ospf協議范例6篇

前言：中文期刊網精心挑選了ospf協議范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

ospf協議范文1

【關鍵詞】 ospf協議 安全性 報文驗證

OSPF全稱為Open Shortest Path First，屬于內部網關協議，在如今的互聯網之中應用最為廣泛。OSPF本身具有一定的安全性，但是其本身所具備的安全性卻并不能夠完全勝任新形勢下的網絡安全要求。為此，我們必須要加強對OSPF協議安全性的研究，在在此基礎上強化OSPF安全性。

一、OSPF安全機制

1.1 層次化路由結構

利用OSPF路由協議可以將自治網絡劃分成為多個區域，在每一個劃分之后的區域之中都存在有獨立的鏈路狀態數據庫，并各自獨立執行鏈路狀態路由算法。這就可以讓本區域中的拓撲結構對區域之外的網絡進行隱藏，并可以讓自治系統在交換、傳播路由信息的時候的網絡流量得到減少，促進收斂速度的加速。

1.2 具有可靠的泛洪機制

在OSPF協議之中采用LSU報文來對路由信息進行攜帶，并運用協議本身所定義的泛洪機制讓區域之中的路由器的鏈路狀態數據庫保持良好的一致性，讓路由選擇一致性得到保障。LSA是OSPF路由協議中路由協議的最小單元，由路由器生成，并在其中包含了LSA的路由器的標識信息，根據這個標識之下的機制，讓OSPF擁有一定自我糾錯的能力。

1.3 優良的報文驗證機制

OSPF的報文之中包含了認證類型以及認證數據字段。當前，在OSPF路由協議中主要有密碼認證、空認證以及明文認證這三種認證模式。其中，明文認證是將口令通過明文的方式來進行傳輸，只要可以訪問到網絡的人都可以獲得這個口令，很容易讓OSPF路由域的安全受到威脅。而密碼認證則能夠提供良好的安全性。為接入同一個網絡或者是子網的路由器配置一個共享密碼，然后這些路由器所發送的每一個OSPF報文都會攜帶一個建立在這個共享密碼基礎之上的信息摘要。通過MD5算法以及OSPF的報文來生成相應的信息摘要，當路由器接收到這個報文之后，根據路由器上配置的共享密碼以及接收到的這個報文來生成一個信息摘要，并將所生成的信息摘要和接收到的信息摘要進行對比，如果兩者一致那么就接收，如果不一致則丟棄。

二、OSPF路由協議安全性完善措施

相對來講OSPF的安全性較高，在很多時候外部對其進行攻擊都是因為OSPF路由沒有啟用密碼認證機制或者是攻擊者對密碼破譯之后所實現的。當然即使是啟用了密碼認證也可以利用重放攻擊的方式來進行攻擊。要加強其安全性需要注意以下幾點：

2.1 對于空驗證與簡單口令驗證的防范

對于空驗證和簡單口令驗證帶來的安全問題，可以啟用密碼驗證來進行防范。當啟用密碼驗證之后，OSPF報文會產生一個無符號非遞減的加密序列號。在附近的所有鄰居路由器中會存放該路由器的最新加密序列號。對于鄰居路由器所收到的報文的加密序列號需要大于或者等于所存儲的加密序列號，如果不滿足該要求則丟棄。

2.2 對于密碼驗證漏洞的防范

在三種驗證方案之中密碼驗證是最為安全的一種，但是也并不是牢不可破的。即使是啟用了密碼驗證也不代表所有報文內容都是經過加密后傳輸的，其中LSU報文頭部仍然會采用明文，這就存在被攻擊者篡改的可能性。即使是采用的MD5算法也并不是絕對安全，例如中國山東大學的科學家就已經破解了MD5算法。對密鑰進行管理與維護需要較高成本，所以可以考慮和其他成本較低的方式進行結合，例如數字簽名技術。這樣可以對大部分的威脅進行有效的抵御。

但是用于生成與驗證簽名的開銷也是非常巨大的。一個路由器需要驗證簽名的數量會受到很多因素的影響，例如網絡之中路由器的數量、對網絡區域的劃分、鏈路狀態信息的變化以及刷新頻率等等。在OSPF之中，因為每一條外部子網絡徑存在有單獨的鏈路狀態信息描述，因此在網絡之中就有可能存在有成千上萬條這一類鏈路狀態信息。因此，還需要考慮到緩解這些信息對于路由器性能的影響。通常情況下采用的方法是在路由器之上采用額外的硬件，對OSPF路由協議進行改進，周期性或者是按需進行驗證簽名。在當前的研究方向是在利用密碼體制安全性的同時，利用有效的入侵檢測技術讓OSPF的安全性得到保證。

