OSPF路由协议

OSPF路由协议（精选9篇）

OSPF路由协议 第1篇

一、OSPF安全机制

1.1层次化路由结构

利用OSPF路由协议可以将自治网络划分成为多个区域, 在每一个划分之后的区域之中都存在有独立的链路状态数据库, 并各自独立执行链路状态路由算法。这就可以让本区域中的拓扑结构对区域之外的网络进行隐藏, 并可以让自治系统在交换、传播路由信息的时候的网络流量得到减少, 促进收敛速度的加速。

1.2具有可靠的泛洪机制

在OSPF协议之中采用LSU报文来对路由信息进行携带, 并运用协议本身所定义的泛洪机制让区域之中的路由器的链路状态数据库保持良好的一致性, 让路由选择一致性得到保障。LSA是OSPF路由协议中路由协议的最小单元, 由路由器生成, 并在其中包含了LSA的路由器的标识信息, 根据这个标识之下的机制, 让OSPF拥有一定自我纠错的能力。

1.3优良的报文验证机制

OSPF的报文之中包含了认证类型以及认证数据字段。当前, 在OSPF路由协议中主要有密码认证、空认证以及明文认证这三种认证模式。其中, 明文认证是将口令通过明文的方式来进行传输, 只要可以访问到网络的人都可以获得这个口令, 很容易让OSPF路由域的安全受到威胁。而密码认证则能够提供良好的安全性。为接入同一个网络或者是子网的路由器配置一个共享密码, 然后这些路由器所发送的每一个OSPF报文都会携带一个建立在这个共享密码基础之上的信息摘要。通过MD5算法以及OSPF的报文来生成相应的信息摘要, 当路由器接收到这个报文之后, 根据路由器上配置的共享密码以及接收到的这个报文来生成一个信息摘要, 并将所生成的信息摘要和接收到的信息摘要进行对比, 如果两者一致那么就接收, 如果不一致则丢弃。

二、OSPF路由协议安全性完善措施

相对来讲OSPF的安全性较高, 在很多时候外部对其进行攻击都是因为OSPF路由没有启用密码认证机制或者是攻击者对密码破译之后所实现的。当然即使是启用了密码认证也可以利用重放攻击的方式来进行攻击。要加强其安全性需要注意以下几点:

2.1对于空验证与简单口令验证的防范

对于空验证和简单口令验证带来的安全问题, 可以启用密码验证来进行防范。当启用密码验证之后, OSPF报文会产生一个无符号非递减的加密序列号。在附近的所有邻居路由器中会存放该路由器的最新加密序列号。对于邻居路由器所收到的报文的加密序列号需要大于或者等于所存储的加密序列号, 如果不满足该要求则丢弃。

2.2对于密码验证漏洞的防范

在三种验证方案之中密码验证是最为安全的一种, 但是也并不是牢不可破的。即使是启用了密码验证也不代表所有报文内容都是经过加密后传输的, 其中LSU报文头部仍然会采用明文, 这就存在被攻击者篡改的可能性。即使是采用的MD5算法也并不是绝对安全, 例如中国山东大学的科学家就已经破解了MD5算法。对密钥进行管理与维护需要较高成本, 所以可以考虑和其他成本较低的方式进行结合, 例如数字签名技术。这样可以对大部分的威胁进行有效的抵御。

但是用于生成与验证签名的开销也是非常巨大的。一个路由器需要验证签名的数量会受到很多因素的影响, 例如网络之中路由器的数量、对网络区域的划分、链路状态信息的变化以及刷新频率等等。在OSPF之中, 因为每一条外部子网络径存在有单独的链路状态信息描述, 因此在网络之中就有可能存在有成千上万条这一类链路状态信息。因此, 还需要考虑到缓解这些信息对于路由器性能的影响。通常情况下采用的方法是在路由器之上采用额外的硬件, 对OSPF路由协议进行改进, 周期性或者是按需进行验证签名。在当前的研究方向是在利用密码体制安全性的同时, 利用有效的入侵检测技术让OSPF的安全性得到保证。

三、结语

作为一种应用非常广泛的路由协议OSPF的安全性受到广泛的关注, 虽然其本身具有一定的安全性, 但是却难以满足当前网络安全形势的需要。为此我们需要加强对OSPF安全性的研究, 并积极思考如何对其安全性进行完善。

参考文献

[1]柳强, 黄天章, 郭海龙.基于OSPF协议可信路由技术研究及实现[J].数字技术与应用, 2013, (04) :48-49

OSPF路由协议 第2篇

RIP的拓扑简单，适用于中小型网络，没有系统内外、系统分区、边界等概念，用的不是分类的路由。每一个节点只能处理以自己为头的至多16个节点的链，路由是依靠下一跳的个数来描述的，无法体现带宽与网络延迟。

OSPF适用于较大规模网络。它把AS(自治系统)分成若干个区域，通过系统内外路由的不同处理，区域内和区域间路由的不同处理方法，引入摘要的概念，减少网络数据量的传输。OSPF对应RIP的“距离”，引入了“权”(metric)的概念。OSPF还把其他协议路由或者静态或核心路由作为AS外部路由引入，处理能力相当大。

RIP的原始版本不支持VLSM(RIP2支持)，OSPF支持VLSM(可变长度子网掩码)

二 协议运行有差别 ：

RIP运行时，首先向外(直接邻居)发送请求报文，其他运行RIP的路由器收到请求报文后，马上把自己的路由表发送过去;在没收到请求报文时，定期(30 秒)广播自己的路由表，在180秒内如果没有收到某个相邻路由器的路由表，就认为它发生故障，标识为作废，120秒后还没收到，将此路由删除，并广播自己的新的路由表，

OSPF运行时，用HELLO报文建立连接，然后迅速建立邻接关系，只在建立了邻接关系的路由器中发送路由信息;以后是靠，是靠定期发送HELLO报文去维持连接，相对RIP的路由表报文来说这个HELLO报文小的多，网络拥塞也就少了。HELLO报文在广播网上没10秒发送一次，在一定时间(4倍于 HELLO间隔)没有收到HELLO报文，认为对方已经死掉，从路由表中去掉，在LSDB中给它置位infintty(无穷大)，并没有真正去掉它，以备它在起用时减少数据传输量，在它达到3600秒是真正去掉它。OSPF路由表也会重发，重发间隔为1800秒。

三 使用情况不同：

基于OSPF协议的路由器安全 第3篇

OSPF协议是各行业普遍使用的路由协议, 虽然它采用的spf算法和邻接关系等技术避免了自环产生, 提高了路由器的性能, 但随着广泛的应用, 其在安全方面的漏洞也日益被暴露出来。比如:篡改LSA、报文伪造、明文验证等。本文通过对原理的理解和工作过程的分析, 提出了使用数字加密验证的方法来解决以上潜在的漏洞, 从而保证路由器的安全。

1 OSPF协议的工作原理

1.1 工作原理

OSPF是一种开放式的链路状态路由协议, 运行该协议的路由器, 首先和相邻路由器建立邻居关系, 形成邻居表;然后, 相互学习对方的网络拓扑, 建立拓扑图;最后, 根据最短路径算法计算路由。

