OSPF技术范文-盘古文库

OSPF技术范文

来源：文库

作者：开心麻花

2025-09-19

OSPF技术范文（精选7篇）

OSPF技术第1篇

OSPF[1]协议是一种应用十分广泛的内部网关路由协议。目前大部分商用路由器都支持该协议。OSPF协议在通信网络应用包括两部分:路由信息扩散形成路由表用于数据转发;利用CSPF (受限最短路径优先) 算法计算满足Qos的路径[2]。如何改进OSPF路由协议报文格式以及路由算法, 使其能够应用到可信网络中, 成为OSPF协议可信技术研究的重点。

1 可信网络环境分析

在如图1可信网络中, 各通信节点都对与之相邻节点有一个信任度评估, 信任评估结果称为可信度量值 (图1)。

信任评估的方法有多种, 其中一种方法称为基于身份的评估。基于身份的信任采用静态验证机制来决定是否给一个实体授权。常用的技术:当两个实体A与B进行交互时, 首先需要对对方的身份进行验证。即, 信任的首要前提是对对方身份的确认, 否则与虚假、恶意的实体进行交互, 很有可能导致损失。所以应用于可信网络中的OSPF路由协议首先要具有身份认证能力。

计算可信传输路径是可信网络的另一重要应用。可信传输路径是指设置或计算出某条路径, 该路径上所有的通信节点都满足可信度量的要求。目前OSPF协议可以采用CSPF算法来完成Qos路径计算的能力。Qos路径中包含了诸如带宽、时延等诸多数据传输的要求。可以将节点可信度量值的要求也加入路径计算中, 作为其中的一个约束条件。这样计算出的传输路径具有可信属性。

综上所述, OSPF在可信网中应用, 需要做以下两点研究:

OSPF认证机制研究与改进;

CSPF可信传输路径计算方法的研究。

2 OSPF协议可信改进方案设计

2.1 OSPF认证机制

OSPF协议的报文头格式如表1所示。

原型采用三种类型的认证, 用Autype字段三个值表示:0不认证;1简单认证;2 MD5密码认证[3]。其中0和1安全性较差, 而MD5认证目前也被破解, 所以采用原有的认证机制并不可靠。基于此, 可信路由协议增加一种认证类型CPK认证[4], Autype字段添3。

相比于现有的PKI、IBE认证, 基于标识的CPK认证体制不需要第三方证明、不需要数据库的在线支持, 可用单芯片实现, 在规模性、经济性、可行性、运行效率上具有无法比拟的优势, 适合在可信网络中应用。

Authentication字段原用于存储MD5签名, 长度为64bit。现在为了适应CPK认证, 扩展为128bit用于存储CPK签名。

认证处理流程如(图2)所示。

2.2 CSPF可信传输路径计算

在OSPF原有协议中, 为了满足Qos路由需求, OSPF对协议进行了流量工程扩展, 可在每个OSPF节点建立TED (流量工程数据库) , 然后运用CSPF算法计算满足各种约束条件的路径。

在RFC2370中, 定义类型10的模糊LSA, 该LSA为适应Qos需求进行了重新定义, 以携带链路的流量参数, 该LSA被称为TE-LSA[5]。

TE-LSA由TE-LSA头和TE-LSA净荷组成。TE-LSA净菏由一个或多个TLV组成。TLV填充成4字节排列, 填充部分不计算在长度域之内。嵌套的TLV也是4字节填充。有两个顶层的TLV, 分别是Router Address TLV和Link TLV。

其中, Link TLV它由一组子TLVs构成, 没有次序的要求。为了允许更好的拓扑改变粒度, 每个TE-LSA只准携带一个Link TLV。Link TLV的类型=2, 长度可变。Link TLV的子TLVs定义见表2。

路由器通过组织本地链路的TE-LSA, 反映本地链路的流量工程参数, 然后利用OSPF协议的扩散机制将其在区域内扩散。从而建立一个全网的TED。当链路的流量参数发生变化时, 路由器会重新组织其TE-LSA并进行扩散。

这种扩散机制同样适用于可信度量值扩散。因此, 可以增加一种link TLV的子TLV类型10, 长度为4byte, 用以传递设备的可信度量。

解决了可信度量值扩散的问题, 还需要设计基于CSPF可信度量算法[6]:

我们假设网络中有两个随机的通信节点S和D, S发送数据给D节点, 那么路径P (s, i, j.D) 表示从S到D的一条路径, 我们定义mij为路径从S到D节点上路径的节点i对节点j的可信度量值, 为了表示路径的可信度量值引进参数Pij, 如果Pij=1则表示路径ij在从S到D的路径上, 如果Pij=0则表示路径ij不再从S到D的路径上, M为业务要求的可信度量值。因此可以得出:链路S到D的度量值为:

M (p) =min mij*Pij,

传输路径中各节点可信度量值在满足要求的基础上, 越高越可信。可以用度量值利用率来表示这一数值:

其中M为业务需要的度量值, bij为链路i到j的实际度量值。所以最终CSPF计算可信传输路径的约束条件为:

上述约束条件可以增加到算法约束库中, 与其它约束条件并列, 并不影响原有的Qos路径计算。

3 方案实现

OSPF可信路由软件模块组成如 (图3) 所示。

OSPF协议处理:处理与协议对等体之间交互的OSPF协议消息, 包括hello、DD、LSR、LSU等消息。

链路状态库:存放网络的拓扑信息。

可信度量数据库:存放网络各节点的可信度量值。

CSPF路径计算:依据链路状态库和可信度量数据库进行受限路径计算。

CPK[7]安全认证模块:完成对OSPF协议消息的摘要、签名以及签名认证功能。

Socket通信:将OSPF协议消息封装为Socket套接字来进行发送或接收。

用户模块:设置可信传输路径参数, 包括路径的可信度量值、带宽、时延等。

操作系统:采用VxWorks6.6实时嵌入式操作系统, 实现上述各软件模块的消息队列、定时器、任务调度等功能。

代码采用标准C编程。代码样例 (OSPF协议头部改进后格式) 如下:

4 试验验证

将编译完成代码加入到OpenNet软件做验证。OpenNet设定网络拓扑如图4所示。

各通信节点可信度量值设置如表3所示。

仿真1:可信传输路径计算

计算Router1->Router10的可信传输路径, 路径可信度量要求为0.73 (1为100%可信) 。在HopListShow模块中查看传输路径为图4中Path 1所标注路路径。所经过各点的度量值都大于等于0.73, 证明OSPF可信路由技术可以计算出满足度量的传输路径。

