【企業(yè)網(wǎng)無線路由器的安全策略與優(yōu)化設(shè)計(jì)17000字（論文）】

企業(yè)網(wǎng)無線路由器的安全策略與優(yōu)化設(shè)計(jì)摘要網(wǎng)絡(luò)是推進(jìn)人類發(fā)展的一個(gè)重要因素，尤其在今天，各行業(yè)均離不開計(jì)算機(jī)網(wǎng)絡(luò)，因?yàn)樗岣吡宿k公效率，縮短了人與人之間的距離，目前社會(huì)對于熟練掌握計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的人才的需求越來越大，而從事該職位的人也非常多，而同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展也是非常快的，從IPv4地址即將被耗盡到IPv6時(shí)代的來臨，計(jì)算機(jī)網(wǎng)絡(luò)也變得越來越復(fù)雜化和智能化，在全球化的今天，無處不用網(wǎng)絡(luò)技術(shù)，任何東西之間，通過網(wǎng)絡(luò)互連會(huì)讓人們的生活更加舒適和便捷，比如這幾年興起的智能家居，通過一些計(jì)算機(jī)編程，實(shí)現(xiàn)網(wǎng)絡(luò)控制家里電器設(shè)備的啟動(dòng)與關(guān)閉，不僅適應(yīng)了當(dāng)代人們快節(jié)奏的生活，也提高了人類的發(fā)展，網(wǎng)絡(luò)的地位日益重要，而網(wǎng)絡(luò)的聯(lián)通，路由是必不可少的，選擇一個(gè)合適的路由協(xié)議，不僅能夠提高網(wǎng)絡(luò)的速度，還能減少網(wǎng)絡(luò)中存在的問題。這篇文章先是對于課題背景、探究意義和現(xiàn)狀進(jìn)行了必要的闡述，之后對于網(wǎng)絡(luò)協(xié)議的選定做出了必要的陳述，其中能夠涵蓋普通的路由協(xié)議、路由的優(yōu)缺點(diǎn)、路由協(xié)議的基本原理，進(jìn)一步分析了企業(yè)網(wǎng)絡(luò)建設(shè)，包括企業(yè)網(wǎng)絡(luò)現(xiàn)狀、實(shí)際構(gòu)建該方案的網(wǎng)絡(luò)信息安全技術(shù)、網(wǎng)絡(luò)設(shè)計(jì)、子網(wǎng)劃分、操作過程、網(wǎng)絡(luò)實(shí)現(xiàn)。關(guān)鍵詞：無線路由器；安全設(shè)計(jì)；企業(yè)網(wǎng)目錄TOC\o"1-3"\h\u11994摘要 I22855ABSTRACT II293511緒論 1171541.1研究背景與意義 123511.2國內(nèi)外研究現(xiàn)狀 1109741.3論文主要任務(wù) 1233882無線路由器相關(guān)理論 2293602.1無線路由器的原理及應(yīng)用 2138202.2無線路由器安全狀況 313282.3無線路由器的優(yōu)化 3280313無線路由器安防與優(yōu)化中的關(guān)鍵技術(shù) 439013.1無線路由器所采用的安全技術(shù) 4324473.2基于無線路由器的網(wǎng)絡(luò)優(yōu)化技術(shù) 638324企業(yè)網(wǎng)無線路由器安全與優(yōu)化需求分析 7303204.1整體需求分析 725784.2員工需求分析 7311664.3管理層需求分析 7207274.4運(yùn)維人員需求分析 799215企業(yè)網(wǎng)無線路由器安全策略與優(yōu)化的方案設(shè)計(jì) 7267375.1企業(yè)網(wǎng)無線路由器整體設(shè)計(jì) 766345.2企業(yè)網(wǎng)無線路由器安全配置 1089095.3企業(yè)網(wǎng)無線路由器核心安防功能設(shè)計(jì) 10280135.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)化 11302225.5企業(yè)網(wǎng)無線路由器軟硬件優(yōu)化 19257036測試與結(jié)果分析 2662596.1無線路由器安全配置與性能測試 26326836.2無線路由器安全防護(hù)效果測試 27323476.3網(wǎng)絡(luò)性能測試 27271206.4網(wǎng)絡(luò)安全驗(yàn)證 2887596.5測試結(jié)果對比 29129317總結(jié) 296058參考文獻(xiàn) 301緒論1.1研究背景與意義由于Internet技術(shù)在全世界范疇中獲得了快速的發(fā)展，當(dāng)前在Internet廣域網(wǎng)、Intranet企業(yè)網(wǎng)中，OSPF路由協(xié)議早已是使用比較多且比較普遍的一種。它其實(shí)是IETF（InternetEngineeringTaskForce）IGP工作小組指出的一種路由協(xié)議，能夠以SPF算法為基礎(chǔ)，當(dāng)前選用此協(xié)議的第2版，能夠定義成RFC1247、RFC1583。另外它還屬于1個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol,可簡寫為IGP），能夠使用在單一自治系統(tǒng)（AutonomousSystemAS）中實(shí)現(xiàn)對路由的決策。和RIP是相對的，OSPF屬于鏈路形態(tài)的路由協(xié)議，至于RIP，它則屬于距離矢量的路由協(xié)議。關(guān)于OSPF協(xié)議，它具有分布式的特征，并且具有動(dòng)態(tài)特征，對于網(wǎng)絡(luò)流量、拓?fù)浼軜?gòu)產(chǎn)生的改變，動(dòng)態(tài)路由能夠想辦法去適應(yīng)這種改變?？紤]到要?jiǎng)討B(tài)適應(yīng)故障等相關(guān)的網(wǎng)絡(luò)形態(tài)的改變情況，在結(jié)點(diǎn)之間務(wù)必交換鏈路的形態(tài)，比如此路由器和哪部分路由器臨近、帶寬等等內(nèi)容。如果鏈路形態(tài)產(chǎn)生了相應(yīng)的改變，能夠發(fā)送這部分?jǐn)?shù)據(jù)。并非全部的路器之間均能夠?qū)崿F(xiàn)數(shù)據(jù)的發(fā)送，唯有鄰接的路由器裝置之間方可實(shí)現(xiàn)對鏈路形態(tài)數(shù)據(jù)的發(fā)送。1.2國內(nèi)外研究現(xiàn)狀對于互聯(lián)網(wǎng)里面的路由，能夠分成1個(gè)主干區(qū)域（backbone）與一些非主干區(qū)域，對于區(qū)域而言，其實(shí)是將很多網(wǎng)絡(luò)與主機(jī)還有此區(qū)域中的路由器共同組成的邏輯組。在路由里面所有區(qū)域的內(nèi)部均具備鏈路狀態(tài)數(shù)據(jù)庫與對應(yīng)的網(wǎng)絡(luò)拓?fù)鋱D，另外區(qū)域中全部路由器運(yùn)轉(zhuǎn)的數(shù)據(jù)庫能夠保持同步。任意1個(gè)路由里面均具備1個(gè)主干區(qū)，這就是區(qū)域O，通過ID進(jìn)行相應(yīng)的標(biāo)記。它能夠?qū)崿F(xiàn)的任務(wù)則是對于各非主干區(qū)之間的路由數(shù)據(jù)完成相應(yīng)的發(fā)布。對于主干區(qū)而言，務(wù)必保持持續(xù)性，一樣的，全部的OSPF區(qū)務(wù)必被銜接至區(qū)域O，假如在主干區(qū)的持續(xù)性產(chǎn)生了斷開的情況，那么也許要求創(chuàng)建虛鏈路進(jìn)行相應(yīng)的銜接。1個(gè)區(qū)域的信息與細(xì)節(jié)對于該區(qū)之外的區(qū)域而言具有不可見的特性，如此一來能夠制約1個(gè)區(qū)域自身的洪泛流量，確保路由在管理和維護(hù)起來更加便利，另外這也是有效填補(bǔ)OSPF協(xié)議占用CPU與內(nèi)存的方式，能夠極大程度上減小路由數(shù)據(jù)耗用的網(wǎng)絡(luò)帶寬。1.3論文主要任務(wù)由于科技不斷進(jìn)步，各個(gè)產(chǎn)業(yè)的發(fā)展持續(xù)完善。尤其是計(jì)算機(jī)技術(shù)以較快的速度持續(xù)發(fā)展，結(jié)果網(wǎng)絡(luò)越來越普遍地使用在人們生活的方方面面。它們和人們的工作、生活之間的關(guān)聯(lián)逐漸更加密切?；贗nternet網(wǎng)的全球信息化不斷發(fā)展，關(guān)于網(wǎng)絡(luò)技術(shù)的探究與發(fā)展則會(huì)更加完善更加深刻。2無線路由器相關(guān)理論2.1無線路由器的原理及應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過程中，路由是至關(guān)重要的，選擇一個(gè)合適的路由協(xié)議，不僅可以提高網(wǎng)絡(luò)運(yùn)行效率，還能減少一些不必要的問題，比如路由環(huán)路等等情況。