ospf協(xié)議范文第1篇
關(guān)鍵詞:OSPF SPF 骨干域
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)02-0047-01
當(dāng)今世界隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的規(guī)模的不斷擴(kuò)大, OSPF協(xié)議已成為目前網(wǎng)絡(luò)中采用最多、應(yīng)用最廣泛的路由技術(shù)之一。OSPF協(xié)議使用了Dijkstra提出的最短路徑算法(SPF),即在所有的自治系統(tǒng)內(nèi)部使用的路由選擇協(xié)議都是要尋找一條最短的路徑。在一個路由域內(nèi)采用OSPF的路由器彼此交換并保存整個網(wǎng)絡(luò)的鏈路信息,從而掌握全網(wǎng)的拓?fù)浣Y(jié)構(gòu),獨立計算路由。
1 路由協(xié)議
路由協(xié)議是路由器之間相互學(xué)習(xí)所連網(wǎng)絡(luò)的信息,進(jìn)行路由信息交換所要遵循的網(wǎng)絡(luò)協(xié)議。路由器通過路由協(xié)議所定義的方式與設(shè)定好的路由器進(jìn)行路由信息交換,并根據(jù)不斷獲得的信息計算或刷新路由器中保存的路徑信息,并產(chǎn)生相應(yīng)的路由表。路由器利用路由表作出當(dāng)前收到的IP數(shù)據(jù)包應(yīng)該轉(zhuǎn)發(fā)往何處的判斷。
2 OSPF路由協(xié)議
2.1 SPF算法
SPF算法是OSPF路由協(xié)議的基礎(chǔ)。SPF算法有時也被稱為Dijkstra算法,這是因為最短路徑優(yōu)先算法SPF是Dijkstra發(fā)明的。SPF算法將每一個路由器作為根(ROOT)來計算其到每一個目的地路由器的距離,每一個路由器根據(jù)一個統(tǒng)一的數(shù)據(jù)庫會計算出路由域的拓?fù)浣Y(jié)構(gòu)圖,該結(jié)構(gòu)圖類似于一棵樹,在SPF算法中,被稱為最短路徑樹。在OSPF路由協(xié)議中,最短路徑樹的樹干長度,即OSPF路由器至每一個目的地路由器的距離,稱為OSPF的Cost,其算法為:Cost = 100×106/鏈路帶寬。在一個OSPF區(qū)域中只能有一個骨干區(qū)域,可以有多個非骨干區(qū)域,骨干區(qū)域的區(qū)域號為0,各非骨干區(qū)域只與骨干區(qū)域相連,通過骨干區(qū)域相互交換信息。
2.2 OSPF協(xié)議具體應(yīng)用
網(wǎng)絡(luò)拓?fù)淙缦聢D所示
RTA(config)#Interface Ethernet 0
RTA(config-if)#ip address 192.168.1.1 255.255.255.0
RTA(config-if)#no shutdown
RTA(config-if)#exit
RTA(config)#Interface Ethernet 1
RTA(config-if)#ip address 192.168.2.1 255.255.255.0
RTA(config-if)#no shutdown
RTA(config-if)#exit
RTA(config)#router ospf 1
RTA(config-router)#network 192.168.1.0 0.0.0.255 area 0
RTA(config-router)#network 192.168.2.0 0.0.0.255 area 0
RTB(config)#Interface Ethernet 0
RTB(config-if)#ip address 192.168.1.2 255.255.255.0
RTB(config-if)#no shutdown
RTB(config-if)#exit
RTB(config)#Interface Ethernet 1
RTB(config-if)#ip address 192.168.3.1 255.255.255.0
RTB(config-if)#no shutdown
RTB(config-if)#exit
RTB(config)#router ospf 1
RTB(config-router)#network 192.168.1.0 0.0.0.255 area 0
RTB(config-router)#network 192.168.3.0 0.0.0.255 area 0
RTC(config)#Interface Ethernet 0
RTC(config-if)#ip address 192.168.1.3 255.255.255.0
RTC(config-if)#no shutdown
RTC(config-if)#exit
RTC(config)#Interface Ethernet 1
RTC(config-if)#ip address 192.168.2.2 255.255.255.0
RTC(config-if)#no shutdown
RTC(config-if)#exit
RTC(config)#Interface Ethernet 1
RTC(config-if)#ip address 192.168.3.2 255.255.255.0
RTC(config-if)#no shutdown
RTC(config-if)#exit
RTC(config)#router ospf 1
RTC(config-router)#network 192.168.1.0 0.0.0.255 area 0
RTC(config-router)#network 192.168.2.0 0.0.0.255 area 0
RTC(config-router)#network 192.168.3.0 0.0.0.255 area 0
3 結(jié)語
OSPF作為一種重要的內(nèi)部網(wǎng)關(guān)協(xié)協(xié)議的普遍應(yīng)用,極大地增強了網(wǎng)絡(luò)的可擴(kuò)展性和穩(wěn)定性,同時也反映出了動態(tài)路由協(xié)議的強大功能。相信隨著研究的深入OSPF協(xié)議將更為廣泛的被應(yīng)用。
參考文獻(xiàn)
[1]陳月東,唐國光.《網(wǎng)絡(luò)設(shè)備互聯(lián)技術(shù)》.中國勞動社會保障出版社,2010.12.
ospf協(xié)議范文第2篇
關(guān)鍵詞:動態(tài)路由協(xié)議;鏈路狀態(tài)路由協(xié)議;OSPF;router-id沖突;自治系統(tǒng);CE;RFC2328
1 OSPFv2協(xié)議研究
1.1 OSPF協(xié)議概述
IETF為了滿足建造越來越大基于IP網(wǎng)絡(luò)的需要,形成了一個工作組,專門用于開發(fā)開放式的、鏈路狀態(tài)路由協(xié)議,以便用在大型、異構(gòu)的IP網(wǎng)絡(luò)中。新的路由協(xié)議已經(jīng)取得一些成功的一系列私人的、和生產(chǎn)商相關(guān)的、最短路徑優(yōu)先(SPF)路由協(xié)議為基礎(chǔ),在市場上廣泛使用。包括OSPF在內(nèi),所有的SPF路由協(xié)議基于一個數(shù)學(xué)算法Dijkstra算法。這個算法能使路由選擇基于鏈路狀態(tài),而不是距離向量。
OSPF由IETF在20世紀(jì)80年代末期開發(fā),OSPF是SPF類路由協(xié)議中的開放式版本。最初的OSPF規(guī)范體現(xiàn)在RFC1131中,第1版(OSPF版本1)很快被進(jìn)行重大改進(jìn)的版本所代替,新版本體現(xiàn)在RFC1247文檔中,RFC1247OSPF稱為OSPF版本2是為了明確指出其在穩(wěn)定性和功能性方面的實質(zhì)性改進(jìn)。OSPF版本2中有許多更新文檔,每一個更新都是對開放標(biāo)準(zhǔn)的精心改進(jìn),后續(xù)的規(guī)范出現(xiàn)在RFC 1583、2178和2328中。
鏈路是路由器接口的另一種說法,因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構(gòu)造路由表。
