不同的底层理论基础,但有一点是共同的,即教学是一种活动,而且是一种为人的、人为的和复杂的实践活动。教学是一种为人的活动,说明教学活动具有一定的目的性,教师要把特定的知识传授给特定的对象。教学是一种人为的活动,说明了在教学的过程和教学结果具有不确定性,教师只能尽最大努力按照设定计划进行,却无法保证实施过程和结果与设定的计划和目标完全一致。教学是一种复杂的活动,说明在教学的过程中出现不可预知事件来得突然和复杂,解决起来具有一定的难度。
按照理论指导实践的哲学观点,既然教学是一种活动,而且具有一定的为人性、人为性和复杂性,所以它在实施的过程中需要正确的理论来指导。结合高职院校计算机网络专业知识的特点,本文采用建构主义理论来指导课程实践的活动。
一、建构主义简述
建构主义是一种哲学理论,而不是某种具体的教育教学方法。建构主义是在认知主义基础上发展起来的学习观,建构主义理论认为学习是获取知识的过程,知识不完全是通过教师的传授得到,而是学习者在一定的情境即社会文化背景下,借助他人或者其他手段的帮助,利用必要的学习资料,通过意义建构的方式获得。建构主义强调学习者学习的主观性,最提倡的学习方式是合作学习,而情境、协作、会话和意义构建是最基本四要素。
情境――学生学习的环境。在建构主义理论中,情境必须要为意义构建服务,教师设定的情境必须要有助于学生最终意义的构建。
协作――学生在意义构建的过程中相互合作,共同收集学习资料,共同分析问题的要点,共同提出问题的假设,共同验证。在整个学习的过程中,协作贯穿始终。
会话――学习者相互交流,每个学习者将思维成果与同组成员共享,有助于组成员意义的构建。
意义构建――学习者的终极目标。将学习者放置于相应的情景中,通过同组的协作,通过会话的方式,最终使每个学习者构建起事物的本质规律及相互之间的内在联系。
在建构主义理论下,目前比较成熟的主要教学模式有支架式教学、抛锚式教学、随机式教学。本文将采用支架式的教学模式对高职计算机网络专业进行教学。所谓支架式教学,引入“支架”寓指“教”与“学”的关系:教师的“教”只是为学生搭建学习的“支架”,“帮助”、“协助”而不是“代替”学生学习;学生则在教师的帮助和指导下主动建构并内化知识和经验,促进自身能力的发展。支架式教学的操作程序包括“搭脚手架―进入情境―独立探索―协作学习―效果评价”等五个步骤。
二、高职计算机网络专业知识特点
高职计算机网络专业课程有其自身的特点,主要表现在如下几个方面:
第一,理论知识非常抽象。计算机网络的专业知识是学者对现实问题的抽象,具有高度的抽象性。计算机网络专业的重要的核心知识点,比如OSI网络七层结构、各类数据包格式尤其是帧头格式、各类协议模型及运行过程等都具有理解难度大、抽象性高的特点。
第二,实践性强。计算机网络专业本来就具有实践性强的特点,只有通过大量的实践,才能理解并灵活应用网络知识;只有通过大量的实践,才能积累相应的工程经验。
第三,知识点联系性强。计算机网络通信是一个非常复杂的过程,涉及的知识点非常多,各知识点之间的存在着千丝万缕的联系,这些知识点相互交叉形成了计算机网络通信模型。
尽管计算机专业知识抽象难懂,但这些理论知识毕竟来源于生活,所以,可以利用建构主义的教学方式,使学生利用已有的知识经验,在教师构建好的情境中,利用教师提供必要的学习资料,发挥自身的主观能动性,将抽象的、难懂的知识点构建起来。计算机网络的知识点综合起来就是一个整体结构,相当于一整座大厦,教师采用哪种教学方法,如何使学生能尽快的构建起这座大厦是一个非常重要的问题。建构主义理论中的支架教学强调教师为学生搭好脚手架,学生在脚手架的基础上构建整个大厦。结合计算机网络专业知识和支架教学法的特点,将支架教学法应用在计算机网络专业的教学中就显得非常合理。
三、建构主义在计算机网络专业教学的应用
采用建构主义理论支架式教学方法时,教师要充分强调动学生的主观能动性,鼓励学生采取合作学习的学习方式,将情境、协作、会话和意义构建四要素融入到教学设计中,严格按照“搭脚手架―进入情境(按照最近区域理论)―独立探索―协作学习―效果评价”的教学步骤进行。本文以路由与交换课程中的OSPF路由协议知识点为例,详细阐述建构主义支架式教学在计算机网络教学中的应用。
(一)搭脚手架。所谓的搭脚手架其实就是构建教学情境,在搭脚手架时要充分考虑如下三个方面:
1.要有助于学生意义的构建。教师在搭脚手架时,要遵守搭脚手架是为学生最终意义构建的原则。所以,教师在搭脚手架时,务必要考虑核心概念之间的关系,以便于学生后期独立探索沿脚手架攀爬。在OSPF路由协议的授课中,教师可以按照“RIP协议的不足―OSPF的概念―hello协议―OSPF的网络类型-DR BDR选取规则―DR BDR选取过程―编辑本段OSPF邻居关系―OSPF泛洪―OSPF LSA类型―OSPF末梢区域―OSPF配置”这样的脚手架来进行搭建的。