對于路由協(xié)議而言，能夠分成靜態(tài)、動(dòng)態(tài)這2類，對于前者，配置起來耗時(shí)耗力，非常不方便，尤其是在大型網(wǎng)絡(luò)中，操作過程非常繁瑣，并且在管理方面也十分的困難，因此，你很難看到一個(gè)大型網(wǎng)絡(luò)使用靜態(tài)路由協(xié)議，而動(dòng)態(tài)路由的出現(xiàn)，則解決了這一難題，動(dòng)態(tài)路由是自動(dòng)學(xué)習(xí)和更新路由表的，管理起來十分方便，相比靜態(tài)路由，工作量大大減少了，目前主流路由協(xié)議就是動(dòng)態(tài)路由。常見的動(dòng)態(tài)路由協(xié)議有RIP，OSPF，EIGRP，BGP，下面簡單陳述RIP協(xié)議：這種協(xié)議在非常早的時(shí)候就已經(jīng)應(yīng)用到Internet上，它的配備非常簡潔。它重點(diǎn)是傳輸路由數(shù)據(jù)，每經(jīng)過30的時(shí)間就對于路由表實(shí)施1次廣播，由此維護(hù)臨近路由器的方位關(guān)聯(lián)，之后參照接到的路由表數(shù)據(jù)求出自身的路由表數(shù)據(jù)?？紤]到RIP協(xié)議屬于距離矢量型的，它的跳數(shù)最大值是15跳，如果該數(shù)據(jù)大于15跳，那么判定目標(biāo)網(wǎng)絡(luò)無法抵達(dá)。故而，對于RIP協(xié)議而言，一般經(jīng)常使用到小型網(wǎng)絡(luò)中。它能夠分成RIPv1、RIPv2這2個(gè)版本，后者能夠支持VLSM技術(shù)還有相關(guān)技術(shù)方面的改良。RIP的特點(diǎn)是：1.配置簡單；2.適用于小型網(wǎng)絡(luò)（最大支持15跳）缺點(diǎn)是：1.收斂速度慢；2.不支持中大型網(wǎng)絡(luò)。OSPF（開放式最短路徑優(yōu)先）：OSPF是IETF（InternetEngineeringTaskForce）組織開發(fā)的一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。目前針對IPv4協(xié)議使用的是OSPFVersion2。考慮到它在鏈路狀態(tài)的選路算法中用到SPF來求出最短路徑，故而，如果網(wǎng)站規(guī)模增大，它就會(huì)具備更加優(yōu)質(zhì)的擴(kuò)展性，故而，OSPF具備更加優(yōu)質(zhì)的網(wǎng)絡(luò)性能。另外它能夠支持負(fù)載平衡（LoadingBalancing）與以服務(wù)種類為基礎(chǔ)的選路，能夠支持許多類路由樣式，其中能夠涵蓋特殊的主機(jī)路由等等。若存在到某個(gè)路由謎底網(wǎng)絡(luò)的多條費(fèi)用相等的最佳通路，OSPF也能夠?qū)⒘髁烤鶆虻胤峙涞竭@幾條路由上。它能夠支持內(nèi)在的層級化選路方式，能夠把內(nèi)網(wǎng)分為一些區(qū)域（Area）。區(qū)域自包含的（Self-Contained）,區(qū)域內(nèi)的拓?fù)浣Y(jié)構(gòu)對其他區(qū)域隱藏。然后，各個(gè)區(qū)域能夠合作地利用OSPF進(jìn)行選路，同時(shí)又使個(gè)區(qū)域保留了獨(dú)立改變其內(nèi)部拓?fù)浣Y(jié)構(gòu)的能力。這樣的話，OSPF協(xié)議擴(kuò)展與梳理起來更加便利，故而，它可以應(yīng)用到規(guī)模比較大的網(wǎng)絡(luò)中。OSPF的特點(diǎn)是：1.適用于大型網(wǎng)絡(luò)2.組播觸發(fā)式更新3.收斂速度塊4.以開銷作為度量值5.不會(huì)產(chǎn)生路由環(huán)路6.應(yīng)用最廣泛7.支持路由匯總。2.2無線路由器安全狀況關(guān)于OSPF協(xié)議，作為內(nèi)部網(wǎng)關(guān)協(xié)議，它具有分布式的特征和動(dòng)態(tài)特征，其中動(dòng)態(tài)路由能夠想辦法去匹配網(wǎng)絡(luò)流量、拓?fù)浼軜?gòu)這些因素的改變情況?？紤]到需要?jiǎng)討B(tài)符合故障等相關(guān)的網(wǎng)絡(luò)形態(tài)產(chǎn)生的變化情況，對于節(jié)點(diǎn)之間務(wù)必完成鏈路形態(tài)的交換，比如該路由器和哪部分路由器臨近、距離、帶寬等等內(nèi)容。如果鏈路形態(tài)出現(xiàn)了相應(yīng)的改變，那么能夠發(fā)送這部分?jǐn)?shù)據(jù)。并非全部的路由器間均能夠發(fā)送相關(guān)的數(shù)據(jù)，唯有處于鄰接狀態(tài)的路由器間方可實(shí)現(xiàn)對鏈路形態(tài)數(shù)據(jù)的傳送。對于1個(gè)OSPF路由器實(shí)施初始化操作的時(shí)候，先是對于路由器本身帶有的協(xié)議數(shù)據(jù)庫實(shí)施初始化操作，之后等候低層協(xié)議的提示接口是不是處在工作形態(tài)。假如低層協(xié)議判定1個(gè)接口處在工作形態(tài)，那么OSPF協(xié)議能夠經(jīng)過其Hello分組和余下的OSPF路由器創(chuàng)建對應(yīng)的交互聯(lián)系。在1個(gè)OSPF路由器對于臨近的路由器傳送Hello數(shù)據(jù)包的情況下，假如它自身接到某個(gè)路由器傳回的Hello數(shù)據(jù)包，那么判定這2個(gè)OSPF路由器間順利創(chuàng)建了OSPF交互聯(lián)系，此流程在OSPF內(nèi)就是鄰接，唯有這種關(guān)系下的路由器裝置之間方可傳送相關(guān)的鏈路形態(tài)數(shù)據(jù)。相比較于RIP，OSPF不會(huì)產(chǎn)生路由環(huán)路，并且支持大型網(wǎng)絡(luò)，相比較于EIGRP，OSPF的適用范圍更廣，支持的設(shè)備也更多，相比較于BGP來講配置起來更加簡單，管理起來也更加輕松。2.3無線路由器的優(yōu)化關(guān)于OSPF協(xié)議，它其實(shí)是一類比較經(jīng)典的鏈路形態(tài)（Link-state）的路由協(xié)議，通常情況下使用在相同的路由域中。此處的路由域其實(shí)就是1個(gè)AS（AutonomousSystem）自治系統(tǒng)。在此系統(tǒng)里面，全部的OSPF路由器均能夠維護(hù)1個(gè)一樣的數(shù)據(jù)庫，用來陳述此AS架構(gòu)，在此數(shù)據(jù)庫內(nèi)主要放置路由域里面對應(yīng)鏈路的形態(tài)數(shù)據(jù)，對于OSPF路由器而言，它就是經(jīng)過此數(shù)據(jù)庫求出對應(yīng)的OSPF路由表的。和距離矢量路由協(xié)議不一樣的是，OSPF這種鏈路形態(tài)的路由協(xié)議能夠把鏈路形態(tài)廣播數(shù)據(jù)包LSA（LinkStateAdvertisement）傳遞至位于某個(gè)區(qū)塊的全部路由器。對于運(yùn)轉(zhuǎn)距離矢量路由協(xié)議的路由器，其實(shí)是把一些或是所有的路由表傳送至和其能夠保持相鄰狀態(tài)的路由器。對于本有的局域網(wǎng)關(guān)鍵性能、帶寬不夠，或是冗余牢靠性比較弱的狀況，如果要對核心層進(jìn)行相應(yīng)的改良，那么重點(diǎn)是選用千兆鏈路帶寬實(shí)施相應(yīng)的拓展,能夠選定1個(gè)容量比較大的新的中心交換機(jī)ZXR108908去替換本有的裝置，另外思考把本有的核心裝備舍棄掉或是實(shí)施下移處理。另外新的核心裝備則要求實(shí)現(xiàn)的和全部舊的有關(guān)網(wǎng)絡(luò)裝備的銜接,確保本有的交換機(jī)體系在銜接了新的核心裝備之后,可以確保本有的業(yè)務(wù)體系處于運(yùn)轉(zhuǎn)狀態(tài)。經(jīng)過改建指揮，有關(guān)中紡院的網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況可參見下圖。在互聯(lián)網(wǎng)里面涵蓋很多AS自治系統(tǒng)的路由域，它用到了統(tǒng)一的路由協(xié)議，并且能夠相互交換路由數(shù)據(jù)。一般情況下AS間會(huì)運(yùn)用邊界路由協(xié)議BGP,但是在AS內(nèi)部，一般情況下會(huì)運(yùn)用到OSPF或是IS-IS等相關(guān)的協(xié)議。OSPF這種協(xié)議當(dāng)前應(yīng)用相對普遍。在運(yùn)用此協(xié)議的時(shí)候,全部OSPF路由器均維護(hù)1個(gè)一樣的數(shù)據(jù)庫，能夠用來陳述AS拓?fù)浼軜?gòu),此數(shù)據(jù)庫里面放置了AS體系內(nèi)所有網(wǎng)絡(luò)鏈路的形態(tài)數(shù)據(jù),對于每臺(tái)OSPF路由器設(shè)備而言，關(guān)于由此路由器抵達(dá)所有目標(biāo)地的最短路徑，實(shí)際上是運(yùn)用此數(shù)據(jù)庫中的相關(guān)數(shù)據(jù)，并且選用SPF算法求出的。這個(gè)時(shí)候盡管所有的路由器均能夠從自身角度找出抵達(dá)各個(gè)目標(biāo)網(wǎng)絡(luò)的最短路徑,然而考慮到它們均具備一樣的拓?fù)鋽?shù)據(jù)庫,故而最短路徑應(yīng)當(dāng)是統(tǒng)一的。