1.2 邻居关系建立过程

如图1所示, 在路由器R1初始化完成后, 它将向路由器R2发送Hello数据包。此时R1并不知道R2的存在, 因此在数据包中不包含R2的信息。而R2在接收到该数据包后, 将向R1发送Hello包。此时, Hello包中将表明它已知道存在R1这个邻居以及自己记录的其它邻居信息。R1收到这个回应包后就会知道邻居R2的存在, 并且邻居R2也知道了R1的存在。此时在路由器R1和R2之间就建立了邻居关系, 它们就可以把LSA发送给对方。

2 安全分析

2.1 邻居关系建立过程分析

根据图2, 配置调试结果如下:

路由器的缺省配置中, 信息交换是不进行身份验证的, 只要checksum字段无误就可以接收路由包, 安全性极低。从画横线的地方知道, 两个路由器建立了邻居关系。通过debug ip ospf adj命令来进行修改, 但是出现了不能建立邻居关系的结果。同样, 我们把区域设置为不同, 也显示不能建立邻居关系。所以, 可以得出, 如果两个路由器的hello interval和dead interva以及area设置不同, 那么路由器是不能建立邻居关系的, 这也正是ospf的安全漏洞。我们可以在同一个区域中伪造一台路由器, 并且发送伪造的LSA, 该数据报被洪泛到其他路由器, 各路由器接收到以后, 会重新学习邻居表和计算路由表, 当源路由器收到这个虚假的LSA时, 将泛洪一个具有更高序列号的LSA, 其他路由器也更新相应LSA, 这样不停的循环操作可以导致路由器的资源耗尽、性能下降, 甚至出现崩溃。

2.2 明文验证的安全分析

当使用明文验证时, 验证类型字段为1, 64位验证数据字段存放的是验证口令, 在传输过程中ospf分组及其口令都是以明文进行传输, 接收方只要验证它的检验无误并且验证数据字段的值等于规定的口令, 就会接收分组。这种验证方式的弊端在于:通过明文验证的数据包, 其明文密码是直接存放于hello包的包头中, 如果该包被类似sniffer的软件截获, 密码就很容易暴露。所以, 这种验证方式是不安全的。

3 解决办法

根据以上两种安全分析, 我们可以通过使用密文邻居验证来提高运行ospf协议路由器的安全。加密验证的优点: (1) 这种验证方式采用的是MD5加密算法, 该算法中加入了散列函数, 对给定的一个散列值是很不容易找到两个以上的有相同结果的输入值的, 这也意味着ospf分组不容易被修改; (2) 在加密认证过程中, 路由器通过发送一个带有散列函数的ospf数据包, 并且产生一个消息码, 接收方经过散列函数和数据包重新生成消息码并和发送方的消息码进行对比, 从而决定是否接收数据包, 这个过程是相对安全的。关键实施步骤如下:

参考文献

[1]杨文虎, 樊静淳.网络安全技术与实训[M].北京:人民邮电出版社, 2007.

[2]林涛.计算机网络安全技术[M].北京:人民邮电出版社, 2007.

[3]王春海, 张翠轩.非常网管—网络工程案例[M].北京:人民邮电出版社, 2007.

[4]cisco公司.思科网络技术学院教程网络安全基础[M].北京:人民邮电出版社, 1993.

OSPF路由协议 第4篇

配置各个路由器的接口ip和Loopback接口ip，步骤略

======================================================================================

配置OSPF

R1:

(config)#routerospf1

(config-router)#router-id1.1.1.1

(config-router)#network1.1.1.1 0.0.0.0area 0

(config-router)#network10.0.0.0 0.0.0.3 area 0

(config-router)#network40.4.4.0 0.0.0.3 area 0

(config-router)#network192.168.1.0 0.0.0.255 area 0

------------------------------------------------------

R2:

(config)#routerospf1

(config-router)#router-id2.2.2.2

(config-router)#network2.2.2.2 0.0.0.0area 0

(config-router)#network10.0.0.0 0.0.0.3 area 0

(config-router)#network20.2.2.0 0.0.0.3 area 0

(config-router)#network192.168.2.0 0.0.0.255 area 0

------------------------------------------------------

R3:

(config)#routerospf1

(config-router)#router-id3.3.3.3

(config-router)#network3.3.3.3 0.0.0.0area 0

(config-router)#network20.2.2.0 0.0.0.3 area 0

(config-router)#network30.3.3.0 0.0.0.3 area 0

(config-router)#network192.168.3.0 0.0.0.255 area 0

------------------------------------------------------

R4:

(config)#routerospf1

(config-router)#router-id4.4.4.4

(config-router)#network4.4.4.4 0.0.0.0area 0

(config-router)#network30.3.3.0 0.0.0.3 area 0

(config-router)#network40.4.4.0 0.0.0.3 area 0

(config-router)#network192.168.4.0 0.0.0.255 area 0

========================================================================

OSPF路由协议 第5篇

OSPF[1]协议是一种应用十分广泛的内部网关路由协议。目前大部分商用路由器都支持该协议。OSPF协议在通信网络应用包括两部分:路由信息扩散形成路由表用于数据转发;利用CSPF (受限最短路径优先) 算法计算满足Qos的路径[2]。如何改进OSPF路由协议报文格式以及路由算法, 使其能够应用到可信网络中, 成为OSPF协议可信技术研究的重点。

1 可信网络环境分析

在如图1可信网络中, 各通信节点都对与之相邻节点有一个信任度评估, 信任评估结果称为可信度量值 (图1)。

信任评估的方法有多种, 其中一种方法称为基于身份的评估。基于身份的信任采用静态验证机制来决定是否给一个实体授权。常用的技术:当两个实体A与B进行交互时, 首先需要对对方的身份进行验证。即, 信任的首要前提是对对方身份的确认, 否则与虚假、恶意的实体进行交互, 很有可能导致损失。所以应用于可信网络中的OSPF路由协议首先要具有身份认证能力。

计算可信传输路径是可信网络的另一重要应用。可信传输路径是指设置或计算出某条路径, 该路径上所有的通信节点都满足可信度量的要求。目前OSPF协议可以采用CSPF算法来完成Qos路径计算的能力。Qos路径中包含了诸如带宽、时延等诸多数据传输的要求。可以将节点可信度量值的要求也加入路径计算中, 作为其中的一个约束条件。这样计算出的传输路径具有可信属性。

综上所述, OSPF在可信网中应用, 需要做以下两点研究:

OSPF认证机制研究与改进;

CSPF可信传输路径计算方法的研究。

2 OSPF协议可信改进方案设计

2.1 OSPF认证机制

OSPF协议的报文头格式如表1所示。

原型采用三种类型的认证, 用Autype字段三个值表示:0不认证;1简单认证;2 MD5密码认证[3]。其中0和1安全性较差, 而MD5认证目前也被破解, 所以采用原有的认证机制并不可靠。基于此, 可信路由协议增加一种认证类型CPK认证[4], Autype字段添3。

