众文网1.寻找OSPF路由协议的安全性的
OSPF路由协议是网络上应用最为广泛的链路状态协议之一,用于在网络上分发路由信息,但是这个担负着因特网上路由信息分发任务的重要协议在其制定之初并没有有效的安全手段.为此,IETF提出了数字签名保护的OSPF路由协议.阐述了数字签名保护的OSPF协议的设计思想和实现技术,构筑了带数字签名保护功能的路由器组成的实验网络,对路由协议的数字签名方案进行了仿真试验并得到了系统的数据,在此基础上分析了数字签名保护的OSPF协议的安全特性.第 23卷 第 4期2007年 8月 哈 尔 滨 商 业 大 学 学 报 (自然科学版 )Journa l of Harb i n Un i versity of Commerce ( Na tura l Sc i ences Ed iti on) Vol . 23 No . 4Aug . 2007收稿日期: 2006 - 05 - 22.作者简介:李长山,男,博士,高级工程师,硕士生导师,研究方向:虚拟现实技术、计算机网络安全 1数字签名保护的 OSPF路由协议的安全性研究李长山1, 钱志军2,杨友红2(1 . 大庆石油管理局信息中心 ,黑龙江 大庆 153453; 2 .大庆石油学院 计算机与信息工程学院 ,黑龙江 大庆 163453)摘 要:OSPF路由协议是网络上应用最为广泛的链路状态协议之一 ,用于在网络上分发路由信息 ,但是这个担负着因特网上路由信息分发任务的重要协议在其制定之初并没有有效的安全手段.为此 ,IETF提出了数字签名保护的 OSPF路由协议.阐述了数字签名保护的 OSPF协议的设计思想和实现技术 ,构筑了带数字签名保护功能的路由器组成的实验网络 ,对路由协议的数字签名方案进行了仿真试验并得到了系统的数据 ,在此基础上分析了数字签名保护的 OSPF协议的安全特性.关键词:路由器;开放最短路径优先;自治系统;最大年龄;数字签名;链路状态通告中图分类号: TP393 文献标识码:A 文章编号: 1672 - 0946 (2007) 04 - 00484 - 04Research on security of OSPF routi ng protocol wi th di gi t al si gnature protecti onL IChang2 Shan1,QI AN Zhi2jun2, Y ANG You2 hong2(1 . I nfor mati on Center,Daqing Petr oMinistrati on Bureau,Daqing 163453, China; 2 . School ofComputer and I nformati on Engineering, Daqing Petr oleum I nstitute, Daqing 163453, China)Abstract: OSPF r outing p rot ocol is one of the most popular link2state p r ot ocol . The routingp r ot ocol which is used t o disseminate routing infor mati on throughout the I nternet is not p ro2tected fr om intruders or faulty routers . For these reas ons, the IETF add a digital signaturep r otecti on t o the OSPF . This paper analyses the secure characteristics and the i mp lementa2ti on of the OSPF r outing p rot ocolwith digital signature p rotecti on, construct a r oute net workwith four digital signature p rotecti on' sOSPF router . And analyzes these data which achievedfrom the experi ment .Key words: r outer ;OSPF; AS;max age; digital signature; LSA 出于路由协议安全性的考虑 ,人们普遍认为有必要加强目前路由协议略显单薄的安全性.开放最短路径优先路由协议 (Open Shortest Path First ,OS2PF)作为一种最为普遍使用的内部网关路由协议( IGP) ,其提供了简单密钥认证 ,而对邻居间传送分组实行 MD5密钥认证的工作则正在进行之中[ 1 ].