三、結語

作為一種應用非常廣泛的路由協議OSPF的安全性受到廣泛的關注，雖然其本身具有一定的安全性，但是卻難以滿足當前網絡安全形勢的需要。為此我們需要加強對OSPF安全性的研究，并積極思考如何對其安全性進行完善。

參考文獻

ospf協議范文2

廣東省國防科技技師學院現主要由兩個校區和若干個分校區組成，每個校區都由學生宿舍區、教學區組成，兩個主校區和各個分校區已經建立局域網和互聯網接口，但是兩個主校區未能互聯互通，主校區與分校區之前未能互通。目前隨著學?？荚嚬芾硐到y和協同辦公系統（OA系統）的建立，迫切需要建立一個廣域網，把整個學校的各個校區互聯互通，保證教學信息能夠及時、準確和快速地傳輸，滿足教學管理、日常管理和整個學校辦公自動化等需求，并在此基礎上開發建設現代化的教學應用系統，實現智能型、信息化、快節奏、高效率的管理教學模式。網絡的建立將連接所有教學樓、實驗樓、辦公室及宿舍區中的PC，提供校內信息資源管理、事務管理、辦公應用、課堂教學以及電子郵件、WWW等服務。

一、OSPF路由協議介紹

1.OSPF路由協議的基本介紹

優先開放最短路徑（OSPF）（Open Shortest Path First）路由協議是Internet網絡TCP/IP協議族中一種內部網關路由協議，是Internet OSPF網絡協議工作組于1991年制定出，并以Internet協議標準RFC1583確立下來，被廣泛應用于Internet路由器路由協議、ATM交換機選路上的一種功能很強的通用性非常高的路由協議。它是IETF組織開發的一個基于鏈路狀態的自治系統內部路由協議。在IP網絡上，它通過收集和傳遞自治系統的鏈路狀態來動態地發現并傳播路由。OSPF具有支持大型網絡、路由收斂快、占用網絡資源少等優點，在目前應用的路由協議中占有相當重要的地位。

2.OSPF協議的基本概念

（1）鏈路狀態OSPF路由器收集其所在網絡區域上各路由器的連接狀態信息，即鏈路狀態信息（Link-State），生成鏈路狀態數據庫(Link-State Database)。路由器掌握了該區域上所有路由器的鏈路狀態信息，也就等于了解了整個網絡的拓撲狀況。OSPF路由器利用“最短路徑優先算法(Shortest Path First, SPF)”，獨立地計算出到達任意目的地的路由。

（2）區域OSPF協議引入“分層路由”的概念，將網絡分割成一個“主干”連接的一組相互獨立的部分，這些相互獨立的部分被稱為“區域”(Area)，“主干”的部分稱為“主干區域”。每個區域就如同一個獨立的網絡，該區域的OSPF路由器只保存該區域的鏈路狀態。每個路由器的鏈路狀態數據庫都可以保持合理的大小，路由計算的時間、報文數量都不會過大。

（3）OSPF網絡類型根據路由器所連接的物理網絡不同，OSPF將網絡劃分為四種類型：廣播多路訪問型（Broadcast MultiAccess）、非廣播多路訪問型（None Broadcast MultiAccess，NBMA）、點到點型（Point-to-Point）、點到多點型（Point-to-MultiPoint）。

（4）指派路由器（DR）和備份指派路由器（BDR）在多路訪問網絡上可能存在多個路由器，為了避免路由器之間建立完全相鄰關系而引起的大量開銷，OSPF要求在區域中選舉一個指派路由器(DR)。每個路由器都與之建立完全相鄰關系。指派路由器負責收集所有的鏈路狀態信息，并給其他路由器。選舉指派路由器的同時也選舉出一個備份指派路由器，在指派路由器失效的時候，備份指派路由器擔負起指派路由器的職責。

對廣播型網絡和非廣播型多路訪問網絡，路由器使用Hello協議選舉出一個DR。在廣播型網絡里，Hello報文使用多播地址224.0.0.5周期性廣播，并通過這個過程自動發現路由器鄰居。在NBMA網絡中，DR負責向其他路由器逐一發送Hello報文。

3.OSPF路由協議的路由計算

OSPF把整個網絡看成一個自治系統(AS)。每一個AS內若干個物理上相鄰的路由器(Router)、網絡(Network)組成Area，這些Area內部一般是不相交的，它們劃分了整個自治系統。