OSPF路由協(xié)議是一種典型的鏈路狀態(tài)(Link-state)的路由協(xié)議,一般用于同一個路由域內(nèi)。在這里,路由域是指一個自治系統(tǒng)(Autonomous System),即AS,它是指一組通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)。在這個AS中,所有的OSPF路由器都維護(hù)一個相同的描述這個AS結(jié)構(gòu)的數(shù)據(jù)庫,該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息,OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。作為一種鏈路狀態(tài)的路由協(xié)議,OSPF將鏈路狀態(tài)廣播數(shù)據(jù)LSA(Link State Advertisement)傳送給在某一區(qū)域內(nèi)的所有路由器,這一點與距離矢量路由協(xié)議不同,運行距離矢量路由協(xié)議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。
1.2 OSPFv2協(xié)議研究
RFC2328中明確OSPF僅通過在IP包頭中的目標(biāo)地址來轉(zhuǎn)發(fā)IP包,IP包在AS中被轉(zhuǎn)發(fā),而沒有被其他協(xié)議再次封裝。OSPF是一種動態(tài)路由協(xié)議,它可以快速地探知AS中拓?fù)涞母淖儯ɡ缏酚善鹘涌诘氖В?,并在一段時間的收斂后計算出無環(huán)路的新路徑,收斂的時間很短且只使用很小的路由流量。
在連接狀態(tài)路由協(xié)議中,每臺路由器都維持著一個數(shù)據(jù)庫以描述AS的拓?fù)浣Y(jié)構(gòu),這個數(shù)據(jù)庫被稱為連接狀態(tài)數(shù)據(jù)庫,所有參與的路由器都有著同樣的數(shù)據(jù)庫,數(shù)據(jù)庫中的各項說明特定路由器自身的狀態(tài)(如該路由器的可用接口和可以到達(dá)的鄰居)。該路由器通過洪泛將其自身的狀態(tài)傳送到整個AS中。所有的路由器同步地運行完全相同的算法。根據(jù)連接狀態(tài)數(shù)據(jù)庫,每臺路由器構(gòu)建出一棵以其自身為樹根的最短路徑樹,最短路徑樹給出了到達(dá)AS中各個目標(biāo)的路徑,路由信息的起源在樹中表現(xiàn)為樹葉。當(dāng)有多條等值的路徑到達(dá)同一目標(biāo)時,數(shù)據(jù)流量將在這些路徑上平均分?jǐn)?,路徑的距離值表現(xiàn)為一個無量綱數(shù)。
OSPF允許將一些網(wǎng)絡(luò)組合到一起。這樣的組被稱為區(qū)域area。區(qū)域?qū)S中的其他部分隱藏其內(nèi)部的拓?fù)浣Y(jié)構(gòu),信息的隱藏極大地減少了路由流量;同時,區(qū)域內(nèi)的路由僅由區(qū)域自身的拓?fù)鋪頉Q定,這可使區(qū)域抵御錯誤的路由信息,區(qū)域通常是一個子網(wǎng)化的IP網(wǎng)絡(luò)。OSPF允許靈活的配置IP子網(wǎng),由OSPF的每條路徑都包含目標(biāo)和掩碼,同一個IP網(wǎng)絡(luò)的兩個子網(wǎng)可以有不同的大?。床煌难诖a),這常被稱為變長子網(wǎng)variable length subnetting,數(shù)據(jù)包按照最佳匹配(最長匹配)來轉(zhuǎn)發(fā),主機路徑被看作掩碼為“全1”(0xffffffff)的子網(wǎng)來處理。
OSPF協(xié)議中所有的信息交換都經(jīng)過驗證。這意味著,在AS中只有被信任的路由器才能參與路由,有多種驗證方法可以被選擇;事實上,可以為每個IP子網(wǎng)選用不同的驗證方法。來源于外部的路由信息(如路由器從諸如BGP的外部網(wǎng)關(guān)協(xié)議中得到的路徑)向整個AS內(nèi)部宣告,外部數(shù)據(jù)與OSPF協(xié)議的連接狀態(tài)數(shù)據(jù)相對獨立,每條外部路徑可以由所宣告的路由器作出標(biāo)記,在自制系統(tǒng)邊界路由器(ASBR)之間傳遞額外的信息。
2 OSPF域router-id沖突研究
兩臺路由器R1與R2之間建立域內(nèi)OSPF,當(dāng)R1和R2出現(xiàn)router-id 10.1.1.1重復(fù)時,通過查看OSPF數(shù)據(jù)庫可以得到以下信息,詳情請查閱下圖3、圖4。
我們從以上數(shù)據(jù)分析得出,每種LSA的age數(shù)值都非常的小,每種LSA的seq數(shù)值都非常的大,這也說明當(dāng)出現(xiàn)router-id重復(fù),那么LSDB中的LSA表現(xiàn)得非常不穩(wěn)定,最終將導(dǎo)致SPF算法不停的工作、路由表不穩(wěn)定、路由條目丟失。通過查看路由器日志告警文件可以見一旦出現(xiàn)router-id重復(fù),那么日志信息表現(xiàn)為下圖5的形式,其中adv-rtr為重復(fù)的router-id。
綜上所述,從router-id沖突分析后得出以下結(jié)論:
(1)整個ospf域內(nèi)會泛洪錯誤LSA,database不斷更新(seq很大,age很?。?,網(wǎng)絡(luò)極其不穩(wěn)定;
(2)由于整個ospf域database不斷更新,導(dǎo)致整個ospf域中routing-table抖動(route flapping),丟失路由條目。
3 結(jié)束語
移動通信網(wǎng)絡(luò)IP承載網(wǎng)工程建設(shè)中涉及IP地址分配,工程建設(shè)過程中使用分配的IP地址開啟建立動態(tài)路由協(xié)議OSPF的router-id,需重視并嚴(yán)格按照設(shè)計規(guī)范及要求,加強IP地址的分配及使用,杜絕分配IP地址沖突導(dǎo)致OSPF域router-id的重復(fù)使用,避免因router-id沖突影響OSPF協(xié)議的正常工作,避免因router-id沖突導(dǎo)致的網(wǎng)絡(luò)事故影響用戶業(yè)務(wù)的發(fā)生。
[參考文獻(xiàn)]
[1]Development.Routing.TCP.IP.Volume.I.by Jeff Doyle.
ospf協(xié)議范文第3篇
【關(guān)鍵詞】OSPF;鄰接關(guān)系通告;分組;區(qū)域;數(shù)據(jù)庫
一、OSPF介紹
OSPF:Open Shortest Path First 開放最短路徑優(yōu)先是基于RFC 2328的開放標(biāo)準(zhǔn)協(xié)議,它非常復(fù)雜涉及到多種數(shù)據(jù)類型,網(wǎng)絡(luò)類型,數(shù)據(jù)通告過程等,靈活的接口類型,可以隨處設(shè)置通告網(wǎng)絡(luò)地址,方便的修改鏈路開銷等。
二、OSPF鄰居關(guān)系的建立
1.在局域網(wǎng)中路由器A啟動后處于down狀態(tài),此時沒有其它路由器與它進(jìn)行信息交換,它會從啟用OSPF協(xié)議的接口向外發(fā)送Hello分組,發(fā)送分組使用組播地址:224.0.0.5。
2.所有運行OSPF的直連路由器將會收到Hello分組,并將路由器A加入到鄰居列表中,此時的鄰居處于Init狀態(tài)(初始化狀態(tài))。
3.所有收到Hello分組的路由器都會向路由器A發(fā)送一個單播應(yīng)答分組,其中包含它們自身的信息,并包含自己的鄰居表(其中包括路由器A)。
4.路由器A收到這些Hello分組后,將它們加入到自己的鄰居表中,并發(fā)現(xiàn)自己在鄰居的鄰居表中,這時就建立了雙向鄰居關(guān)系(two-way)狀態(tài)。
5.在廣播型網(wǎng)絡(luò)中要選舉DR和BDR,選舉后路由器處于預(yù)啟動(exstart)狀態(tài)。
6.在預(yù)啟動狀態(tài)下路由間要交換一個或多個的DBD分組(DDP),這時路由器處于交換狀態(tài)。在DBD中包含鄰居路由器的網(wǎng)絡(luò)、鏈路信息摘要,路由器根據(jù)其中的序列號判斷收到的鏈路狀態(tài)的新舊程度。
7.當(dāng)路由器收到DBD后,使用LSAck分組來確認(rèn)DBD包,并將收到的LSDB與自身的相比較,如果收到的較新,則路由器向?qū)Ψ桨l(fā)出一個LSR請求,進(jìn)入加載狀態(tài),對方會用LSU進(jìn)行回應(yīng),LSU中包含詳細(xì)的路由信息。
8.當(dāng)對方提供了自身的LSA后,相鄰路由器處于同步狀態(tài)和完成鄰接狀態(tài),在lan中路由器只與DR和BDR建立完全鄰接關(guān)系,而與DRothers只建立雙向鄰接關(guān)系,此時的相鄰路由器進(jìn)入了Full狀態(tài),完成了信息同步。
三、OSPF的分區(qū)機制
OSPF路由協(xié)議可以使用在大型網(wǎng)絡(luò)規(guī)模中,如要規(guī)模太大,路由器需要維持很大的鏈路狀態(tài)作息,構(gòu)建大的鏈路狀態(tài)數(shù)據(jù)庫存(LSDB),路由表要較大,影響工作效率,并且當(dāng)網(wǎng)絡(luò)中拓?fù)涑霈F(xiàn)問題時,會引起大的路由波動,所有路由器要重建路由表,所以分區(qū)的概念被提出來。
