基于OSPF和NAT企业网可靠性和安全性仿真实验设计

◆刘开森 李天赐 李胜辉 王靖悦

基于OSPF和NAT企业网可靠性和安全性仿真实验设计

◆刘开森 李天赐 李胜辉 王靖悦

（湖北工业大学计算机学院 湖北 430068）

企业网的稳定和安全是企业正常运营的基础，但还有很多企业在其企业网的搭建上存在很多问题，例如网络结构过于复杂、协议配置不合理、技术过时等，为企业网的稳定性和安全性留下来隐患。基于OSPF和NAT应用在企业网来保证其稳定性和安全性的设计方案，摒弃了传统企业使用的RIP，将OSPF用在大中型企业乃至小型企业，可以有效地解决RIP所带来的一些问题，使网络的管理更加方便，强化了网络的结构性，提升了企业网的稳定性和安全性。

企业网；稳定性；安全性；OSPF；NAT

0 引言

随着企业的信息化水不断提高，现在企业的日常运营已经离不开网络，企业网的安全性和稳定性对发展显得日趋重要，在企业内部合理规划网络结构和选择相应的路由协议是保证企业网稳定性和安全性的重要手段。随着企业网的规模不断变大，静态路由的前期配置和后期维护的繁琐，静态路由显然已经不能满足企业对网络的要求。目前在企业网中用的比较多的是RIP，但是RIP有时候不能准确地选择最佳路径，收敛时间也比较长，不适合大中型企业和网络拓扑比较复杂的企业网。OSPF协议(Open Shortest Path First开放式最短路径优先）配置相对简单，具备自主学习功能，还具有收敛速度快、方便整合和自防环路等特点。将OSPF用在大中型企业乃至小型企业，可以有效地解决RIP所带来的一些问题，这也是本文的核心和亮点所在。本文还引用NAT技术，解决企业内网连接因特网的问题和缓解IPV4地址紧张的压力。

1 核心理论

1.1 OSPF协议简介[1-4 ]

OSPF协议(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，IGP），是应用于TCP/IP网络下的路由协议，是一种典型的链路状态（link-state）的路由协议，一般用于同一个路由域内。路由域是指一个自制系统AS（autonomous system），它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算其OSPF路由表的。OSPF分为OSPFv2和OSPFv3两个版本，其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。OSPFv2是由RFC 2328定义的，OSPFv3是由RFC 5340定义的。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。

1.2 OSPF链路状态收敛过程[1-3 ]

（1）当路由器初始化或者网络链路状态发生变化时，路由器会产生LSA（链路状态广播数据包）；

（2）所有路由器通过泛洪交换链路状态信息，相邻路由器根据接收到的LSA更新自己的数据库，并将自己的LSA传送给与其相邻的路由器，直至达到稳定；

（3）当OSPF路由协议收敛下来时，所有的路由器根据自己的链路状态数据库(LSDB)计算出各自的路由表；

（4）当网络状态稳定后，网络中传递的链路状态信息就变少了，节省了网络带宽。

1.3 NAT简介[1-4]

NAT英文全称是“Network Address Translation”，中文名称为“网络地址转换”，属于IETF标准之一，于1994年提出来，一般在路由器上安装NAT软甲来实现，所有本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

NAT的典型应用是将使用私有IP地址（RFC 1918）的园区网络连接到Internet，NAT技术的应用有效地解决了内部网路私有IP地址如何访问Internet的难题，这样公司就不需要再给内部网络中的每个设备都分配公有IP地址，既避免了公有地址的浪费，又节省了申请公有IP地址的费用，同时也缓解了IPV4地址空间被耗尽的速度。

1.4 RIP协议简介

RIP[1-3]（Routing Information Protocol）是内部网关协议IGP中最先得到广泛应用的协议[RFC1058]，其中文名为路由信息协议。RIP是一种分布式的基于距离向量的路由选择协议，使用距离矢量来决定最优路径，就是提供跳数（hop count）作为尺度来衡量路由距离。跳数（hop count）是一个报文从本节点到目的节点中途径的中转次数，也就是一个包到达目标所必须经过的路由器的数目。RIP最大的特点就是实现原理和配置方法都很简单，适用于小规模和缺乏专业人员维护的网络。但是它有时候不能准确地选择最佳路径，收敛时间也比较长。RIP允许一条路径最多只能包含15个路由器，路由器为16时即为不可达。因此RIP不适合大型复杂的网络。