在OSPF協(xié)議運(yùn)算過程中，用到的距離其實(shí)是1個(gè)沒有單位的度量值。它其實(shí)是參照管理與技術(shù)方面的相關(guān)要求進(jìn)行選定的,比如此數(shù)據(jù)能夠直接體現(xiàn)應(yīng)用端口的真實(shí)費(fèi)用;能夠體現(xiàn)端口的網(wǎng)絡(luò)帶寬等等。通常來講，它選用的是將10E8除上帶寬獲取的數(shù)據(jù)。關(guān)于SPF算法，它其實(shí)是OSPF協(xié)議的基本前提。它能夠把所有的路由器當(dāng)作根（ROOT），從而求出其抵達(dá)所有目標(biāo)地的間距，每個(gè)路由器參照1個(gè)一致的數(shù)據(jù)庫，從而求出有關(guān)路由域的拓?fù)浼軜?gòu)圖，此架構(gòu)圖近似1棵樹，其中在SPF算法里面就是最短路徑樹。另外在OSPF協(xié)議里面，關(guān)于最短路徑樹的樹干長度，其實(shí)就是OSPF的Cost，具體算法則是：Cost=100×106/鏈路帶寬，此處，鏈路帶寬則通過bps進(jìn)行表述。3無線路由器安防與優(yōu)化中的關(guān)鍵技術(shù)3.1無線路由器所采用的安全技術(shù)3.1.1接入層技術(shù)關(guān)于IEEE804.1X標(biāo)準(zhǔn)，它其實(shí)是一類以端口為基礎(chǔ)的網(wǎng)絡(luò)連入控制協(xié)議，起初重點(diǎn)用來處理無線局域網(wǎng)客戶在連入認(rèn)證方面的相關(guān)問題，不過考慮到它的運(yùn)行原理對全部滿足標(biāo)準(zhǔn)的局域網(wǎng)是具備普適性的，故而在有線局域網(wǎng)里面同樣獲得了普遍的運(yùn)用。對于804.1X系統(tǒng)，能夠涵蓋3個(gè)實(shí)體，其中包含了用戶端、裝備端、認(rèn)證服務(wù)器這3個(gè)部分。其中認(rèn)證服務(wù)器能夠涵蓋本地型、遠(yuǎn)程集中型這2類，它們能夠使用在差別的場合中，由于該網(wǎng)絡(luò)屬于中小型的，所以最終選定本地型的認(rèn)證服務(wù)器模式。這種設(shè)備一般情況下能夠集成到裝備端上。對于接口隔離技術(shù)進(jìn)行簡要解析，考慮到要對于報(bào)文間完成相應(yīng)的二層隔離，故而能夠把無用的接口添加差別的VLAN，不過需要白白耗費(fèi)掉比較受限的VLAN資源。選用接口隔離的相關(guān)特征，能夠?qū)τ谙嗤腣LAN內(nèi)接口完成彼此間的隔離操作?？蛻魞H用把接口添加至隔離組內(nèi)，這樣能夠?qū)τ诟綦x組里面的接口間的二層數(shù)據(jù)完成相應(yīng)的隔離操作。關(guān)于接口隔離這項(xiàng)功能，可以為客戶供應(yīng)更加安全并且更加靈活的組網(wǎng)策略。3.1.2核心及匯聚層技術(shù)關(guān)于STP，其實(shí)是參照804.1D標(biāo)準(zhǔn)進(jìn)行創(chuàng)建，并且此標(biāo)準(zhǔn)由IEEE協(xié)會(huì)擬定。能夠使用到局域網(wǎng)內(nèi)，從而清除掉數(shù)據(jù)鏈路層中的物理環(huán)路。對于運(yùn)轉(zhuǎn)此協(xié)議的裝備，經(jīng)過交互數(shù)據(jù)能夠找出網(wǎng)絡(luò)里面的相關(guān)環(huán)路，并且需要有計(jì)劃地對于部分接口實(shí)施相應(yīng)的堵塞。最后把環(huán)路網(wǎng)架構(gòu)改為沒有環(huán)路的樹狀架構(gòu)，從而有效避免報(bào)文在網(wǎng)絡(luò)里面發(fā)生無限循環(huán)、持續(xù)增生的情況，并且能夠有效防止裝備因?yàn)橹貜?fù)接納同一報(bào)文導(dǎo)致處置實(shí)力減弱的相關(guān)問題。關(guān)于VRRP，分析目前的情況可知，在設(shè)定路由的時(shí)候，重點(diǎn)包含下列2類經(jīng)常用到的方式：第一，根據(jù)路由協(xié)議比如OSPF等實(shí)施相應(yīng)的動(dòng)態(tài)研習(xí)；第二，實(shí)施靜態(tài)模式下的配備。如果要在各終端運(yùn)轉(zhuǎn)動(dòng)態(tài)路由協(xié)議，那么這在實(shí)際操作中缺少可行性。在此類狀況下，在擬定路由的過程中，通常會(huì)選用靜態(tài)配備，一般情況下是終端裝備在默許的網(wǎng)關(guān)上設(shè)定1個(gè)或是多個(gè)。此類方式能夠精簡網(wǎng)絡(luò)管理的繁雜度，并且能夠減小終端裝備在通訊方面的開支費(fèi)用，不過其依舊存在1個(gè)不足之處：假如是路由器用作默許網(wǎng)關(guān)的時(shí)候遭遇了毀壞，那么能夠切斷全部關(guān)聯(lián)的通訊。就算是具備很多個(gè)默許網(wǎng)關(guān)的配備，假如不能對于終端裝備實(shí)施重啟操作，那么仍然不能完成對于新網(wǎng)關(guān)的轉(zhuǎn)換操作。選用虛擬路由器的冗余協(xié)議（VRRP），其實(shí)就是為了有效避免靜態(tài)指定網(wǎng)關(guān)過程中產(chǎn)生的有關(guān)難題。在此協(xié)議里面，會(huì)牽涉到2組有關(guān)的概念，特別關(guān)鍵。第一，VRRP和虛擬路由器，第二，主控型、備選型路由器。當(dāng)中，對于VRRP路由器而言，其實(shí)就是一類物理實(shí)體，運(yùn)轉(zhuǎn)VRRP協(xié)議的路由器設(shè)備；至于虛擬路由器，其實(shí)屬于1個(gè)邏輯概念，它的建立源自VRRP協(xié)議。使用1組VRRP路由器裝置，確保其在運(yùn)行中發(fā)揮相關(guān)的協(xié)同效用，這樣可以有效完成對于虛擬路由器的組成。在此路由器裝置中，MAC和IP地址具有固定性，并且具備唯一性。另外在1組VRRP里面，關(guān)于主控型、備選型路由器裝置，這2類角色具備互斥的相關(guān)特性。在此類狀況下，僅有1個(gè)主控型路由器裝置，但是備選型能夠設(shè)置1個(gè)，另外還能夠設(shè)置多個(gè)。一般而言，僅有1臺(tái)路由器裝備處于主控狀態(tài)，至于余下的備選裝備，能夠始終保持待命狀態(tài)，唯有在主控產(chǎn)生相關(guān)問題的情況下，備份方可進(jìn)入主控狀態(tài)。此系統(tǒng)對于終端用戶而言具有透明性。3.1.3防火墻相關(guān)技術(shù)關(guān)于ACL（AccessControlList，訪問控制列表），它能夠完成數(shù)據(jù)的甄別，想要完成這項(xiàng)功能，網(wǎng)絡(luò)裝備應(yīng)當(dāng)配備一連串的匹配條件，從而對于報(bào)文實(shí)施相應(yīng)的分類處理，這部分條件能夠是報(bào)文的源地址、目標(biāo)地址等等內(nèi)容。對于包過濾防火墻這項(xiàng)功能，它其實(shí)是以ACL列表為基礎(chǔ)的，能夠確保合法用戶的報(bào)文經(jīng)過的時(shí)候可以對于非法訪問實(shí)施相應(yīng)的拒絕操作。3.1.4邊界路由器相關(guān)技術(shù)關(guān)于NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)化）技術(shù)，它能夠把私有地址轉(zhuǎn)換成合法的IP地址，能夠普遍使用在各類Internet連入樣式與各類網(wǎng)絡(luò)里面。分析原因非常簡潔，NAT技術(shù)能夠較佳地處理lP地址不夠用的難題，另外可以合理防止源自網(wǎng)絡(luò)外圍的攻擊，有效隱藏并且維護(hù)網(wǎng)絡(luò)內(nèi)的相關(guān)計(jì)算機(jī)設(shè)備。在IP報(bào)文中，有關(guān)源、目標(biāo)IP地址都是經(jīng)過使用NAT技術(shù)實(shí)施自動(dòng)模式的更改的，對于Ip地址的校驗(yàn)處理，其實(shí)是在NAT處置流程內(nèi)以自動(dòng)方式實(shí)現(xiàn)。部分應(yīng)用程序能夠在IP報(bào)文的數(shù)據(jù)中嵌入相應(yīng)的源IP地址，故而要求同時(shí)對于報(bào)文實(shí)施相應(yīng)的更改，由此匹配IP頭里面早已更改過的源IP地址。不然的話，對于報(bào)文數(shù)據(jù)里面嵌入了IP地址的應(yīng)用程序，則很難保持正常狀態(tài)下的運(yùn)行。3.2基于無線路由器的網(wǎng)絡(luò)優(yōu)化技術(shù)對于子網(wǎng)的優(yōu)化，Internet機(jī)構(gòu)則界說了5類IP地址，其中包含A、B、C這3種地址。其中A類網(wǎng)包含126個(gè)，另外任意1個(gè)A類網(wǎng)也許具備16777214臺(tái)主機(jī)設(shè)備，它們處在相同的廣播域。在相同的廣播域里面設(shè)置數(shù)目如此龐大的節(jié)點(diǎn)很不現(xiàn)實(shí)，網(wǎng)絡(luò)則會(huì)由于廣播通信從而進(jìn)入到飽和形態(tài)，這樣的話導(dǎo)致16777214個(gè)地址中大多數(shù)不能進(jìn)行科學(xué)的配備。