仿真2:抗毁性测试

在仿真1计算的传输路径基础上, 调整Router 8的度量值为0.5。查看HopListShow模块, 发现可信传输路径发生变化, 变化部分如图4中Path 2所标注路径。证明OSPF可信路由技术可以传递度量值变化, 进而触发可信传输路径重新计算。获取满足可信度量的新路径 (图4)。

5 结语

基于OSPF协议的可信路由技术解决了两个问题:通信节点可信度量扩散问题和可信传输路径建立问题。可信度量扩散使得网络中任何一点都可以获取其它节点的可信度量值。而基于CSPF的可信路径计算提出了一种有效可信路由决策算法。基于CPK的协议认证机制, 使得OSPF协议完整性、不可抵赖性得到保证。进一步提高协议的安全防护等级。同时, 基于OSPF协议的实现可信路由技术也可运用于其它同类型路由协议中, 改进的方法类似。

摘要：随着可信网络普及, 可信路由技术作为可信网络基础技术也成为研究的热点。本文以OSPF协议为基础, 通过分析可信网络的技术需求, 得出OSPF路由协议需要改进的两个方面:更换更有效的协议认证机制和增加可信路径计算功能。通过对协议格式和路径算法的分析, 得出基于CPK的认证方法和基于CSPF的可信路径算法。该文给出了OSPF可信路由软件方案设计以及编码实现。并将软件加载到OpenNet软件中进行了仿真验证。

关键词：OSPF,可信路由,签名认证,CSPF

参考文献

[1]IETF RFC2328:OSPF Version 2.1998年4月.

[2]IETF RFC2676:QoS Routing Mechanisms and OSPF Extensions.1999年8月.

[3]杨静, 谢蒂, 王雷.OSPF路由协议的安全分析及其漏洞分析.山东大学学报 (工学版) , 第33卷第5期.2003.

[4]李鹏, 王绍棣, 王汝传等.携带数字签名的OSPF路由协议安全研究南京邮电学院学报2005.

[5]IETF RFC2370:OSPF Opaque LSA Option.1998年7月.

OSPF技术第2篇

《接入网与路由互联技术》是计算机网络专业新开设课程, 是一门实践性很强的基础课程, 纯粹理论式的教学难以使学生获得感性上的认识, 需要通过实践来强化学习内容。实验教学在计算机网络专业的教学中占有非常重要的地位。实验教学不仅仅可以巩固相关课程课堂的教学内容, 还可以进一步培养学生的专业技能, 让学生走上工作岗位后能学以致用。如何在理论与实践相结合的教学中提高该课程的教学质量是我们面临的一个非常严峻的课题[1]。为此.我们尝试将仿真平台引入计算机网络工程课程教学中, 利用Packet Tracer软件作为教学工具进行计算机网络工程实践教学的仿真演示和研究, 既节省了可观的仪器设备购置费用, 同时也通过仿真演示使抽象的基础理论和基本概念变得通俗易懂.弥补了实验手段不足等问题。

本文结合当前笔者接入网与互联技术课程教学实际, 在分析仿真平台软件特点的基础上.以OSPF多区域间路由重分步配置方法为教学实例, 介绍Packet Tracer软件在接入网与互联技术课程实践教学中的应用。

1 Packet Tracer平台简述

Packet Tracer是Cisco公司开发的一款计算机网络数据包跟踪器仿真软件, 是一个为计算机网络学习者设计的用于设计、配置和解决复杂计算机网络问题的学习平台。该软件利用一组简化的计算机网络设备和协议模型, 通过可视化的仿真界面和灵活方便的配置窗口为学习者提供个性化仿真实验环境。利用该环境, 学习者可以重复再现网络运行的任何细节, 帮助学习者有效地学习网络协议、分析网络的性能, 更加深入理解网络中的复杂行为。将Packet Tracer软件用于计算机接入网与互联技术课程教学之中, 根据实验要求和目的, 学生可以选择所需要的网络设备、通信协议及其参数, 建立仿真的网络模型, 搭建虚拟的网络实验环境, 从而提高学生对学习计算机网络技术的兴趣, 达到事半功倍的教学效果。

Packet Tracer软件具有以下几方面特点。

1.1 功能丰富

提供了丰富的计算机网络仿真设备, 包括路由器、交换机、无线网络设备、服务器以及各种连接电缆和终端等;支持常用计算机网络协议, 提供可视化的仿真界面和灵活方便的配置窗口。

1.2 实时仿真

提供实时模式 (Real time) 和仿真模式 (Simulation) 进行模拟实验。实时模式与数据实际传输过程一样;仿真模式以动态方式模拟协议数据单元 (PDU) 的传输过程。学生可以在实时模式中测试网络的连通性;也可以利用仿真模式观察PDU在网络中的传送情况, 跟踪PDU在网络各节点的详细处理过程。

1.3 方便灵活

在进行网络模拟过程中, 只要网络拓扑结构、网络协议和仿真参数等不发生改变, 网络模拟结果就不会发生改变。Packet Tracer软件可应用于仿真构建企业计算机网络、交换机与路由器技术的配置、广域网链路仿真配置以及无线网络仿真等实验。

2 OSPF路由协议原理与仿真

开放式最短路径优先 (Open short path first, ospf) 路由协议是一种基于开放式标准的链路状态路由协议。它的最新记述RFC2328文档中。OSPF路由协议中的开放式 (open) 表示该协议是向公众开放的非私有的协议。该协议也是一种IGP协议, 它只能工作在自治域系统内部, 不能跨自治域系统运行。运行OSPF路由协议的路由器, 在开始工作的时候, 首先和相邻路由器建立邻居关系, 形成邻居表, 然后互相交换自己所了解的网络拓扑。只有当路由器学习到全部网络拓扑, 建立了拓扑表之后, 它们会使用最短径优先 (SPF) 算法, 从拓扑表中计算出路由来。

2.1 路由协议的术语

2.1.1 链路

运行OSPF路由协的路由器所连接的网络线路称为链路。

2.1.2 链路状态

一条链路是正常工作的还是发生故障, 这种关于链路的信息称为链路状态。

2.1.3 区域

OSPF路由协议会把大规模的网络划分多个小范围的区域, 以避免大规模网络所带来的问题, 从而提高网络性能。

2.1.4 链路开销

OSPF路由协议依靠计算链路的带宽, 来得到达目的地的最短路径 (路由) 。每条链路根据它的带宽不同会有一个度量值, OSPF路由协议称该度量值为“开销”。

2.1.5 路由器标识 (Router ID)

