金海峰

（江陰職業(yè)技術(shù)學(xué)院 江蘇省江陰市 214405）

1 技術(shù)原理介紹

1.1 路由過濾

路由過濾是對進出站路由進行控制，使得路由器只學(xué)習(xí)到必要、可預(yù)知的路由[1]。OSPF 路由過濾的方法包括：區(qū)域劃分、進程隔離、根據(jù)策略路由進行路由重發(fā)布等。

區(qū)域劃分：OSPF 將網(wǎng)絡(luò)結(jié)構(gòu)劃分成若干個區(qū)域，以減少OSPF算法的計算量。默認(rèn)情況下，所有的非骨干區(qū)域（區(qū)域號大于0）必須與骨干區(qū)域（區(qū)域號為0）直接相連，非骨干區(qū)域只能夠和骨干區(qū)域互發(fā)OSPF 報文，非骨干區(qū)域之間不能直接轉(zhuǎn)發(fā)OSPF 報文。

進程隔離：進程號用于在路由器上本地標(biāo)識OSPF 進程，取值范圍：1-65535。進程號僅具有本地意義，同一路由器上不同的進程相互獨立，默認(rèn)情況下，同一路由器上不同進程的OSPF 之間不能轉(zhuǎn)發(fā)OSPF 報文，實現(xiàn)OSPF 進程間的隔離。

根據(jù)策略路由進行路由重發(fā)布：配置路由重發(fā)布策略，可以在不同路由協(xié)議構(gòu)成的自治系統(tǒng)（比如：OSPF、RIP、IS-IS）之間轉(zhuǎn)發(fā)路由報文，實現(xiàn)網(wǎng)絡(luò)互聯(lián)互通。當(dāng)然，在配置路由重發(fā)布的時候，可以通過配置單向、雙向和策略路由將需要引入的路由進行轉(zhuǎn)發(fā)，實現(xiàn)路由的有效過濾。

1.2 H3C Cloud Lab[2]

H3C Cloud Lab（簡稱HCL）是新華三集團推出的一款圖形化全真網(wǎng)絡(luò)設(shè)備模擬軟件。借助HCL，用戶可以實現(xiàn)H3C 多種型號交換機、路由器、防火墻的虛擬組網(wǎng)，學(xué)習(xí)H3C 設(shè)備配置、調(diào)試，以及運維的相關(guān)知識與操作技能。

2 仿真實驗

實驗依托仿真平臺HCL，引入四臺路由器，自左向右依次命名為：MSR-A、MSR-B MSR-C、MSR-D，路由器之間采用交叉型雙絞線互聯(lián)。路由器MSR-A 與MSR-B 之間互聯(lián)IP 地址采用222.22.22.0/24，相應(yīng)的互聯(lián)端口劃分到非骨干區(qū)域area 1 中；路由器MSR-B 與MSR-C 之間互聯(lián)IP 地址采用222.22.23.0/24，相應(yīng)的互聯(lián)端口劃分到骨干區(qū)域area 0 中；路由器MSR-C 與MSR-D 之間互聯(lián)IP 地址采用222.22.24.0/24，相應(yīng)的互聯(lián)端口劃分到area 2中。路由器MSR-A 的GE0/0 接口歸屬于OSPF ID 101， MSR-B 的GE0/0 歸屬于ID 為 101 的進程，MSR-B 的GE0/1 歸屬于ID 為102的進程，路由器MSR-C、MSR-D的所有接口歸屬于ID為103的進程。具體拓?fù)浣Y(jié)構(gòu)如圖1 所示。

2.1 OSPF基本配置

2.1.1 MSR-A 的相關(guān)配置[3]

圖1：實驗拓?fù)浣Y(jié)構(gòu)

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0]ip address 222.22.22.1 24 //配置接口IP 地址