1.5使用两者的好处

OSPF可以使企业内网有条不紊地工作，而NAT可以使企业内网和外网比较完美地结合，将两者结合在一起，企业网的内外问题就可以同时得到解决。

1.6局限性

图1 基于OSPF和NAT的企业网

首先是OSPF的路由负载均衡能力比较差，当去往同一目的的路由优先级相同时，才能实现负载分担；当优先级不同时，OSPF只会选择优先级较高的转发，优先级不同的路由，不能达到负载分担的目的。其次就是该NAT更多的功能仅仅就是实现了地址转换，而真正在网络安全上起到的作用就可以说是微乎其微了。真正的网络安全就要通过防火墙等来实现。

2 实验仿真

本次实验拓扑利用思科Cisco Packet Tracer模拟器搭建，为了保证企业网的可靠性，该企业网内部部署了R1和R2两台核心路由器，并通过R2连接到Internet上，出口路由器R2通过V.35线缆与一台外部路由器R3相连。在企业网的内部，R1通过三层交换机L3-SW与两台二层交换机相连，企业终端PC连接在二层交换机上。在三层交换机L3-SW上划分VLAN10和VLAN20，将二层交换机L2-SW1划分到VLAN10，将二层交换机L2-SW2划分到VLAN20。

企业网内部两台核心路由器R1主要承担企业网内部VLAN10和VLAN20数据包和来自R2的数据包的转发，R2主要承担转发来自R1和R3的数据包和NAT的任务。R1、R2、R3以及三层交换机L3-SW上配置OSPF协议，配置之后，在R1、R2之间选举产生DR（指定路由器）和BDR（备份指定路由器），从而使整个网络的链路状态达到稳定状态。当企业网络结构比较复杂的时候时，使用OSPF协议就可以在短时间内使链路状态带达到稳定，并可以减少链路中的路由信息数量，有利于企业中网络的稳定。R2和R4链接，模拟企业网接入Internet，需要在R2和R4之间配置静态路由。本实验是用单区域中的OSPF应用来模拟企业网络，其网络拓扑图如图2所示：

图2 企业网网络拓扑

3 具体配置方案

3.1 IP地址分配

在三层交换机L3-SW的f0/1-2划分到VLAN10，接口f0/3划分到VLAN20，f0/1链接R1，f0/2链接L2-SW1，f0/3链接L2-SW2，终端计算机连接在二层交换机上。在R3上建立loopback接口，用于模拟公网目的IP，各网络设备IP地址具体分配规划方案如图3所示：

设备名称接口IP地址 L3-SWf0/1-2VLAN10 10.1.1.1 f0/3VLAN20 50.1.1.1 R1f0/010.1.1.2 f0/020.1.1.1 R2f0/020.1.1.2 s0/3/030.1.1.1 s0/3/1222.0.0.1 R3s0/3/030.1.1.2 Loopback040.1.1.1 R4s0/3/0222.0.0.2 f0/0192.168.1.1 PCf0192.168.1.2 Server0f0192.168.2.2

3.2核心配置

（1）OSPF协议的配置

R1(config)#router ospf 10 //在R1上启用OSPF协议

R1(config-router)#netw 10.1.1.0 0.0.0.255 are 0 //网段宣告

R1(config-router)#netw 20.1.1.0 0.0.0.255 are 0 //网段宣告

L3-SW，R2、R3上的OSPF配置同上。

（2）配置NAT地址转换

为了让企业内网用户能够访问互联网资源，并且让外部用户能够访问企业的服务器，在核心路由器R2上配置NAT地址转换。新增路由器R4，模拟外部网络，PC0模拟外网用户。服务器Server0是企业园区网内的一台WEB服务器，其私有IP地址为192.168.2.2/24，现将其私网IP地址映射到全局IP地址222.0.0.3/24上，外网用户可以通过访问222.0.0.3登录到该公司内部的WEB服务器上。