設(shè)計者可以將整個網(wǎng)絡(luò)分為多個區(qū)域,每個區(qū)域內(nèi)部的路由器只需要了解本區(qū)域內(nèi)部的網(wǎng)絡(luò)拓?fù)淝闆r,而不用掌握所有路由器的鏈路情況,這樣LSDB就減小了很多,并且當(dāng)其它區(qū)域的網(wǎng)絡(luò)拓?fù)渥兓瘯r,相應(yīng)的信息不會擴(kuò)散到本區(qū)域外,如變化后影響到其它區(qū)域,這時ABR才會生成LSA發(fā)往其它區(qū)域,這樣大部分的拓?fù)渥兓浑[藏在區(qū)域內(nèi)部,其它區(qū)域的自身并不需要明白這些,內(nèi)部路由器只需維持本區(qū)域的LSDB即可,這樣就減少了協(xié)議數(shù)據(jù)包,減輕路由器及鏈路的負(fù)載。
四、OSPF的分組類型
1.HELLO報文(Hello Packet)。最常用的一種報文,周期性的發(fā)送給本路由器的鄰居。內(nèi)容包括一些定時器的數(shù)值,DR,BDR,以及自己已知的鄰居。
2.DBD報文(Database Description Packet)。兩臺路由器進(jìn)行數(shù)據(jù)庫同步時,用DD報文來描述自己的LSDB,內(nèi)容包括LSDB中每一條LSA的摘要(摘要是指LSA的HEAD,通過該HEAD可以唯一標(biāo)識一條LSA)。這樣做是為了減少路由器之間傳遞信息的量,因為LSA的HEAD只占一條LSA的整個數(shù)據(jù)量的一小部分,根據(jù)HEAD,對端路由器就可以判斷出是否已經(jīng)有了這條LSA。
3.LSR報文(Link State Request Packet)。兩臺路由器互相交換過DD報文之后,知道對端的路由器有哪些LSA是本地的LSDB所缺少的或是對端更新的LSA,這時需要發(fā)送LSR報文向?qū)Ψ秸埱笏璧腖SA。內(nèi)容包括所需要的LSA的摘要。
4.LSU報文(Link State Update Packet)。用來向?qū)Χ寺酚善靼l(fā)送所需要的LSA,內(nèi)容是多條LSA(全部內(nèi)容)的集合。
5.LSAck 報文(Link State Acknowledgment Packet)。用來對接收到的LSU報文進(jìn)行確認(rèn)。內(nèi)容是需要確認(rèn)的LSA的HEAD(一個報文可對多個LSA進(jìn)行確認(rèn))。
ospf協(xié)議范文第4篇
關(guān)鍵詞:路由協(xié)議;IGP;安全
中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1672-3198(2008)01-0266-01
OSPF(Open Shortest Path First,開放最短路徑優(yōu)先)是一種用于通信設(shè)備上基于SPF(Shortest Path First,最短路徑優(yōu)先)算法的典型的鏈路狀態(tài)路由協(xié)議,發(fā)送報文有如下五種類型分別是:第一,Hello數(shù)據(jù)包,運行OSPF協(xié)議的路由器每隔一定的時間發(fā)送一次Hello數(shù)據(jù)包,用以發(fā)現(xiàn)、保持鄰居(Neighbors)關(guān)系并可以選舉DR/BDR。第二,鏈路狀態(tài)數(shù)據(jù)庫描述數(shù)據(jù)包(DataBase Description,DBD)是在鏈路狀態(tài)數(shù)據(jù)庫交換期間產(chǎn)生,它的主要作用有三個:選舉交換鏈路狀態(tài)數(shù)據(jù)庫過程中的主/從關(guān)系、確定交換鏈路狀態(tài)數(shù)據(jù)庫過程中的初始序列號和交換所有的LSA數(shù)據(jù)包頭部。第三,鏈路狀態(tài)請求數(shù)據(jù)包(LSA-REQ)用于請求在DBD交換過程發(fā)現(xiàn)的本路由器中沒有的或已過時的LSA包細(xì)節(jié)。第四,鏈路狀態(tài)更新數(shù)據(jù)包(LSA-Update)用于將多個LSA泛洪,也用于對接收到的鏈路狀態(tài)更新進(jìn)行應(yīng)答。如果一個泛洪LSA沒有被確認(rèn),它將每隔一段時間(缺省是5秒)重傳一次。第五,鏈路狀態(tài)確認(rèn)數(shù)據(jù)包(LSA-Acknowledgement)用于對接收到的LSA進(jìn)行確認(rèn)。該數(shù)據(jù)包會以組播的形式發(fā)送。
最新的RFC2328規(guī)定OSPF協(xié)議的五種報文都有相同OSPF報文頭格式,其中AuType字段定義了認(rèn)證類型(目前提供的三種認(rèn)證類型分別為無認(rèn)證、簡單明文認(rèn)證、MD5認(rèn)證),并且在OSPF報文頭中包含8個字節(jié)的認(rèn)證信息,OSPF的校驗和不計算這8個字節(jié)的認(rèn)證信息。下面我們具體分析一下OSPF的兩種帶認(rèn)證的工作模式。
簡單明文認(rèn)證。認(rèn)證類型為1,在所有OSPF報文采用8個字節(jié)的明文認(rèn)證,不能超過該長度,在物理線路中傳輸時,該口令是可見的,只要監(jiān)聽到該報文,口令即泄漏,防攻擊能力脆弱,這種認(rèn)證方式的使用只有在條件限制,鄰居不支持加密認(rèn)證時才用。
MD5認(rèn)證。認(rèn)證類型為2,OSPF采用的一種加密的身份認(rèn)證機制。在OSPF報文頭中,用于身份驗證的域包括:key ID、MD5加密后認(rèn)證信息長度(規(guī)定16字節(jié))、加密序列號。實際16字節(jié)加密后的信息在整個IP報文的最后,CRC校驗碼之前。key ID標(biāo)識了共享密鑰的散列函數(shù),建立鄰居關(guān)系的兩個設(shè)備來說key ID必需相同。加密序列號是一個遞增整數(shù),遞增的幅度不固定,只要后一個協(xié)議包的序列號肯定不能比前一個小就行了,一般以設(shè)備啟動時間秒數(shù)為序列號值。16字節(jié)的加密信息產(chǎn)生過程如下:
第一步、在OSPF分組報文的最后(IP報文CRC之前)寫入16字節(jié)的共享密鑰。
第二步、MD5散列函數(shù)的構(gòu)造,將第一步生成的消息,將其規(guī)范為比512字節(jié)小8個字節(jié)的信息(如果不夠可以填充),然后添加八個字節(jié)(內(nèi)容為填充前實際報文長度),這樣第二步構(gòu)成的散列函數(shù)剛好是512字節(jié)的整數(shù)倍。
第三步、用MD5算法對第二步中的散列函數(shù)計算其散列值,產(chǎn)生16字節(jié)的消息摘要。
第四步、用第三步中產(chǎn)生的16字節(jié)散列值替換第一步已經(jīng)寫入到OSPF分組報文中的公共密鑰,完成加密過程。
從第一步到第四步過程中沒有計算該16字節(jié)信息的OSPF校驗和。
分析完認(rèn)證后,我們再分析一下認(rèn)證的安全性問題。
無認(rèn)證時,對通信設(shè)備的攻擊只要能“竊入”物理鏈路,即可以合法的身份進(jìn)行攻擊,篡改路由表,造成嚴(yán)重后果。
簡單明文認(rèn)證時,對通信設(shè)備的攻擊也只要能“竊入”物理鏈路,監(jiān)聽物理鏈路上的OSPF路由協(xié)議報文,直接獲取明文口令后,即可使用該口令以合法的身份進(jìn)行攻擊。
MD5認(rèn)證時,對通信設(shè)備的攻擊即使“竊入”物理鏈路,監(jiān)聽物理鏈路上的OSPF路由協(xié)議報文,比較難以進(jìn)行攻擊。由于MD5算法為單向加密算法,即任意兩段明文數(shù)據(jù),加密以后的密文不能是相同的,而且任意一段明文數(shù)據(jù),經(jīng)過加密以后,其結(jié)果必須永遠(yuǎn)是不變的,而且MD5采用128位加密方法,破譯MD5的加密報文的手段包括“暴力搜尋”沖突的函數(shù),“野蠻攻擊”用窮舉法從所有可能產(chǎn)生的結(jié)果中找到被MD5加密的原始明文,實行起來都相當(dāng)困難(一臺機器每秒嘗試10億條明文,那么要破譯出原始明文大概需要10的22次方年)。所以入侵者很難獲取MD5認(rèn)證口令或者說其獲取口令的代價值相當(dāng)?shù)母?,一些重要通信?jié)點上,即使入侵者愿意花高昂的代價獲取到密碼還是有預(yù)防措施將非受信的入侵者拒之門外。入侵者試圖攻擊通信設(shè)備,其有兩種方法,一種是以新加入的鄰居的方式,一種是以仿真合法鄰接通信設(shè)備的方式。下面我們著重研究一下這幾種攻擊方式的處理措施。