2.按照最近区域理论搭建。按照最近区域理论的观点,学生还不能独立地完成学习任务,需要在学生最近发展区阶段即学生快达到另一个较高的层次的发展水平而事实上还没有达到的时候搭建“脚手架”。因此,在搭建脚手架(构建核心概念)的时候要注意,一定要在学生已有最高水平的基础上,拔高一定的高度,这样既能够使学生有充足的学习空间,又不至于学生理解不了。在路由与交换课程OSPF路由协议知识核心概念构建中,我们可以先构架RIP的核心概念,然后在RIP的核心概念上再引入OSPF的核心概念,由于RIP是学生学习OSPF协议前刚学的协议,故符合最近区域发展理论。
3.要有助于学生创新。创新是一个民族的灵魂,也是学生毕业就业的核心竞争力,所以在教学的过程中,我们要不断地培养学生的创新能力。在搭建脚手架的环节中,我们主要是构建创新环境。创新环境是指在创新过程中,影响创新主体进行创新的各种外部因素的总和。在OSPF协议知识点学习的过程中,我们主要是为学生构建一个问题具备多种解决方法的应用环境,在此次学习的过程中,教师可以在网络地址划分、OSPF协议配置方面构建“一题多解”的应用环境。
(二)进入情境。即设置悬念情境、将学生引入问题情境中,在设置问题的时候,教师要给问题情境赋予时代性和趣味性。在路由与交换课程OSPF路由协议知识点学习过程中,教师可以以某一大型跨国企业或者某一银行为例(比如IBM、中国银行等知名的企业单位),详细阐明当前的应用环境,比如有30台路由器正在同时工作,由于采用了RIP协议导致网络内部消化过多的带宽,或者举例由于网络地址有限从而要涉及变长子网掩码(因为RIP协议不支持变长子网掩码)。这样的引入方式,反映了当前网络应用的变化,既时髦也真实,学生有身临其境的感觉,从而激发学生的积极性。
(三)独立探索:引导学生沿概念框架逐步攀升。独立探索并不是指完全让学生单独探索,而是在教师的引导下,使学生进入学习情境,然后使学生对一个问题进行思考,学生遇到一些比较困难的问题时,教师应该利用教学资源给予学生一定的帮助,当学生在教师的帮助下取得阶段性成果时,教师应该给予肯定和表扬,并设置进一步的情境,将学生引入下一个问题的思考。学生在OSPF协议的学习过程中,理解DR、BDR选取规则和DR、BDR选取过程都有一定的困难,此时教师应该要准备充分的教学资源,比如说能够易于学生理解的图和表、生活中类似的例子,以供学生参考理解。
(四)协作学习――小组讨论。在建构主义理论中,协作学习是整个学习过程中非常重要的一个环节,通过学生之间的小组讨论,学生通过共同协作和讨论,更加全面的理解所学知识。在学生学习OSPF协议开始,教师可以将学生分为若干个组,鼓励同学们协作学习,教师还可分阶段有计划、分步骤组织学生讨论。比如,在DR、BDR选取规则学习过程中,教师就可以组织一次专门的讨论,通过不同学生之间的见解,使学生完全理解DR、BDR选取规则。当概念框架里面所有的概念都学习完以后,教师务必要组织学生来一次大讨论,使整个知识的层面而非单个概念的层面来理解知识点。
(五)效果评价。在建构主义理论中,效果评价并不是指教师出一个考题或者提几个问题来考察学生是否已经学会课堂知识,而由学生单个或者学习小组展示自己的学习成果。效果评价环节,教师要开放自己的心态,不能以自己的思维来衡量学生的学习成果,而应以学生的角度来看学生的学习成果,思考学生的理解方式,并且找出学生理解问题方式是与教学引导之间关系。在教学过程中,尤其要注重表扬和肯定学生的学习成果,并将之总结起来,形成更加容易理解的文字叙述或者图表。对于一些理解还不到位的学生,要继续给以提示和帮助,以完善他们的意义构建。在OSPF协议的效果评价中,对于那些理解还不到位的学生,教师可以在他们阐述自己的学习成果时,有意识地提问题,或者让其他同学对他们的观点进行评价,以进一步帮助他们完善对OSPF协议意义的构建。
四、教学质量分析
教学质量分析是通过对Quantitative信息的收集,对教学活动的全过程和质量作出客观描述,在此基础上根据教学大纲的要求、培养目标的要求和学生学习情况,对教学质量作出判断。为了客观准确地分析建构主义理论支架式教学在高职计算机网络专业课程的教学效果,并排除偶然性,笔者通过4年的时间对计算机网络专业学生进行对比研究。2009~2010年,笔者对2008级和2009级学生采用了一般的讲授实验法,而在2011~2012年,笔者对2010级和2011级学生采用了建构主义理论的支架教学法。然后分别从2008级、2009级和2010级、2011级学生中随机抽取30名学生作为分析对象,并且采取问卷调查法(主要调查学生的积极性和学习心理)、学生学习成果汇报法(主要考察学生对知识的掌握程度)、知识灵活应用考核法(考核学生对知识的灵活应用水平)三种方法对不同授课方式的两类学生对象进行分析。将每一类考核指标最高值设定为5,最低设置为1,经过加权平均处理,分析结果如表1所示。