[H3C-GigabitEthernet0/0]undo shutdown

[H3C-GigabitEthernet0/0]quit

[H3C]ospf 101 //指定OSPF 的ID

[H3C-ospf-101]area 1 //指定OSPF 區(qū)域號

[H3C-ospf-101-area-0.0.0.1]network 222.22.22.0 0.0.0.255 //聲明網(wǎng)段地址

路由器MSR-B、MSR-C、MSR-D 的OSPF 配置方法與MSR-A類似，此處不再贅述。

2.1.2 結(jié)果分析

完成OSPF 的配置，待收斂完成，通過命令display ip routingt

able protocol ospf 可以查看各路由器上OSPF 路由信息。

（1）路由器MSR-A 的路由表。

狀態(tài)處于“Inactive”的路由信息為本地路由信息，后續(xù)不再羅列。

（2）路由器MSR-B 的路由表。

（3）路由器MSR-C 的路由表。

（4）路由器MSR-D 的路由表。

觀察各路由器的路由表，可以得知：路由器MSR-A 未學(xué)習(xí)到有效的OSPF 路由信息，路由器MSR-B 僅學(xué)習(xí)到了網(wǎng)絡(luò)222.22.24.0/24，路由器MSR-C 未學(xué)習(xí)到有效路由信息，路由器MSR-D 僅學(xué)習(xí)到了網(wǎng)絡(luò)222.22.23.0/24，路由器MSR-A 缺少網(wǎng)絡(luò)地址222.22.23.0/24、路由器MSR-C 和路由器MSR-D 缺少網(wǎng)絡(luò)地址222.22.22.0/24。說明路由器MSR-B 上ID 為101 的OSPF 進程沒有收到ID 為102 的OSPF 報文，同樣102 也沒有收到101 的報文。與此同時，也不難發(fā)現(xiàn)，路由器MSR-B（ID 為102）收到了MSR-C（ID 為103）發(fā)送的OSPF 報文。

縱觀所述，可以得出結(jié)論：OSPF 的ID 僅僅具有本地意義。默認(rèn)情況下，同一路由器的不同ID 的 OSPF 進程之間不會互發(fā)OSPF報文，而不同路由器之間互發(fā)OSPF 報文，不受ID 的限制。

2.2 路由重發(fā)布

路由重發(fā)布一般用于在不同自治系統(tǒng)（如RIP、OSPF、IS-IS等路由協(xié)議）之間轉(zhuǎn)發(fā)路由報文，實現(xiàn)網(wǎng)絡(luò)連通。同樣，路由重發(fā)布也可實現(xiàn)不同OSPF ID 進程之間轉(zhuǎn)發(fā)OSPF 報文。如圖1 所示，可以在路由器MSR-B 上配置路由重發(fā)布，允許ID 為101 的OSPF進程與102 之間轉(zhuǎn)發(fā)OSPF 報文，實現(xiàn)全網(wǎng)互聯(lián)互通。

2.2.1 路由重發(fā)布配置[4]

（1）引入ID 為102 的OSPF 報文。

完成配置后，查看路由器MSR-A 的路由表如下：

可以得知，路由器MSR-A 學(xué)習(xí)到了網(wǎng)絡(luò)地址222.22.24.0/24。

（2）引入直連路由。

[H3C-ospf-101]import-route direct

完成配置后，路由器MSR-A 的路由表如下：

至此，路由器MSR-A 完成所有網(wǎng)絡(luò)地址的學(xué)習(xí)。

（3）引入ID 為101 的OSPF 報文和直連路由。

完成配置后，路由器MSR-D 的路由表如下：

至此，所有路由器都完成全部網(wǎng)絡(luò)地址的學(xué)習(xí)，全網(wǎng)互聯(lián)互通。

2.3 路由過濾[5]

路由過濾是對進出站路由進行控制，使得路由器只學(xué)習(xí)到必要、可預(yù)知的路由。如圖1 所示，可以在路由器MSR-B 上配置路由過濾策略，使得路由器MSR-A 只學(xué)習(xí)到222.22.23.0/24，而忽略222.22.24.0/24。

（1）定義ACL。

[H3C]acl basic 2000

[H3C-acl-ipv4-basic-2000]rule 0 permit source 222.22.24.0 0.0.0.255

[H3C-acl-ipv4-basic-2000]quit

（2）定義策略路由。

[H3C]route-policy 24 deny node 0

[H3C-route-policy-24-0]if-match ip address acl 2000

（3）定義路由重發(fā)布。

[H3C]ospf 101

[H3C-ospf-101]import-route ospf 102 route-policy 24

配置完成后，路由器MSR-A 的路由表如下：

可以發(fā)現(xiàn)，網(wǎng)絡(luò)地址222.22.24.0/24 從MSR-A 的路由表中刪除了。因此，可以得出結(jié)論：通過路由策略與路由重發(fā)布聯(lián)動，可以實現(xiàn)OSPF 路由的過濾，避免不必要的網(wǎng)絡(luò)地址泄露。

3 結(jié)語

在仿真環(huán)境下，本文對OSPF 動態(tài)路由協(xié)議的區(qū)域劃分、進程隔離和路由重發(fā)布、路由過濾的工作機制、技術(shù)方法進行了較為深入的闡述與分析，分析過程與研究成果對于師生深入理解OSPF 的工作機制具有較強的指導(dǎo)意義。