對于第一種以新鄰居方式的攻擊手段,現(xiàn)在多數(shù)通信設(shè)備都已經(jīng)實現(xiàn)訪問控制,即該接口上僅允許接收源IP地址為合法鄰居的OSPF報文,來自入侵者企圖以該網(wǎng)段新鄰居的方式加入,沒有管理員配置,鄰居關(guān)系始終無法建立,無法入侵修改路由表。
對于第二種以仿真合法鄰接通信設(shè)備的方式攻擊,而且該入侵者還獲取了口令,這個入侵檢測和預(yù)防都復(fù)雜很多。不過我們可以根據(jù)鄰接OSPF配置特點,目的地址為保留組播地址,IP報文頭中TTL為1,入侵者發(fā)出來的報文必需向保留組播地址發(fā)送,所以被攻擊設(shè)備和被“仿真”的合法設(shè)備都能收到該報文,這時候被“仿真”設(shè)備能發(fā)現(xiàn)網(wǎng)絡(luò)上有人冒用自己名義,即可以采用告警更換密碼、檢查線路安全等方式杜絕攻擊。
ospf協(xié)議范文第5篇
【關(guān)鍵字】RIP OSPF IGP 網(wǎng)路拓?fù)?span style="display:none">ACs萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
1 引言
進(jìn)入21世紀(jì)以來,我國網(wǎng)絡(luò)發(fā)展越來越迅猛,更多的傳統(tǒng)設(shè)備如電視,手機,空調(diào),汽車等接入到了計算機網(wǎng)絡(luò)中,如何訪問這些設(shè)備,需要更加完善的網(wǎng)絡(luò)中繼器,比如集線器,交換機,路由器等。要使這些設(shè)備正常工作則需要各種配置協(xié)議。
本文從計算機網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)出發(fā),引出網(wǎng)絡(luò)層協(xié)議中基于不同算法進(jìn)行路由尋址的兩種內(nèi)部網(wǎng)關(guān)協(xié)議RIP和OSPF,闡述兩者的基本內(nèi)容與特點,從其報文格式,路由算法,可作用的網(wǎng)絡(luò)規(guī)模來探討兩者的區(qū)別。
2 動態(tài)路由協(xié)議
拓?fù)湓谟嬎銠C網(wǎng)絡(luò)中即是指連接各結(jié)點的形式與方法。網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)反映出網(wǎng)中各實體的結(jié)構(gòu)關(guān)系,是實現(xiàn)各種網(wǎng)絡(luò)協(xié)議的基礎(chǔ)。
不同拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)稱為異構(gòu)網(wǎng)絡(luò)。異構(gòu)網(wǎng)絡(luò)有不同的網(wǎng)絡(luò)實現(xiàn)技術(shù),路由器使得異構(gòu)網(wǎng)絡(luò)可以相互訪問。路由器根據(jù)其內(nèi)部的路由表轉(zhuǎn)發(fā)數(shù)據(jù)包,路由表里的項目存儲著數(shù)據(jù)包從某個網(wǎng)絡(luò)或主機到另一個網(wǎng)絡(luò)或主機所經(jīng)過的物理端口,從該端口發(fā)送出去就可以到達(dá)該路由上的下一跳路由器或該端口直接相連的主機。
隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,手工配置靜態(tài)路由變得越來越困難,出錯率增大,而動態(tài)路由協(xié)議可按照一定的算法自動修改或刷新路由表。使用更先進(jìn)的動態(tài)路由協(xié)議來配置路由可大大減少工作量,降低出錯率,提高工作效率。
按照不同的工作范圍,動態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)和外部網(wǎng)關(guān)協(xié)議(EGP)。為了方便網(wǎng)絡(luò)管理和提高網(wǎng)絡(luò)的保密性,會將互聯(lián)網(wǎng)劃分若干較小的自治系統(tǒng)(AS)。
EGP是負(fù)責(zé)不同自治系統(tǒng)之間的數(shù)據(jù)傳送,目前使用最多的是BGP-4(邊界網(wǎng)關(guān)協(xié)議4版本)。IGP則負(fù)責(zé)AS內(nèi)部的數(shù)據(jù)傳送,使用最多的是RIP和OSPF。
3 RIP和OSPF的基本特點
RIP是一種分布式的基于距離向量的路由選擇協(xié)議,該協(xié)議要求網(wǎng)絡(luò)中的每個路由器都要維護(hù)自己到其他目的網(wǎng)絡(luò)的距離記錄(“距離”即 ”跳數(shù)”)。
RIP的路由配置比較簡單。首先它僅和相鄰路由器(兩個可直接交換信息的路由器互稱為相鄰路由器)交Q信息;其次使用RIP協(xié)議交換的是某路由器所知道的全部信息(即整個路由表)“即該路由器到本自治系統(tǒng)中所有網(wǎng)絡(luò)的最短距離,以及到每個網(wǎng)絡(luò)應(yīng)經(jīng)過的下一跳路由器”,最后不管網(wǎng)絡(luò)拓?fù)涫欠癜l(fā)生變化,RIP協(xié)議都規(guī)定路由器需要定期交換路由信息,路由器根據(jù)接受的信息更新路由表,若發(fā)生網(wǎng)絡(luò)拓?fù)浒l(fā)生變化,則該路由器將變化信息轉(zhuǎn)發(fā)給與自己相鄰的其他路由器。
OSPF是一種基于分布式的鏈路狀態(tài)協(xié)議,相較于RIP它使用的是洪泛法向自治系統(tǒng)中所有的路由器發(fā)送信息,與其相鄰的路由器都可以接收到該消息,接受之后又將消息發(fā)往除發(fā)送該消息之外的所有相鄰路由器,至整個自治系統(tǒng)的路由器都得到這個消息為止。
另外它不同于RIP發(fā)送所有網(wǎng)絡(luò)距離和下一跳地址,它發(fā)送的只是所有相鄰路由器的鏈路狀態(tài),這里的“鏈路狀態(tài)”指的是與該路由器相鄰的是哪些路由器以及表示“費用”,“時延”,“帶寬”,“距離”等度量信息,發(fā)送的是部分信息而不是整個路由表。
最后不同于RIP協(xié)議定時發(fā)送更新信息,OSPF只在網(wǎng)絡(luò)狀態(tài)發(fā)生變化時,才用洪泛法向所有路由器發(fā)送消息,很大程度上減少了網(wǎng)絡(luò)的負(fù)載。
4 RIP與OSPF的算法特征及其性能指標(biāo)
RIP有RIPv1和RIPv2兩個版本,都使用D-V路由算法?;赨DP的520端口,度量以跳數(shù)表示,相鄰路由器之間默認(rèn)跳數(shù)為1,16跳為不可到達(dá),默認(rèn)30秒更新一次廣播信息。相較于RIPv1,RIPv2可以用組播方式發(fā)送信息,組播地址為224.0.0.9,支持驗證和VLSM.。
RIP優(yōu)點是配置簡單,可維護(hù)性好,支持IP,IPX等網(wǎng)絡(luò)層協(xié)議,所占內(nèi)存較少已經(jīng)CPU處理時間較少,缺點也很明顯,首先它的擴(kuò)展性不好,最大跳數(shù)不超過16,路由收斂速度比較慢,開銷比較大.RIP適合小型規(guī)模網(wǎng)絡(luò)。
OSPF則基于迪克斯加算法(Dijkstra),該算法被用來計算最短路徑樹,使用增量更新機制,發(fā)送的不是整個路由表,而是包含鏈路狀態(tài)變化的部分信息,也不是定期發(fā)送更新,只在鏈路狀態(tài)發(fā)生變化的時候才更新路由信息,這種方式節(jié)省了更多開銷,該算法提供比D-V算法更大的擴(kuò)展性和快速收斂性,但是更耗內(nèi)存和CPU時間。
OSPF路由協(xié)議的優(yōu)點是路由狀態(tài)收斂速度快,可擴(kuò)展性好,適應(yīng)大型網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)與狀態(tài)變化,不會形成路由自環(huán),支持區(qū)域劃分,支持等值路由劃分,支持驗證,支持路由分級管理以及可以使用組播方式發(fā)送報文。缺點則是占用較多的內(nèi)存以及較多的CPU時間,對網(wǎng)絡(luò)設(shè)備的性能有一定的要求。
5 RIP和OSPF各自適用的網(wǎng)絡(luò)環(huán)境
RIP與OSPF都是目前計算機網(wǎng)絡(luò)中應(yīng)用廣泛的協(xié)議,鑒于兩者不同的報文格式,使用不同的算法,以及不同的報文傳送方式,其具有不同的性能,各自適應(yīng)的網(wǎng)絡(luò)環(huán)境也不相同。RIP憑借簡單的配置,良好的可維護(hù)性,以及對硬件設(shè)備較低的要求使得其在小型網(wǎng)絡(luò)中運能最大程度發(fā)揮其優(yōu)勢,其收斂速度和擴(kuò)展性的限制(超過16跳便不可達(dá))又使得RIP不適應(yīng)大,中型網(wǎng)絡(luò)的性能要求。