能夠?qū)⒒诿款惖腎P網(wǎng)實(shí)施深層面的分割，從而獲取更小的網(wǎng)絡(luò)，這樣的話1個(gè)子網(wǎng)通過路由器設(shè)備進(jìn)行相關(guān)的界定，并且配備1個(gè)新的子網(wǎng)地址。完成子網(wǎng)的分割處置之后，經(jīng)過選用掩碼，能夠?qū)⒆泳W(wǎng)實(shí)施相應(yīng)的隱藏，這樣的話從外部分析網(wǎng)絡(luò)并無相應(yīng)的改變。關(guān)于虛擬局域網(wǎng)（VLAN），它其實(shí)是1組邏輯方面的裝備與用戶，這部分裝備與用戶不會(huì)受到物理方位這個(gè)因素的制約，能夠參照功能、部門等相關(guān)因素對于它們進(jìn)行相應(yīng)的組織，互相間的通訊如同它們處于相同網(wǎng)段內(nèi)，因此稱為虛擬局域網(wǎng)。對于VLAN技術(shù)而言，它相對新穎，能夠運(yùn)行在OSI模型的第2、3層，1個(gè)VLAN代表了1個(gè)廣播域，在VLAN間的通訊其實(shí)是經(jīng)過第3層路由器裝置實(shí)現(xiàn)的。比起傳統(tǒng)層面上的局域網(wǎng)技術(shù)，這種VLAN技術(shù)相對要靈活很多，它具備的優(yōu)勢為：網(wǎng)絡(luò)裝備在移動(dòng)、增添、更改這些方面的支出會(huì)比較少；能夠有效調(diào)控相關(guān)的廣播活動(dòng)；另外能夠有效提升網(wǎng)絡(luò)自身的安全性。4企業(yè)網(wǎng)無線路由器安全與優(yōu)化需求分析4.1整體需求分析無論我們做什么設(shè)計(jì)，都需要在實(shí)地進(jìn)行調(diào)研，分析員工的需求。例如，在企業(yè)路由管理，需要考慮通用布線、人員需求、管理需求和其他客觀因素，滿足用戶的需求，也需要各種臨時(shí)突發(fā)事件，所有類型的應(yīng)急計(jì)劃和各種各樣的考慮解決方案。一般來說，構(gòu)建的網(wǎng)絡(luò)架構(gòu)類型主要取決于用戶的需求，但是，總的來說，整個(gè)網(wǎng)絡(luò)環(huán)境體系結(jié)構(gòu)，例如穩(wěn)定性、可靠性、安全性、冗余性等都需要改進(jìn)。4.2員工需求分析在員工的眼中，希望網(wǎng)絡(luò)能夠正常運(yùn)行，即：如果用戶訪問內(nèi)網(wǎng)服務(wù)器，則有足夠的帶寬。目前，以確保連接的帶寬和連接的負(fù)載可適當(dāng)增加，但是，當(dāng)前網(wǎng)絡(luò)電纜的狀況不能滿足工人的需求。終端的數(shù)據(jù)端口速度只能達(dá)到100MB，但是終端網(wǎng)卡可以支持900MB的千兆速度。因此，我們需要增加此通信線路的寬度。從數(shù)據(jù)點(diǎn)到自由流的帶寬無法達(dá)到千兆位速度。對于連接，建議在訪問設(shè)備和會(huì)聚設(shè)備之間的連接接口上使用6類電纜和5種以上的電源電纜。4.3管理層需求分析從管理的角度來看，他們希望能夠有效地監(jiān)控員工的工作環(huán)境，員工績效以及對互聯(lián)網(wǎng)的訪問，以防止未經(jīng)授權(quán)的網(wǎng)站訪問。如果發(fā)生非傳統(tǒng)的停電，則可以確保服務(wù)器上的數(shù)據(jù)不會(huì)丟失或損壞。4.4運(yùn)維人員需求分析企業(yè)運(yùn)營人員希望該網(wǎng)絡(luò)體系結(jié)構(gòu)能夠確保更高和更強(qiáng)的發(fā)熱量，更快地進(jìn)行故障排除，并在出現(xiàn)故障時(shí)提醒員工迅速對問題進(jìn)行故障排除。他們還希望網(wǎng)絡(luò)架構(gòu)簡單穩(wěn)定，以減少故障的數(shù)量，并且希望硬件系統(tǒng)能夠滿足通用要求，例如自動(dòng)監(jiān)視和設(shè)備記錄。5企業(yè)網(wǎng)無線路由器安全策略與優(yōu)化的方案設(shè)計(jì)5.1企業(yè)網(wǎng)無線路由器整體設(shè)計(jì)本研究設(shè)計(jì)的無線路由管理系統(tǒng)在Ubuntu18.4環(huán)境下，系統(tǒng)的整體框架使用了PyCharmIDE進(jìn)行編寫，網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)圖使用Gephi工具，SDN控制器使用Ryu，動(dòng)態(tài)路由引擎使用RouteFlow方案，傳統(tǒng)網(wǎng)絡(luò)設(shè)備使用CiscoWS-C3560-48TS和華為eNSP網(wǎng)絡(luò)模擬軟件，OpenFlow網(wǎng)絡(luò)使用Mininet模擬，OpenFlow協(xié)議使用1.0版。其中，動(dòng)態(tài)路由處理部分使用RouteFlow路由引擎框架，RouteFlow框架將動(dòng)態(tài)路由協(xié)議引入OpenFlow網(wǎng)絡(luò)，使OpenFlow設(shè)備具有同傳統(tǒng)設(shè)備一樣處理動(dòng)態(tài)路由協(xié)議的能力，使得傳統(tǒng)設(shè)備可以毫無感知地與OpenFlow設(shè)備進(jìn)行動(dòng)態(tài)路由交換，實(shí)現(xiàn)動(dòng)態(tài)路由轉(zhuǎn)發(fā)。RouteFlow框架實(shí)現(xiàn)原理是將動(dòng)態(tài)路由協(xié)議生成的路由表，轉(zhuǎn)換成OpenFlow協(xié)議流表，進(jìn)而下發(fā)到OpenFlow設(shè)備實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，RouteFlow框架路由引擎控制層面則使用了基于Linux網(wǎng)絡(luò)虛擬化以及LXC容器技術(shù)。RouterFlow框架的實(shí)現(xiàn)已有專門論述，本論文引用這一路由引擎框架，目的是對無線路由管理系統(tǒng)功能進(jìn)行增強(qiáng)與完善，同時(shí)借鑒RouteFlow框架思想，研究基于OSPF協(xié)議的實(shí)時(shí)網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)技術(shù)。本研究設(shè)計(jì)的無線路由管理系統(tǒng)總體方案如圖5-1所示。整體系統(tǒng)包括五個(gè)組成部分，即靜態(tài)路由管理模塊、靜態(tài)路由處理模塊、動(dòng)態(tài)路由處理模塊、拓?fù)渖赡K、OpenFlow協(xié)議代理模塊。各個(gè)模塊的主要功能為：（1）靜態(tài)路由管理模塊：下發(fā)靜態(tài)路由信息，獲取設(shè)備流表。（2）靜態(tài)路由處理模塊：處理網(wǎng)絡(luò)基礎(chǔ)協(xié)議和靜態(tài)路由信息，生成OpenFlow靜態(tài)路由流表。（3）動(dòng)態(tài)路由處理模塊：使用RouteFlow動(dòng)態(tài)路由引擎，處理OSPF動(dòng)態(tài)路由協(xié)議，生成OpenFlow動(dòng)態(tài)路由流表，旁路OSPF協(xié)議報(bào)文。（4）拓?fù)渖赡K：分析OSFP協(xié)議報(bào)文，構(gòu)建實(shí)時(shí)網(wǎng)絡(luò)拓?fù)鋱D。（5）OpenFlow協(xié)議代理模塊：代理OpenFlow協(xié)議報(bào)文，處理OpenFlow協(xié)議與傳統(tǒng)設(shè)備控制命令之間的轉(zhuǎn)換。圖5-1無線路由管理系統(tǒng)功能架構(gòu)圖如圖5-1所示，無線路由管理系統(tǒng)可以劃分為三層功能架構(gòu)，分別是：（1）應(yīng)用層，負(fù)責(zé)接受用戶對靜態(tài)路由的控制，OSPF網(wǎng)絡(luò)實(shí)時(shí)拓?fù)滹@示，包括靜態(tài)路由管理模塊、拓?fù)渖赡K（2）控制層，實(shí)現(xiàn)SDN控制器集中控制，負(fù)責(zé)靜態(tài)路由與動(dòng)態(tài)路由功能、流表信息下發(fā)與拓?fù)渖?，包括靜態(tài)路由處理模塊、動(dòng)態(tài)路由處理模塊、拓?fù)渖赡K（3）代理層，負(fù)責(zé)OpenFlow協(xié)議代理與轉(zhuǎn)換工作，包括OpenFlow協(xié)議代理模塊無線路由管理系統(tǒng)初始化階段，通過靜態(tài)路由處理模塊處理本地接口地址信息，建立本地路由表，生成默認(rèn)流表項(xiàng)以滿足非路由數(shù)據(jù)包基本轉(zhuǎn)發(fā)要求。而后，靜態(tài)路由與動(dòng)態(tài)路由處理模塊開始各自處理路由信息，靜態(tài)路由處理模塊通過靜態(tài)路由管理模塊接收靜態(tài)路由設(shè)置，判斷路由信息有效性，添加至本地路由表，生成對應(yīng)的路由轉(zhuǎn)發(fā)流表項(xiàng)；動(dòng)態(tài)路由處理模塊接收OSPF協(xié)議握手報(bào)文，通過路由引擎進(jìn)行路由計(jì)算，生成動(dòng)態(tài)路由表，生成對應(yīng)路由轉(zhuǎn)發(fā)流表項(xiàng)。