相比于现有的PKI、IBE认证, 基于标识的CPK认证体制不需要第三方证明、不需要数据库的在线支持, 可用单芯片实现, 在规模性、经济性、可行性、运行效率上具有无法比拟的优势, 适合在可信网络中应用。

Authentication字段原用于存储MD5签名, 长度为64bit。现在为了适应CPK认证, 扩展为128bit用于存储CPK签名。

认证处理流程如(图2)所示。

2.2 CSPF可信传输路径计算

在OSPF原有协议中, 为了满足Qos路由需求, OSPF对协议进行了流量工程扩展, 可在每个OSPF节点建立TED (流量工程数据库) , 然后运用CSPF算法计算满足各种约束条件的路径。

在RFC2370中, 定义类型10的模糊LSA, 该LSA为适应Qos需求进行了重新定义, 以携带链路的流量参数, 该LSA被称为TE-LSA[5]。

TE-LSA由TE-LSA头和TE-LSA净荷组成。TE-LSA净菏由一个或多个TLV组成。TLV填充成4字节排列, 填充部分不计算在长度域之内。嵌套的TLV也是4字节填充。有两个顶层的TLV, 分别是Router Address TLV和Link TLV。

其中, Link TLV它由一组子TLVs构成, 没有次序的要求。为了允许更好的拓扑改变粒度, 每个TE-LSA只准携带一个Link TLV。Link TLV的类型=2, 长度可变。Link TLV的子TLVs定义见表2。

路由器通过组织本地链路的TE-LSA, 反映本地链路的流量工程参数, 然后利用OSPF协议的扩散机制将其在区域内扩散。从而建立一个全网的TED。当链路的流量参数发生变化时, 路由器会重新组织其TE-LSA并进行扩散。

这种扩散机制同样适用于可信度量值扩散。因此, 可以增加一种link TLV的子TLV类型10, 长度为4byte, 用以传递设备的可信度量。

解决了可信度量值扩散的问题, 还需要设计基于CSPF可信度量算法[6]:

我们假设网络中有两个随机的通信节点S和D, S发送数据给D节点, 那么路径P (s, i, j.D) 表示从S到D的一条路径, 我们定义mij为路径从S到D节点上路径的节点i对节点j的可信度量值, 为了表示路径的可信度量值引进参数Pij, 如果Pij=1则表示路径ij在从S到D的路径上, 如果Pij=0则表示路径ij不再从S到D的路径上, M为业务要求的可信度量值。因此可以得出:链路S到D的度量值为:

M (p) =min mij*Pij,

传输路径中各节点可信度量值在满足要求的基础上, 越高越可信。可以用度量值利用率来表示这一数值:

其中M为业务需要的度量值, bij为链路i到j的实际度量值。所以最终CSPF计算可信传输路径的约束条件为:

上述约束条件可以增加到算法约束库中, 与其它约束条件并列, 并不影响原有的Qos路径计算。

3 方案实现

OSPF可信路由软件模块组成如 (图3) 所示。

OSPF协议处理:处理与协议对等体之间交互的OSPF协议消息, 包括hello、DD、LSR、LSU等消息。

链路状态库:存放网络的拓扑信息。

可信度量数据库:存放网络各节点的可信度量值。

CSPF路径计算:依据链路状态库和可信度量数据库进行受限路径计算。

CPK[7]安全认证模块:完成对OSPF协议消息的摘要、签名以及签名认证功能。

Socket通信:将OSPF协议消息封装为Socket套接字来进行发送或接收。

用户模块:设置可信传输路径参数, 包括路径的可信度量值、带宽、时延等。

操作系统:采用VxWorks6.6实时嵌入式操作系统, 实现上述各软件模块的消息队列、定时器、任务调度等功能。

代码采用标准C编程。代码样例 (OSPF协议头部改进后格式) 如下:

4 试验验证

将编译完成代码加入到OpenNet软件做验证。OpenNet设定网络拓扑如图4所示。

各通信节点可信度量值设置如表3所示。

仿真1:可信传输路径计算

计算Router1->Router10的可信传输路径, 路径可信度量要求为0.73 (1为100%可信) 。在HopListShow模块中查看传输路径为图4中Path 1所标注路路径。所经过各点的度量值都大于等于0.73, 证明OSPF可信路由技术可以计算出满足度量的传输路径。

仿真2:抗毁性测试

在仿真1计算的传输路径基础上, 调整Router 8的度量值为0.5。查看HopListShow模块, 发现可信传输路径发生变化, 变化部分如图4中Path 2所标注路径。证明OSPF可信路由技术可以传递度量值变化, 进而触发可信传输路径重新计算。获取满足可信度量的新路径 (图4)。

5 结语

基于OSPF协议的可信路由技术解决了两个问题:通信节点可信度量扩散问题和可信传输路径建立问题。可信度量扩散使得网络中任何一点都可以获取其它节点的可信度量值。而基于CSPF的可信路径计算提出了一种有效可信路由决策算法。基于CPK的协议认证机制, 使得OSPF协议完整性、不可抵赖性得到保证。进一步提高协议的安全防护等级。同时, 基于OSPF协议的实现可信路由技术也可运用于其它同类型路由协议中, 改进的方法类似。

摘要：随着可信网络普及, 可信路由技术作为可信网络基础技术也成为研究的热点。本文以OSPF协议为基础, 通过分析可信网络的技术需求, 得出OSPF路由协议需要改进的两个方面:更换更有效的协议认证机制和增加可信路径计算功能。通过对协议格式和路径算法的分析, 得出基于CPK的认证方法和基于CSPF的可信路径算法。该文给出了OSPF可信路由软件方案设计以及编码实现。并将软件加载到OpenNet软件中进行了仿真验证。

关键词：OSPF,可信路由,签名认证,CSPF

参考文献

[1]IETF RFC2328:OSPF Version 2.1998年4月.

[2]IETF RFC2676:QoS Routing Mechanisms and OSPF Extensions.1999年8月.

[3]杨静, 谢蒂, 王雷.OSPF路由协议的安全分析及其漏洞分析.山东大学学报 (工学版) , 第33卷第5期.2003.

[4]李鹏, 王绍棣, 王汝传等.携带数字签名的OSPF路由协议安全研究南京邮电学院学报2005.

[5]IETF RFC2370:OSPF Opaque LSA Option.1998年7月.

