题目常用动态路由协议安全性分析
声明
本人郑重声明:所呈交的毕业论文,是本人在指导教师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的科研成果,也不包含为获得其他教育机构的学位或证书而使用过的材料。我承诺,论文中的所有内容均真实、可信。本论文的成果属于云南警官学院所有。
论文(设计)作者签名:李世悦
2016年6 月15 日
目录
第一章前言 (4)
第二章路由器 (5)
2.1路由器的概念.............................. 错误!未定义书签。
2.2路由器的作用和功能......................... 错误!未定义书签。第三章动态路由概述 ............................ 错误!未定义书签。第四章RIP OSPF BGP-4三个协议的使用情况....... 错误!未定义书签。
4.1路由信息协议RIP........................... 错误!未定义书签。
4.2OSPF协议.................................. 错误!未定义书签。
4.3BGP-4协议................................. 错误!未定义书签。第五章安全性分析.............................. 错误!未定义书签。
5.1RIP协议的安全性分析........................ 错误!未定义书签。
5.2OSPF协议的安全性分析....................... 错误!未定义书签。
5.3BGP-4协议的安全性分析...................... 错误!未定义书签。第六章总结..................................... 错误!未定义书签。小结.......................................... 错误!未定义书签。致谢. (14)
常用动态路由协议安全性分析
计算机科学专业与技术
学生:李世悦指导老师:王铁
【摘要】:动态路由协议的应用越来越广泛。针对路由协议的攻击在实际应用中经常发生,所以路由
协议的安全性备受关注,而在生活中,为了保护网络安全而选择适合的路由协议是非常有必要的。本文分析了路由协议安全性原理并解析了路由协议的实际应用,以指导人们选择适合的路由协议,达到保护网络安全的目的。
【关键字】:动态路由协议,安全性,路由器
【 abstract】 : Router;Dynamic Routing Protocol;Router
【key words】 : The application of dynamic routing protocol is increasingly wider and wider. As a result, the attack on dynamic routing protocols occurs constantly, so there is much focus on the safety of this protocol. In life, it is necessary for people to chose proper protocols to protect network security. This paper is going to analyze the principles that secure the safety of dynamic routing protocols and the practical use of these protocols, to help people chose the proper protocols in their life and protect network security.
第一章选题原因
在二十一世纪信息已经成为重要的开发性资源,随着计算机网络的不断发展,路由技
术在网络中变为至关重要,路由器也成为重要的网络设备,用户的需求推动着路由技术的
发展。所以,研究网络,解决网络发展中的重要问题是计算机科学与技术科学的重要任务。
本论文研究常用动态路由协议安全性。以直观,简洁,方便的形式展现,让人们更好的了
解网络。
近几年来,人们都在广泛运用计算机技术。计算机网络对人们的生活,工作和学习产
生着重要影响,在网络发达的时代,掌握网络,安全的使用计算机能带给人们无限的好处。
网络时代的到来给教育带来了前景。通过研究网络技术使我们不断进步。跟上时代发展的
脚步。
第二章路由器
2.1路由器的概念
路由器又称路径器,它是计算机网络设备的一种,它将各种各样的数据传送至目的地这个过程就称为路由。路由器就是连接两个以上各别网络的设备,路由工作是在网络层。1
路由器是连接因特网中各局域网、广域网的设备,它是根据信道的情况自动选择和设定路由,以最佳的路径按照前后顺序发送信号。路由器是互联网络的枢纽。目前各个行业已经广泛应用路由器,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的关键。路由器依靠转发网络层数据包来实现网络互联。路由器首先在接口上按照物理层协议得到比特流,然后按照数据链路层协议成帧,在数据帧中得到网络层包后根据网络层地址以及路由信息来转发数据包。发送数据包则需要根据发送端口链路层协议成帧,然后根据发送端口物理层协议将比特流流出,路由器的路由信息可以通过手工输入或者通过运行路由协议从相邻路由器获取。
图2.1路由器
2.2路由器的作用和功能
2.2.1连通不同的网络
换个角度来分析,拿过滤网络流量来说,路由器的功能和交换机与网桥较相似。路由器主要用于互联局域网和广域网、实现不同网络间的通信。而路由器与工作在网络物理层从物理上划分网段的交换机不一样,路由器对网络进行划分主要是使用专门的软件协议从逻辑上进行操作。例如,可以把网络划分成多个子网段的支持IP协议的路由器,可以通过
1
路由器的只有指向特殊IP地址的网络流量。对于每一个接收到的数据包,他们的校验值都会被路由器重新计算,并且写入新的物理地址。所以,使用路由器转发和过滤数据的速度通常要慢于仅仅查看数据包物理地址的交换机。然而,就部分结构复杂的网络来说,使用路由器可以扩大网络的整体效率。自动过滤网络广播是路由器的另外一个显著优势。总的来说,即插即用的交换机要比在网络中添加路由器的整个安装过程要容易很多。
2.2.2选择信息传送的线路
部分路由器只支持单一协议,但是大部分路由器能够支持多种协议的传输,也就是多协议路由器。因为每一种协议都有自己单独的规则,所以降低路由器的性能的原因之一就有在一个路由器中完成多种协议的算法。为经过路由器的每个数据帧找寻一条最佳传输路径是路由器的主要工作,并将该数据有效地传送到目的站点。所以,路由器算法的关键在于选择最佳路径的策略。为了完成这项工作,在路由器中存在者很多数据是关于传输路径的即路径表,它是用来供路由选择使用。子网的标志信息、网上路由器的个数和下一个路由器的名字等内容保存在路径表中。路径表可以从以下几方面操作:1、是由系统管理员固定设置;2、由系统动态修改;3、由路由器自动调整;4、由主机控制。静态路径表是由系统管理员事先设置好固定的路径表,通常是在系统安装时就根据网络的配置情况预先设定的,静态路径表不会因为未来网络结构的变化而改变。动态路径表是路由器根据网络系统的运行情况而自动调整的路径表。依据路由选择协议提供的功能,路由器能自动学习和记忆网络运行的情况。