之后流表項(xiàng)通過OpenFlow協(xié)議代理模塊對流表項(xiàng)內(nèi)容進(jìn)行分析轉(zhuǎn)換，發(fā)送至對應(yīng)網(wǎng)絡(luò)設(shè)備。通過三者的結(jié)合，無線路由管理系統(tǒng)可以無差別的管理傳統(tǒng)網(wǎng)絡(luò)設(shè)備和OpenFlow網(wǎng)絡(luò)設(shè)備，并且對于組網(wǎng)方式?jīng)]有要求。5.2企業(yè)網(wǎng)無線路由器安全配置圖5-2給出了無線路由管理系統(tǒng)總體架構(gòu)，并對各部分模塊內(nèi)部進(jìn)行功能劃分，指出系統(tǒng)內(nèi)部主要數(shù)據(jù)交互過程。圖5-2無線路由管理系統(tǒng)總體架構(gòu)圖5.3企業(yè)網(wǎng)無線路由器核心安防功能設(shè)計(jì)本節(jié)具體描述各模塊功能劃分及作用。（1）靜態(tài)路由管理模塊靜態(tài)路由管理模塊是系統(tǒng)的應(yīng)用級模塊，通過提供RESTAPI接口，實(shí)現(xiàn)路由管理，流表顯示等功能。（2）靜態(tài)路由處理模塊靜態(tài)路由處理模塊包括，指令接收處理：執(zhí)行路由管理指令；ICMP代理：處理目的地址是本地接口地址的非路由ICMP協(xié)議以及其它IP協(xié)議數(shù)據(jù)包，發(fā)送ICMP回復(fù)報(bào)文，丟棄其它IP協(xié)議數(shù)據(jù)包；ARP協(xié)議代理：處理ARP協(xié)議，發(fā)送ARP請求、回復(fù)等報(bào)文；流表項(xiàng)生成：根據(jù)協(xié)議處理結(jié)果和靜態(tài)路由信息，生成本地路由表并生成對應(yīng)流表項(xiàng)下發(fā)。（3）動(dòng)態(tài)路由處理模塊動(dòng)態(tài)路由處理模塊包括，RouteFlow路由引擎：基于Quagga的OpenFlow路由實(shí)現(xiàn)方案，提供了基于OSPF協(xié)議的動(dòng)態(tài)路由支持；路由協(xié)議報(bào)文旁路：對OSFP協(xié)議LSU報(bào)文進(jìn)行攔截、復(fù)制、旁路，上送拓?fù)渖赡K處理。（4）拓?fù)渖赡K拓?fù)渖赡K包括，路由協(xié)議報(bào)文分析：分析OSPF協(xié)議LSU報(bào)文，提取并構(gòu)建鏈路狀態(tài)數(shù)據(jù)庫；GephiRESTAPI調(diào)用：調(diào)用Gephi軟件的RESTAPI接口，繪制網(wǎng)絡(luò)拓?fù)鋱D。（5）OpenFlow協(xié)議代理模塊OpenFlow協(xié)議代理模塊包括，控制器通信通道：模擬OpenFlow協(xié)議與控制器通信規(guī)范，提取OpenFlow協(xié)議消息內(nèi)容；傳統(tǒng)設(shè)備控制通道：通過Telnet方式登陸設(shè)備，發(fā)送配置命令；OpenFlow協(xié)議流表項(xiàng)處理：分析OpenFlow協(xié)議流表項(xiàng)內(nèi)容，執(zhí)行傳統(tǒng)設(shè)備配置命令轉(zhuǎn)換；OpenFlow協(xié)議消息處理：負(fù)責(zé)處理與路由機(jī)制相關(guān)的OpenFlow消息，包括PacketIN與PacketOUT等；Trunk接口數(shù)據(jù)包處理：負(fù)責(zé)VLAN接口號(hào)與OpenFlow虛擬設(shè)備接口號(hào)的轉(zhuǎn)換，對數(shù)據(jù)包實(shí)施VLANtag打標(biāo)簽或去標(biāo)簽服務(wù)。5.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)化5.4.1協(xié)議代理模塊協(xié)議代理模塊是無線路由管理系統(tǒng)中連接底層物理設(shè)備的核心組件，負(fù)責(zé)維護(hù)傳統(tǒng)設(shè)備與設(shè)備的控制通道、與控制器的通信通道，將協(xié)議消息與路由流表項(xiàng)內(nèi)容轉(zhuǎn)換成傳統(tǒng)設(shè)備配置命令以及對Trunk接口數(shù)據(jù)包進(jìn)行封裝與解封裝等工作。本小節(jié)將對模塊具體實(shí)現(xiàn)進(jìn)行詳細(xì)闡述。（1）控制器通信通道子模塊為了實(shí)現(xiàn)與SDN控制器的通信，代理模塊首先需要模擬自身為一個(gè)支持OpenFlow協(xié)議的網(wǎng)絡(luò)設(shè)備。根據(jù)OpenFlow協(xié)議規(guī)范描述，OpenFlow交換機(jī)和控制器的通信過程使用TCP或者TLS進(jìn)行，端口號(hào)默認(rèn)為6633。連接建立后OpenFlow設(shè)備發(fā)送Hello消息協(xié)商OpenFlow協(xié)議版本，之后控制器向OpenFlow設(shè)備發(fā)送FeaturesRequest消息，獲取交換機(jī)的ID、緩沖區(qū)數(shù)量、端口信息等特性，OpenFlow設(shè)備回復(fù)FeaturesReply，至此雙方握手完成?？刂破魍ㄐ磐ǖ雷幽K的實(shí)現(xiàn)采用了sdnpwn2開源項(xiàng)目中對于OpenFlow設(shè)備的模擬方法。該項(xiàng)目是模擬對SDN控制器的攻擊以測試控制器的安全性，其內(nèi)部實(shí)現(xiàn)了簡單OpenFlow設(shè)備，可以通過該設(shè)備對OpenFlow協(xié)議消息與流表項(xiàng)進(jìn)行捕獲，滿足OpenFlow協(xié)議代理模塊要求。具體實(shí)現(xiàn)過程如下所述。1）使用配置文件配置OpenFlow虛擬設(shè)備的基本物理信息，包括設(shè)備型號(hào)、設(shè)備描述、特性以及接口等信息，用于響應(yīng)控制器與OpenFlow虛擬設(shè)備的握手請求。2）通過使用socket類，建立代理程序到控制器的TCP連接，實(shí)現(xiàn)OpenFlow協(xié)議消息在控制器與代理程序之間的收發(fā)。3）建立對應(yīng)的OpenFlow協(xié)議消息處理函數(shù)，并將函數(shù)映射到對應(yīng)的OpenFlow協(xié)議消息代碼。由于OpenFlow協(xié)議消息具有固定8字節(jié)長的報(bào)文頭，因此，通過socket.recv獲取數(shù)據(jù)包的前8個(gè)字節(jié)長度，即可取得OpenFlow協(xié)議的報(bào)文頭，通過對報(bào)文類型字段的解析，得到具體的OpenFlow協(xié)議消息類型，將消息分發(fā)到對應(yīng)的處理函數(shù)進(jìn)行處理。4）完成控制器與虛擬OpenFlow設(shè)備的握手過程，分發(fā)后續(xù)OpenFlow消息到對應(yīng)處理函數(shù)。（2）流表項(xiàng)處理子模塊OpenFlow流表項(xiàng)處理子模塊主要負(fù)責(zé)處理控制器流表項(xiàng)下發(fā)消息，包括流表項(xiàng)的添加與刪除消息（FlowMod），以及流表信息的查詢與上報(bào)（StatsRequest/StatsResponse）。同時(shí)依據(jù)流表項(xiàng)匹配域內(nèi)容，負(fù)責(zé)傳統(tǒng)設(shè)備配置命令的生成。1）流表項(xiàng)處理OpenFlow流表項(xiàng)處理子模塊通過使用字典來保存控制器下發(fā)的流表項(xiàng)，字典鍵值使用流表項(xiàng)cookie字段，cookie字段相同的路由流表項(xiàng)，表示關(guān)聯(lián)的是同一虛擬接口地址，通過cookie字段，建立起流表項(xiàng)有效性與接口有效的聯(lián)系。流表信息上報(bào)實(shí)現(xiàn)，需要對StatsResponse消息構(gòu)建，使用的是開源項(xiàng)目pyof，它是Kytos項(xiàng)目中關(guān)于OpenFlow協(xié)議的實(shí)現(xiàn)庫。構(gòu)建過程通過將字典中保存的流表項(xiàng)內(nèi)容，轉(zhuǎn)換成StatsResponse消息格式。由于字典中的流表項(xiàng)內(nèi)容，是由FlowMod消息下發(fā)的，通過對比兩種消息格式，重新計(jì)算StatsResponse消息長度，填充字段內(nèi)容，使用pyof提供的StatsReply類構(gòu)建StatsResponse消息。2）傳統(tǒng)設(shè)備配置命令生成根據(jù)OpenFlow路由機(jī)制流程，初始流表項(xiàng)和本地流表項(xiàng)僅和本地接口與網(wǎng)段有關(guān)，無需進(jìn)行路由轉(zhuǎn)發(fā)。