OSPF路由协议 第6篇

校园网是一个庞大的网络体系, 网络性能决定了校园网的使用程度, 而网络性能的好坏主要受制于路由协议技术, 无论是在选择上还是设计上都会影响校园网的网络性能。而为了让校园网路由设计更加合理、高效, OSPF协议被提出并广泛应用于校园网路由设计中, 这种内部网关协议可以在较广范围中应用, 并能保证快速收敛, 同时还能满足VLSM的应用要求。

2 OSPF协议

OSPF属于路由协议的一种, 是链路状态下的协议形式, 其特征是路由器只需对自身的链路状态信息进行维护, 将信息更新利用扩散方式实现传播与接收信息, 并熟悉拓扑结构的自治系统, 了解内部的链路状态信息。这种链路状态路由协议能够方便计算出路由器到目的地之间的最短路径, 从而提高路由协议的工作效率。

2.1 OSPF的最短路径优先算法

在OSPF协议中, 运用最短路径优先算法 (又称SPF算法) 之前需要把实际网络进行抽象化, 绘制出有向图的形式, 并以权值来确定图中所有的有向弧, 而最短路径则需要通过权值来计算得出。SPF算法的计算原理很简单, 即在计算网络中选择某一源节点, 计算出它到各节点距离的最短值。在此算法中, 网络图中所有的节点被统一归纳到两个集合内, S集合表示最短路径被求出的节点, R集合则表示没有被求出的最短路径的节点, 此外还包括一个矩阵cost元素, 属于“带权邻接矩阵”范畴。其矩阵定义如下:

在计算最短路径时, 可以利用v来代表源点, 而后通过计算方法将v与其它节点之间的最短距离求解而出:

1.将集合S、R分别初始化, 令源节点v被S集合包含, 其余节点则全包含于R集合;

2.求解出源点v到网络图中所有节点的最短路径:

2.2 OSPF协议过程

为了确保OSPF协议在链路状态中信息更新与扩散的可靠性, 需要创建一个逻辑连接, 从而实现链路状态消息的传递与接收。一般情况下, OSPF将消息类型进行了五种分类:

(1) Hello消息:又称为Hello协议, 对周边路由器进行定期的消息交换, 从而确保周边路由器之间邻接关系的维护。

(2) Link State Update消息:该消息内容包括邻接路由器的连接关系、链路状态、路径花费, 这些消息会定期在每个路由器之间进行传递, 消息的更新也会通过路由器扩散到每一条链路状态中。

(3) Link State Ack消息:该消息属于一个确认方式, 用以保障扩散消息是否得到传递与确认。

(4) Database Description消息:在路由器使用之时这个消息就要投入到消息传递的应用中, 链路状态信息发送时会连带包含一个顺序号, 这样接受者就能够从序号中辨别出消息与数据的更新状态。

(5) Link State Request消息:每个邻接路由器之间都会互相交换各自的数据库消息, 从而判断自身数据的更新状态, 通过该消息渠道则可以接收到邻接路由器得到的最新数据与消息。

3 OSPF动态路由协议在校园网中的应用探讨

3.1 核心层

核心层在整个校园网络中占据了重要份量, 主要实现网内的数据交换, 以及负责骨干网络之间的信息传递, 其具有高性能、高优化、高速畅通的优点。在OSPF中核心层属于骨干域, 又称之为Area0, 为了提高核心层中数据包在路由计算与传播的速度, OSPF构建了Area0的骨干区域, 用以实现区域间的信息交换与数据传输, 而数据传送只能在骨干区域得以实现。在校园网络中, 核心层需要有三台路由交换机构成, 从而满足教学区、生活区这两大区域的路由交换, 而另外一台路由交换机则用来满足数据通信, 以实现校园网和Internet之间的信息传递与数据交换。为了确保信息与数据交换时的可靠性, 这三台路由交换机都是在遵循OSPF协议的基础上进行工作, 此外还将静态路由方式运用在边界路由交换机中, 从而保证路由与Internet连接时的稳定性。

3.2 汇聚层

在校园网络的接入层与核心层之间有一个连接纽带, 那就是汇聚层。汇聚层在路由设计中充当着分解的作用, 主要用于简化路由、汇聚路由信息, 这样就能够降低核心层路由计算的压力。三层交换机充当着汇聚层的交换机, 主要由多台路由交换机组成, 汇聚交换机重点安放在校园中的教学区与生活区, 根据这两个区域的地理位置来进行OSPF路由区域的划分, 以本区域用户数量来决定汇聚交换机的台数。为了让路由交换机在内存与CPU上不至于负担过重, 因而每台交换机只需负责本区域的连接任务以及实现链路状态数据库的资源共享, 这种设计利于有效、合理的进行网络管理。在汇聚层与核心层的交换机之间存在着一个ABR (区域边界路由器) 交接的路由端口, 其功能主要表现在能将核心层与汇聚层之间的路由信息进行汇聚与交换。此外, 利用VLSM与VLAN技术实现汇聚层与接入层路由的连接, 以最终实现整个校园网络的运转。

4 结语

OSPF动态网络路由协议技术正好满足校园网络的要求, 于是乎绝大多数学校普遍运用OSPF协议进行校园网络的路由设计。但值得注意的是由于学校之间存在不同的网络拓扑结构, 因而在应用OSPF协议时需要依据本校的网络拓扑结构进行合理、灵活的路由设计。

摘要：在现今这个网络时代, 校园网络的建设非常重要。而在校园网建设中为了让校园网路由设计更加合理、高效, OSPF协议被提出并广泛应用于校园网路由设计中。本文从分析OSPF协议的基本信息入手, 从而对校园网中的OSPF动态网络路由协议技术进行深入研究。

关键词：OSPF,路由协议,校园网

参考文献

[1]郭伟, 柯汉波.多区域OSPF校园网路由设计与实现[J].计算机系统应用, 2003 (8) :48-50.

OSPF路由协议 第7篇

OSPF是一种专门为IP网络开发且广泛应用在单一自治系统内的路由协议,目前已成为事实上的域内路由协议标准。现有的OSPF中并无可靠的路由振荡抑制机制,而主要依靠若干定时器来削弱路由振荡带来的影响。如思科公司的路由产品在RFC2328标准外额外定义了延缓路由重计算的定时器SPFDelay,以减少路由振荡时的最短路径重计算。但这延长了收敛过程,易引起错误的路由重计算,极端情况下甚至适得其反。而且无法真正屏蔽路由振荡源,是一种消极的手段[1]。

域间路由协议BGP中基于惩罚机制的路由振荡抑制机制,在实践中被证明是行之有效的[2]。但OSPF是链路状态协议,BGP是距离矢量协议,这个根本不同点使BGP的路由振荡抑制算法无法直接应用在OSPF协议中。本文通过分析OSPF协议的特点,将路由振荡避免转化为链路振荡避免[3]。对不稳定链路进行惩罚,从而较好的改善网络性能。

1 OSPF原理

OSPF是一种分布式的链路状态协议(link state protocol)[4],每个路由器向外通告与本路由器相邻的所有路由器的链路状态,最终所有的路由器都建立一个全网统一的链路状态数据库(link state database),这个数据库实际上就是全网的拓扑结构图。每一个路由器根据收敛后的链路状态数据库,以自己为起点,采用最短路径优先算法计算与目的节点之间的最佳路由,独立的构造出自己的路由表。

OSPF链路状态信息通过链路状态广播LSA(link state advertisement)表示,包括路由器ID、接口IP地址和相邻接口的IP地址、链路代价、序列号、年龄和校验和等内容。有多种LSA,用来描述不同的对象。其中路由器LSA最为重要,用来表示该路由器的各个端口所连接的对象和代价等信息。