路由器标识不是我们为路由器起的名字, 而是路由器在OSPF路由协议操作中对自己的标识。一般来说, 在没有配置环回接口时, 路由器所有物理接口上配置的最大的IP地址就是这台路由器的标识。

若配置了环回接口, 则不论环回接口上的IP地址是多少, 该地址都自动成为路由器的标识。当我们在路由器配置了多个环回接口时, 则接口最大IP地址将作为路由器的标识。

2.2 OSPF最短路径优先算法及运行步骤配置

OSPF路由器使用最短路径优先算来确定到达目的地的最佳路径。是以节点作为起始点计算出一个无环拓扑, 并依次检查它所拥有的关于毗邻节点的信息。其运行分为以5个不同步骤:1) 建立路由器毗邻关系;2) 选举DR和BDR;3) OSPF路由发现;4) 选择最佳路由;5) 维护路由信息;

OSPF基本配置。

a) 声明使用OSPF路由协议

b) 命令如下:Router (config) #router ospf process-id

c) OSPF路由协议发布网段

命令格式:Router (config-router) #network address wildcard-mask area area-id

3 网络实验应用实例

3.1 案例背景需求

某大型跨国集团公司在中国兼并了本地的一家全国性连锁企业.目前, 兼并协议刚刚开始履行, 被兼并的企业与该跨国集团中国分公司暂不作大的调整, 只是派管理人员入驻接手和熟悉工作后再进行.作为该跨国集团中国区IT部门的网络管理人员, 我们被要求中国分公司和被兼并企业网络进行整合, 被兼并企业原有网络运行的RIP路由协议, 而该跨国集团及中国分公司网络运行路由协议是OSPF路由协议。

3.2 案例分析及解决

从案例背景中我们可以了解到, 这个兼并工作的资源和人力调整还没有最终完成, 最好的办法是先将中国分公司的网络和被兼并企业的网络连通, 而不改变被兼并企业目前的网络环境, 直到业务结束后, 再对兼并企业网络进行最终调整。解决方案是我们可以先在该集团中国区总部和被兼并企业总部之间连接一条专线, 使两个网络可以相互连接, 再在两个路由协议的边界路由器上启用路由重分布, 让两个使用不同路由协议的网络可以互相学习路由, 互通网络。

3.3 案例实施步骤与配置

3.3.1 进入路由协议

路由再发布命令是需要配置在路由模式下的, 必须进入路由模式

命令格式如下:Router (config) #router protocol[keyword]

如果需要RIP路由协议的路由再发布给OSPF路由协议, 反之亦然。

3.3.2 进行路由再发布

在进入路由模式后, 可以声明再发布路由。

命令格式如下:Router (config-router) #redistribute protocol[keyword]

如果需要将RIP路由协议的路由再发布给OSPF路由协议, 则这个命令的protocol参数如图1所示。

OSPF技术第3篇

根据国家电网公司SG186及变电站建设规范要求, 需要实现重要办公、生产场所、县公司网络不低于100M的连接, 实现集控站到公司网络不低于100M、集控站到受控站不低于10M、核心节点考虑成环或有冗余路径的连接。同时随着国网SG186、省公司ERP、IPSS、OMS等系统及公司各应用系统的广泛使用, 公司的各信息系统、变电站视屏监控和电压集抄、县公司的视屏会议和内外网分离等不同业务系统将在各变电站和所有县公司广泛使用, 因此不仅要有一个坚强的局域网, 同时也要建立一个坚强的城域网。

1 公司网络建设概况

黄山供电公司于2005年进行网络主干系统升级改造, 目前主干为千兆, 百兆到桌面, 网络覆盖公司各单位、各部门及所有变电站, 网络覆盖率为百分之百;三级网是通过155M光纤链路与省公司实现连通, 并与Internet实现互联;四级网是分别通过2M光纤链路与5个县公司连通, 从而构成了黄山供电公司的企业内部网。公司的主干交换机采用2台思科6509和6506冗余运行;三级网采用1台Nokia 1220防火墙和1台华为Ne40路由器与省公司实现光纤连接;四级网采用1台Fortigret 1000安全网关和1台思科3640路由器分别与5个县公司相应的思科2611路由器实现2M连接。所有变电站都是采用光纤收发器、HUB, 利用单光纤链路或SDH 2M链路与公司网络实现100M或2M连接。

2 存在的问题

原来各变电站通过光纤收发器连接到调度大楼核心交换机, 由于光纤收发器、HUB等设备时常出现故障, 造成网络不稳定, 故障后网络收敛时间较长。同时由于无法对接在HUB上的设备进行管理和监控, 给网络带来严重的安全隐患。

原来公司到5个县公司的网络带宽只有2M, 随着信息化建设的快速发展, 各种业务都将通过该网络运行, 带宽已经不能满足日益增长的业务需求, 同时由于各种业务同时运行, 安全级别大大降低, 存在严重安全隐患。

万安变、潜口变是公司2个集控站, 也是多个变电站的信息汇集点, 担负着公司电网的运行调配, 需要建设成高可靠性的网络信息中转中心。

3 技术方案选择

3.1 使用OSPF路由协议结合RSTP技术来组建公司的地区环网

目前, 业界主流的城域环网解决方案很多, 但用得最多的主要有基于波分复用技术 (DWDM) 、同步数字序列技术 (SDH) 和弹性分组环技术 (RPR) 、以太网技术 (OSPF) 。

随着光纤传输在以太网中的广泛使用, 全双工以太网可以传输的距离达到上百公里, 可采用三层交换机或高速路由器组网, 成本低, 组网灵活, 因此, 组建纯粹基于以太网方式的城域环网成为考虑性价比建设者的首选。但是该方案的主要缺陷在于其收敛时间, 即使使用了OSPF等高端路由, 它的收敛时间为<1s, 相比较前几种方案来说收敛时间较慢。

(1) 从收敛时间上来考虑, 使用RPR、DWDM可以实现50ms-100ms以内的电信级收敛, 而使用OSPF组建以太环网技术只能达到<1s速度的收敛。但是对于目前应用而言, <1s的故障切换时间足以保护所有应用的不中断。特别是使用OSPF等3层协议来实现的网络收敛, 用户在操作业务的时候是感觉不到的。

(2) 在资金投入方面, 使用RPR, DWDM或者MSTP都属于极高费用的投入, 3～4个点的投入至少就要几百万。另外RRPP或者MRP都属于2层以太网协议, 相比较3层协议而言, 防病毒、防攻击及VPN等功能都无法实现。

