基于OSPF和NAT的企业网络构建

陶 骏，严志兵，颜云生，张云铃

1 概述

目前很多企事业局域网是采取静态路由协议或RIP协议构建的，采取静态路由协议的缺点主要有：星型拓扑中的核心路由器负荷较重，所有的路由功能都由核心路由器完成，当处于业务忙时，核心路由器无法正常完成数据包的转发时，就会产生频繁的丢包，影响用户感知［1］.采取RIP路由协议时，RIP协议不支持可变长子网掩码和不连续网络，因此当遇到不连续子网时就会出现数据包丢失或者网络不可达的现象.而且RIP每隔30秒就会发送一次路由更新，当路由收敛还没达到一致时就容易引起网络环路，同时也占用了大量宝贵的带宽.

在一个中型企业中，由于中型企业的网络比较复杂，如果是基于RIP协议则网络收敛速度会很慢，而且它的扩展性也不是很好，所以如果有新的网络加入时，可能由于收敛速度过慢，而导致网络环路.RIP协议用跳数作为度量值，当超过15跳即为不可达，所以当一个企业有超过15个路由器时，其再使用RIP协议就有很大的局限性［2］.

支持可变长子网掩码和15跳以上的路由距离的IGP路由协议有OSPF和ISIS协议，ISIS协议运行时需要耗费较多的资源，中小型企业适合使用OSPF协议进行网络优化，如某中型企业有四栋三层建筑，一栋楼有防火墙（路由器充当），其余三栋楼各有一台路由器，这四个设备都是思科2811，防火墙和中国电信互联，每栋楼有一台汇聚交换机，每一层楼房有一台接入交换机，每台接入交换机负责接入用户终端，一层楼属于一个VLAN，一个VLAN有256个地址（一个C类地址），路由器和防火墙之间通信通过RIP协议实现，每栋楼有一台私有服务器，私有服务器不用上公网.

改造前公司网络是基于RIP协议和静态路由协议实现.针对上文RIP协议的缺陷，我们采用OSPF协议与NAT技术对网络进行改造.具体网络拓扑图如图1.

图1 公司网络拓扑

2 基于OSPF协议与NAT的网络改造

2.1 概念

我们这里介绍的OSPF叫作开放最短路径优先协议，它是一个内部网关协议.它是基于Eds⁃ger Dijkstra的最短路径算法.它以路由器到目的网络的累积带宽作为度量值，当路由器开启OSPF路由进程时，每台路由器会发送hello数据包，如果一个接口收到OSPF hello数据包，即可确认该链路上存在另一台OSPF路由器，同时便与该路由器建立邻居关系，当路由器收不到邻居发送的hello数据包时，即代表邻居关系破裂.接着每台路由器创建一个LSP，并将LSP泛洪到自己的邻居，然后邻居路由器将收到的LSP存储到数据库中，最后邻居路由器使用数据库创建一个完整的拓扑图，并计算通往远程网络的最佳路径，形成SPF树，这样所有的路由器便有了通向每个网络的最佳路径.相比RIP协议它有很多优点.首先，它可以知道到达每个远程网络的最佳路径.第二，它的收敛速度很快，因为RIP协议需要处理每个路由更新，并且在更新完路由表后才能从所有接口泛洪出去，而OSPF协议在收到一个LSP时，立即将该LSP从除接收该LSP的接口以外的所有接口泛洪出去.第三，它是触发更新，只有当网络拓扑中发生变化时才会发送更新，而且也只发送给那些受到影响的网络，这样就节省了带宽.第四，OSPF协议使用了区域的概念，多个区域形成了层次化的网络结构，这样可减少OSPF协议对CPU和内存的占用.最后，OSPF协议支持可变子网掩码和不连续网络，这些优点让OSPF协议更适用于现代化企业网络的构建［3］.

NAT为网络地址转换协议.随着现在网络的快速增加，现在ipv4地址已经所剩不多了，目前使用得最多的方法就是采用网络地址转换.所谓的网络地址转换就是把私网IP地址转换为全球IP地址，这样便可以使多台计算机共享Internet，同时，外部网络并不知道内部网络的情况.网络地址转换协议，很大程度上缓解了ipv4地址不足的问题，同时NAT还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机.