通过表1可以看出,采用建构主义支架式教学法以后,学生无论是学习兴趣还是能力提升等方面,都有较大的提高。通过数据分析可以得出这样的结论:采用支架式教学方法在计算机网络专业教学,效果是良好的。
综上所述,建构主义理论是基于以“学”为中心的理论,而计算机网络专业的专业知识具有知识高度抽象、实践性强和知识点联系复杂的特点,将建构主义相关理论和方法应用到计算机网络专业的教学中,能极大地调动学生的积极性,极大地提升教学效果,对于丰富高职计算机网络专业教学方法和课程改革具有重要的借鉴意义。
【参考文献】
[1]王策三.教学论[M].北京:人民教育出版社,1985:88
[2]李秉德.教学论[M].北京:人民教育出版社,1991:2
[3]顾明远.教育大辞典[K].上海:上海教育出版社,1990:178
[4]程广文,宋乃庆.论教学智慧[J].教育研究,2006(9)
[5]莫永华,仇雪梅,张际平.建构主义的澄清与反思[J].中国电化教育,2010(1)
[6]艾兴.建构主义课程研究[D].重庆:西南大学,2007
[7]刘杰.支架式教学模式与课堂教学[J].贵州师范学院学报,2010(3)
[8]杜军.支架式教学应重视“脚手架”的搭建[J].教育理论与实践,2005(7)
[9]彭阳华,周平.支架式教学在高职英语教学中的应用研究[J].外国语文,2011(12)
关键词:水利广域网 信息化
天津市水利局是天津市水利行政主管部门,承担着防汛抗旱、农田水利建设、水资源综合开发利用和引滦供水等重要任务。经过多年的建设,天津水利内部办公网络已经初步形成,局机关实现了网上公文运转、档案管理及信息等功能,全水利系统实现了网上公文、信息传递。随着网上信息量的不断增加、网络依赖性的提高,原有帧中继和电话拨号的联网方式,在网络带宽和网络稳定性方面已经不能满足全局办公自动化的需要,由于局机关是水利部门的指挥中枢,各种水利相关信息要快速、可靠地向局中心网络传输,天津水利办公广域网正是适应这种新形势的需求而建设的。
1建设前接入内部网络情况
天津水利内部办公网络建设完成后,局机关办公自动化系统全面应用,局下属单位分别以帧中继和电话拨号方式与局中心计算机网络连接,但中心端速率只有1m,随着水利信息化建设的不断发展,对水利信息资源的应用逐步深入,需要传输各种大量的水利数据、视频等信息,对于网络的依赖性越来越强,以光纤接入替代原来的电话线接入,提高整个网络的带宽和接入响应方式已迫在眉睫。并且随着天津水利办公广域网的逐渐扩大,网络节点的增加,原有的静态路由方式广域网也已经不能适应新的网络结构要求。
2天津水利办公广域网建设后整体网络结构
局属单位水科所等22家单位新增为2m光纤方式接入,实现与局网络中心的宽带互联。改造后水利局的核心网络以原有的防火墙作为水利局内部网络与其他各机构网络中间的隔离。网络内只允许用户端能够访问到水利局内部网络的相关服务器网站所对应的端口。
新增加网络内核心的接入路由器,起主路由作用,并在其上新建1块cpos光口卡,此光口卡连接到网通的sdh节点设备上,带宽为155m,此通道可以划分为63个2m,最多为63个分支机构提供2m的接入通道。
原有的路由器作为原有网络核心接入设备,现在作为于桥水库备用路由设备。
引滦入津沿线7个管理处使用引滦入津工程管理信息系统建设的光纤网络,采用统一门户,通过引滦工程管理处至水利局的光纤通道,实现引滦工程信息网与局网络中心的网络互联。
3相关技术实现手段
3.1选用ospf路由协议
天津水利办公广域网肩负着oa文件系统传输和实时水雨情信息的传输以及各种大量的水利数据、视频等其他信息传输的网络重任,要求网络必须可靠稳定。
整个网络必须具有多路由选择、路由迂回、路由备份的能力,以防止因单路由的损坏而造成全网或非损坏节点的中断。同时,网络禁止出现路由循环或路由不被利用的情况。并对有多条电路连接的情况,尽可能地做到各条电路上的流量和负载均衡,保证带宽的合理和充分利用。