路由器启动后,通过接口向外组播Hello分组,用以探测邻居,并开始建立邻接关系。经过确认主从关系、交换链路数据库摘要、请求新的LSA、发送和确认LSA等阶段后,链路状态数据库将完全一致,即达到完全邻接状态(Full Adjacent)。当链路状态改变或链路刷新时间到,路由器就更新和扩散LSA,同时接收其它节点洪泛的LSA,以保持全网的链路状态数据库是最新的。

OSPF同时定义了一些定时器来抑制过于快速的数据洪泛。如定义HelloInterval来禁止过快的Hello包发送,定义MinLsInterval来禁止过快的LSA更新,定义SPFDelay来禁止过于频繁的最短路径重计算。这也是目前OSPF抑制快速路由振荡的主要方法,但效果并不是很好。

2 路由振荡转化为链路振荡

与距离矢量路由协议不同的是,OSPF的链路状态信息发送至全网,且仅发送与本路由器相邻的路由器的链路状态信息。当某条链路状态发生变化,该路由器就使用链路状态更新分组,用洪泛法向全网更新链路状态。该分组首先发送给相邻路由器,相邻路由器必须将接收到的分组再转发给除分组来源外的所有与自身相邻的路由器,如此反复。若收到相同的LSA的多个实例,将通过比较序列号、校验以及老化时间等参数判断最新的LSA,并更新旧的LSA。

由此可见,OSPF虽然将链路状态信息洪泛至全网,但链路信息首先被发送给相邻的路由器,再通过相邻路由器转发出去。尽管域内每个路由器都有全网的链路状态数据库,并能获知网内任意一条链路的变化,但它们互相之间传递信息却是基于本地的邻接关系。链路的更新信息只传递给邻居,再由邻居继续转发,而不会直接传递给域内的其它路由器。基于OSPF的这一特点,我们可以将路由振荡由目前的基于定时器的全网抑制转化为对本地链路振荡的抑制。对于处于振荡中的链路,相邻路由器将接收到的链路状态信息屏蔽,不再继续转发,该链路状态变化将只局限于与该路由器相邻的路由器范围内,而不会波及全网。即每一个路由器都只处理与自己相邻的路由器的链路变化。

3 基于惩罚机制的路由振荡抑制算法

算法的核心思想是:链路的每一次振荡都会被记录为不良记录,并增加一定的惩罚值,若惩罚值超过某个门限,该链路将会被抑制。被抑制的链路信息不会得到转发,不会参加最短路径重计算。链路稳定下来以后,链路的惩罚值会随时间慢慢减少,当惩罚值减少到重用门限以下时,解除链路抑制。

对振荡链路的抑制可能会影响网络可达性和代价最小原则,因此应设置一个最大链路抑制数。若被抑制的链路数量达到最大链路抑制数,则应提前解除对当前惩罚值最小的链路的抑制。下面描述详细的算法。

算法设置参数如下:

T:链路当前惩罚值的累计总额,初始值为0。

P:链路每振荡一次增加的惩罚值。

H:链路当前的状态,0表示未被抑制,1表示已经被抑制。

Ls:抑制门限,链路惩罚值超过抑制门限时将被抑制。

Lr:重用门限,处于被抑制状态的链路的惩罚值降到重用门限或以下时,将被解除抑制。

Ts:链路处于被抑制状态且已经稳定时,惩罚值的衰减速率。每过一个Ts周期,链路的惩罚值减半。这里的稳定是指一个Ts周期内,链路没有再次振荡。

Tr:链路处于未被抑制状态且已经稳定时,惩罚值的衰减速率。每过一个Tr周期,链路的惩罚值减少P。这里的稳定是指一个Tr周期内,链路没有再次振荡。

Tc:上次惩罚值进行衰减的时间点。惩罚值的衰减并不是连续性的衰减,而是在一个衰减周期后直接减去一定值,因此需要记录上一次衰减时的时间点。初始值为路由器刚启动的时间。

Md:最大抑制门限,每条链路的惩罚值T所能累积到的最大值。这是为了避免链路在短时间内的急剧振荡累积过高的惩罚值,导致链路在很长时间内都无法解除抑制。该值必须大于抑制门限,否则链路将永远不会被惩罚。

Cl:当前被抑制的链路数量,初始为0。

Ml:最大链路抑制数,每个路由器同时可抑制的最大链路数。为了避免链路被抑制过多而影响网络可达性,需限制路由器抑制链路数不大于Ml。

以上参数中除了说明初始值的外,其它都可以自行设置。Ls和P的比值越大,表示可容忍的振荡程度越高。Lr和Ls的比值越大,表示链路被抑制后的恢复时间越短。最大抑制门限Md应该由重用门限Lr、链路在惩罚状态时的衰减周期Ts和链路的最长抑制时间计算出来。假设衰减周期Ts为30分钟,链路的最长抑制时间为1小时,重用门限Lr为1000,则最大抑制门限Md=4000,这样才能保证在一个小时内经过两个半衰期,惩罚值衰减到重用门限Lr以便链路解除抑制。

最重要的两个参数是链路处于抑制状态时的惩罚值衰减周期Ts和链路处于未抑制状态时的惩罚值衰减周期Tr。Ts的值设置过小会导致链路可以迅速从被抑制状态恢复到正常状态,若这个恢复周期比链路振荡周期小,则算法起不到抑制振荡的作用。Ts的值也不能过大,因为过大就意味着链路长时间得不到恢复,即使链路已经稳定。对于Tr,它的值不应该过小,过小就意味着惩罚值衰减得太快,在对链路进行下一次惩罚时,可能前一次的惩罚值已经被清除了,起不到惩罚的作用。

算法的具体实施步骤如下所示:

1)路由器进行初始化,保存所有与自己相邻的路由器的所有链路,并对链路进行参数初始化。T=0,H=0,Cl=0,Tc为当前时间。

2)每当路由器检测到相邻路由器的某条链路产生振荡,就给这条链路增加一个单位惩罚值即T=T+P,若T>Md,则T=Md,同时Tc置为当前时间。若T>Ls,则令链路状态H=1,表示链路已经被抑制,路由器不再对外广播该链路信息,Cl=Cl+1。

3)若Cl>Ml,查找一条当前被抑制链路里最稳定的链路,即T最小的链路,提前解除对这条链路的抑制,Cl=Cl-1,重复执行该步骤直到不满足Cl>Ml。

4)若链路处于未被抑制状态下,检查从Tc到现在是否已经过了Tr时间。若是,惩罚值减去P即T=T-P。

5)若链路处于被抑制状态下,检查从Tc到现在是否已经过了Ts时间。若是,将当前惩罚值减半,即T=T/2。若T<Lr,则令链路状态为H=0,表示链路被解除抑制,路由器重新对外广播该链路信息。

4 仿真与性能分析

为了验证路由振荡抑制算法的可行性和有效性,我们将采用相关的仿真软件进行仿真。仿真包括对原OSPF算法的仿真和改进后算法的仿真,并对两种算法进行比较。路由振荡最显著的危害是频繁的向外更新LSA,占用网络带宽,同时引起路由器的最短路径重计算。因此将每个路由器的LSA更新数量作为本次仿真的对比指标。

