OSPF路由过滤实验设计与仿真

金海峰

（江阴职业技术学院 江苏省江阴市 214405）

1 技术原理介绍

1.1 路由过滤

路由过滤是对进出站路由进行控制，使得路由器只学习到必要、可预知的路由[1]。OSPF 路由过滤的方法包括：区域划分、进程隔离、根据策略路由进行路由重发布等。

区域划分：OSPF 将网络结构划分成若干个区域，以减少OSPF算法的计算量。默认情况下，所有的非骨干区域（区域号大于0）必须与骨干区域（区域号为0）直接相连，非骨干区域只能够和骨干区域互发OSPF 报文，非骨干区域之间不能直接转发OSPF 报文。

进程隔离：进程号用于在路由器上本地标识OSPF 进程，取值范围：1-65535。进程号仅具有本地意义，同一路由器上不同的进程相互独立，默认情况下，同一路由器上不同进程的OSPF 之间不能转发OSPF 报文，实现OSPF 进程间的隔离。

根据策略路由进行路由重发布：配置路由重发布策略，可以在不同路由协议构成的自治系统（比如：OSPF、RIP、IS-IS）之间转发路由报文，实现网络互联互通。当然，在配置路由重发布的时候，可以通过配置单向、双向和策略路由将需要引入的路由进行转发，实现路由的有效过滤。

1.2 H3C Cloud Lab[2]

H3C Cloud Lab（简称HCL）是新华三集团推出的一款图形化全真网络设备模拟软件。借助HCL，用户可以实现H3C 多种型号交换机、路由器、防火墙的虚拟组网，学习H3C 设备配置、调试，以及运维的相关知识与操作技能。

2 仿真实验

实验依托仿真平台HCL，引入四台路由器，自左向右依次命名为：MSR-A、MSR-B MSR-C、MSR-D，路由器之间采用交叉型双绞线互联。路由器MSR-A 与MSR-B 之间互联IP 地址采用222.22.22.0/24，相应的互联端口划分到非骨干区域area 1 中；路由器MSR-B 与MSR-C 之间互联IP 地址采用222.22.23.0/24，相应的互联端口划分到骨干区域area 0 中；路由器MSR-C 与MSR-D 之间互联IP 地址采用222.22.24.0/24，相应的互联端口划分到area 2中。路由器MSR-A 的GE0/0 接口归属于OSPF ID 101， MSR-B 的GE0/0 归属于ID 为 101 的进程，MSR-B 的GE0/1 归属于ID 为102的进程，路由器MSR-C、MSR-D的所有接口归属于ID为103的进程。具体拓扑结构如图1 所示。

2.1 OSPF基本配置

2.1.1 MSR-A 的相关配置[3]

图1：实验拓扑结构

[H3C]interface GigabitEthernet 0/0

[H3C-GigabitEthernet0/0]ip address 222.22.22.1 24 //配置接口IP 地址

[H3C-GigabitEthernet0/0]undo shutdown

[H3C-GigabitEthernet0/0]quit

[H3C]ospf 101 //指定OSPF 的ID

[H3C-ospf-101]area 1 //指定OSPF 区域号

[H3C-ospf-101-area-0.0.0.1]network 222.22.22.0 0.0.0.255 //声明网段地址

路由器MSR-B、MSR-C、MSR-D 的OSPF 配置方法与MSR-A类似，此处不再赘述。

2.1.2 结果分析

完成OSPF 的配置，待收敛完成，通过命令display ip routingt

able protocol ospf 可以查看各路由器上OSPF 路由信息。

（1）路由器MSR-A 的路由表。

状态处于“Inactive”的路由信息为本地路由信息，后续不再罗列。

（2）路由器MSR-B 的路由表。

（3）路由器MSR-C 的路由表。

（4）路由器MSR-D 的路由表。

观察各路由器的路由表，可以得知：路由器MSR-A 未学习到有效的OSPF 路由信息，路由器MSR-B 仅学习到了网络222.22.24.0/24，路由器MSR-C 未学习到有效路由信息，路由器MSR-D 仅学习到了网络222.22.23.0/24，路由器MSR-A 缺少网络地址222.22.23.0/24、路由器MSR-C 和路由器MSR-D 缺少网络地址222.22.22.0/24。说明路由器MSR-B 上ID 为101 的OSPF 进程没有收到ID 为102 的OSPF 报文，同样102 也没有收到101 的报文。与此同时，也不难发现，路由器MSR-B（ID 为102）收到了MSR-C（ID 为103）发送的OSPF 报文。

纵观所述，可以得出结论：OSPF 的ID 仅仅具有本地意义。默认情况下，同一路由器的不同ID 的 OSPF 进程之间不会互发OSPF报文，而不同路由器之间互发OSPF 报文，不受ID 的限制。

2.2 路由重发布

路由重发布一般用于在不同自治系统（如RIP、OSPF、IS-IS等路由协议）之间转发路由报文，实现网络连通。同样，路由重发布也可实现不同OSPF ID 进程之间转发OSPF 报文。如图1 所示，可以在路由器MSR-B 上配置路由重发布，允许ID 为101 的OSPF进程与102 之间转发OSPF 报文，实现全网互联互通。

2.2.1 路由重发布配置[4]

（1）引入ID 为102 的OSPF 报文。

完成配置后，查看路由器MSR-A 的路由表如下：

可以得知，路由器MSR-A 学习到了网络地址222.22.24.0/24。

（2）引入直连路由。

[H3C-ospf-101]import-route direct

完成配置后，路由器MSR-A 的路由表如下：

至此，路由器MSR-A 完成所有网络地址的学习。

（3）引入ID 为101 的OSPF 报文和直连路由。

完成配置后，路由器MSR-D 的路由表如下：

至此，所有路由器都完成全部网络地址的学习，全网互联互通。

2.3 路由过滤[5]

路由过滤是对进出站路由进行控制，使得路由器只学习到必要、可预知的路由。如图1 所示，可以在路由器MSR-B 上配置路由过滤策略，使得路由器MSR-A 只学习到222.22.23.0/24，而忽略222.22.24.0/24。

（1）定义ACL。

[H3C]acl basic 2000

[H3C-acl-ipv4-basic-2000]rule 0 permit source 222.22.24.0 0.0.0.255

[H3C-acl-ipv4-basic-2000]quit

（2）定义策略路由。

[H3C]route-policy 24 deny node 0

[H3C-route-policy-24-0]if-match ip address acl 2000

（3）定义路由重发布。

[H3C]ospf 101

[H3C-ospf-101]import-route ospf 102 route-policy 24

配置完成后，路由器MSR-A 的路由表如下：

可以发现，网络地址222.22.24.0/24 从MSR-A 的路由表中删除了。因此，可以得出结论：通过路由策略与路由重发布联动，可以实现OSPF 路由的过滤，避免不必要的网络地址泄露。

3 结语

在仿真环境下，本文对OSPF 动态路由协议的区域划分、进程隔离和路由重发布、路由过滤的工作机制、技术方法进行了较为深入的阐述与分析，分析过程与研究成果对于师生深入理解OSPF 的工作机制具有较强的指导意义。