天津水利办公广域网网络覆盖面广,经过的路由复杂节点多。以局网络中心机房为中心,连接局机关及局所属企、事业单位和区县水务(利)局等单位的网络,实现全水利系统计算机网络的互联互通,为水利信息化提供硬件基础 ospf路由协议具有以下优点:可适应大规模网络、路由变化收敛速度快、无路由自环、支持变长子网掩码vlsm、支持等值路由、支持区域划分、提供路由分级管理、支持验证、支持以组播地址发送协议报文等。所以在水利办公广域网的设计和建设时,采用以ospf为主,静态路由为辅的路由策略,使原先的办公网络平滑的融合和过渡到新的网络体系中。
。
3.1.1 ospf区域划分天津水利办公广域网运行ospf路由协议,对现节点ospf协议中的area值设定为1o0。随着更多设备接入,网络扩充,可划分更多区域,根据不同区域的网络特点设定相应的网络环境。达到隔离故障,防止蠕虫病毒及网络设备失效(如端口故障)等对全网的影响作用。并可对外隐蔽网络结构,阻止外部用户通过扫描探测网络的结构。
3.1.2路由器配置内容①核心路由器0spf配置为:
routerospf100 /启动ofps协议/
log-adjacency-changes /记录ospf邻居状态的改变/
redistributestatic /引入静态路由信息/
network192.168..o.o.o.3area100/通告本地连接网段路由信息/
(其他节点互连网段略)
②下属各单位路由器ospf配置。以cisco2821接入路
由器为例0spf配置如下:
routerospf1oo
log—adjacency—changes
redistributestatic
network192.168..o.o0.255 area1oo
netw ork192.168..o.o.o.0area 1oo
3.1.3 ospf路由的实现广域网的连接自动完成ospf路由学习功能,把整个区域的所有路由自动学习到默认网关上面,完全不需要人工设置路由,达到了路由自动寻找和更新的目的。
配置完成后,键入显示路由命令show proute,可显示路由表中各路由获取方式:
3.2安全防范措施
在天津水利办公网络系统中,要确保网络设备的安全,保证非授权用户不能访问路由器、交换机或防火墙等关键网络设备。主要采用了以下措施:
3.2.1对网络设备的控制台访问和远程访问都必须在严格的管理和控制之下,提供强认证机制,保证用户口令不在网络中明码传输,并定期更换口令。配置认证服务器,对网络设备的访问进行统一的认证、授权、审计(aaa)。
3.2.2通过对设备的配置,使得只能由某个指定jp地址的网管工作站才能进行网络管理,对路由器或网络设备进行读写操作。
3.3.3根据全网的安全访问控制策略,配置防火墙的过滤规则;访问控制的原则为必须是缺省禁止,即凡是没有被明令允许的访问一律禁止。
3.3.4关闭路由器的源路由功能,以防止通过假冒lp地址和源路由技术侵入内部网;在路由器或交换机上配置静态arp,以防止假冒lp地址的主机接入内部网。
3.3.5由于拨号网络使用公用的电话交换网,在网络上传输的机密信息存在被窃听、篡改等威胁。针对以上威胁,必须保障用户口令不在网络上以明码形式传输。
3.3.6水利专业网络作为业务系统的内部网络,从路由概念上讲不与公用网络直接互连。
关键词:MPLS VPNOSPFIP路由电力数据网
0 引言
鉴于国家电网公司“SG186”、华北电网公司“5E”的接入需求及变电站建设规范要求,对电力通信网提出了更高要求:重要办公和生产场所、县分公司的网络带宽不低于l00M;集控站到公司不低于l00M;集控站到受控站不低于10M,并且核心节点需要考虑成环或有冗余路径。“5E工程”同时启动、同步实施,整个华北电网使用统一的系统。这就对承德电力通信系统提出了更高的要求。因此结合电力通信的特点和要求,引进先进的网络通信技术,建设安全、可靠、稳定、合理、经济、高效、扩容性好、兼容性强的多业务承载网络就成了电力数据通信网的发展方向。
1 路由实际与路由策略
全网的路由设计与策略可以分为以下三个部分来分别予以考虑:域内路由的设置;骨干路由策略;互联路由策略。
1.1 自治域的设置
考虑华北电力数据网是一个统一规划和管理的网络系统以及目前的规模,采用单自治域方式。
1.2 域内路由协议(IGP)
根据本次工程地具体实际情况,采用分域的OSPF协议。具体的IGP路由策略如下图所示:
(1)核心路由器和骨干路由器构成的区域为OSPF骨干的Area 0。
(2)各个骨干节点及其所连接的接入层节点构成各自的Area。
(3)对OSPF链路metric值的设定:2.5G带宽的metric值是2;1G带宽的metric值是5;622M带宽的metric值是8;155M带宽的metric值是32;100M带宽的metric值是50;2M带宽的metric值是800.