我们使用BRite[5]拓扑生成器根据Waxman算法生成一个具有128个节点260条链路的随机网络拓扑,然后利用基于SSFNet[6]仿真实现的OSPF协议进行网络仿真。算法的各参数选取如下:P=1000,Ls=2000,Lr=750,Ts=15分钟,Tr=15分钟,Md=6000,Ml=2。仿真持续时间为120分钟,其中每隔10分钟,随机选取3对链路,在其间产生抖动(通过通断其间的链路来实现)。为避开MinLsInterval定时器,以便模拟OSPF里最坏情况下的路由振荡抑制,通断间隔定为7秒,2秒正常5秒断开,持续35秒。

图1给出了原OSPF路由振荡抑制算法和加入惩罚机制后的路由振荡抑制算法的仿真场景下,LSA的平均更新数量。从图中可以看出,在该参数下的仿真里,改进后的算法比原OSPF算法减少了约34%的LSA更新数量。

5 结语

本文针对OSPF的域内稳定性问题,提出一种基于惩罚机制的路由振荡抑制算法。通过记录历史振荡行为并进行惩罚来抑制不稳定链路,屏蔽振荡源。仿真实验表明,算法简单可行,能大大降低振荡时网络中LSA的洪泛数量,提高网络稳定性。

摘要：在当今的互联网中,路由振荡越来越成为影响网络服务质量的重大因素。为了解决此问题,提出了一种适用于开放式最短路径优先协议(OSPF)的路由振荡抑制算法。该算法借鉴边界网关协议(BGP)中的路由振荡抑制机制,引入惩罚值的概念,并结合OSPF的特点,将路由振荡抑制转化为相邻路由器之间的链路振荡抑制。仿真模拟显示,本算法可以有效地屏蔽振荡中的链路,大大减少了网络中LSA的产生数量,增加了网络的稳定性。

关键词：路由振荡,链路振荡,抑制

参考文献

[1]Ohara Y,Bhatia M,Osamu N,et al.Route flapping effects on OSPF[A].Proceedings of 2003 Symposium on Applications and the Internet Workshops[C].Orlando,USA:IEEE Computer Society,2003.232～237.

[2]IETF RFC2439.BGP Route Flap Damping[S].

[3]Wang F,Chen S.Z,Li X,et al.A Route Flap Suppression Mechanism Based on Dynamic Timers in OSPF Network.

[4]IETF RFC2328,OSPF version 2[S].

[5]Medina A.,Lakhina A,Mattal,et al.Brite:boston university representative internet topology generator[EB/OL].(2004～03)[2008-10-26].http:∥www.cs.bu.edu/brite.

OSPF路由协议 第8篇

《接入网与路由互联技术》是计算机网络专业新开设课程, 是一门实践性很强的基础课程, 纯粹理论式的教学难以使学生获得感性上的认识, 需要通过实践来强化学习内容。实验教学在计算机网络专业的教学中占有非常重要的地位。实验教学不仅仅可以巩固相关课程课堂的教学内容, 还可以进一步培养学生的专业技能, 让学生走上工作岗位后能学以致用。如何在理论与实践相结合的教学中提高该课程的教学质量是我们面临的一个非常严峻的课题[1]。为此.我们尝试将仿真平台引入计算机网络工程课程教学中, 利用Packet Tracer软件作为教学工具进行计算机网络工程实践教学的仿真演示和研究, 既节省了可观的仪器设备购置费用, 同时也通过仿真演示使抽象的基础理论和基本概念变得通俗易懂.弥补了实验手段不足等问题。

本文结合当前笔者接入网与互联技术课程教学实际, 在分析仿真平台软件特点的基础上.以OSPF多区域间路由重分步配置方法为教学实例, 介绍Packet Tracer软件在接入网与互联技术课程实践教学中的应用。

1 Packet Tracer平台简述

Packet Tracer是Cisco公司开发的一款计算机网络数据包跟踪器仿真软件, 是一个为计算机网络学习者设计的用于设计、配置和解决复杂计算机网络问题的学习平台。该软件利用一组简化的计算机网络设备和协议模型, 通过可视化的仿真界面和灵活方便的配置窗口为学习者提供个性化仿真实验环境。利用该环境, 学习者可以重复再现网络运行的任何细节, 帮助学习者有效地学习网络协议、分析网络的性能, 更加深入理解网络中的复杂行为。将Packet Tracer软件用于计算机接入网与互联技术课程教学之中, 根据实验要求和目的, 学生可以选择所需要的网络设备、通信协议及其参数, 建立仿真的网络模型, 搭建虚拟的网络实验环境, 从而提高学生对学习计算机网络技术的兴趣, 达到事半功倍的教学效果。

Packet Tracer软件具有以下几方面特点。

1.1 功能丰富

提供了丰富的计算机网络仿真设备, 包括路由器、交换机、无线网络设备、服务器以及各种连接电缆和终端等;支持常用计算机网络协议, 提供可视化的仿真界面和灵活方便的配置窗口。

1.2 实时仿真

提供实时模式 (Real time) 和仿真模式 (Simulation) 进行模拟实验。实时模式与数据实际传输过程一样;仿真模式以动态方式模拟协议数据单元 (PDU) 的传输过程。学生可以在实时模式中测试网络的连通性;也可以利用仿真模式观察PDU在网络中的传送情况, 跟踪PDU在网络各节点的详细处理过程。

1.3 方便灵活

在进行网络模拟过程中, 只要网络拓扑结构、网络协议和仿真参数等不发生改变, 网络模拟结果就不会发生改变。Packet Tracer软件可应用于仿真构建企业计算机网络、交换机与路由器技术的配置、广域网链路仿真配置以及无线网络仿真等实验。

2 OSPF路由协议原理与仿真

开放式最短路径优先 (Open short path first, ospf) 路由协议是一种基于开放式标准的链路状态路由协议。它的最新记述RFC2328文档中。OSPF路由协议中的开放式 (open) 表示该协议是向公众开放的非私有的协议。该协议也是一种IGP协议, 它只能工作在自治域系统内部, 不能跨自治域系统运行。运行OSPF路由协议的路由器, 在开始工作的时候, 首先和相邻路由器建立邻居关系, 形成邻居表, 然后互相交换自己所了解的网络拓扑。只有当路由器学习到全部网络拓扑, 建立了拓扑表之后, 它们会使用最短径优先 (SPF) 算法, 从拓扑表中计算出路由来。

2.1 路由协议的术语

2.1.1 链路

运行OSPF路由协的路由器所连接的网络线路称为链路。

2.1.2 链路状态

一条链路是正常工作的还是发生故障, 这种关于链路的信息称为链路状态。

2.1.3 区域

OSPF路由协议会把大规模的网络划分多个小范围的区域, 以避免大规模网络所带来的问题, 从而提高网络性能。

2.1.4 链路开销

OSPF路由协议依靠计算链路的带宽, 来得到达目的地的最短路径 (路由) 。每条链路根据它的带宽不同会有一个度量值, OSPF路由协议称该度量值为“开销”。

2.1.5 路由器标识 (Router ID)