SPF算法是OSPF路由協議的基礎。SPF算法有時也被稱為Dijkstra算法，這是因為最短路徑優先算法SPF是Dijkstra發明的。SPF算法將每一個路由器作為根（ROOT）來計算其到每一個目的地路由器的距離，每一個路由器根據一個統一的數據庫會計算出路由域的拓撲結構圖，該結構圖類似于一棵樹，在SPF算法中，被稱為最短路徑樹。在OSPF路由協議中，最短路徑樹的樹干長度，即OSPF路由器至每一個目的地路由器的距離，稱為OSPF的Cost，其算法為：Cost = 100×106/鏈路帶寬。在這里，鏈路帶寬以Bps來表示。也就是說，OSPF的Cost與鏈路的帶寬成反比，帶寬越高，Cost越小，表示OSPF到目的地的距離越近。舉例來說，FDDI或快速以太網的Cost為1，2M串行鏈路的Cost為48，10M以太網的Cost為10等。

二、建立基于OSPF協議的技工院校校園網絡

1.選用OSPF路由協議的必要性

（1）校園局域網網絡相對復雜。主校區和各分校區校園網絡經過初期的建設已經具有一定的規模，隨著辦學規模越來越大，設備越來越多，子網越來越多，IP地址增長速度也越來越快，原有的靜態路由協議由于配置繁瑣，網管人員工作量大，已不適合現有規模的需要，需要引入一種動態路由協議來滿足需求。

（2）原有各個校區的網絡互相獨立，隨著教學管理、日常的管理和實現整個學校辦公自動化等需求，需要建設廣域網使所有校區互聯互通，在此基礎上開發建設現代化的教學應用系統，實現智能型、信息化、快節奏、高效率的管理教學模式。由于分校區多，分校區采用的網段不同，各個校區需要互聯互通，采用靜態路由協議配置復雜，不能實現動態的互聯，建設高效自動互聯的廣域網，需要采用動態互聯協議實現網絡自動路由。

2.校園網的OSPF區域劃分

OSPF協議引入“區域劃分”的概念，將網絡分割成一個“主干”連接的一組相互獨立的子網，這些相互獨立的部分稱為“區域”，“主干”部分稱為“主干區域”，每個區域如同一個獨立的網絡，其網絡結構在區域外是不可見的，該區域的OSPF路由器只保存該區域的鏈路狀態。對于主干區域，主要負責在區域之間分發鏈路狀態信息。這種分層次的網絡結構能縮減部分路由器的OSPF的路由條目，提高路由效率。

考慮到學校的現狀和將來的發展，將每個主校區和分校區都獨立劃分為一個區域，從而保證各個局域網相互獨立又能互聯互通，具體的劃分見下表。

同時考慮局域網內的網絡安全，減少廣播包的數量，將教學區、宿舍區和學生宿舍區分開，結合該校實際情況，分別設置不同的區域。例如同和主校區的家屬區子網10.100.0.0/16，辦公區子網為10.101.0.0/16，學生宿舍區子網為10.102.0.0/16和10.103.0.0/16，實驗室機房子網為10.104.0.0/16。這樣可以根據源地址子網的不同，分別劃分不同的區域，家屬區劃為area100，辦公區劃為area101，學生宿舍區劃為area102和area103，實驗室機房劃為area104等。這樣既可以使局域網內區域規模不至于很大，又可以保證與局域網骨干網絡的連通性，保證各個區域以最小的跳數到達核心區域。

為了滿足教學和辦公的需求，各個分校區和主校區通過廣域網互聯，廣域網互聯采用OSPF路由協議，整個廣域網互聯區域號為0。

3.廣域網選擇和OSPF配置

（1）廣域網選擇和網絡拓撲。為了滿足所有分校區都能相互連接，需要建立整個學校的廣域網，考慮到所有校區均在廣東省21個地級市以上城市內，可以租用現有網絡運營商的網絡組成廣域網，從穩定性、經濟性和擴展性等方面考慮，目前廣域網采用2M的MSTP光纖接入網絡；整個網絡拓撲和區域如下圖所示。

（2）OSPF配置。例如，同和校區主路由器OSPF配置如下：

ospf協議范文3

1、絕對不要在項目進行中升級，絕對不要!這樣做風險巨大。即使最穩定和安全的升級也會帶來一些意料不到的錯誤，甚至整個項目都會完蛋。因為有大量的第三方軟件和硬件問題是在系統升級程序的處理范圍之外的，這些問題會在之后的補丁和版本中解決，但是最好不要冒項目丟失的風險。

2、只有做好了完整的備份后才進行系統升級。想像一下如果你在系統完全崩潰后面臨的慘狀：重裝系統已經是最簡單的工作，所有的第三方插件的重新注冊，各種升級補丁，素材全部亂掉需要重采……所以，我專業，我備份!