2 MPLS VPN在电力数据网的部署
2.1 VPN技术选择
MPLS VPN部署时有如下三种方式:MPLS L3 VPN;MPLS L2 VPN和VPLS。根据华北电网公司和承德供电公司业务需求,电力数据网采用MPLS L3 VPN。
2.2 BGP设计
将网调的两台Juniper公司M40e作为BGP RR,所有的PE路由器均与两台BGP RR之间建立IBGP Session。同时,这两台M40e需要作为与其他AS对接的EBGP Peer存在,与其他AS建立EBGP Session。
2.3 三层MPLS VPN业务部署
(1)PE和CE之间的路由协议
在承德电力数据网中所有路由器设置为PE,交换机设置为CE。
PE和CE之间的路由器协议可以为静态、OSPF、ISIS、BGP等,在承德电力数据网中采用静态路由,在必需情况下部署动态路由。
(2)PE和P路由器之间的IGP部署:本次项目骨干网采用OSPF作为IGP协议。
(3)BGP部署:华北节点的两台M40e路由器作为BGP RR。所有的PE与两台BGP RR之间建立IBGP连接。BGP RR之间建立IBGP连接。
(4)VPN信令选择:考虑到未来和其他厂商互通和配置简便,采用LDP信令作为VPN信令。
2.4 跨域MPLS VPN部署
Juniper路由器实现了在RFC2547中定义的三种跨域的MPLS VPN实现方式,分别为:
(1) VRF-VRF
也称作背靠背方式。在该方式中,需要ASBR与ASBR之间的接口支持子接口, ASBR互相把对方看做自己的CE路由器. ASBR上维护多个VPN的VRF表. 如果有多个VPN经过ASBR,则需要多个子接口和多个VRF表. 该方式在ASBR之间传递的普通的IPv4路由. 虽然实现简单, 但是扩展能力最差。
(2) MP-EBGP
该方式在ASBR之间的EBGP连接上做了多协议扩展 , 以支持VPN IPv4路由, 相对于VRF-VRF方式, 该方式中不需要在ASBR之间起多个子接口,因此其扩展能力较方式一高, 但该方式仍需要在ASBR上维护多份VRF表。
(3) MP-EBGP Multihop
在该方式中, 位于不同AS的PE之间可以直接建立MP-EBGP Multihop连接,来传送VPN IPv4路由。由于该连接对ASBR透明, ASBR上不需要维护多份VRF表,因此它是扩展能力最高的一种实现方式。但是在该方式中,需要PE路由器建立到其他AS的PE的LSP路径, 在具体实现中通过在AS边界把本自治域的PE路由器的loopback地址路由发给对方自治域。
根据国家电力系统的规范,在和其他AS的VPN互通时,采用MP-EBGP方式建设跨AS的VPN;由于网调的部署了两台BGP RR,所以只要BGP RR和其他AS的BGP RR之间运行MP-EBGP即可。
3 功能实现
MPLS VPN技术在承德电力数据网实施后,满足的业务接入需要,实现了以下功能:
(1)高带宽:全网各节点采用千兆光口互联,带宽有很大提升。
(2)高可靠性:全网采用OSPF动态路由协议,当任何一条链路出现故障后,网络只丢一个包,不影响业务,用户根本感知不到网络的变化。
(3)高扩展性:实现OSPF路由协议,当网络中需要增加设备或节点需要增加网段时,实现起来很简单。同时,网络中可以容纳的VPN数目很大;同一VPN中的用户容易扩充。
(4)快速收敛:由于使用OSPF路由协议,网络的收敛速度可以控制在3S内。
(5)高安全: MPLS的LSP具有与FR 和ATM VCC相似的安全性;另外,MPLS VPN还集成了IPSec加密,同时也实现了对用户透明,用户可以采用防火墙、数据加密等方法,进一步提高安全性。
(6) 业务隔离:各节点采用MPLS VPN与承德区调、华北网调进行互联,通过防火墙与中心设备互联,实现县公司MPLS VPN功能,不同业务采用不同VPN, 且不同业务之间完全隔离。
(7)独立运行:各节点采用三层交换机,业务网关都在各节点三层交换机上,即各节点设备出现故障只影响自己的节点用户。
(8) 可网管:通过网公司的统一网管系统可对所有网络设备及交换机所接设备进行全面集中管理,当发现网络设备或光纤链路出现故障时可立即实现告警,并进行维护,提高网络运行可靠性。
4 结语
总之,利用MPLS VPN技术组建承德电力数据网,为承德供电公司建立一个具有更高可靠性、可用性以及优良服务性的企业网,使网络具有突发故障状况下的快速恢复能力,为公司网络与各信息系统提供高速、稳定、可靠、先进的互联互通传输平台。
参考文献
[1] 盖查德(Guichard,J.).MPLS网络设计权威指南[M].北京:人民邮电出版社,2007.