第三章动态路由概述
把数据从一个地方传送到另外一个地方的这个过程称为路由。动态路由是指网络中的路由器相互之间的通信,传递路由信息和利用收到的路由信息然后再更新路由表的过程。这个过程它能够快速,准确地适应网络结构的变化。动态路由要基于某种路由协议实现。假如路由更新信息一旦表明发生了相关的网络变化,路由选择软件就会重新计算路由,并且随之发出新的路由更新信息。这些信息就会通过各个网络使得各路由器重新启动其路由算法,然后更新各自的路由表。动态地反映网络拓扑变化。网络规模大、网络拓扑复杂的网络比较合适使用动态路由。各种各样的动态路由协议会对网络带宽和CPU资源产生不同程度的占用。可以自动建立自己路由表并且能够依据实际情况的变化适当地进行整改的即动态路由。动态路由器上的路由表项交换彼此的信息是通过路由器之间的相互连接进行的,接下来按照一定的算法优化出来;为了应对反复变化的网络,路由信息必须在时间间隙里不断更新、变化,以此来随时获得最佳的寻路效果。
常用的动态路由协议有RIP,OSPF,BGP。RIP,OSPF运行在自治系统内称为域内路由协议。而BGP路由协议运行在自治系统间
第四章RIP OSPF BGP-4三个协议使用情况
4.1路由信息协议RIP
4.1.1路由信息协议概述
路由信息协议(RIP)是一种内部网关协议。它是一种最著名,历史最悠久的内部网关协议——动态路由协议。并且还属于距离向量协议。路由信息协议是由施乐公司在PUB
和XNS路由协议基础上发展而来的。路由信息协议最早就是由施乐研究出来的。后来因为加州大学在许多局域网上采用了RIP协议,路由信息协议在UNIX上也得到了普遍实现。这样一来就推动了路由信息的广泛应用。对路由信息的推广起到了非常大的促进作用。虽然路由信息协议最早为局域网设计,但是现在路由信息协议已经被应用到城域网甚至广域网中。所以说现在路由信息协议的应用范围已经不仅仅局限在局域网,路由信息协议是因特网协议的重要组成部分,它是一种简单的路由协议。并且在英特网中最早得到了广泛的应用。路由信息协议是链路状态的路由议,它被设计为用于单一自治系统的内部。而每一个路由器都维护一个描述自治系统拓扑的相同数据库。而最短路径树计算路由的方法就是路由器根据上述描述拓扑的数据库构造。
路由信息协议在1986年被IETE标准化为RFC1058。该协议是开放标准,适用于小网络内部网关协议。
4.1.2路由信息协议RIP工作原理
运行路由信息协议的路由器定期的将路由表发送给相邻的路由器,路由器在收到相邻路由器发送的路由表之后就将每个路由的距离加1然后和自身路由表中的信息进行对比,如果得到的距离大于和等于自身路由表中路由的距离则忽略收到的路由最后再刷新该路由
条目,如果得到的距离小于自身路由表中路由的距离或者自身路由表中没有所比较的路由的话就将收到的路由信息写入路由表,距离为原距离增加1且下一跳为发送该路由信息的路由器,当距离为16时认为路由不可达,运行RIP的网络规模有限,路径最长距离为15.路由器定期清除长时间未刷新过的路由条目以防止某路由器死机后产生的路由黑洞。网络中所有运行RIP的路由器不了解整个网络中的拓扑结构,简单的相信能从某一个相邻路由器然后经过某一个特定距离能够到达目标网络。
4.2OSPF协议
4.2.1OSPF协议概述
OSPF是一个内部网关协议,它是对链路状态路由协议的一种实现运作于自治系统的内部。随着当今科学技术的快速进步和网络规模的不断壮大,距离向量协议的各种缺陷随之凸显。所以进行了链路状态协议的尝试,链路就是指路由器之间的链接,而状态就是指路由器之间连接的时延,可用性和带宽等属性。和其它大多数路由协议不同的是OSPF协议不依赖于传输层协议提供数据传输,错误检查和恢复服务,数据包直接封装在网关协议内传输。OSPF最初是在RFC1131中被规范,之后很快的就被RFC1247替代了,RFC2178和RFC2328制定出来了之后,OSPF也得到了进一步的完善,目前RFC2328是被广泛实现的最新版本。
OSPF协议被设计使用在单一的自治系统内部,它是链路状态的路由协议。描述自治系统拓扑的相同数据库都被每一个路由器来维护;OSPF不能被用作为其它协议的路由。OSPF协议专门为IP所设计。OSPF协议使用IP数据包头中的IP地址来计算路径。另外OSPF消息不需要UDP或TCP等传输层协议承载,都直接在IP包中直接发送。相同开销的多条路径可以得到OSPF的支持,同时OSPF也支持将自治系统划分区域通过分层管理来减少路由协议带宽开销,此外OSPF协议还支持认证。
4.2.2OSPF协议主要优点
1、O SPF是真正的LOOP- FREE路由协议。源自其算法链路状态及最短路径树算法的优点。
2、OSPF的收敛速度快,它将路由变化传递到整个自治系统的所用时间非常短。
3、由于区域划分概念的提出。自治系统被划分为不同区域后,通过区域之间对路由信息的摘要,从而减少了需传递的路由信息数量。同时也保证了路由信息不会因为网络规模的扩大而产生急剧膨胀。
4、由于NSSA区域的概念被提出,从而使得NSSA区域内不再传播引入的ASE路由。
5、在区域边界路由器(ABR)上支持路由聚合,能够大大减少了区域间的路由信息传递。
6、OSPF通过严格的划分得出了路由的四个级别,为路由选择提供了可信的保障。
7、OSPF支持基于接口的明文及MD5的验证,它具有良好的安全性。
8、OSPF能够适应于各种各样规模的网络,最多甚至可以达到数千台。
4.3BGP-4协议
4.3.1BGP-4协议概述
B GP是运行在自治系统之间的路由协议,自治系统内部的路由选择由域内路由协议决定,自治系统之间以自治系统为单位路径的路径则由BGP决定,BGP运行在TCP之上,这一点与OSPF,ISIS,RIP都不同。BGP由外部网关协议发展而来
BGP在1989年标准化成BGP-1,到1993年定型称为BGP-4.BGP-4是目前最广泛使用的BGP版本。能够设计处理因特网的大小的协议只有BGP一种协议。同时BGP协议也是唯一一种能够妥善处理好非路由主机多路连接的协议。这个过程是通过EGP 来实现的。和其他的BGP 系统交换网络可达信息是BGP交互系统最主要的功能。可达信息经过的自治系统(AS)清单上的信息能够有效地构造AS 互联的图像并由此清除路由环路,同时在AS 级别上实施了策略决策。
BGP-4 为支持无类域间路由提供了一套新的机制。支持网络前缀的广播、取消BGP 网络中“类”的概念都属于这些机制。同时BGP-4 还引入机制支持路由聚合,包括AS 路径的聚合。这些改变为建议的超网方案提供了支持。
第五章安全性分析
5.1RIP协议安全性分析
网络中路由器之间的相互通信、传递路由信息和利用收到的路由信息更新路由表的过程就称之为动态路由协议。动态路由协议它是一个过程。它能够及时的适应网络结构的变化。常用的动态路由协议主要有:RIP V2协议、OSPF协议、BGP协议。
5.1.1RIP协议的优缺点:RIP协议最合适用于小规模网络,它配置简单。RIP协议的缺点包括:
1大量广播:RIP每隔30秒就会向所有邻居广播一次完整的路由表,这样一来就会占用宝贵的带宽资源,如果广域网链路较慢就会出现很多问题?
2RIP缺乏成本概念:网络延迟和链路成本的概念在RIP中没有体现?当采用RIP时,路由/转发只是由跳线决定,所以往往很容易导致无法选择出最佳路由?例如,一条链路拥有
较高的带宽,但是由于跳数较多,从而导致难以选择?