OSPF則更適合在大,中型網(wǎng)絡(luò)中發(fā)揮作用,其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)更復(fù)雜,容易出現(xiàn)路由自環(huán)現(xiàn)象,OSPF可以避免自環(huán)的出現(xiàn),支持區(qū)域劃分,等值路由劃分,以及分級管理。另外大型網(wǎng)絡(luò)的投入使得其更有可能具有性能更好的設(shè)備以滿足裝載OSPF的要求,OSPF更能滿足大型網(wǎng)絡(luò)單位時間內(nèi)大量路由信息變化的處理需求。
ospf協(xié)議范文第6篇
一、動態(tài)路由協(xié)議OSPF
在計算機網(wǎng)絡(luò)中,路由器是一個轉(zhuǎn)運站,網(wǎng)絡(luò)數(shù)據(jù)的目的是網(wǎng)絡(luò)通過路由器進(jìn)行轉(zhuǎn)發(fā),轉(zhuǎn)發(fā)是基于路由表。路由協(xié)議路由表,路由協(xié)議,作為一種重要的TCP / IP協(xié)議的,路由過程實現(xiàn)好壞將直接影響到整個網(wǎng)絡(luò)的效率。簡單網(wǎng)絡(luò)可以通過靜態(tài)路由協(xié)議之間的網(wǎng)絡(luò)路由,如果您正在使用一個靜態(tài)路由協(xié)議,路由表將會非常大,靜態(tài)路由不會考慮網(wǎng)絡(luò)負(fù)載的現(xiàn)狀,并不能自動適應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓吐酚尚?。所以,在現(xiàn)代計算機網(wǎng)絡(luò),通常使用動態(tài)路由協(xié)議自動計算最佳路徑。OSPF動態(tài)路由協(xié)議,使用SPF演算法,用于選擇最佳路徑?;趲捀斓氖諗克俣龋С肿冮L子網(wǎng)掩碼VLSM,路由強大的測量大型網(wǎng)絡(luò)(255),大多數(shù)人支持OSPF路由器的數(shù)量,現(xiàn)在已經(jīng)成為最廣泛使用的動態(tài)路由協(xié)議的內(nèi)部網(wǎng)關(guān)協(xié)議。
二、動態(tài)路由協(xié)議分類
(1)根據(jù)角色路由協(xié)議的范圍可分為:內(nèi)部和外部網(wǎng)關(guān)協(xié)議。內(nèi)部網(wǎng)關(guān)協(xié)議運行是在一個自治系統(tǒng)中,外部網(wǎng)關(guān)協(xié)議是自治系統(tǒng)之間的輪換。OSPF是一個最常用的內(nèi)部網(wǎng)關(guān)協(xié)議。根據(jù)算法和路由協(xié)議可以分為鏈路狀態(tài)和距離向量協(xié)議,距離矢量協(xié)議包括RIP和邊界網(wǎng)關(guān)協(xié)議。鏈路狀態(tài)協(xié)議與OSPF是基本相同的,主要區(qū)別在上述兩個算法和計算發(fā)現(xiàn)路由的方法。
(2)根據(jù)目的地址的路由協(xié)議類型可分為:單播和多播協(xié)議。單播協(xié)議包括RIP、OSPF和東部,包括PIM SM -多播協(xié)議,PIM - DM,等等。根據(jù)網(wǎng)絡(luò)規(guī)模,應(yīng)增加路由器運行OSPF協(xié)議的數(shù)量,并將導(dǎo)致LSDB(鏈路狀態(tài)數(shù)據(jù)庫)占用大量的存儲空間,增加SPF(最短路徑優(yōu)先)算法操作的復(fù)雜性,增加CPU的負(fù)擔(dān)。根據(jù)網(wǎng)絡(luò)規(guī)模增加拓?fù)渥兓母怕室矊⒃黾?,每一個變化可能導(dǎo)致網(wǎng)絡(luò)路由器計算“動蕩”,根據(jù)網(wǎng)絡(luò)往往會導(dǎo)致所傳播的網(wǎng)絡(luò)會有很多OSPF協(xié)議信息,減少網(wǎng)絡(luò)帶寬的利用率。為了解決這個問題,OSPF協(xié)議將自治系統(tǒng)分為不同的區(qū)域(區(qū)域)。邏輯路由器的區(qū)域被劃分為不同的群體。每個區(qū)域獨立于SPF路由算法的基礎(chǔ)上運行,這意味著每個地區(qū)都有自己的LSDB和拓?fù)涞囊徊糠帧τ诿總€區(qū)域,區(qū)域外的網(wǎng)絡(luò)拓?fù)涫遣豢梢姷摹M瑯?,每一個區(qū)域的路由器也不了解該地區(qū)以外的網(wǎng)絡(luò)結(jié)構(gòu)。OSPF LSA無線電阻礙該地區(qū)邊界,大大減少了OSPF路由信息流動,提高了OSPF運行效率。路由器接口基于區(qū)域,而不是劃分基于路由器,路由器可以屬于一個區(qū)域,也可以屬于多個領(lǐng)域。屬于多個區(qū)域稱為區(qū)域邊界路由器,OSPF路由器應(yīng)注意邊界路由器特征,可以呈現(xiàn)主體與部分之間的關(guān)系,也可以是一個邏輯連接。
三、OSPF協(xié)議的路由算法
OSPF CO pen最短路徑優(yōu)先,使用開放最短路徑優(yōu)先協(xié)議,選擇最佳路徑最短路徑算法(SPF),也被稱為Dijkstra算法。SPF演算法是基于OSPF路由協(xié)議的,SPF算法將每個路由器作為根(ROOT),計算每個目的地的距離路由器,每個路由器拓?fù)浣Y(jié)構(gòu)的計算方法是根據(jù)一個統(tǒng)一的數(shù)據(jù)庫,結(jié)構(gòu)類似于一個樹,SPF演算法得到最短路徑樹。OSPF路由協(xié)議,根據(jù)樹干的最短路徑長度,即每個目的地路由器的OSPF路由器距離,稱為OSPF成本,根據(jù)最短路徑通過最小化的成本價值判斷每個路由器基于成本的總和值鏈接。每個路由器使用SPF演算法來計算最短路徑樹的根,樹便給了自治系統(tǒng)路由,路由器從表中每個節(jié)點基于最短路徑,最短路徑樹結(jié)構(gòu)是不同的每個路由器的路由表。
四、OSPF協(xié)議網(wǎng)絡(luò)規(guī)劃
1、網(wǎng)絡(luò)的規(guī)模。當(dāng)網(wǎng)絡(luò)中的路由器的數(shù)量小于10,你可以選擇配置靜態(tài)路由或運行RIP路由協(xié)議。隨著路由器的數(shù)量的增加,用戶網(wǎng)絡(luò)的變化對于路由收斂和網(wǎng)絡(luò)帶寬利用率有更高的要求,比如你應(yīng)該選擇使用OSPF協(xié)議。
2、拓?fù)浣Y(jié)構(gòu)。如果網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是樹型(大多數(shù)這種結(jié)構(gòu)的特點是一個網(wǎng)絡(luò)路由器只有一個出口),可以考慮使用默認(rèn)路由加靜態(tài)路由。如果網(wǎng)格網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和任意兩個路由器的需求相通,應(yīng)該使用OSPF動態(tài)路由協(xié)議。
3、對路由器自身的要求。運行OSPF協(xié)議對于CPU處理能力和內(nèi)存有一定要求,低性能不推薦使用OSPF協(xié)議的路由器。為了使網(wǎng)絡(luò)通信規(guī)劃基于OSPF協(xié)議應(yīng)考慮各種因素,找出IP資源、信道帶寬、網(wǎng)絡(luò)流量,如根據(jù)實際的網(wǎng)絡(luò)環(huán)境形成的思維和方法配置和應(yīng)用程序需求,避免造成不必要的混亂,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)調(diào)整將時消除隱患。通過在實踐中不斷學(xué)習(xí),系統(tǒng)、全面地掌握網(wǎng)絡(luò)路由設(shè)備、工作原理和動態(tài)路由協(xié)議。通過OSPF網(wǎng)絡(luò)設(shè)計思想,提高網(wǎng)絡(luò)管理水平,確保網(wǎng)絡(luò)的安全、可靠、開放。
參 考 文 獻(xiàn)
[1]王達(dá).Cisco/H3C交換機配置與管理完全手冊(第2版)[M].北京:中國水利水電出版社,2012
[2]公凌.路由和動態(tài)路由協(xié)議介紹及配置分析[fJl.機電信息,2013(9):85一86
[3]劉曉輝.網(wǎng)絡(luò)設(shè)備規(guī)劃、配置與管理大全(附光盤Cisco版第2版)[M].北京:電子工業(yè)出版社,2012年.