关键词:数据中心,网络建设、高可用性
中图分类号:TP274文献标识码:A文章编号:1009-3044(2012)01-0022-02
该文基于某单位运行使用的特种设备监管系统、产品质量管理系统、远程视频会议系统、举报投诉系统和机房远程管理系统的基础上,就系统数据中心的高可用性问题进行深入分析。为了实现7×24小时不间断服务的目标,我们认为可以采用VRRP协议、OSPF协议等实现路由冗余,采用STP协议,以及Link-aggregation协议则可实现链路冗余。这些技术的运用可以确保数据中心网络的高效与稳定。
1网络协议技术的应用
随着互联网与局域网技术的不断普及与发展,恢复性以及冗余性问题已经成为了局域网领域中的关键问题之一。为了解决好这些问题,IETE制定了虚拟路由协议,简称VRRP。VRRP协议是一种容错性协议,改协议应用于静态配置缺省网关上的第三次交换机以及路由器上。对于依赖广域网接入的静态配置缺省网关而言,这种接入方式以及访问方式无法满足其他局域网的终端系统要求,而VRRP协议的缺省性容错能力,则能够有效地提升网络信息的交换速度,因此其被广泛地运用于大型的网络之中,从而保证第三层交换的冗余备份[2]。
开放式最短路径优先协议,简称OSPF协议是一种基于SPF算法的路由协议,同时也是一种典型的链路状态路由协议。路由域是一种自治系统,其主要的功能是根据相应的路由政策以及路由协议进行网络信息的交换以及处理。在这个系统中,所有的OSPF路由器所承担的自制系统的数据库都是相同的,同时在该数据库存储着该路由域中所需要的链接状态信息。OSPF路由器会根据数据库内存储的信息计算出其所需要的路由表信息。其作为一种链路状态的路由协议,其能够以链路状态的方式将广播数据包传递到所有的路由器上,并且这些信息也会被路由器所保存。一旦某个节点发生故障,则其他路由器内的信息则会被调用出来,从而实现网络的重建。
后者是将部分或是全部的路由表传递给与其相邻的路由器。OPSF的运用增强了网络的可扩展性以及稳定性,但是我们在研究的过程中也发现其存在一定的问题。例如数据库的溢出问题,MTU协商问题,以及度量的刻画问题。但是,不可否认的是OPSF的确是一种功能强大的动态路由协议技术。
生成树协议,简称为STP,其被广泛运用于环路网络之中。STP的功能是建立起一个无环路的树型网络,这种网络结构与环路网络结构最大的区别是其不会产生报文的无限增值以及无限循环。STP的基本原理是将特殊的协议的报文,在不同的交换机之间传递,从而确定网络的拓扑结构。这种特殊的协议报文在IEEE802.ID中又被称为是配置消息。这种配置消息中存在着能够却表交换机实现生成树计算所需要的信息,树型计算也就是树型网络的基本运算方式,可以避免网络中出现大面积的广播风暴,以及报文的死循环,从而造成网络的瘫痪,同时网络链路能够根据网络环境的变化而变化,以避免自动连接的失败。
因此STP协议的运用,能够增加网络的自我恢复弹性,增强网络的稳定性以及功能性。
2数据中心与高可用性网络的实现
基于上述介绍的集中冗余技术,数据中心基本可以实现网络的高可用性以及稳定性,同时消除或是部分消除了单点故障对于网络的影响。以下我们将说明这几种技术在具体操作中的情况[3-4]:
2.1 VRRP技术链路备份功能的运用
VRRP协议可以将系统中的两台核心交换机组组成为一台虚拟路由器,这样的路由器又被称为VRRP组路由器,这种虚拟路由器共有虚拟缺省网关地址。这种虚拟路由器具有一定的互斥性,对外它们表现为一个IP地址,或是MAC地址,但是内部它们是独立的。因此VRRP协议会将其中的一台作为主控路由,而另一台作为备份路由。主控路由主要负责ARP协议,并且负责转发IP数据包。备份路由器的作用是当主控路由器发生故障时,备份路由器将在延时数秒后将成为主路由。由于VRRP的广播间隔为一秒,因此延时可以减少广播两,从而减少网络的负担,有利于网络功能的迅速恢复。但是,延长的时间不能过度,必须根据网络的实际情况。