路由器标识不是我们为路由器起的名字, 而是路由器在OSPF路由协议操作中对自己的标识。一般来说, 在没有配置环回接口时, 路由器所有物理接口上配置的最大的IP地址就是这台路由器的标识。

若配置了环回接口, 则不论环回接口上的IP地址是多少, 该地址都自动成为路由器的标识。当我们在路由器配置了多个环回接口时, 则接口最大IP地址将作为路由器的标识。

2.2 OSPF最短路径优先算法及运行步骤配置

OSPF路由器使用最短路径优先算来确定到达目的地的最佳路径。是以节点作为起始点计算出一个无环拓扑, 并依次检查它所拥有的关于毗邻节点的信息。其运行分为以5个不同步骤:1) 建立路由器毗邻关系;2) 选举DR和BDR;3) OSPF路由发现;4) 选择最佳路由;5) 维护路由信息;

OSPF基本配置。

a) 声明使用OSPF路由协议

b) 命令如下:Router (config) #router ospf process-id

c) OSPF路由协议发布网段

命令格式:Router (config-router) #network address wildcard-mask area area-id

3 网络实验应用实例

3.1 案例背景需求

某大型跨国集团公司在中国兼并了本地的一家全国性连锁企业.目前, 兼并协议刚刚开始履行, 被兼并的企业与该跨国集团中国分公司暂不作大的调整, 只是派管理人员入驻接手和熟悉工作后再进行.作为该跨国集团中国区IT部门的网络管理人员, 我们被要求中国分公司和被兼并企业网络进行整合, 被兼并企业原有网络运行的RIP路由协议, 而该跨国集团及中国分公司网络运行路由协议是OSPF路由协议。

3.2 案例分析及解决

从案例背景中我们可以了解到, 这个兼并工作的资源和人力调整还没有最终完成, 最好的办法是先将中国分公司的网络和被兼并企业的网络连通, 而不改变被兼并企业目前的网络环境, 直到业务结束后, 再对兼并企业网络进行最终调整。解决方案是我们可以先在该集团中国区总部和被兼并企业总部之间连接一条专线, 使两个网络可以相互连接, 再在两个路由协议的边界路由器上启用路由重分布, 让两个使用不同路由协议的网络可以互相学习路由, 互通网络。

3.3 案例实施步骤与配置

3.3.1 进入路由协议

路由再发布命令是需要配置在路由模式下的, 必须进入路由模式

命令格式如下:Router (config) #router protocol[keyword]

如果需要RIP路由协议的路由再发布给OSPF路由协议, 反之亦然。

3.3.2 进行路由再发布

在进入路由模式后, 可以声明再发布路由。

命令格式如下:Router (config-router) #redistribute protocol[keyword]

如果需要将RIP路由协议的路由再发布给OSPF路由协议, 则这个命令的protocol参数如图1所示。

相关配置如下:

跨国集团总部路由器A

Hostname Router A

Interface loopback 0

Ip address 152.1.11.1 255.255.255.240

Int fasteether0/0

Ip address 152.1.10.1 255.255.255.0

Int serial 0

Ip address 152.1.1.1 255.255.255.252

Router ospf 64

Redistribute connected subnet

Network 152.1.1.0 0.0.0.3 area 1

Network 152.1.10.1 0.0.0.16 area 1

区域边界路由器B配置

Hostname RouterB

Interface serial 0

ip address 151.1.1.2 255.255.255.252

int serial 1

ip address 152.1.1.5 255.255.255.252

router ospf 64

network 152.1.1.0 0.0.0.3 area 1

network 152.1.1.4 0.0.0.3 area 0

协议边界路由器C配置

Hostname Router C

Interface serial 0

Ip address 152.1.1.6 255.255.255.252

Interface serial 1

Ip address 152.1.2.1 255.255.255.0

Router ospf 64

Redistribute rip subnet

Nentwork 152.1.1.4 0.0.0.3 area 0

Router rip

Redistribute ospf 64

Version 2

Network 152.1.0.0

RIP路由协议中的路由器D配置

Hostname RouterD

Interface loopback0

Ip address 152.1.3.1 255.255.255.0

Interface serial 0

Ip address 152.1.2.2 255.255.255.0

Router rip

Version 2

Network 152.1.3.0

Network 152.1.2.0

No auto-summary

4 结束语

本章, 我首先谈网络仿真功能叙述了OSPF路由协议原理, 讲解了仿真路由再发的使用方法, 及适合应何种情况。然后, 借助于一个应用路由再发布技术的案例, 并结合这个案例, 说明了路由再发布适合应用的网络环境, 并且给出了路由再发布的配置步骤和配置实例。

参考文献

[1]沈海娟.网络互联技术——路由与交换[M].杭州:浙江大学出版社, 2005.

[2]王振川.CCNA实验手册[M].北京:人民邮电出版社, 2003.

[3]魏大新, 李育龙.CISCO网络工程案例精粹[M].北京:电子工业出版社, 2007.

[4]黄培花.基于仿真技术构建计算机网络实验平台[J].实验科学与技术, 2009, 12.

[5]黄伟.Packet Tracer软件在网络实验教学中的应用[J].科技广场, 2009, 9.

[6]黄筱燕, 肖媛娥.Packet Tracer在计算机网络教学中的应用研究[J].井冈山学院学报, 2009, 2.

[7]徐红英.Packet Tracer计算机网络工程课程教学中应用[J].沈阳教育学院学报, 2100, 2.

OSPF协议安全性分析 第9篇

随着Internet技术在全球范围内的飞速发展, IP网络作为一种最有前景的网络技术, 受到了人们的普遍关注。而作为IP网络生存、运作、组织的核心IP路由技术提供了解决IP网络动态可变性、实时性、Qo S等关键技术的一种可能。到了20世纪80年代中期, RIP不能服务于大型、异构网络的缺陷愈发明显。为了解决这个问题, IETF成立了IGP工作组, 专门设计用于因特网的基于最短路径优先 (SPF) 算法的IGP (内部网关协议, Interior Gateway Protocol, 简称IGP) 。OSPF作为是SPF类路由协议中的开放式版本, 由于它较好的解决了网络可扩展性及快速收敛的问题, 使得OSPF协议迅速成为目前Internet广域网和Intranet企业网采用最多、应用最广泛的动态路由技术之一。

1 OSPF工作原理

OSPF是一种分层次的路由协议, 其层次中最大的实体是AS (自治系统) , 即遵循共同路由策略管理下的一部分网络实体。在每个AS中, 将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干 (backbone) 区域, 负责在区域之间分发链路状态信息。这种分层次的网络结构是根据OSPF的实际提出来的。当网络中自治系统非常大时, 网络拓扑数据库的内容就更多, 所以如果不分层次的话, 一方面容易造成数据库溢出, 另一方面当网络中某一链路状态发生变化时, 会引起整个网络中每个节点都重新计算一遍自己的路由表, 既浪费资源与时间, 又会影响路由协议的性能 (如聚合速度、稳定性、灵活性等) 。