简单密钥认证是一种不安全的认证措施 ,因为密钥传播过程中任何人都可以截获、并使用它.MD5密钥认证是一种较为有效的认证措施 ,但是它不能够提供路由信息来源准确性的保证[ 2 ].自治系统中出现的路由信息安全问题主要有两个:第一 ,入侵者对路由信息的篡改、删除 ,或冒充网络中的路由器发送虚假路由信息;第二是出现故障的路由器 ,而我们并不知道该路由器出现了故障.基于上述的安全隐患 , IETF提出了对 OSPF实现数字签名保护的策略.数字签名 OSPF的核心是对 OSPF的 LSA (L ink State Advertisement)进行签名. 签名过后的信息会和原来的信息一起 ,泛洪( Fl ooding)到区域 (Area)或自治系统 (Aut onomousSystem)的任何一个节点 (Node) .而签名会使得链路状态信息 (L ink State I nformati on)得到端到端的完整性保护 ,并对目的 Router提供来源的准确性保证[ 3, 4 ].1 OSPF的数字签名保护1 . 1 密钥的管理与分发数字签名保护 OSPF采用不对称密钥技术实现 ,源路由器有一对公钥和私钥 ,并且拥有从 TE(Trust Entity)处获得的公钥认可证书.并采用 LSA的可靠的分发机制— — — 泛洪 ( Fl ooding)将公钥分发出去 ,以保证每一个接受其 LSA的路由器都能接收到其公钥以便用于解密.这种基于泛洪的分发机制是在一种新的 LSA基础上实现的,这种新的LSA就是 PK LSA ( Public Key L ink State Advertise2ment) . PK LSA的结构如图 1所示.图 1 PKLSA结构图对于一个在区域内部的路由器来说 ,它的PKLSA并不泛洪到区域外部 ,也就是说外部区域路由器不需要知道区域内部的路由[ 5 ]. 当一个路由器收到来自区域内另外一个路由器的 PK LSA时 ,路由器使用它所拥有的认证实体 ( TE)的公钥验证证书 ,验证通过则将此 PK LSA保存到链路状态数据库 (LSDB)中 ,以便将来用于 LSA信息的验证[ 6 ].1 . 2 对 LS A的签名与认。
2.请问CCNA中单区域OSPF的工作原理
OSPF协议工作过程: 1、宣告OSPF的路由器从所有启动OSPF协议的接口上发出HELLO报文,两台ROUTER共享一条公共数据链路,并且能够相互成功协商各自HELLO报文中所指定的参数。
那么它们就成为邻居(Neighbor) 2、邻接关系(Adjacency)建立是交换HELLO报文信息的路由器类型和交换HELLO报文信息的网络类型决定的 3、每一台ROUTER都会在所有形成邻接关系的邻居之间发链路通状态通告(Link State Advertisement,LSA),LSA 主要是通告描述了路由器所有的链路信息(OR 接口)和链路状态信息。由于链状态信息的多样性。
OSPF协议定义了许多LSA类型 4、每一个收到从邻居ROUTER发出的LSA通告的ROUTER,都会把这些LSA通告记录在它的链路状态数据库当中,并且发送一份LSA的拷贝给该ROUTER的其它所有邻居 5、通过LSA扩散到整个区域,所有的ROURER都会形成同样的链路状态数据库 6、当所有的ROUTER的数据库都完全相同时,每一台路由器都将以它本身为根,使用SPF算法去计算一个无环路的拓朴图,来描述它所知道的到达每一个目的地的最短路径(最小的路径代价),这个拓朴图就是SPF算法树 7、每一台路由器都将从SPF算法树中构建出自己的路由选择表 说明:当所有的链路状态信息扩散到一个区域内的所有路由器上---也就是说,链路状态数据库同步了,并且成功创建路由选择表时,OSPF协议就变成了一个“安静”的协议。邻居之前的交换的HELLO报文称为KEEPALIVE(保持)报文。
并且第隔30MIN重传一次LSA。
3.路由器的OSPF
一:
ospf的全称是 开放式最短路径优先路由协议,是当今小型局域网比较流行的一种动态路由协议。
二:
一般用于中小型企业,注意的事项比较多了,参考Cisco教程吧。
三:
一般用企业路由器才会涉及到路由协议,所以一般都是用终端来直接控制路由器设置,比如电脑,用一根专业的数据连线--连接路由器的con口和计算机的网卡端口即可进入路由器进行设置,其中要对路由器做一些基本的配置命令,然后在全局模式下打router ospf 100就可以进行ospf协议的配置了。
4.那位大哥能给详细介绍一下cisco路由器上的多区域OSPF的理论知识和
在一个O S P F网络中,区域(a r e a)概念使网络拓扑结构具有很强的可扩展性。使用O S P F
次区域拓扑结构,能够解决在一个单一大型O S P F区域网络中出现的可扩展性问题。层次拓
结构的优点如下:
■ 减少了C P U开销,这些开销是由于频繁地进行最短路径优先( S P F)计算而引起的。
■ 路由表维持最小的规模。
■ 路由汇总极小化L S U开销,从而保护带宽。
一个层次路由网络是一个单一的自治系统,可以分解成更小更易管理的网络区域。区域间的路由过程称为区
域间(i n t e r- a r e a)路由,而一个区域内的路由过程称为域内( i n t r a - a r e a)路由。因为O S P F将
每个区域看成一个到自己的网络,区域内部变化时的S P F计算只由该区域内的路由器执行。在
设计一个O S P F层次路由网络过程中,设计一种好的I P寻址方案能够进一步减少区域间的路由
表更新,可以通过使用路由汇总来进行设计。由于路由汇总,只需要很少的L S U来更新整个O S P F网络。
OSPF路由汇总
在O S P F区域间汇总路由是设计一种可扩展的层次路由拓扑结构的关键。O S P F汇总两种
类型的路由:区域内( I A)路由和外部路由。I A路由是由区域边界路由器( A B R)汇总的,
而外部路由是由自治系统边界路由器( A S B R)汇总的。一个路由器可以同时执行A B R和
A S B R两种功能。合理的路由汇总,要求每个O S P F区域有一组连续的I P地址空间。在区域间
使用不连续的I P编址,会导致一个O S P F路由器错误地转发报文。
当多个A B R连接两个区域时,在O S P F间汇总路由是不明智的。在这样一种拓扑结构中的
区域间发送汇总路由会减少路由表大小,但也会导致一个非最优的路径选择。这对于A B R到
O S P F区域0的连接是十分重要的。
注意在一个OSPF层次路由拓扑结构中,router ospf的process-id参数用于标识OSPF网
络的自治系统号。每个参与到一个O S P F路由协议的O S P F路由器必须使用相同的自治系
统号,以便交换链路状态数据库。
在十分庞大的O S P F网络中,将单个O S P F自治系统分隔成较小的层次网络是十分有益的,
可以定义多个自治系统来完成该过程
有疑问可加QQ947278734
5.单区域OSPF的路由更新过程
楼上的是ospf的邻居状态啊
我来说清楚点
开始会从邻居那里收到一条hello消息(hello消息里包含了本地路由的rid和通过了所有的邻居验证检查)这样就会成为双向状态。然后就会将数据库描述分组(也就是DD),发送第一条DD之后就会成为预启动状态,直到RID较高的路由成为主路由器,选举了主路由器之后,就会切换成交换状态,继续以多播的消息交换DD,直到2台路由器的LSID相同,然后加载。对于任何缺少的LSA,都会发送一条LSR消息(就是叫对方把我自己没有的那些的LSA发过来),然后对方就会发送链路状态更新(LSU)给我(就是我自己没有的LSA),我收到了对方给我的LSA,我就会发送LSAck确认我收到了,这就更新完了。
6.OSPF区域是基于什么的划分
OSPF区域是基于路由器的接口划分的,而不是基于整台路由器划分的,一台路由器可以属于单个区域,也可以属于多个区域,如下图:如果一台OSPF路由器属于单个区域,即该路由器所有接口都属于同一个区域,那么这台路由器称为InternalRouter(IR),如上图中的R2,R3和R4;如果一台OSPF路由器属于多个区域,即该路由器的接口不都属于一个区域,那么这台路由器称为AreaBorderRouter(ABR),如上图中的R1,ABR可以将一个区域的LSA汇总后转发至另一个区域;如果一台OSPF路由器将外部路由协议重分布进OSPF,那么这台路由器称为(ASBR),如上图中,R5将EIGRP重分布进OSPF,那么R5就是ASBR,但是如果只是将OSPF重分布进其它路由协议,则不能称为ASBR。
7.请问OSPF单区域路由什么意思
首先说下OSPf,是一个路由协议,路由协议的作用就是让路由器之前能够动态的共享网络信息,使其能够获得远程网络。
其次,关于区域。区域的概念是OSPF特有的一种属性,因为OSPF在运行时有一个操作叫做LSA泛洪,泛洪会占用网络很大的带宽,同时消耗路由器的资源,严重的影响可能会导致路由器down机。为了减小这种影响,其中一种方式就是减小参与泛洪的路由器的数量,于是将网络中运行OSPF的路由器逻辑的划分为几个区域,泛洪的操作只在区域中进行,路由器减少了,同样就是减小了泛洪的影响。
当网络中的路由器数量较少的时候,我们可以不对其进行区域划分,让其只运行在一个区域中,即 area 0,就是单区域路由了。当路由器数量较大的时候,就得进行区域的划分,划分之后就是多区域路由,但不管在什么时候 area 0 必须存在,其他区域必须与area 0 相连。
转载请注明出处众文网 » 路由器单区域ospf毕业论文(寻找OSPF路由协议的安全性的)