3RIP支持的网络规模有限:RIP只能适用于规模较少的网络?因为RIP协议最多只能支持16个步跳,一旦超过16个步跳时,网络将认为无法到达。
5.1.2RIP V2的应用
RIP协议有着简单、可靠,便于配置的优点。它是一种使用广泛的内部网关协议。不足的是RIP只适用于小型的同构网络,其它的网络就不能适用。由于RIP协议允许的最大站点数是15,所以只要超过15个站点的目的地都不会被标记。造成网络的广播风暴的主要原因之一也就是每隔30秒一次的路由信息广播。
5.1.3RIP V2的安全性分析
RIP V2协议模拟攻击过程:由于RIP协议是通过UDP协议固定端口520-vrouter.ip.address.2来扫描520端口,从而来确认该网络是否使用RIP协议,然后通过sniffer来嗅探路由更新包,然后可以篡改路由更新包从而改变路由信息,这样就可以让原先的路由协议失效。RIP V2和RIP V1都是使用UDP协议进行传输,UDP协议不可靠。但RIPV2提供两种认证机制。一种是明文认证机制另一种是密文认证机制。明文机制和密文机制相比较由于明文机制更容易被嗅探到,所以通常采用密文加密。RIP协议加密是采用通用的MD5认证,加密的同时使用的是RFC1723标准的报文格式。
RIP密文认证过程:R1能接受R2发送过来的路由,否则就不能接受R2发送过来的路由。RIP的认证是单向的,由于RIP密文认证过程发送的报文都是经过MD5加密,因此不会被破解,从而起到了保护作用,而那些由于没有认证过的路由器发送过来的路由信息就会被丢弃掉,这样就可以防止路由信息通过被篡改过的报文而被更新。而且所有起用RIP 协议的路由器必须配置相同的密码才能进行路由更新,这样使路由器起用RIP协议时避免受到攻击。
5.2OSPF协议的安全性分析
5.2.1 OSPF协议的应用:
OSPF是当前应用最广泛的内部网关路由协议(Interior Gateway Protocol,IGP),主要提供自治系统(Autonomous System,AS)内的动态选择路由。OSPF的三个内建安全机制对于OSPF协议的安全运行是极其重要的。以下是 OSPF的三个内建安全机制:
1可靠泛洪和OSPF自反击:OSPF通过泛洪来进行链路状态通告的传播,通过一种类似TCP的确认重传机制OSPF保证所进行的泛洪是可靠的,可靠泛洪机制确保同一区域内的路由器有同样的拓扑数据库。OSPF自反击是一种防止攻击OSPF的有效机制,它将使攻击者费尽心机伪造的LSA很难真正达到被其它路由器利用从而影响路由选择的实效。
2 层次路由和信息隐藏:层次路由机制的设计是为了解决路由的可扩展性问题,即减少路由表大小、带宽、路由计算的资源,增强稳定性等等,使OSPF更安全。OSPF通过将区域划分为骨干区和非骨干区的方式使得OSPF成为一个基于两个层次的路由协议在进行通告的时候,可以设置相应的策略不通告或只通告汇聚的路由信息等方式隐藏要被通告的区域中的某些重要的信息。
3 程序性检验及约束:OSPF报文的接收要经过严格的检验过程,分三个阶段:IP头、OSPF协议包头和OSPF具体协议报文头的检验。OSPF报文的这种常规性检验是必要的,它可以减少协议运行的错误,并增加了攻击的难度。
5.2.2 OSPF安全性分析:
OSPF整个运行机制相对比较复杂,其运行过程中的很多环节都有可能被攻击者开发为对OSPF的攻击,造成不同程度的危害,主要以下3种攻击方式:
1利用Hello报文的攻击:OSPF路由器定期向外发送Hello报文,用以发现邻居和维护邻接节点关系。Hello报文中的区域ID、Hello间隔等参数错误,会使该Hello报文被邻居路由器丢弃,造成邻居Down,直接在链路上阻绝Hello报文当然也可以造成这种危害。如果OSPF没有进行加密或者攻击者攻破了OSPF的验证体系,攻击者就可以修改报文中的某些参数来达到攻击的效果。
2 利用Update报文的攻击:为修改LSA参数,使OSPF朝着利于攻击者的方向运转,攻击者必须能成功的注入虚假LSA。因此攻击者必须能够侵入或者假扮成一个OSPF路由器来和其它的路由器达到Exchange或者更高的状态,以使两者间可以传送LSA,而且此时攻击
者显然必须至少占有一条链路的密钥或者该链路根本就不需要验证。然后,攻击者就可以通过注入虚假LSA来达到攻击的目的了,例如不间断的发送大量Maxage的LSA进行Maxage 攻击等,这些攻击方式都很可能造成OSPF路由域的混乱。攻击者还可以通过修改LSA的花费、链路描述等信息来诱使OSPF路由器计算出错误的路由,导致信息被传送至不安全的网络。
3 资源消耗攻击:通过不间断的大量发送各种类型的OSPF报文,很可能造成被攻击实体的资源耗竭,而无法正常工作。例如向OSPF的邻居发送包含过长邻居列表的超大Hello 报文,邻居路由器将需为邻居列表上的每个邻居创建邻居结构,而消耗大量的资源,使资源枯竭。
O SPF路由协议并不足够安全,因此建议对OSPF采用积极的主动防护和检测机制来保证其安全。
1验证:
验证是OSPF保护的第一环,因此对OSPF路由域内的所有OSPF路由器都采用有效的加密认证机制是非常必要的,尽管我们仍需开发更安全有效的加密认证机制。
2入侵检测系统:
设计适当的入侵检测系统也是很有帮助的,它可以帮助发现很多针对OSPF的攻击为对OSPF的攻击往往会因为OSPF的自反击机制在路由域中产生很多的冲突信息。
首先是路由器层面,我们需保证操作系统的安全,路由器上其它所有协议的安全,路由器的物理安全等。
其次是路由域层面,这需要考虑所有边缘接入实体和所有链路的安全。
最后我们要强调的是人的层面,应更多地对网络进行监控和取证,积极立法,保护网络安全运行。
5.2.3OSPF协议主要缺点如下:
OSPF配置相对复杂?由于网络区域划分和网络属性的复杂性,需要网络分析员有较高的网络知识水平才能配置和管理OSPF网络?路由负载均衡能力较弱?OSPF虽然能根据接口的速率?连接可靠性等信息,自动生成接口路由优先级,但在通往同一目的的不同优先级路由中,OSPF只选择优先级较高的转发,不同优先级的路由中,不能实现负载分担?只有相同优先级的,才能达到负载均衡的目的,不像EIGRP那样可以根据优先级不同,自动匹配流量?
5.3BGP-4协议的安全性分析
5.3.1BGP协议的应用:
在BGP网络中,可以将一根网络分成多个自治系统。自治系统间使用eBGP广播路由,自制系统内使用iBGP在自己的网络内广播路由。BGP的作用主要是在自治系统间自动交换无环路的路由信息,通过交换带有自治系统号(AS)序列属性的路径可达信息,来构造自治区域的拓扑图,从而消除路由环路并且实施用户配置的路由策略。
5.3.2BGP协议的安全性分析:
Internet由多个互相连接的商业网络组成。每个企业网络或ISP必须定义一个自治系统号(ASN)。这些系统号由IANA分配。共有65535个可用的自治系统号,其中65512-65535为私用保留。当共享路由信息时,这个号码也允许以层的方式进行维护。BGP使用可靠的会话管理,TCP中的179端口用于触发update和Keepalive信息到它的邻居,以传播和更新BGP路由表。但是,由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP 方面的问题,如SYN Flood攻击,序列号预测,一般拒绝服务攻击等。BGP没有使用它们自身的序列而依靠TCP的序列号来代替,因此,如果设备采用了可预测序列号方案的话,就存在这种类型的攻击。幸好,运行在Internet上大部分重要的路由器使用了Cisco设备,而其是没有使用预测序列号方案。部分BGP的实现默认情况下没有使用任何的认证机制,而有些可能存在和RIP同样问题的就是使用了明文密码,将导致被攻击的可能性增大。BGP协议在实际应用中还会受到类似OSPF协议一样的伪造报文攻击等,但BGP协议一般都是应用在核心网的出口并且配置密码认证,BGP协议的认证只有密文认证,安全性相对较好。
由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP方面的问题,如很普遍的SYN Flood攻击,序列号预测,一般拒绝服务攻击等。BGP没有使用它们自身的序列而依靠TCP的序列号来代替,因此,如果设备采用了可预测序列号方案的话,就存在这种类型的攻击,幸好的是,运行在Internet上大部分重要的路由器使用了Cisco设备,而其是没有使用可预测序列号方案。部分BGP的实现默认情况下没有使用任何的认证机制,而有些可能存在和RIP同样的问题就是使用了明文密码。这样假如认证方案不够强壮的话,攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多,导致进一步的破坏扩大。