ospf協(xié)議范文第7篇
【關(guān)鍵詞】 OSPF協(xié)議 安全性 報文驗證
OSPF全稱為Open Shortest Path First,屬于內(nèi)部網(wǎng)關(guān)協(xié)議,在如今的互聯(lián)網(wǎng)之中應(yīng)用最為廣泛。OSPF本身具有一定的安全性,但是其本身所具備的安全性卻并不能夠完全勝任新形勢下的網(wǎng)絡(luò)安全要求。為此,我們必須要加強對OSPF協(xié)議安全性的研究,在在此基礎(chǔ)上強化OSPF安全性。
一、OSPF安全機制
1.1 層次化路由結(jié)構(gòu)
利用OSPF路由協(xié)議可以將自治網(wǎng)絡(luò)劃分成為多個區(qū)域,在每一個劃分之后的區(qū)域之中都存在有獨立的鏈路狀態(tài)數(shù)據(jù)庫,并各自獨立執(zhí)行鏈路狀態(tài)路由算法。這就可以讓本區(qū)域中的拓?fù)浣Y(jié)構(gòu)對區(qū)域之外的網(wǎng)絡(luò)進(jìn)行隱藏,并可以讓自治系統(tǒng)在交換、傳播路由信息的時候的網(wǎng)絡(luò)流量得到減少,促進(jìn)收斂速度的加速。
1.2 具有可靠的泛洪機制
在OSPF協(xié)議之中采用LSU報文來對路由信息進(jìn)行攜帶,并運用協(xié)議本身所定義的泛洪機制讓區(qū)域之中的路由器的鏈路狀態(tài)數(shù)據(jù)庫保持良好的一致性,讓路由選擇一致性得到保障。LSA是OSPF路由協(xié)議中路由協(xié)議的最小單元,由路由器生成,并在其中包含了LSA的路由器的標(biāo)識信息,根據(jù)這個標(biāo)識之下的機制,讓OSPF擁有一定自我糾錯的能力。
1.3 優(yōu)良的報文驗證機制
OSPF的報文之中包含了認(rèn)證類型以及認(rèn)證數(shù)據(jù)字段。當(dāng)前,在OSPF路由協(xié)議中主要有密碼認(rèn)證、空認(rèn)證以及明文認(rèn)證這三種認(rèn)證模式。其中,明文認(rèn)證是將口令通過明文的方式來進(jìn)行傳輸,只要可以訪問到網(wǎng)絡(luò)的人都可以獲得這個口令,很容易讓OSPF路由域的安全受到威脅。而密碼認(rèn)證則能夠提供良好的安全性。為接入同一個網(wǎng)絡(luò)或者是子網(wǎng)的路由器配置一個共享密碼,然后這些路由器所發(fā)送的每一個OSPF報文都會攜帶一個建立在這個共享密碼基礎(chǔ)之上的信息摘要。通過MD5算法以及OSPF的報文來生成相應(yīng)的信息摘要,當(dāng)路由器接收到這個報文之后,根據(jù)路由器上配置的共享密碼以及接收到的這個報文來生成一個信息摘要,并將所生成的信息摘要和接收到的信息摘要進(jìn)行對比,如果兩者一致那么就接收,如果不一致則丟棄。
二、OSPF路由協(xié)議安全性完善措施
相對來講OSPF的安全性較高,在很多時候外部對其進(jìn)行攻擊都是因為OSPF路由沒有啟用密碼認(rèn)證機制或者是攻擊者對密碼破譯之后所實現(xiàn)的。當(dāng)然即使是啟用了密碼認(rèn)證也可以利用重放攻擊的方式來進(jìn)行攻擊。要加強其安全性需要注意以下幾點:
2.1 對于空驗證與簡單口令驗證的防范
對于空驗證和簡單口令驗證帶來的安全問題,可以啟用密碼驗證來進(jìn)行防范。當(dāng)啟用密碼驗證之后,OSPF報文會產(chǎn)生一個無符號非遞減的加密序列號。在附近的所有鄰居路由器中會存放該路由器的最新加密序列號。對于鄰居路由器所收到的報文的加密序列號需要大于或者等于所存儲的加密序列號,如果不滿足該要求則丟棄。
2.2 對于密碼驗證漏洞的防范
在三種驗證方案之中密碼驗證是最為安全的一種,但是也并不是牢不可破的。即使是啟用了密碼驗證也不代表所有報文內(nèi)容都是經(jīng)過加密后傳輸?shù)?,其中LSU報文頭部仍然會采用明文,這就存在被攻擊者篡改的可能性。即使是采用的MD5算法也并不是絕對安全,例如中國山東大學(xué)的科學(xué)家就已經(jīng)破解了MD5算法。對密鑰進(jìn)行管理與維護(hù)需要較高成本,所以可以考慮和其他成本較低的方式進(jìn)行結(jié)合,例如數(shù)字簽名技術(shù)。這樣可以對大部分的威脅進(jìn)行有效的抵御。
但是用于生成與驗證簽名的開銷也是非常巨大的。一個路由器需要驗證簽名的數(shù)量會受到很多因素的影響,例如網(wǎng)絡(luò)之中路由器的數(shù)量、對網(wǎng)絡(luò)區(qū)域的劃分、鏈路狀態(tài)信息的變化以及刷新頻率等等。在OSPF之中,因為每一條外部子網(wǎng)絡(luò)徑存在有單獨的鏈路狀態(tài)信息描述,因此在網(wǎng)絡(luò)之中就有可能存在有成千上萬條這一類鏈路狀態(tài)信息。因此,還需要考慮到緩解這些信息對于路由器性能的影響。通常情況下采用的方法是在路由器之上采用額外的硬件,對OSPF路由協(xié)議進(jìn)行改進(jìn),周期性或者是按需進(jìn)行驗證簽名。在當(dāng)前的研究方向是在利用密碼體制安全性的同時,利用有效的入侵檢測技術(shù)讓OSPF的安全性得到保證。
三、結(jié)語
作為一種應(yīng)用非常廣泛的路由協(xié)議OSPF的安全性受到廣泛的關(guān)注,雖然其本身具有一定的安全性,但是卻難以滿足當(dāng)前網(wǎng)絡(luò)安全形勢的需要。為此我們需要加強對OSPF安全性的研究,并積極思考如何對其安全性進(jìn)行完善。
參考文獻(xiàn)
[1] 柳強,黃天章,郭海龍.基于OSPF協(xié)議可信路由技術(shù)研究及實現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用,2013,(04):48-49
ospf協(xié)議范文第8篇
關(guān)鍵詞:OSPF 可信路由 簽名認(rèn)證 CSPF
中圖分類號:TP393.04 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)04-0048-02
隨著互聯(lián)網(wǎng)安全問題的日益突出,網(wǎng)絡(luò)安全威脅頻次、影響規(guī)模明顯增大。人們普遍對網(wǎng)絡(luò)安全失去信心,嚴(yán)重影響到互聯(lián)網(wǎng)絡(luò)的應(yīng)用。因此建設(shè)可信互聯(lián)網(wǎng),提供可信的網(wǎng)絡(luò)服務(wù),才能滿足各方用戶的需求。作為“可信互連網(wǎng)”安全防護(hù)關(guān)鍵技術(shù)之一,可信路由技術(shù)越來越多地受到學(xué)術(shù)界的關(guān)注,也成為可信網(wǎng)絡(luò)領(lǐng)域的一個重要研究方向。
OSPF[1]協(xié)議是一種應(yīng)用十分廣泛的內(nèi)部網(wǎng)關(guān)路由協(xié)議。目前大部分商用路由器都支持該協(xié)議。OSPF協(xié)議在通信網(wǎng)絡(luò)應(yīng)用包括兩部分:路由信息擴(kuò)散形成路由表用于數(shù)據(jù)轉(zhuǎn)發(fā);利用CSPF(受限最短路徑優(yōu)先)算法計算滿足Qos的路徑[2]。如何改進(jìn)OSPF路由協(xié)議報文格式以及路由算法,使其能夠應(yīng)用到可信網(wǎng)絡(luò)中,成為OSPF協(xié)議可信技術(shù)研究的重點。
1 可信網(wǎng)絡(luò)環(huán)境分析
在如圖1可信網(wǎng)絡(luò)中,各通信節(jié)點都對與之相鄰節(jié)點有一個信任度評估,信任評估結(jié)果稱為可信度量值(圖1)。
信任評估的方法有多種,其中一種方法稱為基于身份的評估?;谏矸莸男湃尾捎渺o態(tài)驗證機制來決定是否給一個實體授權(quán)。常用的技術(shù):當(dāng)兩個實體A與B進(jìn)行交互時,首先需要對對方的身份進(jìn)行驗證。即,信任的首要前提是對對方身份的確認(rèn),否則與虛假、惡意的實體進(jìn)行交互,很有可能導(dǎo)致?lián)p失。所以應(yīng)用于可信網(wǎng)絡(luò)中的OSPF路由協(xié)議首先要具有身份認(rèn)證能力。
計算可信傳輸路徑是可信網(wǎng)絡(luò)的另一重要應(yīng)用??尚艂鬏斅窂绞侵冈O(shè)置或計算出某條路徑,該路徑上所有的通信節(jié)點都滿足可信度量的要求。目前OSPF協(xié)議可以采用CSPF算法來完成Qos路徑計算的能力。Qos路徑中包含了諸如帶寬、時延等諸多數(shù)據(jù)傳輸?shù)囊蟆?梢詫⒐?jié)點可信度量值的要求也加入路徑計算中,作為其中的一個約束條件。這樣計算出的傳輸路徑具有可信屬性。
2 OSPF協(xié)議可信改進(jìn)方案設(shè)計