由于傳統(tǒng)網(wǎng)絡(luò)設(shè)備自身具有基礎(chǔ)網(wǎng)絡(luò)處理能力，因此，對于本地相關(guān)的流表項(xiàng)，無需生成傳統(tǒng)設(shè)備配置命令，傳統(tǒng)設(shè)備會(huì)自行對本地相關(guān)的數(shù)據(jù)包進(jìn)行本地轉(zhuǎn)發(fā)處理。傳統(tǒng)設(shè)備命令生成主要針對路由轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行，首先對路由轉(zhuǎn)發(fā)流表項(xiàng)進(jìn)行判定。路由轉(zhuǎn)發(fā)流表項(xiàng)匹配域中的目的IP地址，必然是不同于網(wǎng)絡(luò)設(shè)備本地接口網(wǎng)段的外部地址，因此，通過對流表項(xiàng)匹配域目的IP地址范圍的判斷，可以獲取路由目的地址。路由信息下一跳的獲取，可以通過兩種方法：一是如果流表項(xiàng)的動(dòng)作字段，存在出接口號(hào)，則可根據(jù)出接口獲取下一跳地址；二是通過流表項(xiàng)動(dòng)作字段中對目的MAC地址的改寫，可以獲得下一跳接口的MAC地址，根據(jù)此地址信息獲取下一跳接口的IP地址。通過上述路由信息的獲取，便可以生成傳統(tǒng)設(shè)備的策略路由配置命令。依據(jù)路由信息目的網(wǎng)段，生成傳統(tǒng)設(shè)備的ACL配置命令；依據(jù)下一跳地址，生成傳統(tǒng)設(shè)備的RouteMap配置命令；根據(jù)下一跳地址所屬網(wǎng)段，得知設(shè)備的接口號(hào)，進(jìn)而生成基于PBR的策略路由配置命令。具體實(shí)現(xiàn)流程如圖5-3所示。圖5-3傳統(tǒng)設(shè)備配置命令生成流程圖（3）協(xié)議消息處理子模塊OpenFlow協(xié)議消息處理子模塊主要負(fù)責(zé)處理與路由機(jī)制相關(guān)的OpenFlow消息，包括PacketIN與PacketOUT等。對于靜態(tài)路由應(yīng)用場景，PacketIN消息主要用于發(fā)送鄰接網(wǎng)絡(luò)設(shè)備對本地接口的ARP請求；PacketOUT消息主要用于發(fā)送對路由信息下一跳MAC地址的ARP請求，以及對鄰接網(wǎng)絡(luò)設(shè)備的ARP回復(fù)。對于動(dòng)態(tài)路由應(yīng)用場景，除了與靜態(tài)路由應(yīng)用場景相同的情況外，PacketIN消息還負(fù)責(zé)發(fā)送鄰接網(wǎng)絡(luò)設(shè)備動(dòng)態(tài)路由協(xié)議數(shù)據(jù)報(bào)文，PacketOUT消息還負(fù)責(zé)發(fā)送本地動(dòng)態(tài)路由協(xié)議數(shù)據(jù)報(bào)文。PacketIN與PacketOUT消息的構(gòu)建，同樣使用pyof庫，通過將需要上送的數(shù)據(jù)包序列化為網(wǎng)絡(luò)字節(jié)序，并將其完整裝入PacketIN實(shí)例的data屬性，指定入接口號(hào)，通過控制器通信通道進(jìn)行發(fā)送；對PacketOUT實(shí)例調(diào)用unpack方法，得到實(shí)例的data屬性和outport屬性，進(jìn)而獲取需要發(fā)送的數(shù)據(jù)包和出接口信息。（4）Trunk接口數(shù)據(jù)包處理子模塊Trunk接口數(shù)據(jù)包處理子模塊主要負(fù)責(zé)VLAN接口號(hào)與OpenFlow虛擬設(shè)備接口號(hào)的轉(zhuǎn)換，負(fù)責(zé)對通過Trunk接口的數(shù)據(jù)包進(jìn)行分類過濾，對需要進(jìn)行處理的數(shù)據(jù)包實(shí)施VLANtag打標(biāo)簽或去標(biāo)簽服務(wù)。對于數(shù)據(jù)包的處理，使用的是開源Scapy項(xiàng)目，該項(xiàng)目提供了大量不同類型數(shù)據(jù)包的類庫，提供了構(gòu)建任意數(shù)據(jù)包的方法，以及通過網(wǎng)絡(luò)接口直接發(fā)送數(shù)據(jù)包的能力，同時(shí)該項(xiàng)目還支持對網(wǎng)絡(luò)接口進(jìn)行異步監(jiān)聽，并支持回調(diào)函數(shù)對監(jiān)聽到的數(shù)據(jù)包進(jìn)行處理。1）數(shù)據(jù)包過濾傳統(tǒng)網(wǎng)絡(luò)設(shè)備設(shè)置與虛擬OpenFlow設(shè)備相同的接口配置。由于傳統(tǒng)設(shè)備1號(hào)VLAN通常具有特殊的作用，因此，我們將虛擬設(shè)備的接口號(hào)增加10后，與傳統(tǒng)設(shè)備的VLAN號(hào)對應(yīng)。每個(gè)VLAN綁定一個(gè)物理接口，實(shí)現(xiàn)了虛擬接口與物理接口的對應(yīng)。子模塊與傳統(tǒng)網(wǎng)絡(luò)設(shè)備的Trunk接口直接相連，能夠接收到所有來自傳統(tǒng)設(shè)備通過Trunk接口轉(zhuǎn)發(fā)的數(shù)據(jù)包，其中包括傳統(tǒng)設(shè)備自身產(chǎn)生的數(shù)據(jù)包。根據(jù)路由機(jī)制與路由場景的描述，在實(shí)際路由轉(zhuǎn)發(fā)過程中發(fā)揮作用的數(shù)據(jù)包，主要包括ARP協(xié)議報(bào)文以及動(dòng)態(tài)路由協(xié)議交互報(bào)文。子模塊使用Scapy項(xiàng)目中的AsyncSniffer方法創(chuàng)建對Trunk接口的異步監(jiān)聽，使用Scapy中的Ether類、ARP類以及路由協(xié)議相關(guān)報(bào)文類（如OspfHdr類）來對Trunk接口報(bào)文進(jìn)行過濾；使用Dot1Q類獲取數(shù)據(jù)包所屬的VLAN號(hào)，并與虛擬設(shè)備的接口號(hào)對應(yīng)，同時(shí)對數(shù)據(jù)包VLANTag進(jìn)行處理。2）VLAN標(biāo)簽處理對Trunk接口數(shù)據(jù)包去標(biāo)簽的過程主要包括：1）遍歷數(shù)據(jù)包中包含的各層協(xié)議頭部數(shù)據(jù)；2）判斷協(xié)議頭部數(shù)據(jù)是否存在校驗(yàn)字段，并對檢驗(yàn)字段進(jìn)行刪除；3）判斷當(dāng)前協(xié)議層是否是Ether，是否存在Dot1Q協(xié)議層，并提取其后續(xù)數(shù)據(jù)包載荷；4）從當(dāng)前協(xié)議層刪除所有數(shù)據(jù)載荷（包括Dot1Q協(xié)議層），將保存的數(shù)據(jù)包載荷添加到當(dāng)前協(xié)議層；5）更改數(shù)據(jù)包類型（將0x8100改為0x0800或0x0806等）；6）重復(fù)步驟1）對數(shù)據(jù)包載荷各層協(xié)議遍歷，直至數(shù)據(jù)包結(jié)尾。具體流程如圖5-4所示。圖5-4Trunk接口數(shù)據(jù)包去VLANTag流程圖對Trunk接口數(shù)據(jù)包打標(biāo)簽的過程，有兩種方法，第一種方法與上述去標(biāo)簽過程基本一致，需將刪除Dot1Q協(xié)議層改為添加Dot1Q協(xié)議層；第二種方法是使用Linux系統(tǒng)提供的8021q模塊，該模塊為網(wǎng)絡(luò)接口提供支持VLAN子網(wǎng)的能力。其中第1條配置命令表示加載8021q模塊，以實(shí)現(xiàn)Linux系統(tǒng)支持VLAN子網(wǎng)；第2條配置命令為物理網(wǎng)絡(luò)接口ens39，創(chuàng)建一個(gè)VLAN號(hào)為11的子接口，名字為ens39.11，該子接口將僅收發(fā)父接口ens39中VLANtag為11的數(shù)據(jù)包，并自動(dòng)對數(shù)據(jù)包進(jìn)行打標(biāo)簽與去標(biāo)簽處理；第3條配置命令表示將子接口使能。我們可以使用Scapy項(xiàng)目sendp方法向VLAN子接口直接發(fā)送數(shù)據(jù)包，而不用關(guān)心打標(biāo)簽的問題，打標(biāo)簽的過程由Linux系統(tǒng)自行完成。雖然此方法同樣可以用于對數(shù)據(jù)包進(jìn)行去標(biāo)簽操作，但是，如果使用此方法進(jìn)行去標(biāo)簽，需要Scapy對所有VLAN子接口進(jìn)行監(jiān)聽，如果子接口數(shù)量較大，監(jiān)聽過程將占用大量系統(tǒng)資源，大大降低監(jiān)聽效率。Trunk接口數(shù)據(jù)包處理子模塊功能包括Trunk數(shù)據(jù)包過濾與VLAN標(biāo)簽的處理，具體實(shí)現(xiàn)如圖5-5所示。圖5-5Trunk接口數(shù)據(jù)包處理子模塊工作示意圖（3）傳統(tǒng)設(shè)備控制通道傳統(tǒng)設(shè)備控制通道負(fù)責(zé)建立與傳統(tǒng)設(shè)備的連接，下發(fā)配置命令。