B GP也可以传播伪造的路由信息,如果攻击者能够从一协议如RIP中修改或者插入路由信息并由BGP重新分配。这个缺陷是存在与信任模块中而不是其BGP路由协议本身。另外BGP的community 配置也会有某些类型的攻击,原因是community name在某些情况下是作为信任token(标志)可以被获得。至于通过通过BGP的下层协议(TCP)对其攻击看来是比较困难的,因为会话在点对点之间是通过一条单独的物理线路进行通信的,但在一定环境如在两AS系统通过交换机来连接则可能存在TCP插入的攻击,在这样的网络中,攻击者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通过ARP欺骗来获得),监视TCP序列号,插入修改的信息包或者使用工具如hunt的进行hijack连接而获得成功,但这种类型的攻击一般只能在实验室环境中演示比较容易,而在实际的网络中因为太过复杂而很难成功。
第六章总结
常用动态路由协议在应用时均存在安全隐患。因此,在使用时应该采取有效方式进行解决。通常采用建立实用认证机制方式,可以降低存在风险,但是因为路由协议认证方式存在差异,需要应用其他措施予以处理,密文认证是提高常用动态路由安全性的最佳方式,经过处理动态路由器的安全性会显著提高,从而确保网络安全。OSPF协议安全性相对较高,建议在日常生活中尽量使用。
参考文献
[1]魏亮路由器原理及应用人民邮电出版社
致谢
四年的大学生活将在这个论文完成之际真正意义上的结束,在论文即将接近尾声之时,我要忠心的感谢一些人。
首先要感谢我的论文指导老师王铁老师,从一开始拿着论文题目不知道从何下笔的我直到今天论文的完成,期间每一次论文的修改,王铁老师都给予了我悉心指导和建议。使我在写论文的过程中学习和总结到了很多之前没有掌握的东西,同时也彰显着老师严谨的治学态度、渊博的知识和敏锐的洞察力。我的每一次进步都离不开老师的谆谆教悔。在此我对王铁老师表示最诚挚的感谢最忠心的祝福。
其次我要感谢身边一直帮助我的同学,在完成论文的过程中遇到的每一次困难和问题,大家都热心的帮助我,这份真挚的友谊我回铭记于心,谢谢我最可爱的同学们,愿你们都有美好的前程。
最后我要感谢我的母校,四年的警校生活永存心底,不长不短的四年磨砺了我坚强的意志,让我认识了何谓君子风范,拥有了浩然正气,警校里看似残酷的封闭生活,反而使我更加珍惜友谊严以修身,同时也收获了最珍贵的友谊。忠诚,责任,奉献早已成为我的座右铭。也许我将要离开母校,但是我的心永远属于我的母校,愿母校的明天更加辉煌
关于路由协议试题以及参考答案 1、解决路由环问题的方法有(ABD) A. 水平分割 B. 路由保持法 C. 路由器重启 D. 定义路由权的最大值 2、下面哪一项正确描述了路由协议(C) A. 允许数据包在主机间传送的一种协议 B. 定义数据包中域的格式和用法的一种方式 C. 通过执行一个算法来完成路由选择的一种协议 D. 指定MAC地址和IP地址捆绑的方式和时间的一种协议 3、以下哪些内容是路由信息中所不包含的(A) A. 源地址 B. 下一跳 C. 目标网络 D. 路由权值 4、以下说法那些是正确的(BD) A. 路由优先级与路由权值的计算是一致的 B. 路由权的计算可能基于路径某单一特性计算,也可能基于路径多种属性 C. 如果几个动态路由协议都找到了到达同一目标网络的最佳路由,这几条路由都会被加入路由表中 D. 动态路由协议是按照路由的路由权值来判断路由的好坏,并且每一种路由协议的判断方法都是不一样的 5、IGP的作用范围是(C) A. 区域内 B. 局域网内 C. 自治系统内 D. 自然子网范围内 6、距离矢量协议包括(AB) A. RIP B. BGP C. IS-IS D. OSPF 7、关于矢量距离算法以下那些说法是错误的(A) A. 矢量距离算法不会产生路由环路问题 B. 矢量距离算法是靠传递路由信息来实现的 C. 路由信息的矢量表示法是(目标网络,metric) D. 使用矢量距离算法的协议只从自己的邻居获得信息 8、如果一个内部网络对外的出口只有一个,那么最好配置(A) A. 缺省路由 B. 主机路由 C. 动态路由 9、BGP是在(D)之间传播路由的协议
随着路由的发展,路由协议的种类也有很多,于是我研究了一下动态路由协议的实际应用和详细的介绍,在这里拿出来和大家分享一下,希望对大家有用。顾名思义,动态路由协议是一些动态生成(或学习到)路由信息的协议。在计算机网络互联技术领域,我们可以把路由定义如下,路由是指导IP报文发送的一些路径信息。动态路由协议是网络设备如路由器(Router)学习网络中路由信息的方法之一,这些动态路由协议使路由器能动态地随着网络拓扑中产生(如某些路径的失效或新路由的产生等)的变化,更新其保存的路由表,使网络中的路由器在较短的时间内,无需网络管理员介入自动地维持一致的路由信息,使整个网络达到路由收敛状态,从而保持网络的快速收敛和高可用性。 路由器学习路由信息、生成并维护路由表的方法包括直连路由(Direct)、静态路由(Static)和动态路由(Dynamic)。直连路由是由链路层动态路由协议发现的,一般指去往路由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态(Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路由无法使路由器获取与其不直接相连的路由信息。静态路由是由网络规划者根据网络拓扑,使用命令在路由器上配置的路由信息,这些静态路由信息指导报文发送,静态路由方式也不需要路由器进行计算,但是它完全依赖于网络规划者,当网络规模较大或网络拓扑经常发生改变时,网络管理员需要做的工作将会非常复杂并且容易产生错误。而动态路由的方式使路由器能够按照特定的算法自动计算新的路由信息,适应网络拓扑结构的变化。 动态路由协议的分类 按照区域(指自治系统),动态路由协议可分为内部网关协议IGP(InteriorGatewayProtocol)和外部网关协议EGP(ExteriorGatewayProtocol),按照所执行的算法,动态路由协议可分为距离向量动态路由协议(DistanceVector)、链路状态动态路由协议(LinkState),以及思科公司开发的混合型动态路由协议。 OSPF动态路由协议的特点 OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议,由标准协议组织制定,各厂商都可以得到动态路由协议的细节。“最短路径优先”是该动态路由协议在进行路由计算时执行的算法。OSPF是目前内部网关协议中使用最为广泛、性能最优的一个动态路由。 采用OSPF动态路由协议的自治系统,经过合理的规划可支持超过1000台路由器,这一性能是距离向量动态路由如RIP等无法比拟的。距离向量动态路由协议采用周期性地发送整张路由表来使网络中路由器的路由信息保持一致,这个机制浪费了网络带宽并引发了一系列的问题,下面对此将作简单的介绍。 路由变化收敛速度是衡量一个动态路由协议好坏的一个关键因素。在网络拓扑发生变化时,网络中的路由器能否在很短的时间内相互通告所产生的变化并进行路由的重新计算,是网络可用性的一个重要的表现方
RIP:(边界路由) 1.重分布静态路由re distribute static 2.default-intformation originate 3.缺省路由ip default-network (宣告主类网络号) 4.在RIP进程中宣告缺省路由network 0.0.0.0 5.在接口下汇总默认路由ip summary-address rip 0.0.0.0 0.0.0.0 EIGRP:(边界路由) 1.重分布静态路由re distribute static 2.缺省路由ip default-network (宣告主类网络号),同时在进程下宣告主类网络号,另外在连接内网的接口下采用手动汇总该外部路由 3.在EIGRP进程中宣告缺省路由network 0.0.0.0 4.全网使用静态路由实现逻辑全互联(不推荐) OSPF:(边界路由) 使用default-information originate 必须在路由表中手动添加缺省指向NULL 0 default-information originate always----->强制添加缺省路由进入路由表 OSPF来说,它和距离矢量协议是不一样的,它的路径计算是基于SPF算法的,是通过LSA 来泛红路由,如果想在ospf内重分布默认路由的话,那么就需要配合使用default-information originate这个命令,因为ospf是只能重分布非缺省状态的静态路由,如果要是没有配置缺省路由的话,那么就要在default-information originate 后面加个always,就是无论本路由器路由表里有没有默认路由,都会广播出去。