2.1 OSPF認(rèn)證機制
OSPF協(xié)議的報文頭格式如表1所示。
原型采用三種類型的認(rèn)證,用Autype字段三個值表示:0不認(rèn)證;1 簡單認(rèn)證;2 MD5密碼認(rèn)證[3]。其中0和1安全性較差,而MD5認(rèn)證目前也被破解,所以采用原有的認(rèn)證機制并不可靠?;诖?,可信路由協(xié)議增加一種認(rèn)證類型CPK認(rèn)證[4],Autype字段添3。
相比于現(xiàn)有的PKI、IBE認(rèn)證,基于標(biāo)識的CPK認(rèn)證體制不需要第三方證明、不需要數(shù)據(jù)庫的在線支持,可用單芯片實現(xiàn),在規(guī)模性、經(jīng)濟(jì)性、可行性、運行效率上具有無法比擬的優(yōu)勢,適合在可信網(wǎng)絡(luò)中應(yīng)用。
Authentication字段原用于存儲MD5簽名,長度為64bit?,F(xiàn)在為了適應(yīng)CPK認(rèn)證,擴(kuò)展為128bit用于存儲CPK簽名。
認(rèn)證處理流程如(圖2)所示。
2.2 CSPF可信傳輸路徑計算
路由器通過組織本地鏈路的TE-LSA,反映本地鏈路的流量工程參數(shù),然后利用OSPF協(xié)議的擴(kuò)散機制將其在區(qū)域內(nèi)擴(kuò)散。從而建立一個全網(wǎng)的TED。當(dāng)鏈路的流量參數(shù)發(fā)生變化時,路由器會重新組織其TE-LSA并進(jìn)行擴(kuò)散。
這種擴(kuò)散機制同樣適用于可信度量值擴(kuò)散。因此,可以增加一種link TLV的子TLV類型10,長度為4byte,用以傳遞設(shè)備的可信度量。
解決了可信度量值擴(kuò)散的問題,還需要設(shè)計基于CSPF可信度量算法[6]:
3 方案實現(xiàn)
OSPF可信路由軟件模塊組成如(圖3)所示。
OSPF協(xié)議處理:處理與協(xié)議對等體之間交互的OSPF協(xié)議消息,包括hello、DD、LSR、LSU等消息。
鏈路狀態(tài)庫:存放網(wǎng)絡(luò)的拓?fù)湫畔ⅰ?span style="display:none">ACs萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com
可信度量數(shù)據(jù)庫:存放網(wǎng)絡(luò)各節(jié)點的可信度量值。
CSPF路徑計算:依據(jù)鏈路狀態(tài)庫和可信度量數(shù)據(jù)庫進(jìn)行受限路徑計算。
CPK[7]安全認(rèn)證模塊:完成對OSPF協(xié)議消息的摘要、簽名以及簽名認(rèn)證功能。
Socket通信:將OSPF協(xié)議消息封裝為Socket套接字來進(jìn)行發(fā)送或接收。
用戶模塊:設(shè)置可信傳輸路徑參數(shù),包括路徑的可信度量值、帶寬、時延等。
操作系統(tǒng):采用VxWorks6.6實時嵌入式操作系統(tǒng),實現(xiàn)上述各軟件模塊的消息隊列、定時器、任務(wù)調(diào)度等功能。
4 試驗驗證
仿真1:可信傳輸路徑計算
仿真2:抗毀性測試
在仿真1計算的傳輸路徑基礎(chǔ)上,調(diào)整Router 8的度量值為0.5。查看HopListShow模塊,發(fā)現(xiàn)可信傳輸路徑發(fā)生變化,變化部分如圖4中Path 2所標(biāo)注路徑。證明OSPF可信路由技術(shù)可以傳遞度量值變化,進(jìn)而觸發(fā)可信傳輸路徑重新計算。獲取滿足可信度量的新路徑(圖4)。
5 結(jié)語
基于OSPF協(xié)議的可信路由技術(shù)解決了兩個問題:通信節(jié)點可信度量擴(kuò)散問題和可信傳輸路徑建立問題??尚哦攘繑U(kuò)散使得網(wǎng)絡(luò)中任何一點都可以獲取其它節(jié)點的可信度量值。而基于CSPF的可信路徑計算提出了一種有效可信路由決策算法?;贑PK的協(xié)議認(rèn)證機制,使得OSPF協(xié)議完整性、不可抵賴性得到保證。進(jìn)一步提高協(xié)議的安全防護(hù)等級。同時,基于OSPF協(xié)議的實現(xiàn)可信路由技術(shù)也可運用于其它同類型路由協(xié)議中,改進(jìn)的方法類似。
參考文獻(xiàn)
[1]IETF RFC2328:OSPF Version 2.1998年4月.
[2]IETF RFC2676:QoS Routing Mechanisms and OSPF Extensions.1999年8月.
[3]楊靜,謝蒂,王雷.OSPF路由協(xié)議的安全分析及其漏洞分析.山東大學(xué)學(xué)報(工學(xué)版),第33卷第5期.2003.
[4],王紹棣,王汝傳等.攜帶數(shù)字簽名的OSPF路由協(xié)議安全研究南京郵電學(xué)院學(xué)報2005.
[5]IETF RFC2370:OSPF Opaque LSA Option.1998年7月.
ospf協(xié)議范文第9篇
關(guān)鍵詞:OSPF 收斂 DR BDR 開銷
OSPF(Open Shortest Path First,開放最短路徑優(yōu)先)路由協(xié)議是一種典型的鏈路狀態(tài)路由協(xié)議。IETF(Internet Engineering Task Force,Internet工程任務(wù)組)的OSPF小組在1987年開始開發(fā)OSPF協(xié)議,1989年OSPFv1規(guī)范在RFC 1131中,但OSPFv1是一種實驗性的路由協(xié)議,未獲得實施。1991年OSPFv2由John Moy在RFC 1247中引入,1998年OSPFv2規(guī)范在RFC 2328中得到更新,目前廣泛使用的就是OSPFv2。
3、OSPF的運行步驟
3.1 建立鄰接關(guān)系
路由器如果想與其鄰居路由器建立鄰接關(guān)系,首先需要發(fā)送帶有自己ID的Hello包,與其相鄰的路由器收到這個Hello包后,就會把Hello包中的ID添加到自己的Hello包里,同時使用這個Hello包應(yīng)答先前收到的Hello包。路由器的接口收到應(yīng)答的Hello包,并且在應(yīng)答的Hello包中發(fā)現(xiàn)了自己的ID,路由器的該接口就與其連接的鄰居路由器之間建立了鄰接關(guān)系。當(dāng)該接口所連接的網(wǎng)絡(luò)類型為廣播多路訪問網(wǎng)絡(luò)的時候,就進(jìn)入下步選舉DR和BDR的步驟;如果該接口所連接的網(wǎng)絡(luò)類型為點對點網(wǎng)絡(luò)的時候,就跳過選舉DR和BDR的步驟,直接進(jìn)入第三步驟。
路由器之間在建立鄰接關(guān)系的過程中,相關(guān)接口會逐步經(jīng)歷7種狀態(tài)。其中1~3狀態(tài)的演變屬于第一步驟,4~7狀態(tài)的演變屬于第三步驟。
(7)Full Adjacency狀態(tài)。完成LSA的交換后,路由器就進(jìn)入Full Adjacency 狀態(tài),即完全鄰接關(guān)系(完全毗鄰關(guān)系)。
3.2 選舉DR和BDR
通過Hello包中的路由器ID和優(yōu)先級字段值(0~255)來確定DR和BDR的選舉。優(yōu)先級最大的路由器被選舉為DR,優(yōu)先級次高的路由器被選舉為BDR。當(dāng)優(yōu)先級相同的情況下,由路由器的ID來決定,ID最高的當(dāng)選DR,次高的被選舉為BDR。優(yōu)先級字段值和路由器ID都可以通過相關(guān)命令來設(shè)定。如果路由器ID沒有通過相關(guān)命令來指定,就選擇IP地址最大的Loopback接口的IP地址為路由器的ID;如果只有一個Loopback接口,這個Loopback接口的IP地址就是路由器ID;如果沒有Loopback接口,就選擇最大的活動的物理接口的IP地址做路由器ID。推薦使用Loopback的IP做路由器的ID。
3.3 發(fā)現(xiàn)路由器
路由器彼此確認(rèn)主/從關(guān)系后,主路由器會發(fā)起鏈路狀態(tài)信息的交換,從路由器響應(yīng)交換。路由器彼此交換鏈路狀態(tài)信息后,會比較自己的鏈路狀態(tài)信息,如果發(fā)現(xiàn)有新的或者更新的鏈路狀態(tài)信息,就會要求對方發(fā)生完整的鏈路狀態(tài)信息。完成鏈路狀態(tài)信息的交換后,路由器之間就建立完全的鄰接關(guān)系,每臺路由器都有了獨立的、完整的鏈路狀態(tài)數(shù)據(jù)庫。
ospf協(xié)議范文第10篇
關(guān)鍵詞:LabVIEW;OSPF;虛擬儀器;通信協(xié)議
中圖分類號:TP393.02