具體實(shí)現(xiàn)使用Python的telnetlib模塊，建立到傳統(tǒng)設(shè)備的telnet命令。由于與傳統(tǒng)設(shè)備建立telnet遠(yuǎn)程連接，是基于交互模式，因此，需要對傳統(tǒng)設(shè)備的回顯內(nèi)容進(jìn)行判斷，滿足條件才能進(jìn)行命令輸入。傳統(tǒng)設(shè)備的交互模式都有固定的回顯格式，我們通過使用正則表達(dá)式進(jìn)行匹配，以Cisco傳統(tǒng)設(shè)備為例，需要判斷的內(nèi)容如表5-1所示。表5-1傳統(tǒng)設(shè)備配置狀態(tài)處理對照表傳統(tǒng)設(shè)備回顯狀態(tài)正則表達(dá)式可進(jìn)行操作登陸用戶名輸入username:輸入用戶名登陸密碼輸入password:輸入密碼視圖模式\w+>$視圖命令特權(quán)模式\w+#$全部命令配置模式\)#$配置命令5.4.2拓?fù)渖赡K拓?fù)渖赡K負(fù)責(zé)通過OSPF動(dòng)態(tài)路由協(xié)議報(bào)文交互信息，生成實(shí)時(shí)拓?fù)?。其主要作用是為路由管理系統(tǒng)提供可視化網(wǎng)絡(luò)結(jié)構(gòu)，方便查找網(wǎng)絡(luò)路由故障。該模塊由路由協(xié)議報(bào)文分析組件與GephiRESTAPI調(diào)用組件組成。（1）路由協(xié)議報(bào)文分析組件路由協(xié)議報(bào)文組件主要負(fù)責(zé)網(wǎng)絡(luò)拓?fù)渖?，其?shí)現(xiàn)原理依托SDN控制器網(wǎng)絡(luò)全局控制能力，通過對RouteFlow路由框架quagga路由引擎中，OSPF協(xié)議交互報(bào)文的實(shí)時(shí)截取，分析處理OSPF協(xié)議交互消息，進(jìn)而得出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。對于OSPF協(xié)議報(bào)文的截取，使用的是RouteFlow路由框架中的POX控制器的事件機(jī)制。POX是一個(gè)由Python編寫的控制器，僅支持OpenFlow1.0。POX的事件機(jī)制處理符合發(fā)布/訂閱模式（publish/subscribe），主要原理是使用revent類，當(dāng)某個(gè)對象發(fā)布事件時(shí)，其他的對象可以在這個(gè)對象上訂閱指定的事件。POX控制器會(huì)發(fā)布PacketIN事件，當(dāng)POX收到OpenFlow設(shè)備通過PacketIN消息上送的OSFP協(xié)議報(bào)文時(shí)，會(huì)觸發(fā)PacketIN事件。POX控制器中應(yīng)用程序以組件的方式運(yùn)行，我們需要將拓?fù)浒l(fā)現(xiàn)模塊編寫成Python類的形式，然后向POX的core進(jìn)行注冊，使用core.registerNew方法。同時(shí)，拓?fù)浒l(fā)現(xiàn)模塊訂閱POX的PacketIN事件，以便旁路接收OSPF協(xié)議報(bào)文。（2）GephiRESTAPI調(diào)用組件GephiRESTAPI調(diào)用組件主要負(fù)責(zé)網(wǎng)絡(luò)實(shí)時(shí)拓?fù)涞睦L制，使用的是Gephi開源軟件，該軟件提供了基于RESTAPI的畫圖接口。為了達(dá)到拓?fù)鋵?shí)時(shí)性，需要對每次OSPF協(xié)議交互數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)拓?fù)渥兓闆r，并實(shí)時(shí)調(diào)用GephiAPI對網(wǎng)絡(luò)拓?fù)溥M(jìn)行重新繪制。因此，路由協(xié)議報(bào)文分析組件使用POX的事件機(jī)制，通過revent.Event類，自定義了拓?fù)渥兓录⑹录M(jìn)行發(fā)布；GephiRESTAPI調(diào)用組件訂閱該事件，連接GephiRESTAPI用來進(jìn)行拓?fù)淅L制，確保了一旦拓?fù)浒l(fā)生變化，Gephi就重新繪制網(wǎng)絡(luò)拓?fù)?。OSPF協(xié)議的交互過程由RouteFlow路由框架中Quagga引擎處理，包括OSPF協(xié)議的握手過程等，我們只關(guān)心OSPF協(xié)議成功建立鄰接關(guān)系以后的消息交換，即LSA消息的交互，因?yàn)檫@些消息包含了網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)與節(jié)點(diǎn)鏈路的信息。OSPF包括了5種常用類型的LSA，通過分析可知，RouterLSA（類型1）與NetworkLSA（類型2）中分別包含網(wǎng)絡(luò)設(shè)備信息、設(shè)備接口信息與接口連接信息。因此，在拓?fù)渖傻膶?shí)現(xiàn)過程中，我們對PacketIN上送的OSPF協(xié)議報(bào)文進(jìn)行了篩選，只需要分析RouterLSA和NetworkLSA即可。我們通過研究OSPF協(xié)議規(guī)范，總結(jié)出OSPF協(xié)議LSA交互過程中的幾點(diǎn)約定：1）只有始發(fā)這條LSA的路由器有權(quán)利提前發(fā)送LSAAGE=3600的LSA過期消息，從而使其它路由器刪除這條LSA。例如一個(gè)DR突然離線，則其它路由器收不到任何這個(gè)DR發(fā)送的數(shù)據(jù)包，超時(shí)重新選舉DR，后原DR上線，可能是DRother，或又被重選為DR，這時(shí)其它路由器會(huì)把當(dāng)時(shí)DR的netlsa通過DD報(bào)文發(fā)送給它，由于是遺留LSA，DR會(huì)主動(dòng)發(fā)一個(gè)Age3600讓其它路由器刪除。2）所有重啟后的路由器都會(huì)通過DD報(bào)文來向鄰居獲取自己以前的序列號(hào)，并加1發(fā)送新的LSA。如果路由器收到了一個(gè)比自己的LSDB里存儲(chǔ)的LSA小的序列號(hào)，證明鄰居發(fā)送的是錯(cuò)誤LSA（可能是鄰居問題或網(wǎng)絡(luò)問題），則斷開與它的鄰接關(guān)系或者拒絕與它建立鄰接。3）當(dāng)一個(gè)LSDB中LSAAGE=3600時(shí)，所有路由器會(huì)在一個(gè)時(shí)間段隨機(jī)發(fā)送過期這條LSA，只要有一個(gè)路由器發(fā)送，其它路由器收到后就不用再發(fā)，減少洪泛。這幾條約定是拓?fù)鋵?shí)現(xiàn)正確性的依據(jù)。結(jié)合對OSPF協(xié)議的分析，我們得出網(wǎng)絡(luò)拓?fù)渖赡K的主要流程，分別如圖5-6與圖5-7所示。圖5-6OSPF路由器LSA處理流程圖圖5-7OSPF網(wǎng)絡(luò)LSA處理流程圖5.5企業(yè)網(wǎng)無線路由器軟硬件優(yōu)化5.5.1靜態(tài)路由處理模塊靜態(tài)處理模塊主要由ARP代理模塊、ICMP代理模塊、RESTAPI模塊以及流表項(xiàng)生成模塊組成，我們以圖5-8所示拓?fù)浣Y(jié)構(gòu)對靜態(tài)路由處理模塊的流程與實(shí)現(xiàn)進(jìn)行闡述。圖5-8靜態(tài)路由處理場景圖模塊工作流程主要可以分為初始化階段、本地通信處理階段和路由轉(zhuǎn)發(fā)階段，下面對這三個(gè)階段處理流程進(jìn)行詳細(xì)描述。（1）初始化階段初始化階段，模塊會(huì)向3臺(tái)OpenFlow設(shè)備下發(fā)基礎(chǔ)路由表，包括將ARP協(xié)議報(bào)文上送控制器，對其它數(shù)據(jù)包進(jìn)行丟棄動(dòng)作等默認(rèn)流表項(xiàng)，對于ARP協(xié)議報(bào)文的上送是進(jìn)行后續(xù)路由轉(zhuǎn)發(fā)的基礎(chǔ)。這個(gè)階段還沒有為設(shè)備配置接口IP地址信息，暫時(shí)不能對上送的ARP協(xié)議報(bào)文進(jìn)行處理。靜態(tài)路由管理模塊通過RESTAPI發(fā)送接口地址設(shè)置指令，分別為3臺(tái)OpenFlow設(shè)備指定虛擬接口IP地址，由于設(shè)備本身沒有處理IP數(shù)據(jù)包的能力，需要將目的地址為設(shè)備本身的數(shù)據(jù)包交由控制器處理，對于與接口地址相同網(wǎng)段內(nèi)主機(jī)間通信，如H1與H4之間的通信，根據(jù)第二章中有關(guān)論述，將交由設(shè)備進(jìn)行二層處理，流表項(xiàng)生成子模塊會(huì)根據(jù)接口地址信息，下發(fā)對應(yīng)的流表項(xiàng)。以S1設(shè)備為例，對應(yīng)虛擬接口IP地址的流表項(xiàng)與設(shè)備默認(rèn)流表項(xiàng)如表5-2所示。