2.2 OSPF链路冗余以及负载分担功能的运用
OSPF的主要功能是动态生成路由器的内核路由表,路由表通过计算能够确定网络的目标地址、链路代价、链路类型等。完整的OSPF计算的主要分为五个步骤:
1)保存当前路由表。如果当前路由表出现无效情况时,路由表必须重新建立。
2)域内路由的计算。主要是通过Dijkstra算法在路由器网络中建立起最短路径树。
3)域内路由的计算。一般而言,只需要检测主干域的Summary-LSA,从而确定路由器所连接的域的数量。
4)检测Summar-LSA:检测Summar-LAS的目的是查看一个或是多个传输域的边界或是域边界的路由器,以确定是否存在着比之前更为适合的路径及其数量。
5)自动系统外部路由的计算。OSPF生成路由表,SA计算目的在AS外的路由,查看AS-Extenal。但是,OSPF所生成的路由表,并不用于路由器中的内核路由表,因此仍旧需要通过路由增强功能以及完成与内核路由表的交换,才能够实现多种路由协议的工作。
2.3 STP协议功能的运用
1)STP协议能够建起了一个动态的拓扑网络结构,在这个结构中STP根据LAV的设备要求以及链接状况分配其所需要的链接信息。数据库会根据指定的桥接器及其端口发出指令,非指定端口则会被过滤,因而不会影响到数据传输的准确性。非指定端口只能接受BPDU数据,除此之外的信息将无法被接受。STP建立的动态拓扑网络能够将每个桥接器进行路由标识,由于桥接器与端口是对应,也就意味着每个端口也可以被标识,因而STP能够计算出桥接器与端口之间的最小路径值,从而确定端口与桥接器的配置。桥接器启动后,便可以向与其相连的网段发送BPDU数据。在接收到到相应的数据之后,该网段便能够时间数据交换。BPDU数据中包含了桥接器的信息以及与其他桥接器交换所得的信息。
STP的基本功能如下:首先,STP算法可以通过比较不同桥接器的标识,从而确定根桥接。并且计算桥接端口,从而确定根桥接的路径值。根桥接的路径值一般是整个网络中,所有桥接器路径值中最低的。一般而言,每个网络中都会设有一个根桥接器,而根桥接器都会相应设有一个根端口,BPDU数据则会通过指定端口传输,从而确保了稳定性与准确性以及高速性。如果存在两个或是两个以上的端口,STP将自动比较其中那个端口的与所在的桥接器更为匹配。
2)STP的配置以及拓扑信息的。上述算法主要通过BPDU在不同桥接器的交换来实现。BPDU数据发送的方式比较特殊,由于每一个桥接器都将其自身默认为根根桥接器,因此,BPDU的数据也被视为是根数据,并且会定时向所有的LAN拓扑信息。桥接器接受信息后,会自动与其自身的配置信息比较,然后保存更为高级的拓扑信息。
3)重新配置STP。如果网络的拓扑结构被确定了下来,那么桥接器的将监听到根桥接所处处的BPDU包。如果桥接器没有收到相应的数据,那么该桥接器便会自动发送SNMP的trap数据,因为其会自动认为已经失去了与根桥接的联系。各个桥接器在接到了BPDU信息后,会从其缓存内查询元拓扑结构的状态信息,如果发现改信息的确不存在或是已经被更改,则会重新配置STP的状态,重新建立起拓扑结构。
3结束语
通过各种网络协议建立起数据中心网络管理,能够有效地保障与提升网络的可用性,在今后的工作中,我们将进一步探索这方面的技术,从而确保网络的安全性以及稳定性。
参考文献:
[1]张军峰.企业虚拟化数据中心平台搭建及高可用性研究[J].中国科技信息,2010(13).
[2]许鑫,苏新宁,吴乃冈.高校共享数据中心平台的设计与实现[J].现代图书情报技术, 2005(6).