2 OSPF脆弱性分析

虽然OSPF路由协议自身的复杂性和其内建的安全机制使得对OSPF的攻击较难实施, 但是OSPF并不足够安全, 它仍存在着很多薄弱环节可以被攻击者利用, 例如美国人开发的nemesis-ospf工具软件就曾经可以成功的对OSPF进行某些形式的攻击。

2.1 内建安全机制的失效

在OSPF的三个内建安全机制中, 层次路由机制主要是尽力减小攻击的影响范围域, 它不能杜绝攻击, 而且若攻击者入侵到一个ABR、自治系统边界路由器 (AS Boundary Router, ASBR) , 或者攻击实体假扮成一个ABR, ASBR, 这时层次路由机制就不足为力了。程序性检验是一般路由协议都要进行的一个过程, 它只是为攻击增加了复杂度。OSPF自反击安全机制相对来说给攻击造成的麻烦要大一些, 但仍有一些方法可使自反击机制实效。

2.1.1 周期性注入

RFC2328规定LSA的更新速度不能超过最小LSA生成间隔 (Min LSInterval) , 该参数默认为5秒, 如果攻击者以比Min LSInterval更高的速度注人序号更大的虚假LSA, 就很可能使该虚假LSA被其它路由器应用, 而真正的LSA却被淹没了。

2.1.2 分块网络

如果使虚假LSA不被泛洪给该LSA的合法生成者, 则该ISA的合法生成者就不会启动其自反击机制来纠正该LSA。假设有一个被人侵的路由器所处的位置可以将区域分为两个子区域, 则攻击者就可以只向其中的一个子区域以另一个子区域中的某路由器的身份注人虚假LSA, 而不向另一个子区域注入, 这显然就可以达到欺骗的效果。

2.1.3 幻影路由器

虚构一个路由域中本不存在的路由器使路由域中的其它路由器认为好像存在这么一个路由器, 这样的路由器称为幻影路由器。以幻影路由器的身份注人大量虚假信息, 将不会触发自反击机制的作用。然而需要注意的是注人的LSA并不一定会参与路由计算, 除非该幻影路由器能够和某个路由器形成邻接关系。

2.1.4 注入AS外部路由

如果攻击者成功的人侵了一台ASBR或者伪装成一个ASBR, 它就可以通过注人LSA而引人虚假AS外部路由, 而其它路由器并不能验证、纠正其错误信息。

2.2 验证的安全性

OSPF信息交换都是需要进行验证的, 分为两类:简单密码验证和MD5加密认证, 也可以配置为不验证。简单密码验证其安全性几乎不值一提。对MD5加密认证机制, 这里我们假设其算法是安全的, 被使用的密钥不会被暴露, 并且选择适当, 运行平台被安全的管理并且没有被侵人, 由信息论表明:英语每8比特字符其平均信息嫡只有1.3, 如果管理者选择英语字母作为密钥, 则128比特密钥的信息嫡相当低, 攻击者可能只需要几分钟或者数天就能破解。而OSPF密钥选择很差劲几乎是一个普遍的现象, 并且通常3个月、半年才变换一次, 有的甚至从来不变化。在所有的这些场景中, 如果一个攻击者获得一条Hello报文, 他就很有可能破解该密钥, 并在随后侵人整个路由域。我们并得知, 2004年中国科学家已经成功的破解了MD5算法, 因此OSPF的验证方式并不足够安全。

2.3 对OSPF的常规攻击

OSPF整个运行机制相对比较复杂, 其运行过程中的很多环节都有可能被攻击者开发为对OSPF的攻击, 造成不同程度的危害, 这里我们只简要分析其中的部分情形作为示例。

2.3.1 利用Hello报文的攻击

OSPF路由器定期向外发送Hello报文, 用以发现邻居和维护邻接节点之间的关系。Hello报文中的区域ID, Hello间隔等参数错误, 会使该Hello报文被邻居路由器丢弃, 造成邻居Down, 直接在链路上阻绝Hello报文当然也可以造成这种危害。如果OSPF没有进行加密或者攻击者攻破了OSPF的验证体系, 攻击者就可以修改报文中的某些参数来达到攻击的效果。

2.3.2 利用Update报文的攻击

为修改LSA参数, 使OSPF朝着利于攻击者的方向运转, 攻击者必须能成功的注人虚假LSA。因此攻击者必须能够侵人或者假扮成一个OSPF路由器来和其它的路由器达到Exchange或者更高的状态, 以使两者间可以传送LSA, 而且此时攻击者显然必须至少占有一条链路的密钥或者该链路根本就不需要验证。然后, 攻击者就可以通过注人虚假LSA来达到攻击的目的了。例如不间断的发送大量Maxage的LSA进行Maxage攻击, 或者发送最大序号LS A进行最大序号攻击, 等等。

2.3.3 资源消耗攻击

通过不间断的大量发送各种类型的OSPF报文, 很可能造成被攻击实体的资源耗竭, 而无法正常工作。例如向OSPF的邻居发送包含过长邻居列表的超大Hello报文, 邻居路由器将需为邻居列表上的每个邻居创建邻居结构, 而消耗大量的资源。

3 相关建议

OSPF路由协议并不足够安全, 鉴于其在Intemet网络中的重要角色, 因此我们建议对OSPF采用积极的主动防护和检测机制来保证其安全。验证是OSPF保护的第一环, 因此对OSPF路由域内的所有OSPF路由器都采用有效的加密认证机制是非常必要的, 尽管我们仍需开发更安全有效的加密认证机制。此外, 设计适当的人侵检测系统也是很有帮助的, 它可以帮助发现很多针对OSPF的攻击, 因为对OSPF的攻击往往会因为OSPF的自反击机制在路由域中产生很多的冲突信息。总之, 维护OSPF的安全应有一个系统的全局的观念, 需要我们从多个层面分别着手来保障OSPF的安全。一是路由器层面, 我们需保证操作系统的安全, 路由器上其它所有协议的安全, 路由器的物理安全等。等;二是路由域层面, 这需要考虑所有边缘接人实体和所有链路的安全;最后我们要强调的是人的层面, 应更多地对网络进行监控和取证, 积极立法, 打击对网络造成危害的人和事, 防患于未然。

结束语

OSPF路由协议由于其自身的复杂性和内建的安全机制, 给攻击者造成了不小的困难, 但是本文的分析表明OSPF并不足够安全, 而一旦被人侵, 很可能造成巨大的危害。因此本文建议采用积极的主动防护和检测机制来增加OSPF的安全, 并强调维护OSPF的安全应有一个系统的全局的观念, 要从路由器和路由域等多个层面分别着手来保障OSPF的安全。

参考文献

[1]钟廷龙, 李鑫, 郭云飞.OSPF路由协议安全性分析[J].微计算机信息, 2005, (14) :16-17.

[2]孙文海, 焦利, 金跃辉.OSPF路由监测系统[J].计算机应用与软件, 2009, (06) :24-26.