①在R2上配置静态路由：

R2(config)#ip route 192.168.1.0 255.255.255.0 222.0.0.2

②在R2上配置NAT转换[5]：

R2(config)#interface fastEthernet 0/0 //进入接口f0/0

R2(config-if)#ip NAT inside //将接口f0/0设置为企业网内网接口

R2(config-if)#exit

R2(config)#interface serial 0/3/1 //进入接口s0/3/1

R2(config-if)#ip NAT outside //将s0/3/1设置为外网接口

R2(config-if)#exit

R2(config-if)#IP NAT inside source static 192.168.2.2 222.0.0.3 // 将服务器的私有地址转换成公有地址。

4 仿真实验测试

4.1测试内网中各个设备的连通性

（1） 用ping命令测试L3-SW访问服务器的连通性

L3-SW#ping 192.168.2.2（如图4）。

图4 L3-SW访问内网服务器

（2） 用ping命令测试L3-SW访问R3的连通性

L3-SW#ping 40.1.1.1（如图5）。

图5 L3-SW访问R3的连通性

4.2验证NAT服务

（1）在服务器上开启http服务，在index.html文件下上编写简单的HTML语句；

（2）在外网PC机上登录Web Browser，访问转换后的公网IP，可以访问；

（3）在外网PC机上登录Web Browser，访问其私有IP，无法访问；

（4）将某一域名与该企业的共有IP地址绑定（也可以和私有IP绑定）。

在WEB服务器上，同时开启DNS域名服务，将公网IP地址222.0.0.3与www.test.com绑定；同时在PC上设置DNS服务器，其IP地址为222.0.0.3，进行域名解析；此时即可在外网PC机上登录Web Browser，访问www.test.com，可以访问。

5 结论

本文解决了企业内部网络的稳定和与外部网络通信的问题，在企业网内部部署OSPF协议，保证企业网内部的稳定和正常通信。对于大型企业来说，其企业网络拓扑结构比较复杂，在其内网配置OSPF协议可以使企业网内部链路状态快速收敛，减少网络链路中的信息量。在IPV4地址日趋紧张的情况下，企业网使用NAT就显得尤为重要，一是可以缓解全球IPV4地址紧张的压力，二是可以为企业节约申请IPV4地址的资金，在一定程度上还可以抵御来自外网攻击，保证企业网络的安全。

基于单区域中的OSPF应用来模拟企业网络，还没有涉及防火墙的配置和VLAN的划分，在以后的学习实验中，应该尝试模拟更加全面的企业网，包括VLAN的划分、防火墙、WIFI等。

企业网的稳定和企业内部的路由控制策略也有着很大的关系，这也是我以后学习和研究的主要方向。一个企业网不可能只用某一个单一的路由协议，应该在不同的区域或者不同的场景选择合适的协议，这样从多方面上保证企业网络的安全和稳定。

[1]高霞，陈智罡，袁宗福.网络设备互连学习指南[M].北京:科学出版社，2009.

[2]杭州华三通信技术有限公司.H3C大规模路由技术V7.0 [M].浙江:杭州华三通信技术有限公司，2017.

[3]谢希仁.计算机网络[M].北京:电子工业出版社，2003.

[4]段宁华.计算机网络应用与实践教程[M].北京:清华大学出版社，2007.

[5]王达.Cisco路由器配置与管理完全手册（第二版）[M].北京:中国水利水电出版社，2013.

[6]张钢, 黄小波.思科虚拟实验平台的构建[J].实验室研究与探索，2010.

[7]陈英，马洪涛.NAT技术的研究与应用[J].实验室研究与探索，2007.

[8]桑世庆，卢小慧.交换机/路由器配置与管理[M].北京:人民邮电出版社，2010.

国家自然科学基金面上项目（编号：61772180）：基于深度学习的非结构化大数据分析算法研究。