南昌大学实验报告 学生姓名:学号:专业班级: 实验类型:□验证■综合□设计□创新实验日期:2017/12/14 实验成绩: 实验六动态路由协议RIP配置实训 一、实验目的 ●深入了解RIP协议的工作原理 ●学会配置RIP协议网络 ●掌握RIP协议配置错误排除 二、实验设备及条件 ●运行Windows 操作系统计算机一台 ●Cisco Packet Tracer模拟软件 ●Cisco 1841路由器两台,普通交换机三台,路由器串口线一根 ●RJ-45转DB-9反接线一根 ●超级终端应用程序 三、实验原理 3.1 RIP协议简介 路由信息协议(Routing Information Protocol,RIP)是一种内部网关协议(IGP),是一种动态路由选择协议,用于自治系统(AS)内的路由信息的传递。RIP协议基于距离矢量算法(Distance Vector Algorithms),使用“跳数”(即metric)来衡量到达目标地址的路由距离。这种协议的路由器只关心自己周围的世界,只与自己相邻的路由器交换信息,范围限制在15跳(15度)之内,再远,它就不关心了。RIP应用于OSI网络七层模型的网络层。 在默认情况下,RIP使用一种非常简单的度量制度:距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。RIP进程使用UDP的520端口来发送和接收RIP 分组。RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。在RIP中,如果一个路由在180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。 RIP协议是最早的路由协议,现在仍然发挥“余热”,对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现。有两个版本。 ●RIPv1协议—有类路由协议 ●RIPv2协议—无类路由协议,需手工关闭路由自动汇总。 另外,为了兼容IP V6的应用,RIP协议也发布了IP V6下的应用协议RIPng(Routing Information Protocol next generation) 有类与无类的区别在于: 有类路由在路由更新时不会将子网掩码一同发送出去,路由器收到更新后会假设子网掩码。子网掩码的假设基于IP的分类,很明显,有类路由只会机械地支持A、B、C这样的IP
03 动态路由协议简介 3.1 协议介绍及其优点 3.1.1 前景和背景知识 1、动态路由协议的发展历程 2、认识动态路由协议: 路由协议是用于路由器之间交换路由信息的协议。通过路由协议,路由器可以动态共享有关远程网络的信息,并自动将信息添加到各自的路由表中。 3.1.2网络发现和路由表的维护 1、路由协议的用途如下: 1)发现远程网络 2)维护最新路由信息 3)选择通往目的网络的最佳路径 4)当前路径无法使用时找出新的最佳路径 2、路由协议由哪些部分组成? 1)数据结构(Data structures)-某些路由协议使用路由表和/或数据库来完成路由过程。 此类信息保存在内存中。 2)算法(Algorithm)-算法是指用于完成某个任务的一定数量的步骤。路由协议使用 算法来路由信息并确定最佳路径。 3)路由协议消息(Routing protocol messages)-路由协议使用各种消息找出邻近的路由 器,交换路由信息,并通过其它一些任务来获取和维护准确的网络信息。 3、动态路由协议的运行过程如下: 1)路由器通过其接口发送和接收路由消息。 2)路由器与使用同一路由协议的其它路由器共享路由消息和路由信息。 3)路由器通过交换路由信息来了解远程网络。 4)如果路由器检测到网络拓扑结构的变化,路由协议可以将这一变化告知其它路由器。 3.1.3动态路由协议的优点 1、静态路由的优点: 1)占用的CPU 处理时间少。 2)便于管理员了解路由。 3)易于配置。 2、静态路由的缺点: 1)配置和维护耗费时间。 2)配置容易出错,尤其对于大型网络。 3)需要管理员维护变化的路由信息。 4)不能随着网络的增长而扩展;维护会越来越麻烦。 5)需要完全了解整个网络的情况才能进行操作。 3、动态路由的优点: 1)增加或删除网络时,管理员维护路由配置的工作量较少。 2)网络拓扑结构发生变化时,协议可以自动做出调整。 3)配置不容易出错。 4)扩展性好,网络增长时不会出现问题。 4、动态路由的缺点:
RIP EIGRP和OSPF重分布 Cisco默认的几种路由协议的AD如下: 1.直连接口:0 2.静态路由:1(例外:使用接口来代替下1跳地址的时候它会被认为是直连接口) 3.EIGRP汇总路由:5 4.External(外部) BGP:20 5.EIGRP:90 6.IGRP:100 7.OSPF:110 8.IS-IS:115 9.RIP:120 10.EGP:140 11.External(外部) EIGRP:170 12.Internal(内部) BGP:200 13.未知:255 做重分布时的各路由协议的默认metric值 1、往RIP里做时,metric值默认infinity.所以要人工指定metric值,注意不要超过RIP中最大16跳. 2、往OSPF里做时,metric值默认是20,metric-type 是2默认不发布子网. 3、往EIGRP里做时,metric值默认是infinity,人工指metric值时包括:带宽,延迟,可靠度,负载,MTU.(注:可靠度=255时最大,负载=1时最小,MTU=1500,一般来说这三个值都设成这样.而且在配置metric值时的顺序就是这样的顺序.) 如:Paige(config-router)#redistribute ospf 1 metric 10000 100 255 1 1500 4、往IS-IS里做时,Router的默认类型是level-2的,并且metric值为0,在做重分布时,如果网络中只有一个IS-IS进程时,可以不写IS-IS的tag,而其他的路由协议,如EIGRP后面必须跟上进程号. 注:metric-type类型为由于OSPF的外部路由分为 类型1:--外部路径成本+数据包在OSPF网络所经过各链路成本 类型2:--外部路径成本,即ASBR上的默认设置 问题:在向EIGRP中重分布时,必须指定默认管理距离吗?为何只在OSPF向EIGRP重分布时distance eigrp 90 150?? 答:在默认时EIGRP的内部管理距离是90,外部路由管理距离是170,命令“distance eigrp 90 150”只是修改了外部管理距离 R1(config)#int loo0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#int s2/0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 R1(config-if)#no sh
常用动态路由协议安全性分析及应用 【摘要】路由器寻找的最佳路径是路由协议,它能保持各个路由器间的路由表相同,实现各个路由器间的相互连通,且在网络间传递数据包。可见,动态路由协议是借助路由器间的信息传递,计算、更新网络结构。但在此过程中,存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP 和RIP V2三种常用的动态路由协议安全性进行分析,并总结其应用。 【关键词】动态路由安全性应用 连接网络的重要硬件设备,是路由器,它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程,它能够满足网络结构变化的需求。常用的动态路由分为三种,分别为BGP协议、OSPF协议和RIP V2协议。如果在数据包传递过程中,协议出现漏洞,那么容易被人利用,给网络安全造成严重影响。所以,分析常用动态路由协议安全性显得尤为重要。 一、常用动态路由协议安全性分析 1.1 BGP协议安全性 多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络,需要定义一个自治系统号,即ASN,它们
的分配由IANA完成[1]。自治系统号共有65535个,其中私用保留的为65512―65535。路由信息在共享状态下,此号码的维护方式可以采取层的方式。BGP采用会话管理,其中TCP 的179端口可起到触发作用,使Keepalive和update信息被触发,且累及其邻居,从而更新和传播BGP路由表。 然而,因BGP的传输方式以TCP为主,那么容易导致BGP 出现关于TCP的诸多问题,例如拒绝服务攻击,预测序列号,SYN Flood攻击等。BGP主要是利用TCP的序列号,未使用自身的序列号。所以,一旦设备应用可预测序列号,就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备,没有采用预测序列号方案,这就降低了受到攻击的风险。一些BGP在默认状态下,未采用相关的认证机制,有些BGP继续沿用明文密码,这样,大大增加了受到攻击的可能性。 实际应用BGP协议时,还会受到伪造报文攻击等其他攻击。但通常情况下,BGP主要在核心网的出口应用,且配置密码认证,因此,BGP协议的安全性相对较高。 1.2 OSPF协议安全性 复杂是OSPF运行机制的主要特征,运行中的诸多环节都有可能受到攻击者的攻击,给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送,这样极易导致攻击实体资源枯