通过分析, 使用OSPF的3层路由协议和RSTP (二层快速收敛技术) 组建地区环网, 对公司而言是性价比最高、最实用的技术。

3.2 使用MPLS/VPN技术组建公司四级网

3.2.1 MPLS/VPN体系结构

(1) PE路由器的改造和VRF的导入。

为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由, 在PE路由器上创建了大量的虚拟路由器, 每个虚拟路由器都有各自的路由表和转发表, 这些路由表和转发表统称为VRF (VPN路由和转发实例) 。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含了IP路由表, IP转发表 (也成为CEF表) , 使用该CEF表的接口集和路由协议参数和路由导入导出规则等。

在VRF中定义和VPN业务有关的2个重要参数是RD (路由标识) 和RT (路由目标) 。RD和RT长度都是64bit。

有了虚拟路由器就能隔离不同VPN用户之间的路由, 也能解决不同VPN之间IP地址空间重叠的问题。

(2) MP-BGP协议对VPN用户路由发布图如图1所示。

正常的BGP4协议只能传递IPv4的路由, 由于不同VPN用户具有地址空间重叠的问题, 必须修改BGP协议。BGP最大的优点是扩展性好, 可以在原来的基础上再定义新的属性, 通过对BGP修改, 把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记, 这样VPN用户传来的IPv4路由转变为VPNv4路由, 这样保证VPN用户的路由到了对端的PE上, 能够使对端PE区分开地址空间重叠但不同的VPN用户路由。例子如下:

在PE1、PE2、PE3上分别配置VRF参数, 其中VPN1用户的RD=6500:1, RT=100:1, VPN2用户的RD=6500:2、RT=100:2。所有VRF可以同时导入和导出所定义的RT。

以PE2为例, PE2从接口S0上获得由CE4传来的有关10.1.1.0/8的路由, PE2把该路由放置到和S0有关的VRF所管辖的IP路由表中, 并且分配该路由的本地标签, 注意该标签是本地唯一的。通过路由重新发布把VRF所管辖的IP路由表中的路由重新发布到BGP表中, 此时通过参考VRF表的RD、RT参数, 把正常的IPv4路由变成VPNv4路由, 如10.1.1.0/8变成6500:1:10.1.1.0/8, 同时把导出RT值和该路由的本地标签值全部加到该路由条目中去。通过MP-IBGP会话, PE2把这条VPNv4路由发送的PE1处, PE1收到了2条有关10.1.1.0/8的路由, 其中一条是由PE3发来的, 由于RD的不同, 导致该2条路由没有可比性。MP-BGP接受到该2条路由后的后继工作是:去掉VPN4路由所带的RD值, 使之恢复IPv4路由原貌, 并且根据各VRF配置的允许导入的RT值, 把IPv4倒到各个VRF管辖的路由表和CEF表中, 也就是说带有RT=100:1的10.1.1.0/8的路由倒到VRF1所管的路由表和CEF表中, 带有RT=100:2的10.1.1.0/8的路由倒到VRF2所管辖的路由表和CEF表中。再通过CE和PE之间的路由协议, PE把不同的VRF管辖的路由表内容通告的各自的相联的CE中去。

目前PE和CE之间可支持的路由协议只有4种BGP、OSPF、RIP2或者静态路由。

(3) MPLS/VPN中标签分组的转发图如图2所示。

通过MP-BGP协议各个VPN用户路由器学习到正确的路由, 用户数据的转发如下:1) CE1接收到发往10.1.1.1的IP数据包, 查询路由表, 把该IP数据包发送到PE1。2) PE1从S1口上收到IP数据包后, 根据S1所在的VRF, 查询对应的CEF表, 数据包打上标签8, 注意该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表, 获知要把数据发往10.1.1.1, 必须先发送到PE2, 而要发送到PE2, 则必须打上由P1告知的标签2.所以该IP包被打上了2个标签。3) P1接收到标签包后, 分析顶层的标签, 把顶层标签换成4, 继续发送的P2。4) P2和P1一样做同样的操作, 由于次末中继弹出机制, P2去掉标签4, 直接把只带有1个标签的标签包发送的PE2。5) PE2收到标签包后, 分析标签头, 由于该标签8是它本地产生的, 而且是本地唯一的, 所以PE2很容易查出带有标签8的标签包应该去掉标签, 恢复IP包原貌, 从S1端口发出。

CE2获得IP数据包后, 进行路由查找, 把数据发送到10.1.1.0/8网段上。

4 实施方案

4.1 中心、万安、潜口主要节点的组网

在信息中心、万安变、潜口变各增加1台华为S7803交换机, 中心S7803双光口互连2台主干交换机进行变电站与公司数据交换, 一个百兆口与Fortigret 1000连接再经过Nokia 1220防火墙, 用于传输县公司数据;同时中心、万安变、潜口变组成主干千兆光纤环网, 这2台S7803交换机除开通OSPF功能满足其他变电站接入外, 还开通MPLS VPN功能, 以满足县公司VPN接入的需要。

4.2 其他变电站节点的组网

其它十六个变电站都各配置1台华为S3928P-EI交换机, 各交换机之间通过光纤模块实现互联, 在中心、万安变、潜口变组成的光纤大环网基础上, 各相应变电站之间又组成4路光纤环网和3条光纤支路, 各交换机再通过SDH链路与中心S7803实现2M环网。

通过对各交换机所接光纤链路、2M备用链路cost值大小的设置, 使网络主运行在光纤链路, 当主环网的光纤链路中断后, 另一环网的光纤链路自动投运;当光纤链路都中断时, 2M链路就自动投入运行;经现场测试当链路自动切换时网络只丢一个包。

各变电站的交换机通过划分4个不同网段, 分别运行信息内网、通信监控、视屏监控、电压集抄等不同业务, 各VLAN之间独立运行, 同时把交换机端口与所接设备进行IP/MAC地址绑定, 从而防止IP地址冲突和ARP等病毒的传播。

4.3 县公司MPLS VPN接入

各县公司增加1台华为AR4640路由器, 休宁、祁门2公司通过光纤模块直连万安变, 歙县、黟县、黄山区3公司通过光纤模块直连潜口变, 同时把祁门与黟县2公司通过光模块直连组成光纤环网;通过开通MPLS VPN功能, 各县公司分别运行信息内网、信息外网、视频会议、调度OMS系统等不同的VPN业务, 同时也与变电站相对独立、完全隔离, 确保各自的网络安全。