表5-2S1基礎(chǔ)路由表項(xiàng)表dpidMatch域Actionethtypenw_srcnw_dst10x0800*/32ToController10x0800*/32ToController10x0800/24/24NORMAL10x0800/24/24NORMAL10x0806**ToController1***DROP（2）本地通信階段此時(shí)對于目的地址是本地地址的數(shù)據(jù)報(bào)文，OpenFlow設(shè)備可依據(jù)初始流表項(xiàng)進(jìn)行處理，以H1向其網(wǎng)關(guān)發(fā)送ICMP報(bào)文為例，H1首先發(fā)送ARP請求報(bào)文詢問網(wǎng)關(guān)的MAC地址，S1根據(jù)初始流表項(xiàng)將ARP報(bào)文送控制器，ARP代理子模塊對報(bào)文進(jìn)行解析，將源報(bào)文鏈路層中的源MAC地址11:11:11:11:11:12，替換回復(fù)報(bào)文的目的MAC地址，將接口MAC地址01:01:01:01:01:02，替換回復(fù)報(bào)文的源MAC地址，構(gòu)建內(nèi)容為接口MAC地址的回復(fù)報(bào)文，進(jìn)行單播發(fā)送。這里設(shè)備S1有兩個(gè)接口，如何確定回復(fù)報(bào)文中使用的MAC地址，運(yùn)用了第二章提到的關(guān)于通過PacketIN消息改進(jìn)虛擬接口IP地址與物理接口號(hào)的方法，H1發(fā)送的ARP報(bào)文通過PacketIN上送到控制器后，ARP代理子模塊利用控制器提供的函數(shù)，獲取到ARP報(bào)文的入接口號(hào)，進(jìn)而建立虛擬接口與物理接口的綁定關(guān)系。至此，ARP代理子模塊獲取了H1主機(jī)的地址信息，H1主機(jī)同時(shí)具有設(shè)備虛擬接口的地址信息，H1主機(jī)與網(wǎng)關(guān)地址之間可以正常通信。結(jié)合路由轉(zhuǎn)發(fā)機(jī)制，網(wǎng)關(guān)進(jìn)行路由轉(zhuǎn)發(fā)的底層操作是MAC地址的逐跳轉(zhuǎn)換，作為網(wǎng)關(guān)的S1設(shè)備，已經(jīng)獲取其接口下的主機(jī)H1的地址信息，便可通過MAC地址轉(zhuǎn)換來實(shí)現(xiàn)到H1主機(jī)的路由轉(zhuǎn)發(fā)機(jī)制。因此，ARP處理子模塊不僅處理了正常ARP請求過程，還獲取了接口連接主機(jī)的可達(dá)信息，通過下發(fā)流表項(xiàng)指導(dǎo)S1對目的地址是H1的主機(jī)進(jìn)行路由轉(zhuǎn)發(fā)。由此可知，同接口同網(wǎng)段內(nèi)的主機(jī)，只要發(fā)送ARP請求，就會(huì)被ARP代理模塊捕獲，從而下發(fā)對應(yīng)的路由轉(zhuǎn)發(fā)流表項(xiàng)。H1獲取到網(wǎng)關(guān)的MAC地址以后，發(fā)送目的地址是的ICMP報(bào)文，S1根據(jù)流表匹配第1條，通過PacketIN上送到控制器，ICMP處理子模塊構(gòu)建ICMP報(bào)文，將ICMP報(bào)文從入接口發(fā)送出去，完成了本次ICMP通信。同一網(wǎng)段下兩主機(jī)通信的情況，與上述情況類似，區(qū)別在于需要ARP代理子模塊將ARP報(bào)文進(jìn)行一次轉(zhuǎn)發(fā)。H1發(fā)送ARP請求同一網(wǎng)段H4主機(jī)MAC地址，ARP代理子模塊判斷是同一網(wǎng)段內(nèi)兩主機(jī)通信，將ARP報(bào)文通過PacketOUT消息轉(zhuǎn)發(fā)，H4主機(jī)回復(fù)ARP報(bào)文，ARP代理子模塊獲取到H4主機(jī)的地址信息，后續(xù)步驟與上述一致。此后主機(jī)間通信通過OpenFlow設(shè)備的Normal動(dòng)作進(jìn)行轉(zhuǎn)發(fā)以圖X所示拓?fù)浣Y(jié)構(gòu)為例，設(shè)備S1的本地路由流表項(xiàng)如表5-3所示。表5-3S1本地路由表項(xiàng)表dpidMatch域Actionethtypenw_dst10x0800/32TTL--SetSrc_MAC：01:01:01:01:01:01SetDst_MAC：11:11:11:11:11:12Ouput：110x0800/32TTL--SetSrc_MAC：01:01:01:01:01:01SetDst_MAC：11:11:11:11:11:13Ouput：1（3）路由轉(zhuǎn)發(fā)階段指令接收處理模塊接收路由添加指令，首先對添加的路由信息進(jìn)行有效性判斷，包括路由信息的下一跳地址是否與設(shè)備虛擬接口屬于同一網(wǎng)段，以及下一跳地址是否與虛擬接口地址重復(fù)等。路由有效性驗(yàn)證成功后，指令接收處理模塊將路由信息添加路由表，此時(shí)路由表中的路由信息缺少下一跳的MAC地址。根據(jù)路由轉(zhuǎn)發(fā)機(jī)制，此路由信息可以被正常轉(zhuǎn)發(fā)的前提是對下一跳MAC地址的學(xué)習(xí)，因此指令接收處理模塊將構(gòu)建ARP請求，從設(shè)備所有接口發(fā)送ARP查詢下一跳MAC地址。ARP請求的處理將回歸ARP代理子模塊完成，下一跳設(shè)備虛擬接口回復(fù)ARP請求，將獲取的MAC地址更新到路由表中下一跳的MAC地址。使用完整的路由信息，ARP代理子模塊便可生成靜態(tài)路由轉(zhuǎn)發(fā)流表。這里存在另一種情景，即下一跳地址不存在，無法回復(fù)ARP請求。雖然無法獲取下一跳的MAC地址，但是路由設(shè)置是合理的，路由表中應(yīng)當(dāng)保存此路由條目。對于沒有下一跳MAC地址的路由，指令接收處理子模塊會(huì)將此路由轉(zhuǎn)換成PacketIN形式的流表項(xiàng)，對于發(fā)往此路由的數(shù)據(jù)包，由PacketIN處理子模塊做出判定，觸發(fā)ARP代理子模塊對于路由下一跳MAC地址的ARP查詢，直到下一跳地址可達(dá)并回復(fù)ARP請求，由ARP代理子模塊依照上述正常流程下發(fā)更新的路由流表項(xiàng)，覆蓋此PacketIN流表項(xiàng)。下面通過實(shí)例進(jìn)行闡述。對于設(shè)備S1，設(shè)置兩條路由信息分別為：目的地址/24，下一跳為；目的地址/24，下一跳地址為00（此地址不存在）；對于設(shè)備S2，設(shè)置一條路由信息為：目的地址/24，下一跳為。S1驗(yàn)證兩條路由有效性，并添加路由表，由于第2條路由下一跳地址不存在，將產(chǎn)生不同的路由流表項(xiàng)。S2執(zhí)行同樣流程。具體流表項(xiàng)內(nèi)容如表5-4所示。表5-4S1轉(zhuǎn)發(fā)路由表項(xiàng)表dpidMatch域Actionethtypenw_dst10x0800/32TTL--SetSrc_MAC：01:01:01:01:01:02SetDst_MAC：03:03:03:03:03:02Ouput：210x0800/24同上10x0800/24ToController20x0800/32TTL--SetSrc_MAC：03:03:03:03:03:02SetDst_MAC：02:02:02:02:02:02Ouput：320x0800/24同上綜上所述，靜態(tài)路由處理模塊整體工作流程如圖5-9所示。圖5-9靜態(tài)路由處理模塊整體工作流程圖其中指令接收處理子模塊流程和ARP代理子模塊流程分別如圖5-10和圖5-11所示。圖5-10指令處理接收模塊工作流程圖圖5-11ARP代理模塊工作流程圖靜態(tài)路由處理模塊圍繞路由機(jī)制中MAC地址轉(zhuǎn)換核心思想，通過將路由流程分為三個(gè)階段進(jìn)行功能構(gòu)建，各子模塊之間相互關(guān)聯(lián)，實(shí)現(xiàn)路由轉(zhuǎn)發(fā)功能。5.5.2靜態(tài)路由管理模塊靜態(tài)路由管理模塊負(fù)責(zé)系統(tǒng)靜態(tài)路由的添加以及刪除等工作。實(shí)現(xiàn)原理為，通過使用PythonWSGI（WebServerGatewayInterface，網(wǎng)頁服務(wù)器網(wǎng)關(guān)接口）規(guī)范，建立WSGI服務(wù)器與應(yīng)用程序，將靜態(tài)路由管理指令內(nèi)容，映射到RESTAPI中，再將RESTAPI映射到目標(biāo)處理函數(shù)。其中服務(wù)器負(fù)責(zé)接收RESTAPI形式的指令內(nèi)容，應(yīng)用程序負(fù)責(zé)將RESTAPI映射到對應(yīng)的處理函數(shù)。WSGI規(guī)范[]描述了網(wǎng)頁服務(wù)器與網(wǎng)頁應(yīng)用程序的通信規(guī)則，定義了一種服務(wù)器與應(yīng)用程序解耦的規(guī)范。WSGI服務(wù)器負(fù)責(zé)從客戶端接收請求，將請求（request）轉(zhuǎn)發(fā)給應(yīng)用程序，并將應(yīng)用程序的返回（response）返回給客戶端；WSGI應(yīng)用程序接收由服務(wù)器轉(zhuǎn)發(fā)的請求（request），處理請求，并將處理結(jié)果（response）返回給服務(wù)器。WSGI規(guī)定每個(gè)python程序（Application）必須