一、实验拓扑 和上个实验《使用BFD备份静态路由》的拓扑一样,编址一样。 二、基础配置 R1的基础配置 # sysname AR1 # interface Vlanif1 ip address 192.168.10.1 255.255.255.0 # interface GigabitEthernet0/0/0 ip address 12.1.1.1 255.255.255.0 ospf cost 5 # interface GigabitEthernet0/0/1 ip address 102.1.1.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # bgp 100
network 12.1.1.2 0.0.0.0 network 102.1.1.2 0.0.0.0 # 三、观查现况(未使能BFD) 在PC上发50个ping包,并同时中断HUB2 和HUB3之间的链路,观察OSPF和BGP的收敛,及PC的丢包 PC>ping 192.168.20.20 -c 50 Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break From 192.168.20.20: bytes=32 seq=1 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=2 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=3 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=4 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=5 ttl=126 time=16 ms Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! From 192.168.20.20: bytes=32 seq=25 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=26 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=27 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=28 ttl=126 time=16 ms --- 192.168.20.20 ping statistics --- 28 packet(s) transmitted 9 packet(s) received 67.86% packet loss round-trip min/avg/max = 15/19/31 ms
目录 1. 路由协议 (3) 1.1. 静态的与动态的部路由 (3) 1.2. 选路信息协议(RIP) (5) 1.2.1. 慢收敛问题的解决 (7) 1.2.2. RIP报文格式 (8) 1.2.3. RIP编址约定 (9) 1.2.4. RIP报文的发送 (10) 1.3. OSPF (10) 1.3.1. 概述 (10) 1.3.2. 数据包格式 (10) 1.3.3. OSPF基本算法 (11) 1.3.4. OSPF路由协议的基本特征 (12) 1.3.5. 区域及域间路由 (13) 1.3.6. OSPF协议路由器及链路状态数据包分类 (16) 1.3.7. OSPF协议工作过程 (18) 1.3.8. OSPF路由协议验证 (21) 1.3.9. 小结 (21) 1.4. HELLO协议 (22) 1.5. 将RIP,HELLO和EGP组合起来 (23) 1.6. 边界网关协议第4版(BGP4) (24) 1.7. EGP (27) 1.7.1. 给体系结构模型增加复杂性 (27) 1.7.2. 一个其本思想:额外跳 (28) 1.7.3. 自治系统的概念 (30) 1.7.4. 外部网关协议(EGP) (31) 1.7.5. EGP报文首部 (32) 1.7.6. EGP邻站获取报文 (33) 1.7.7. EGP邻站可达性报文 (34) 1.7.8. EGP轮询请求报文 (34) 1.7.9. EGP选路更新报文 (35) 1.7.10. 从接收者的角度来度量 (37) 1.7.11. EGP的主要限制 (38) 2. CISCO 路由器产品介绍 (40) 2.1. C ISCO 2500 (40) 2.2. C ISCO 4500-M (40) 2.3. C ISCO 7200 (41) 2.4. C ISCO 7513/7507 (43) 3. 路由器的基本配置 (43) 参数设置 (43)
动态路由协议概述 动态路由协议的基本思想: 路由器之间互相交换路由表(距离矢量路由协议) 链路信息(链路状态路由协议) 1.距离向量路由选择协议包括RIPv1、RIPv2 、IGRP 、BGP,其中IGRP是思科专有协议。 2.RIPv1 、RIPv2 、IGRP是内部网关路由选择协议,BGP是外部网关路由选择协议。 3.距离向量路由选择协议的工作方式是定期广播路由器自身的完整或部分路由表。 4.每个路由器把自己直连网络的路由的度量值设置为0,把它收到的来自其它路由器的路由表中的度量值增加一定的数值。 RIPv1的特征: 1.它是距离矢量路由选择协议 使用跳数作为度量值,最大跳数15,超过15跳,就不再添加进路由表
2.采用广播(255.255.255.255)进行路由更新 3.更新周期为30秒 4.管理距离:120 5.不支持变长子网掩码VLSM,只允许使用标准的A、B 、C类网络地址,是有类别(Classful)的路由选择协议。 RIPv2配置: 1.指定路由选择协议:# router rip 2.除了要加入一条“version 2”以外,其他配置都与RIPv1配置相同。 https://www.doczj.com/doc/9b48497.html,work命令指定要发布的直连网络地址,不需要指定子网值,只指定标准A、B 、C类网络地址即可 4.RIPv2靠识别配置在各个接口上的IP地址和子网掩码来支持变长子网掩码。 RIPv2的特征: 1.也是距离矢量路由选择协议,支持认证 2.同样使用跳数作为度量值,最大跳数15,超过15跳,就不再添加进路由表 3.采用组播地址(22 4.0.0.9)进行路由更新 4.更新周期也是30秒,同时支持触发更新 5.管理距离也是120 6.支持变长子网掩码VLSM,适合多数小型网络,是无类别(Classless)的路由选择协议
计算机网络实验报告记录(动态路由协议配置)
————————————————————————————————作者:————————————————————————————————日期:
计算机网络技术实验报告 学生学号: 学生姓名: 专业年级:网络工程级班 开课学期:第5学期 指导教师:梁正友
一、实验名称 动态路由协议配置 二、实验目的 1.了解路由协议工作机制。 2.掌握常用路由协议配置方法。 三、实验任务 1.配置LAN端口。 2.配置WAN端口。 3.完成RIP协议的配置。 4.完成IGRP协议的配置。 5.完成OSPF协议的配置。 四、实验环境及工具 安装Boson NetSim的PC至少一台。 五、实验记录 实验任务一 实验时间实验内容实验地点实验人 LAN端口的配置 实验步骤LAN端口是路由器与局域网的连接点,每个LAN端口与一个子网相连,配置LAN端口就是将LAN端口子网地址范围 内的一个IP地址分配给LAN端口。目前路由器上常用的LAN 端口多为以太网端口,即Ethernet口,在路由器中常被简 写为e,e0即表示Ethernet0,即第0号以太网端口。LAN 端口的配置步骤如下: 1.启动Boson NetSim 从Windows系统中选择“开始”→“程序”→Boson Software→Boson NetSim命令,运行Boson NetSim。 2.查看网络拓扑结构图 单击Boson NetSim主界面工具栏中的NetMap按钮,调 出网络拓扑结构图。双击图中的网络设备图标即可显示 该设备型号及和其他网络设备的连接。右击网络设备图
目录 摘要 (2) Abstract (3) 第一章绪论 (4) 1.1局域网发展 (4) 1.2研究意义 (4) 1.3本章小结 (7) 第二章路由 (7) 2.1路由协议简介 (7) 2.1.1 RIP协议 (9) 2.2 路由环路及解决 (10) 2.3 本章小结 (16) 第三章本设计组网 (17) 3.1 需求分析 (17) 3.2 设备介绍 (17) 3.3 组网实现 (17) 3.4 本章小结 (24) 第四章网络分析 (25) 4.1网络分析总体描述 (25) 4.2 对网络进行流量的监控 (25) 4.2.1 流量监控软件 (25) 4.2.2 流量监控实现 (26)