县公司原有的路由器通过SDH2M接入公司思科3640路由器作为备用通道, 通过对主、备两通道的优先级配置, 实现主、备两通道的自动切换。

5 功能实现

(1) 高带宽:

全网各节点采用千兆光口互联, 带宽有很大提升。

(2) 高可靠性:

全网采用OSPF动态路由协议, 当任何一条链路出现故障后, 网络只丢一个包, 不影响业务, 用户根本感知不到网络的变化。

(3) 高扩展性:

实现OSPF路由协议, 当网络中需要增加设备或节点需要增加网段时, 实现起来很简单。

(4) 快速收敛:

由于使用OSPF路由协议, 网络的收敛速度可

(5) 高安全:

S7803在抗网络攻击能力强、缓存大, 承受大流量攻击时不会出现丢包现象, 同时ACL表容量非常强大, 可以配置很多的策略;所以网络安全性也得到了很大的提高。

(6) 业务隔离:

各县公司采用MPLS VPN与中心S7803进行互联, 通过防火墙与中心设备互联, 实现县公司MPLS VPN功能, 不同业务采用不同VPN, 且不同业务之间完全隔离。

(7) 独立运行:

各变电站采用三层交换机, 业务网关都在各变

(8) 可网管:

通过公司的北塔网管系统可对所有网络设备及交换机所接设备进行全面集中管理, 当发现网络设备或光纤链路出现故障时可立即实现告警, 并进行维护, 提高网络运行可靠性。

6 结语

OSPF技术第4篇

OSPF协议可以让整个信息网络中的路由进行相互识别和通信, 还能够对整个网络中的路由信息进行收集和保存, 对于单一自治系统具有很好的支持性。

在大型企业中, 其网络结构复杂, 需要传输的信息内容和需要连接的工作设备众多, 且还会包含多个空间较为分散的网络结构, 故在大型企业的OSPF网络部署中通常会将其网络在AS范围内按照实际应用需求划分为多个不同区域如骨干区域、其他自然子区域等, 每个自然子区域和骨干区域按照一定的路由组成法则组合成一个完整的信息网络。

基于OSPF协议的网络运行环境具有如下特点:网络中的路由器规模较大, 至少不能少于5个;网络的拓扑结构呈网状分布, 不同路由器之间均需要进行数据通信;网络用户对带宽的需求较多较高, 且需要尽量避免路由回路等会消耗路由网络带宽的行为;硬件运行和数据处理功能较为强大, 可以很好地支持OSPF协议的使用要求。

2 OSPF网络系统规划

配置OSPF协议的网络中最关键的部分在于系统规划, 良好的系统规划可以充分发挥信息网络的网络性能和优势, 特别是OSPF协议是一种相对复杂的动态的路由协议, 其对网络系统的规划要求更为苛刻。在实际应用中OSPF网络系统的区域划分应该遵循如下几种原则:

首先应该按照网络的物理区域进行划分。如企业分布在全省范围内, 则应该在核心区域内成立骨干区域, 然后将该网络覆盖范围内的其他地级市企业划分为独立区域, 每个区域通过特定的连接方式与骨干区域进行连接。

其次应该按照网络中的路由器的级别进行进一步划分。大型企业中会配置高中低三档的路由器, 上一级的路由器会与下一级的路由器进行连接, 为便于管理和选择ABR可以将高端路由器为划分界限, 将每一台高端路由器与其下的所有路由器划分为一个区域。

再次应该按照网络中的IP地址分配进行区域划分。实际可以按照网络的网段对整个企业网络进行划分, 如企业网络中存在10和172开头的两个网段, 此时就可以将这两个网段内的路由划分为两个区域。通过这种划分方式可以很好地应用ABR对路由器进行配置, 对于实现最短路由具有实际意义。

但是需要说明的是, 在实际配置过程中, 应该避免出现某一区域路由器过多的现象, 若某一区域的路由过多, 可以将其再划分为多个子区域。由于OSPF协议要求子区域必须与骨干区域进行连通, 故在骨干区域的选择方面应该进行重点分析, 若是无法实现连接, 可以利用虚连接的方式解决该问题。ABR在整个网络中具有非常重要的作用, 故在选择ABR时应该尽量选用性能高的路由器。

3 OSPF动态路由协议在大型企业中的应用

3.1 组网方式及路由策略配置

大型企业的网络架构包含四个方面的内容:接入层、汇聚层、核心层以及出口网关。

每一层面的硬件配置内容为:接入层的对象为实际终端用户, 在该层中可以配置以太网两层交换机实现;汇聚层则用于提供子区域的信息汇聚和链路支持, 该层中可以结合配置中高端路由器和交换机实现;核心层用于承担整个网络的信息交换和网络管理, 故该层中需要配置高端路由设备实现, 同时还应该配置网关节点、备份链路等;出口网关负责局域网和广域网之间的信息交换, 故需要配置高端路由交换机和防火墙。

为保证整个信息网络运行的稳定和传输内容的安全, 在路由策略配置方面应该按照如下内容进行。

在接入层与汇聚层的路由策略配置中, 其要求较低, 应用纯两层VLAN接入协议即可满足要求;鉴于汇聚层承担了完整的OSPF子路由域, 应该对其设置路由域内网关节点, 在汇聚层和核心层的路由策略配置中可以应用OSPF动态路由协议和双核心组网方式进行, 主用链路和备用链路的流量优先级可以按照实际需求进行调整;在防火墙和核心层的路由策略配置中, 除了上述协议外还应该添加VRRP协议。

3.2 基于OSPF协议配置应用

首先按照网络结构图设计与实际应用相符的网络拓扑图, 按照所涉及的网络拓扑图进行实际连接, 连接完毕后清除路由器中原有的配置信息, 若路由器中不存在配置信息可不比执行清除指令。之后对路由器和IP等具体操作接口等进行配置, 最后在路由器中配置OSPF协议。

其中, 路由器的OSPF配置过程为, 首先执行router ospf 1指令, 然后执行router-id (路由器地址) 指令指定路由器控制DR选举, 之后使用network (IP地址) 0.0.0.0 area (区域号) 指令进行路由配置, 最后执行passive-interface指令、redistribute static metric-type ext-1指令、redistribute connected metric-type ext-1指令等完成对OSPF路由器的配置。

4 结语

基于OSPF动态路由技术创建的信息网络功能十分强大, 具有路由动态更新功能, 能够对网络的数据承载进行均衡, 还具有冗余备份功能, 保证了整个网络的稳定性和可靠性, 可以满足大型企业的网络应用需求, 是一种得到了广泛应用的IGP协议。