TCP/IP(Transmission Control Protocol/Internet Protocol),即傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議,是由美國國防部高級研究計劃署(DARPA)開發(fā)的一個通信協(xié)議族,是Internet最基本的協(xié)議。之所以說TCP/IP是一個協(xié)議族,是因為TCP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNETFTP、SMTP、ARP、TFTP等許多協(xié)議。OSPF(Open Shortest Path First,開放式最短路徑生成樹協(xié)議)是TCP/IP協(xié)議族中的IP層協(xié)議,是目前應(yīng)用最廣泛的路由協(xié)議,通過SPF(Shortest Path First,最短路徑生成樹算法)來計算到各節(jié)點的最短路徑。
虛擬儀器技術(shù)是計算機技術(shù)與測控技術(shù)相結(jié)合、相滲透的產(chǎn)物,虛擬儀器開發(fā)平臺的引入,幫助設(shè)計者能夠快速設(shè)計、調(diào)試和開發(fā)實際系統(tǒng)的測試版,使得工業(yè)環(huán)境下的測量、測試、計量、控制過程更靈活、更緊湊、更經(jīng)濟(jì)、更高效且功能更強。LabVIEW是一款劃時代的重要的圖形編程系統(tǒng),常被應(yīng)用于數(shù)據(jù)采集與控制、數(shù)據(jù)分析、數(shù)據(jù)表達(dá)等方面。本文將通過LabVIEW工具實現(xiàn)對通信協(xié)議OSPF的仿真。
1 虛擬設(shè)備LabVIEW簡介
虛擬設(shè)備(Virtual Instrument,簡稱VI)是上世紀(jì)90年代初期出現(xiàn)的一種新型儀器,是計算機技術(shù)與儀器技術(shù)深層結(jié)合而產(chǎn)生的。它將許多以前由硬件完成的信號處理工作交由計算機軟件進(jìn)行處理,這種硬件功能軟件化的思想,為測試儀器領(lǐng)域帶來了深刻的變革[1]。虛擬設(shè)備的發(fā)展經(jīng)歷了四個時代:第一代是模擬式儀器,第二代是分立元件式儀器,第三代是數(shù)字式儀器,第四代是智能儀器之后的新一代儀器。虛擬設(shè)備有三個主要特點:第一,不強調(diào)物理上的實現(xiàn)形式;第二,在系統(tǒng)內(nèi)實現(xiàn)軟硬件資源共享;第三,圖形化的軟件界面。其優(yōu)勢表現(xiàn)為性能高、擴(kuò)展性強、開發(fā)時間少、無縫集成。
LabVIEW(Laboratory Virtual Instrument Engineering Workbench)全稱是實驗室虛擬儀器工程平臺,是美國國家儀器公司(NI)的創(chuàng)新軟件產(chǎn)品。自NI公司1986年正式推出LabVIEW1.0至今,經(jīng)歷了多次改版與完善,目前包括控制與仿真、高級數(shù)字信號處理、統(tǒng)計過程控制、模糊控制、PDA和PID等眾多附加軟件包,可運行于Windows、Linux、Macintosh和Unix等多種平臺,已成為目前應(yīng)用最廣、發(fā)展最快、功能最強的圖形化軟件開發(fā)繼承環(huán)境之一。
2 OSPF路由協(xié)議的仿真與實現(xiàn)
OSPF路由協(xié)議是一種鏈路狀態(tài)的協(xié)議,主要適用于同一個路由域。這個路由域內(nèi)的所有OSPF路由器都維護(hù)一個相同的數(shù)據(jù)庫,其中存放的是該路由域中相應(yīng)鏈路的狀態(tài)信息,而OSPF路由器就是根據(jù)該數(shù)據(jù)庫計算其路由表的[2]。OSPF路由協(xié)議的基礎(chǔ)是SPF算法(即Dijkstra算法),它將每一個路由器作為根,用于計算路由器到每一個目的路由器的距離,進(jìn)而會得到路由域的拓?fù)浣Y(jié)構(gòu)圖,即SPF算法中的最短路徑樹。最短路徑樹的樹干長度即OSPF路由器到每一個目的地路由器的距離,即OSPF協(xié)議中的Cost。
OSPF遵循鏈路狀態(tài)路由協(xié)議的統(tǒng)一算法。該算法可簡單概括為路由器在兩種狀態(tài)下的動作:第一,當(dāng)路由器初始化或網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時,路由器會產(chǎn)生鏈路狀態(tài)廣播數(shù)據(jù)包,其中包含路由器上所有的相連鏈路,即所有端口的狀態(tài)信息。所有路由器通過刷新方法交換鏈路狀態(tài)數(shù)據(jù)。第二,當(dāng)網(wǎng)絡(luò)重新穩(wěn)定下來,即OSPF路由協(xié)議收斂下來時,所有的路由器會根據(jù)其各自的鏈路狀態(tài)信息數(shù)據(jù)庫計算出各自的路由表。其中包含路由器到每一個可到達(dá)目的地的Cost以及到達(dá)該目的地所要轉(zhuǎn)發(fā)的下一跳路由[3]。
接下來,我們將通過虛擬儀器LabVIEW實現(xiàn)OSPF路由協(xié)議的仿真,該仿真系統(tǒng)的數(shù)據(jù)輸入部分共分為三大模塊:信息傳遞模塊(如圖1所示),路由器連接表二維數(shù)組生成模塊(如圖2所示),手動輸入起點、終點及已知路由模塊。手動輸入模塊只需在LabVIEW前面板中輸入?yún)?shù)即可,在本設(shè)計中,我們選擇四個路由器組成仿真系統(tǒng),共設(shè)置5個參數(shù):路由器id、路由器ip地址、路由器發(fā)送信息端口號、路由器互聯(lián)路徑權(quán)值及發(fā)送信息判定位。路由器id用于指定路由器的名稱,方便顯示;路由器ip地址用于顯示路由器的ip,確定路由器在網(wǎng)絡(luò)中的唯一位置;路由器發(fā)送端口號用于識別路由器接收與其它路由器的連接狀態(tài)的標(biāo)示;路由器互聯(lián)路徑權(quán)值用于進(jìn)行SPF算法的計算處理;發(fā)送信息判定位用于識別信息確實已接收。
至此,OSPF路由協(xié)議在LabVIEW虛擬儀器平臺的仿真已完成,要通過此系統(tǒng)計算路由器的生成,需將SPF算法引入該系統(tǒng),最短中繼計算模塊流程圖如圖3所示。通過對四個路由器鏈接方式的計算,最終得到的路由器連接表如圖4所示,起點路由器為路由器一,終點路由器為路由器二,需經(jīng)過一次跳轉(zhuǎn)才能到達(dá)。
3 結(jié)束語
目前,通信領(lǐng)域大多采用文本式編程平臺(如VC++,VB等)進(jìn)行開發(fā)和測試,本文基于圖形化編程平臺LabVIEW對OSPF路由協(xié)議進(jìn)行仿真,是對通信領(lǐng)域開發(fā)測試方法的全新嘗試與探索。結(jié)果證明LabVIEW能夠很好地支持通信協(xié)議的仿真,且操作更為簡單明了。當(dāng)然,本設(shè)計也有很多需要完善的地方:第一,目前程序所設(shè)計的輸入數(shù)據(jù)比較多,并且路由器的每個參數(shù)都需要手動輸入,操作較為繁雜,因此OSPF路由協(xié)議的仿真只選擇了四個路由的連接情況,如果在數(shù)據(jù)輸入上能夠有所改進(jìn),就可以加入更多路由器參與算法。第二,目前的設(shè)計在連接表的生成形式上是固定的,不可更改,如果要改善此種情況要重新設(shè)置連接表的存儲方式。第三,由于本文篇幅所限,我們只選擇了少量代表圖,作者可根據(jù)步驟自行完成仿真操作。
參考文獻(xiàn):
[1]吳成東,孫秋野,盛科.LabVIEW虛擬儀器程序設(shè)計及應(yīng)用[M].北京:人民郵電出版社,2008.
[2]Stevens W R.TCP/IP詳解卷1:協(xié)議[M].北京:機械工業(yè)出版社,2000.
[3]Stevens W R.TCP-IP詳解:TCP事務(wù)協(xié)議,HTTP,NNTP和UNIX域協(xié)議[M].北京:人民郵電出版社出版,2010.
本文鏈接:http://www.svtrjb.com/v-141-2492.htmlospf協(xié)議范文10篇
相關(guān)文章:
《沙僧日記》強烈09-29
表揚小朋友的話語11-02
適合發(fā)朋友圈心情煩躁的句子10-05
物理學(xué)家李政道名言名句08-10
學(xué)生會副主席的述職報告11-19
新員工的年度總結(jié)10-23
曠課沒請假檢討書09-06
公園游記作文11-19
物品說明文作文09-28
小學(xué)生童話故事作文09-21
大千天鵝湖作文08-22
2024年華中農(nóng)業(yè)大學(xué)在青海招生情況11-27
東華理工大學(xué)三本有哪些專業(yè)在撫州?10-23
《三峽》文言文原文及譯文07-20