关键词:可靠性;骨干网;网络设计;VRRP;OSPF;STP
1 引言
根据国家标准GB-6583的规定,产品的可靠性是指:设备在规定的条件下、在规定的时间内完成规定的功能的能力。对于网络系统的可靠性,除了耐久性外,还有容错性和可维护性方面,涉及到网络通信设备、拓扑结构、通信协议等多方面因素。
在网络架构的设计中,充分保证整网运行的可靠性是基本原则之一。网络系统可靠性设计的核心思想则是,通过合理的组网结构设计和可靠性特性应用,保证网络系统具备有效备份、自动检测和快速恢复机制,同时关注不同类型网络的适应成本。构建可靠的网络,需要从耐久性、容错性以及可维护性三个方面进行网络规划设计。
2 高可靠骨干网的典型结构设计
大型企业网通常有较大的地理覆盖范围和较多的网络设备,根据这些设备所在的位置和其所影响的范围可将它们分别称为核心层设备、汇聚层设备和接入层设备,如图1所示。在网络的方案设计中,通常采用层次化的网络设计结构,不同层次解决不同级别的可靠性要求,网络层次越高其可靠性要求也越高。
在企业的核心骨干网里,各网络节点设备都担负着重要的业务,要进行大量的数据传输和处理,因此,对这些设备自身的可靠性有很高的要求。除设备本身的可靠外,还需要设备之间的热备份,只有这样才能避免单点故障的存在。
另外,合理的子网(VLAN)划分对整个网络的可靠、安全、性能以及管理有非常重要的影响。根据企业各部门的业务性质不同以及管理的需要,通常需要把企业网划分为多个VLAN,即多个逻辑上互相隔离虚拟网络。这些虚拟子网之间必须通过路由功能才能实现彼此之间的通信。
图1 高可靠企业网络的典型结构
每个虚拟子网都有一个中心交换机,并通过两条物理链路分别上连到核心交换机上,用于提高可靠性并实现链路负载均衡。在此基础上还必须正确选择并配置相关协议,才能使冗余的设备和链路相互配合、协同工作,真正成为无单点故障的高可靠性网络。图1所示是根据上述分析设计出来的高可靠企业网的一般典型结构。
需要注意的是,可靠性技术的实施并不是设备和链路的简单叠加和无限制冗余。否则,一方面会增加网络建设整体成本,另一方面还会增加管理维护的复杂度,给网络引入潜在的故障隐患。因此在进行规划时,应该根据网络结构、网络类型和网络层次,分析网络业务模型,确定基础网络拓扑,明确对网络可靠性最佳的关键节点和链路,合理规划和部署各种网络高可用技术。
3 高可靠网络路由协议选择与分析
在高可靠企业网的设计与实现中,通常要涉及到的3个重要的协议,分别是:VRRP(Virtual Router Redundancy Protocol)、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol),正确选择并配置它们,是高可靠性网络设计的重要组成部分。
3.1 VRRP协议
虚拟路由器冗余协议VRRP[1]是一种容错协议,可以保证当主机的下一跳路由器失效时,及时的由另一台路由器来替代,从而保持通信的不间断性。VRRP的应用实际上是对网络可靠性和安全性要求的一种体现。
VRRP的运行是以路由器为基础,为了使VRRP工作,需要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。对于运行在三层交换机上的VRRP,与路由器上的VRRP并没有本质的区别,因为虚拟IP和虚拟MAC地址是和网络接口绑定在一起的。
VRRP将网络中的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。
如图2所示,路由器Ra、Rb和Rc组成了一个备份组,一个备份组相当于一台虚拟路由器,虚拟IP为192.168.16.1。备份组内Ra充当Master设备,IP地址为192.168.16.2;Rb和Rc都充当Backup设备,IP地址分别为192.168.16.3和192.168.16.4。对于VRRP而言,只有Master设备才能转发以虚拟IP为下一跳的报文。
图2 VRRP原理图
内部网络中的所有主机仅仅知道该虚拟IP为192.168.16.1,而并不知道具体的主用或备用设备的IP,因此各主机都将缺省网关配置为该虚拟IP地址。于是,内部网络中的各主机就通过该备份组与外部网络进行通信。
Master路由器的VRRP模块监视通信接口状态,并通过组播方式向Backup路由器发送通告报文。如果Master路由器故障或链路出现问题,则会导致无法正常发送VRRP通告报文。当Backup路由器在指定时间内收不到VRRP通告时,备份组内的其它Backup路由器将会根据优先级高低选出一个路由器充当新的Master,继续向网络内的主机提供路由服务。因此,采用VRRP技术可以实现内部网络中的主机不间断地与外部网络进行通信,提高了网络的可靠性与安全性。
在高可靠网络设计方案中,可以采用两台路由交换机S6810组成双核心,作为整个网络的核心,如图1所示。从位置上看,这两台设备刚好位于整个网络的中心,因此还应充分发挥它们数据中转的能力。为此,需要定义两个VRRP组,在不同的组里面,两个设备分别为Master和Backup。这样,在正常情况下,两台设备都可以进行数据包的转发,一个出故障时还有一台在转发,既实现了容错又实现了负载的均衡,充分发挥了核心数据中转的能力,提高了子网之间访问的速度。
3.2 OSPF协议
OSPF是网间工程任务组织(IETF)的内部网关协议工作组为IP网络而开发的一种动态路由协议。动态路由是指网络中的路由器之间周期性的相互传递路由信息,重新计算路由,更新路由表以适应网络结构的变化。对于规模大、网络拓扑复杂的校园网来说,采用动态路由协议能在关键链路或设备不能正常工作时,实现自动切换,保证网络的畅通。