参考文献

[1]邵国荣.OSPF应用研究[J].电脑知识与技术, 2011, 07 (14) [1]邵国荣.OSPF应用研究[J].电脑知识与技术, 2011, 07 (14)

[2]邸晖.基于OSPF在中小企业的组网设计[J].山西电子技术, 2013 (2) [2]邸晖.基于OSPF在中小企业的组网设计[J].山西电子技术, 2013 (2)

OSPF协议安全性分析第5篇

随着Internet技术在全球范围内的飞速发展, IP网络作为一种最有前景的网络技术, 受到了人们的普遍关注。而作为IP网络生存、运作、组织的核心IP路由技术提供了解决IP网络动态可变性、实时性、Qo S等关键技术的一种可能。到了20世纪80年代中期, RIP不能服务于大型、异构网络的缺陷愈发明显。为了解决这个问题, IETF成立了IGP工作组, 专门设计用于因特网的基于最短路径优先 (SPF) 算法的IGP (内部网关协议, Interior Gateway Protocol, 简称IGP) 。OSPF作为是SPF类路由协议中的开放式版本, 由于它较好的解决了网络可扩展性及快速收敛的问题, 使得OSPF协议迅速成为目前Internet广域网和Intranet企业网采用最多、应用最广泛的动态路由技术之一。

1 OSPF工作原理

OSPF是一种分层次的路由协议, 其层次中最大的实体是AS (自治系统) , 即遵循共同路由策略管理下的一部分网络实体。在每个AS中, 将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干 (backbone) 区域, 负责在区域之间分发链路状态信息。这种分层次的网络结构是根据OSPF的实际提出来的。当网络中自治系统非常大时, 网络拓扑数据库的内容就更多, 所以如果不分层次的话, 一方面容易造成数据库溢出, 另一方面当网络中某一链路状态发生变化时, 会引起整个网络中每个节点都重新计算一遍自己的路由表, 既浪费资源与时间, 又会影响路由协议的性能 (如聚合速度、稳定性、灵活性等) 。

2 OSPF脆弱性分析

虽然OSPF路由协议自身的复杂性和其内建的安全机制使得对OSPF的攻击较难实施, 但是OSPF并不足够安全, 它仍存在着很多薄弱环节可以被攻击者利用, 例如美国人开发的nemesis-ospf工具软件就曾经可以成功的对OSPF进行某些形式的攻击。

2.1 内建安全机制的失效

在OSPF的三个内建安全机制中, 层次路由机制主要是尽力减小攻击的影响范围域, 它不能杜绝攻击, 而且若攻击者入侵到一个ABR、自治系统边界路由器 (AS Boundary Router, ASBR) , 或者攻击实体假扮成一个ABR, ASBR, 这时层次路由机制就不足为力了。程序性检验是一般路由协议都要进行的一个过程, 它只是为攻击增加了复杂度。OSPF自反击安全机制相对来说给攻击造成的麻烦要大一些, 但仍有一些方法可使自反击机制实效。

2.1.1 周期性注入

RFC2328规定LSA的更新速度不能超过最小LSA生成间隔 (Min LSInterval) , 该参数默认为5秒, 如果攻击者以比Min LSInterval更高的速度注人序号更大的虚假LSA, 就很可能使该虚假LSA被其它路由器应用, 而真正的LSA却被淹没了。

2.1.2 分块网络

如果使虚假LSA不被泛洪给该LSA的合法生成者, 则该ISA的合法生成者就不会启动其自反击机制来纠正该LSA。假设有一个被人侵的路由器所处的位置可以将区域分为两个子区域, 则攻击者就可以只向其中的一个子区域以另一个子区域中的某路由器的身份注人虚假LSA, 而不向另一个子区域注入, 这显然就可以达到欺骗的效果。

2.1.3 幻影路由器

虚构一个路由域中本不存在的路由器使路由域中的其它路由器认为好像存在这么一个路由器, 这样的路由器称为幻影路由器。以幻影路由器的身份注人大量虚假信息, 将不会触发自反击机制的作用。然而需要注意的是注人的LSA并不一定会参与路由计算, 除非该幻影路由器能够和某个路由器形成邻接关系。

2.1.4 注入AS外部路由

如果攻击者成功的人侵了一台ASBR或者伪装成一个ASBR, 它就可以通过注人LSA而引人虚假AS外部路由, 而其它路由器并不能验证、纠正其错误信息。

2.2 验证的安全性

OSPF信息交换都是需要进行验证的, 分为两类:简单密码验证和MD5加密认证, 也可以配置为不验证。简单密码验证其安全性几乎不值一提。对MD5加密认证机制, 这里我们假设其算法是安全的, 被使用的密钥不会被暴露, 并且选择适当, 运行平台被安全的管理并且没有被侵人, 由信息论表明:英语每8比特字符其平均信息嫡只有1.3, 如果管理者选择英语字母作为密钥, 则128比特密钥的信息嫡相当低, 攻击者可能只需要几分钟或者数天就能破解。而OSPF密钥选择很差劲几乎是一个普遍的现象, 并且通常3个月、半年才变换一次, 有的甚至从来不变化。在所有的这些场景中, 如果一个攻击者获得一条Hello报文, 他就很有可能破解该密钥, 并在随后侵人整个路由域。我们并得知, 2004年中国科学家已经成功的破解了MD5算法, 因此OSPF的验证方式并不足够安全。

2.3 对OSPF的常规攻击

OSPF整个运行机制相对比较复杂, 其运行过程中的很多环节都有可能被攻击者开发为对OSPF的攻击, 造成不同程度的危害, 这里我们只简要分析其中的部分情形作为示例。

2.3.1 利用Hello报文的攻击

OSPF路由器定期向外发送Hello报文, 用以发现邻居和维护邻接节点之间的关系。Hello报文中的区域ID, Hello间隔等参数错误, 会使该Hello报文被邻居路由器丢弃, 造成邻居Down, 直接在链路上阻绝Hello报文当然也可以造成这种危害。如果OSPF没有进行加密或者攻击者攻破了OSPF的验证体系, 攻击者就可以修改报文中的某些参数来达到攻击的效果。