2.2 基于OSPF协议与NAT的网络改造

如图1所示：这里一共有四栋楼，每栋楼有3层，每层有一个交换机，用来划分VLAN，每栋楼各有一台汇聚交换机和一台路由器，汇聚交换机用来将接入层交换机传来的数据汇聚到核心层，路由器主要是用于终结2层VLAN，分配IP地址，实现私网地址与公网地址的转换，并使整个网络正常运行，每栋楼有一台服务器，但它不能与公网服务器通信，每台用户终端可以互相ping通，而且每台用户终端可以ping通外网（中国电信）与外网服务器［4］.

网络升级改造时用OSPF协议来代替RIP协议进行改造.首先每层楼的接入交换机划分VLAN，一共划分12个VLAN，将该层用户终端加入VLAN（即关联与用户终端相连接的端口），并与汇聚交换机配置中继链路，汇聚交换机分别与接入交换机和路由器配置中继链路.每台路由器配置3个DHCP地址池，每一个DHCP地址池对应一层楼，用于给每层楼分配私网地址，让用户终端可以动态的获取IP地址，接着配置OSPF协议，通过宣告自己的链路状态，让邻居路由器获取自己的链路状态信息，并存储到数据库中，配置子接口，每个子接口对应一个VLAN，通过子接口，让处于不同VLAN的用户终端可以互相ping通，防火墙（路由器充当）需要配置NAT，这时我们需要配置ACL规则，用于规定允许翻译的网段，还需要配置翻译后的全球IP地址，并关联翻译的送出端口，这样当用户终端发送一个通往外网的IP数据报时，我们就可以把它转换为全球IP地址.防火墙与外网（中国电信）之间只需要配置默认静态路由，并且将默认静态路由通过OSPF协议进行下发，此时所有的用户终端就有了通往外网（中国电信）的路径.中国电信只需要配置与防火墙的互联端口即可，用户终端不需要配置，因为它可以通过DHCP获取IP地址，私人服务器与公网服务器要配置IP地址，但在OSPF宣告时不宣告私网服务器的IP地址，这样的目的是使私网服务器不能上公网.最后检验时，任二台用户终端可以互相ping通，而且可以ping通外网服务器，并通过防火墙看到2个full状态的邻居，选取3台用户终端同时ping外网，可以在防火墙上查看翻译情况.这样，我们改造后的网络也达到了改造前网络的所有功能［5］.

3 实验结果分析

网络改造后，用户的各项业务使用正常，用户的感知均强于改造前，测试后具体的各项实验结果对比如下所述.

3.1 RIP（改造前）与OSPF（改造后）抖动的比较

选取3个时刻，分别是10，15，20，然后同时ping国外网站，从直方图（见图2）中我们发现，在这3个时刻里，OSPF协议所构建的网络（改造后）的抖动次数都比RIP协议（改造前）所构建的网络的抖动次数少，所以利用OSPF协议组建的网络延迟更少.

图2 RIP与OSPF抖动次数直方图

3.2 RIP与OSPF时延的比较

选取24个时刻，通过ping重点网站，比较两者的时延，我们发现，除了13时刻两者时延相等外，其余23个时刻，通过RIP协议组建的网络的时延都大于OSPF协议组建网络的时延（见图3）.

图3 24个时刻RIP与OSPF所对应时延的折线图

3.3 RIP与OSPF丢包数目的比较

从图4中，可以发现利用OSPF协议组建的网络的丢包数目明显少于利用RIP协议组建网络的丢包数目.从上述分析中可以看出，改造后的网络明显优于改造前.

图4 RIP与OSPF丢包数目折线图

4 总结

当今企业网络主要使用RIP协议和静态路由来组建网络，我们通过利用OSPF协议和NAT技术对其进行改造，并得出改造前与改造后的实验数据，通过比较抖动、时延和丢包数目来确定基于RIP协议与静态路由和基于OSPF协议与NAT两种技术哪个更适合现代化网络的构建，最后我们得出基于OSPF和NAT技术的路由协议更适合现代化网络的组建.改造后网络不足是缺乏QOS技术，不能保障关键业务优先发送，这也是后续的研究重点［6-7］.