摘要 随着社会经济的发展,越来越多的公司、工厂、学校的出现,人们对于小型局域网的需求越来越大,越来越多。而局域网的组成路由协议是不可或缺的一部分,在路由协议中RIP协议有着举足轻重的地位。考虑到小型局域网的要求及各种路由协议的优缺点,因此在这里我们将会用RIP协议来进行组网。 本文中主要针对石家庄某大型公司的内部网络进行设计和分析,更会对其中可能会出现的各种问题进行讨论及进行解决。对RIP协议的局限性进行研究、分析,对比其他路由协议查找本协议的缺点和不足之处。对该公司的局域网进行分析、讨论。 关键词:RIP 小型局域网网络分析
Abstract With the development of social economy, more and more companies, factories and schools are becoming more and more.. And the local area network routing protocol is an indispensable part, in the routing protocol RIP protocol has a pivotal position. Considering the requirements of small local area network and the advantages and disadvantages of various routing protocols, we will use RIP protocol to make a network.. This paper mainly for the internal network of a large company in Shijiazhuang of design and analysis, will discuss and solve the problems which may occur. Research and analyze thelimitations of RIP protocol, disadvantages and shortcomings compared to other routing protocols for this agreement.The company's local area network is analyzed and discussed. Keywords: RIP LAN Network analysis
RIP(Routing Information Protocols)路由信息协议 OSPF(Open Shortest Path First)开放式路径优先 EIGRP:(Enhanced Interior Gateway Routing Protocol)―――――――――――――――加强型内部网关路由协议 静态路由:静态路由只适用于小型网络或小型转中型网络中只有较小范围的扩充中。需要手工输入,手工管理,管理开销对于动态路由来说是一个大大的负担。 优点:带宽优良,安全性好。 动态路由协议:网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新和维护路由表的过程,是基于某种路由协议实现的。 种类:距离向量路由协议和链路状态路由协议。 特点:减少管理任务,占用网络宽带 RIP:RIP是使用最广泛的距离向量路由协议。RIP是为小型网络环境设计的,因为这类协议的路由学习及路由更新将产生较大的流量,占用过多的带宽。为了避免路由环路,RIP 采用水平分割、毒性逆转、定义最大跳数、闪式更新、抑制计时5 个机制来避免路由环路。水平分割是一个规则,用来防止路由环路的产生,这里的规则指的是从一个接口上学习到的路由信息,不再从这个接口发送出去。 RIP 协议分为版本1 和版本2。不论是版本1 或版本2,都具备下面的特征: 1. 是距离向量路由协议; 2. 使用跳数(Hop Count)作为度量值; 3.默认路由更新周期为30 秒; 4. 管理距离(AD)为120; 5. 支持触发更新; 6. 最大跳数为15 跳; 7. 支持等价路径,默认4 条,最大6 条; 8. 使用UDP520 端口进行路由更新。 RIPv1 和RIPv2 的区别如表: RIPv1 和RIPv2 的区别 RIPv1 RIPv2 在路由更新的过程中不携带子网信息在路由更新的过程中携带子网信息 不提供认证提供明文和MD5 认证 不支持VLSM 和CIDR 支持VLSM 和CIDR 采用广播(255.255.255.255)更新采用组播(224.0.0.9)更新 有类别(Classful)路由协议无类别(Classless)路由协议 经过一系列路由更新,网络中的每个路由器都具有一张完整的路由表的过程,称为收敛。OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。现广为使用的是OSPF第二版,最新标准为RFC2328
I P v路由协议的详细介 绍精编 Document number:WTT-LKK-GBB-08921-EIGG-22986
I P v6路由协议的详细介绍IPv6是对IPv4的革新,尽管大多数IPv6的路由协议都需要重新设计或者开发,但IPv6路由协议相对IPv4只有很小的变化。目前各种常用的单播路由协议(IGP、EGP)和组播协议都已经支持IPv6。 1IPv6单播路由协议 IPv6单播路由协议实现和IPv4中类似,有些是在原有协议上做了简单扩展(如,ISISv6、BGP4+),有些则完全是新的版本(如,RIPng、OSPFv3)。 1.1RIPng 下一代RIP协议(简称RIPng)是对原来的IPv4网络中RIP-2协议的扩展。大多数RIP的概念都可以用于RIPng。 为了在IPv6网络中应用,RIPng对原有的RIP协议进行了修改: UDP端口号:使用UDP的521端口发送和接收路由信息组播地址:使用FF02::9作为链路本地范围内的RIPng 路由器组播地址 路由前缀:使用128比特的IPv6地址作为路由前缀 下一跳地址:使用128比特的IPv6地址 1.2OSPFv3 OSPFv3是OSPF版本3的简称,主要提供对IPv6的支持,遵循的标准为RFC2740(OSPFforIPv6)。与OSPFv2相
比,OSPFv3除了提供对IPv6的支持外,还充分考虑了协议的网络无关性以及可扩展性,进一步理顺了拓扑与路由的关系,使得OSPF的协议逻辑更加简单清晰,大大提高了OSPF的可扩展性。 OSPFv3和OSPFv2的不同主要有: 修改了LSA的种类和格式,使其支持发布IPv6路由信息 修改部分协议流程,使其独立于网络协议,大大提高了可扩展性 主要的修改包括用Router-ID来标识邻居,使用链路本地(Link-local)地址来发现邻居等,使得拓扑本身独立于网络协议,与便于未来扩展。 进一步理顺了拓扑与路由的关系 OSPFv3在LSA中将拓扑与路由信息相分离,一、二类LSA中不再携带路由信息,而只是单纯的描述拓扑信息,另外用新增的八、九类LSA结合原有的三、五、七类LSA来发布路由前缀信息。 提高了协议适应性 通过引入LSA扩散范围的概念,进一步明确了对未知LSA的处理,使得协议可以在不识别LSA的情况下根据需要做出恰当处理,大大提高了协议对未来扩展的适应性。 1.3IS-ISv6
Information Security ? 信息安全Electronic Technology & Software Engineering 电子技术与软件工程? 205【关键词】动态路由 协议 安全性能 分析评价 动态路由协议是指路由器表的更新过程, 能够满足网络结构变化过程中的各种需求,目前常见的动态路由协议有BGP 协议、OSPF 协议和RIP V2协议三种。在路由器的网络数据和数据包传输过程中,如果路由协议出现漏洞,则很容易让不法分子钻空子,对网络的安全性带来威胁。本文将从BGP 协议、OSPF 协议和RIP V2协议三种动态路由协议的安全性和应用两方面展开分析研究,对常用动态路由协议的安全性进行评价。 1 BGP协议安全性的评价 从BGP 协议与Internet 的互动方式来看, BGP 采用会话管理的方式,通过其中TCP 的179端口触发Keeppalive 和update 信息,Keeppalive 和update 信息被触发后会影响到与其临近的其他信息,BGP 的路由表就会实现更新和传播。Internet 是由多个相互连接的商业网络共同组成的,每一个网络单位都有一个自治系统号,这个系统号又被称为ASN ,在网络构建过程中,IANA 会完成它们的分配任务。在网络连接的状态下路由信息是共享的,这也就意味着在复杂多样的ASN 网络连接中需要有层的保护方式对各个自治系统号进行保护。 