2.3.2 利用Update报文的攻击

为修改LSA参数, 使OSPF朝着利于攻击者的方向运转, 攻击者必须能成功的注人虚假LSA。因此攻击者必须能够侵人或者假扮成一个OSPF路由器来和其它的路由器达到Exchange或者更高的状态, 以使两者间可以传送LSA, 而且此时攻击者显然必须至少占有一条链路的密钥或者该链路根本就不需要验证。然后, 攻击者就可以通过注人虚假LSA来达到攻击的目的了。例如不间断的发送大量Maxage的LSA进行Maxage攻击, 或者发送最大序号LS A进行最大序号攻击, 等等。

2.3.3 资源消耗攻击

通过不间断的大量发送各种类型的OSPF报文, 很可能造成被攻击实体的资源耗竭, 而无法正常工作。例如向OSPF的邻居发送包含过长邻居列表的超大Hello报文, 邻居路由器将需为邻居列表上的每个邻居创建邻居结构, 而消耗大量的资源。

3 相关建议

OSPF路由协议并不足够安全, 鉴于其在Intemet网络中的重要角色, 因此我们建议对OSPF采用积极的主动防护和检测机制来保证其安全。验证是OSPF保护的第一环, 因此对OSPF路由域内的所有OSPF路由器都采用有效的加密认证机制是非常必要的, 尽管我们仍需开发更安全有效的加密认证机制。此外, 设计适当的人侵检测系统也是很有帮助的, 它可以帮助发现很多针对OSPF的攻击, 因为对OSPF的攻击往往会因为OSPF的自反击机制在路由域中产生很多的冲突信息。总之, 维护OSPF的安全应有一个系统的全局的观念, 需要我们从多个层面分别着手来保障OSPF的安全。一是路由器层面, 我们需保证操作系统的安全, 路由器上其它所有协议的安全, 路由器的物理安全等。等;二是路由域层面, 这需要考虑所有边缘接人实体和所有链路的安全;最后我们要强调的是人的层面, 应更多地对网络进行监控和取证, 积极立法, 打击对网络造成危害的人和事, 防患于未然。

结束语

OSPF路由协议由于其自身的复杂性和内建的安全机制, 给攻击者造成了不小的困难, 但是本文的分析表明OSPF并不足够安全, 而一旦被人侵, 很可能造成巨大的危害。因此本文建议采用积极的主动防护和检测机制来增加OSPF的安全, 并强调维护OSPF的安全应有一个系统的全局的观念, 要从路由器和路由域等多个层面分别着手来保障OSPF的安全。

参考文献

[1]钟廷龙, 李鑫, 郭云飞.OSPF路由协议安全性分析[J].微计算机信息, 2005, (14) :16-17.

[2]孙文海, 焦利, 金跃辉.OSPF路由监测系统[J].计算机应用与软件, 2009, (06) :24-26.

OSPF协议安全性分析第6篇

1 OSPF路由协议简介

OSPF协议全称为Open Shortest Path First, 是应用于TCP/IP网络下的路由协议, 是一种内部网关协议, 自治系统内的路由器用该协议来发布路由信息。OSPF协议是建立在链路状态与最短生成树技术基础之上进行工作的, 与早期的基于距离向量与BellmanFord算法的路由协议是完全不同的。

OSPF协议是IETF所提出的, 并专门针对TCP/IP网络所专门设计出的, 主要包括了CIDR技术与外部路由信息引用的支持。OSPF协议主要是为路由更新提供认证机制, 并且在报文的接收与发送过程中合理的对IP的多播性能进行利用。OSPF协议对于网络拓扑所出现的变化, 能够快速的进行反映并使之收敛并只引入少量的协议流量。OSPF路由协议是根据IP数据报中的目的IP地址来进行转发的服务的。其作为动态的路由协议, 能够快速的对网络拓扑的变化能够快速的做出反映, 并且能够在收敛周期中期内快速的计算出无环路经。在自治系统内的每一个OSPF路由器都给自维持有一个对自治系统的拓扑信息进行描述的数据库。在自治系统内的每一个OSPF路由器都有相等的链路状态数据库, 数据库主要是由每一个路由的各自的链路状态信息所构成的, 路由器会向自治系统内对自己的链路状态信息进行发布, 使得其他的路由器能够获得这条路由器所生成的链路状态信息。

2 OSPF协议的安全性分析

(1) 无认证以及简单明文认证

OSPF协议提供了认证机制, 但是在很多时候因为一些特殊的原因往往是采用的无认证或是简单明文认证, 使得其安全新降低。无认证指的是在路由器配置OSPF的过程用户没有采取任何的认证手段, 路由器默认的是使用这种方式, 这种情况下OSPF数据包包头中的“认证类型”与“认证数据”全部都为“0”。而简单明文认证则是指的在配置路由器时用户所设置的明文口令没有超过8个字节, 在不足8个字节时则是使用0进行填充。因为是明文口令, 其在网络中传输时是可见的, 只有在邻居不支持加密认证是才使用这种方式。无认证与简单明文认证的安全性对于攻击者来讲都一样。因为简单明文认证所设置的口令, 攻击者能够通过对广播的OSPF数据包的监听来获取, 并构造出相同口令且与OSPF协议规范相符合的数据包, 就能够与目标路由器交换信息, 进行攻击。

在图1中R1、R2以及R3都是通过OSPF协议进行连接的路由器, 并且采用的是无认证或简单明文认证, 其中攻击者Attacker则是位于R1与R2之间, 通过交换机S1接入到该网络中, 对于攻击者Attacker来讲, 他能够对R1与R2向224.0.0.5广播的数据包进行监听, 其中主要包括了Hello分组、LSU分组以及LSA分组。当攻击者Attacker获取了这些分组信息之后, 就能够伪装成为R1或者是R2对两者进行各种攻击, 例如插入恶意的路由信息、对两者的通信进行阻断、对网络流量进行引导等等。

(2) 泛洪机制

在OSPF协议中, LSA是利用可靠的泛洪来进行通告的, 能够保证链路状态在本区域中的一致性, 进而保证了所计算出的路由的一致性。这个特性让OSPF具备一定的自卫性。当某一个节点想要发送出伪造的或者经过修改过的LSA时, 只要是有一条其他的可用路由, 让这个LSA所声明的通告路由器受到这个LSA, 并且这个LSA所描述出来的信息和自身的信息不同时, 这个路由就会立刻生产一个新的LSA实例, 并将这个新产生的LSA的序号超过所接收到的LSA序号, 泛洪出去, 使得伪造的LSA被丢弃掉, 实现一定程度上的自卫, 冲突检测系统也能够很容易的发现这种现象。