以TCP 为主要传输方式的BGP 协议最常 见的安全问题也是由TCP 本身引发的,由于在BGP 协议中,采用的是TCP 序列号进行工作,因此会出现TCP 序列号拒绝服务攻击、预测序列号以及SYP Flood 攻击等问题。当路由器设备应用可预测序列号时,就会遭到TCP 序列的攻击,BGP 协议的安全性就失去了保障。 在实际应用过程中,Internet 中运行的大常用动态路由协议安全性的评价 文/莫凡 部分路由器都会配备Cisco 设备,该设备中不包含预测序列号方案,BGP 协议遭到攻击的可能性会大大降低。许多BGP 协议中都采用了明文密码和相关的认证机制,除了受到正常序列号的攻击之外还可能遇到伪造报文和序列号的攻击。因此在应用时,BGP 协议一般都用在核心网的出口处,只需要对其设置一个相关的密码认证,协议的安全性就能大大提高。2 OSPF协议安全性的评价相较于其他类型的安全动态路由协议来说,OSPF 的运行机制较为复杂,因此其在运行过程中遭受攻击的环节最多,遭受攻击的可能性也最大。常见的OSPF 攻击方式有三种,分别是:资源消耗攻击、Upadate 报文攻击和Hello 报文攻击三种。其中资源消耗攻击主要体现在在OSPF 协议运行时,不同类型的OSPF 报文被不间断地大量发送,实体资源也就在不断消耗,极易造成资源的枯竭最后罢工停用。例如在给OSPF 发送Hello 报文时,由于Hello 报文所占的容量大,数据列过长且涉及的邻居列表也很多,因此很容易引发OSPF 与邻近列表之间构建其他对话,在接收一个报文的过程中所消耗的资源大大超出其任务所需,导致资源过度消耗。Upadate 报文攻击出现的原因是由于OSPF 协议中的LSA 参数被修改,在运转过程中OPSF 的运行方向出现了偏离。而OSPF 偏离的对象往往是攻击者的方向,攻击者常常会假扮成OSPF 路由器,在通过与其他路由器成功连接之后使LSA 在两个路由器之间传递,攻击者就无需链路密钥直接入侵OSPF 对其进行攻击。Hello 报文攻击出现的主要原因是Hello 报文中的参数出现了错误,邻居路由器在接收到错误报文之后就会丢弃Hello 报文,由此就会出现邻居Down 。而Hello 报文本身的作用是通过路由器之间的传递维护路由器与邻居路由器节点之间的关系,无论是Hello 报文的参数出现错误还是传输过程中遭到拒绝,都会造成邻居路由器Down 。在实际应用中,为了提高安全性较差的OSPF 协议的安全性能,一般采取的方式是增加验证和设计入侵检测系统。在验证的基础上,再在协议中加入入侵检测信息系统,充分保证系统的安全性能。 3 RIP V2协议安全性的评价与RIP V1相同的是,RIP V2同样采用的是不可靠的UDP 协议;但不同的是,RIP V2采用了密文和明文两种认证机制。明文认证机制能起到初步的安全防护作用,但在运行过程中易被察觉。在使用了密文加强保护之后,其报文传输内容就不那么容易被破解。在传输过程中,RIP V2协议以单向为主,当R2发出的信息正常时,R1就会接受信息,若发送的信息未被认证,信息就会被丢弃。报文就会在传输过程中被不断更新,RIP V2被攻击的可能性就大大削减。因此从总体上看,加了密文的RIP 协议路由器是一种安全性能较高的动态路由协议。4 结束语在常用的动态路由协议中,或多或少都存在一些安全性能方面的隐患,网络数据的安全性的重要性人尽皆知,因此为了保证常用动态路由协议的安全性可靠,就需要采取有针对性的措施对其安全问题进行排除。其中使用认证机制能够在一定程度上降低路由协议存在的安全风险,但要进一步确保其安全,还需要采取其他措施如建立密文协议等。经过重重处理,动态路由协议的安全性才能够得到充分提高,网路安全才能有所保障。参考文献[1]唐灿华.常用动态路由协议安全性分析及应用[J].中国新通信,2016,18(07):30-30,31.[2]莫闯.探究常用动态路由协议的安全性[J].科技风,2017(10):73.[3]邵明珠,卓伟,赵开新.常用路由协议分析及比较[J].河南机电高等专科学校学报,2016,14(02):25-27.作者简介莫凡(1989-),男,广东省雷州市人。研究方向为计算机技术。作者单位广东海洋大学寸金学院 广东省湛江市 524094
我们前面已经简单介绍了三种类型的动态路由协议算法分别是距离矢量算法,链路状态算法以及平衡混合算法,那么咱们今天就来看看这几种算法的类型代表:RIP、OSPF、EIGRP。而且它们都是内部网关协议(IGP),也就是说它们都运行在一个自治系统内部,什么是自治系统,我们来简单看一下: 自治系统:就是使用相同路由准则的网络集合,一般是一个ISP,或者是一个大型的行政机构。大家刚听到这个术语时会感到有点模糊,有点抽象,在CCNP的课程中会有详细的介绍,我们CCNA部分很少会用到自治系统间的协议,使用的基本上都是自治系统内的协议。所以如果按照在自动系统内运行还是用于连接不同的自治系统,路由协议又分为两种: IGP:内部网关协议,在一个自治系统内运行。比如:RIP、OSPF、IS-IS、EIGRP 等。 EGP:外部网关协议,用于连接不同的自治系统。比如:BGP RIP:路由信息协议 在CCNA部门主要介绍的是内部网关协议,那么我们先从RIP开刀。RIP是一个典型的距离矢量路由协议,全称是Routing information protocol(路由信息协议)。它使用的是数据包所经过的网关来做为距离的单位,最大跳数为15跳,超过15跳便无法到达,大家从这个数中就可以看出来,RIP是一个元老级的路由协议,正是因为受到15跳的限制,所以现在使用的是越来越少。它只适合于一些规模不大的网络,路由器的数量不多的网络中。因为它评价网络的好处就是依靠跳数,但是这个跳数并不一定说就能代表最佳路径。如图所示: : PC1希望到达PC2,按照RIP协议来说肯定是经过Router3,再转交给Router4 就到达PC2,因为这样的话相对于Router3来说,它只要经过两跳,就可以到达PC2所在的网段。跳数最少。但是这条线路的带宽是19.2Kbps,而另一条路虽然跳线多,但它是T1线路,带宽大,延迟小。肯定会比第一条路要优。但是RIP 是以跳数计算最佳路径,所以它就选择了第一条路。所以大家也感觉到了,RIP 有点笨笨的感觉,以至于现在用的不多了!当启用RIP协议时,RIP会从RIP的相关接口上向外发广播包。这里使用的是520/UDP端口。广播包的内容主要是请求信息,侦听来自其他路由器的请求信息和应答信息,当邻居收到请求信息以后,就发送应答息给该路由器。在RIP启动成功之后,平均每30秒,注意这里是平均每30称,不是正好是30秒。就会发送应答信息,又称为update包。这个update 包中包含了路由器完整的路由表。这里应该还有路由无效值,路由刷新时间等参
两种常用动态路由协议的综合对比 动态路由协议是目前非常常用的路由协议,使用EIGRP动态路由协议的对等路由器之间周期性的发送很小的hello报文,以此来保证从前发送报文的有效性。 目前动态路由协议的应用非常广泛,于是我研究了一下两种常用动态路由协议的综合对比,在这里拿出来和大家分享一下,希望对大家有用。EIGRP和早期的IGRP协议都是由Cisco 发明,是基于距离向量算法的动态路由协议。EIGRP(Enhanced Interior Gateway Routing Protocol)是增强版的IGRP协议。它属于动态内部网关动态路由协议,仍然使用矢量-距离算法。但它的实现比IGRP已经有很大改进,其收敛特性和操作效率比IGRP有显著的提高。 EIGRP的收敛特性是基于DUAL(Distributed Update Algorithm)算法的。DUAL算法使得路径在路由计算中根本不可能形成环路。它的收敛时间可以与已存在的其他任何路由协议相匹敌。EIGRP动态路由协议主要具有如下特点: 1.精确的路由计算和多路由的支持 EIGRP协议继承了IGRP协议的最大的优点:矢量路由权。EIGRP协议在路由计算中要对网络带宽,网络时延,信道占用率,信道可信度等因素作全面的综合考虑,所以EIGRP的路由计算更为准确,更能反映网络的实际情况。同时EIGRP协议支持多路由,使路由器可以按照不同的路径进行负载分担。 2.较少的带宽占用 使用EIGRP动态路由协议的对等路由器之间周期性的发送很小的hello报文,以此来保证从前发送报文的有效性。路由的发送使用增量发送方法,即每次只发送发生变化的路由。发送的路由更新报文采用可靠传输,如果没有收到确认信息则重新发送,直至确认。EIGRP 还可以对发送的EIGRP报文进行控制,减少EIGRP报文对接口带宽的占用率,从而避免连续大量发送路由报文而影响正常数据业务的事情发生。 3.无环路由和较快的收敛速度 路由计算的无环路和路由的收敛速度是路由计算的重要指标。EIGRP协议由于使用了DUAL算法,使得EIGRP动态路由协议在路由计算中不可能有环路路由产生,同时路由计算的收敛时间也有很好的保证。因为,DUAL算法使得EIGRP在路由计算时,只会对发生变化的路由进行重新计算;对一条路由,也只有此路由影响的路由器才会介入路由的重新计算。 4.MD5认证