需要注意的是仍然是有很多方法使得这种泛洪机制失效。其中主要有以下的几种。周期性的注入错误链路状态信息, 这主要是在OSPF协议中规定, 路由器链路状态数据库中所保存的链路状态信息的刷新状态不能够小于5秒, 当一个新的链路状态信息开始存入到链路状态数据库时, 路由器就会为这个链路状态信息启动一个5秒的计时器, 而在计时器到时之前, 即便是出现了新的链路状态也会被忽略。攻击者正好利用这种规则来实施攻击。对网络进行切割, 当恶意链路状态洗洗脑在网络中泛洪中煤油被生成路由器所接受到, 那么泛洪机制也就不会起到作用, 而这种可能是存在的。模拟傀儡路由器。攻击者能够利用软件在PC机上模拟出OSPF路由器的行为, 进而能够在网络中模拟出一个傀儡路由器, 这个傀儡路由器能够用来作为链路状态信息想原始生成者, 即使发送的是恶意的链路状态洗信息, 也是不会被发现的。

(3) 层次化的路由结构

在设计之初层次化的路由是为了能够解决路由的可扩展性问题, 但是后来发现层次化的路由减小的不仅仅是路由表的大小, 同时也会减少网络流量, 让网络可以快速收敛, 并且能够改善网络的安全性。OSPF协议则能够区分骨干区域与非骨干区域, 使得网络更加具有层次结构, 提高安全性。但是需要注意的是局部能够影响全局。因为OSPF协议自身并没有端到端的认证机制, 这就容易让链路状态信息在进行转发的过程中被篡改, 这就为攻击者提供了攻击的机会, 使得局部受到攻击时也容易对整体OSPF路由域产生影响。

3 结语

OSPF协议本身具有良好的安全性, 但是其所存在的能够被利用的漏洞也是很多的, 也正是因为这样才对OSPF协议的安全性以及改进进行探讨。到现在对于OSPF的研究已经有了新的研究方向, 就是利用密码体制安全性的同时对入侵检测技术进行引进, 让OSPF具有更好的安全性。

参考文献

[1]徐鲁宁.基于数字签名的OSPF路由协议安全性研究[D].南昌大学, 2011.

OSPF路由协议安全性探讨第7篇

一、OSPF安全机制

1.1层次化路由结构

利用OSPF路由协议可以将自治网络划分成为多个区域, 在每一个划分之后的区域之中都存在有独立的链路状态数据库, 并各自独立执行链路状态路由算法。这就可以让本区域中的拓扑结构对区域之外的网络进行隐藏, 并可以让自治系统在交换、传播路由信息的时候的网络流量得到减少, 促进收敛速度的加速。

1.2具有可靠的泛洪机制

在OSPF协议之中采用LSU报文来对路由信息进行携带, 并运用协议本身所定义的泛洪机制让区域之中的路由器的链路状态数据库保持良好的一致性, 让路由选择一致性得到保障。LSA是OSPF路由协议中路由协议的最小单元, 由路由器生成, 并在其中包含了LSA的路由器的标识信息, 根据这个标识之下的机制, 让OSPF拥有一定自我纠错的能力。

1.3优良的报文验证机制

OSPF的报文之中包含了认证类型以及认证数据字段。当前, 在OSPF路由协议中主要有密码认证、空认证以及明文认证这三种认证模式。其中, 明文认证是将口令通过明文的方式来进行传输, 只要可以访问到网络的人都可以获得这个口令, 很容易让OSPF路由域的安全受到威胁。而密码认证则能够提供良好的安全性。为接入同一个网络或者是子网的路由器配置一个共享密码, 然后这些路由器所发送的每一个OSPF报文都会携带一个建立在这个共享密码基础之上的信息摘要。通过MD5算法以及OSPF的报文来生成相应的信息摘要, 当路由器接收到这个报文之后, 根据路由器上配置的共享密码以及接收到的这个报文来生成一个信息摘要, 并将所生成的信息摘要和接收到的信息摘要进行对比, 如果两者一致那么就接收, 如果不一致则丢弃。

二、OSPF路由协议安全性完善措施

相对来讲OSPF的安全性较高, 在很多时候外部对其进行攻击都是因为OSPF路由没有启用密码认证机制或者是攻击者对密码破译之后所实现的。当然即使是启用了密码认证也可以利用重放攻击的方式来进行攻击。要加强其安全性需要注意以下几点:

2.1对于空验证与简单口令验证的防范

对于空验证和简单口令验证带来的安全问题, 可以启用密码验证来进行防范。当启用密码验证之后, OSPF报文会产生一个无符号非递减的加密序列号。在附近的所有邻居路由器中会存放该路由器的最新加密序列号。对于邻居路由器所收到的报文的加密序列号需要大于或者等于所存储的加密序列号, 如果不满足该要求则丢弃。

2.2对于密码验证漏洞的防范

在三种验证方案之中密码验证是最为安全的一种, 但是也并不是牢不可破的。即使是启用了密码验证也不代表所有报文内容都是经过加密后传输的, 其中LSU报文头部仍然会采用明文, 这就存在被攻击者篡改的可能性。即使是采用的MD5算法也并不是绝对安全, 例如中国山东大学的科学家就已经破解了MD5算法。对密钥进行管理与维护需要较高成本, 所以可以考虑和其他成本较低的方式进行结合, 例如数字签名技术。这样可以对大部分的威胁进行有效的抵御。

但是用于生成与验证签名的开销也是非常巨大的。一个路由器需要验证签名的数量会受到很多因素的影响, 例如网络之中路由器的数量、对网络区域的划分、链路状态信息的变化以及刷新频率等等。在OSPF之中, 因为每一条外部子网络径存在有单独的链路状态信息描述, 因此在网络之中就有可能存在有成千上万条这一类链路状态信息。因此, 还需要考虑到缓解这些信息对于路由器性能的影响。通常情况下采用的方法是在路由器之上采用额外的硬件, 对OSPF路由协议进行改进, 周期性或者是按需进行验证签名。在当前的研究方向是在利用密码体制安全性的同时, 利用有效的入侵检测技术让OSPF的安全性得到保证。

三、结语

作为一种应用非常广泛的路由协议OSPF的安全性受到广泛的关注, 虽然其本身具有一定的安全性, 但是却难以满足当前网络安全形势的需要。为此我们需要加强对OSPF安全性的研究, 并积极思考如何对其安全性进行完善。

参考文献

[1]柳强, 黄天章, 郭海龙.基于OSPF协议可信路由技术研究及实现[J].数字技术与应用, 2013, (04) :48-49