備份方法很簡單，給系統盤做個鏡像，然后存到另外的磁盤里面。或者使用CarbonCopy cloner或Deja Vu軟件來進行系統盤的備份。

升級到Leopard

我在3臺系統上進行了升級：17英寸PowerBook G4(2GB內存)，17英寸MacBookPro(4GB內存)，還有一臺四核心G5(4 5GB內存，QuadroFx顯卡)。以上3臺都安裝了FCS2軟件。沒有安裝任何第三方硬件，除了外置火線硬盤。

在升級到Leopard的時候有三個選項：

1、Install in Place(在原系統上升級)：此選項簡單升級系統，對原文件不進行改動。可是我認為這樣很不可靠。

2、Archive and Install(打包并升級)：這和上一種方式很相像，但是它把舊的系統和用戶數據備份到一個叫做Previous system的文件夾里面。這樣在你需要的時候，就可以調用以前的文件，我個人建議使用這種升級方式。

3、Erase and Install(抹掉并安裝)：這種方式安裝出來的系統最清爽。不過你需要重新安裝所有的應用軟件，將需要用到的數據從備份中找回來，重新設置各帳戶的權限。

我在四核心G5上使用了原系統升級，在其他兩個移動平臺上使用了打包并升級，三套系統都很正常――但是log&Transfer模塊出了問題，不能正常運行。而且在使用6.02升級補丁之前，motlom中的模板是不能使用的。經過實驗發現，造成log&Transfer問題的主要原因是Noise IdustriesFXFactory插件，在將其升級到最新后問題完美解決。

在使用Compressor時發現了一些小的顯示方面的問題，不過在使用中沒有出現大問題。不少人在使用的時候出現了奇怪的問題，但是大部分問題都可以通過安裝最新版本的插件和硬件驅動來解決。我對大家的建議是在升級前一定確認你的第三方硬件是支持Leopard的。

對于安裝模式，我個人的建議是使用打包并升級。

以下列出升級到Leopard的基本步驟

1、確認你的安裝盤和序列號。

2、使用磁盤工具修理所有的硬盤。

3、使用磁盤工具修理系統盤的權限。

4、使用“磁盤武士”軟件梳理和修復所有的磁盤目錄。

5、如前文所述，備份你的系統盤。

6、升級到Leopard

7、使用磁盤工具修復磁盤，修理權限。

升級FCP

在升級到新系統后我們的system ID文件需要從備份中提取出來，這樣可以省去很多注冊和設置的步驟。具體的路徑是系統盤下得／library／Application Support／Pro Apps，將整個文件夾覆蓋新系統的同名文件夾。

ospf協議范文4

【關鍵詞】OSPF；鄰接；實驗；驗證

1.引言

OSPF路由協議是一種鏈路狀態路由協議。同時由于它是一種公有的協議，因此得到了廣大網絡設備廠商的支持。運行OSPF協議的路由器必須先建立完全鄰接關系，然后才能傳遞路由信息。點到點網絡是OSPF支持的多種網絡類型其中的一種，本文將在GNS3模擬器上驗證在點到點網絡中運行OSPF協議時，各路由器建立完全鄰接關系的過程。

2. OSPF路由協議

OSPF協議是一種內部網關協議，它在同一個自治系統中的各個路由器之間交換路由信息。運行OSPF的路由器會將LSA泛洪到同一區域內的所有OSPF路由器，而不僅僅是直連的路由器。OSPF路由器通過收集其他路由器發過來的LSA創建OSPF的LSDB（鏈路狀態數據庫）。然后使用SPF算法算出到每個目的網絡的最短路徑，并將其寫入路由表。由此可見，OSPF路由器的路由條目并不是其他路由傳遞過來的，而是路由器本身通過LSDB和SPF算法計算得來的。OSPF定義了點到點網絡（point-to-point）、廣播型網絡（broadcast）等多種類型的網絡。本文只驗證點到點網絡的環境。

3. OSPF完全鄰接關系建立過程

OSPF鄰接關系有7個狀態。

假設路由器A和B直連，A的路由器ID比B的大。并且都運行OSPF。當路由器接口開啟，并講相關接口宣告進OSPF進程之后，就開始建立鄰居。以下為OSPF路由器完全鄰接關系建立的過程：

（1）初始化時ospf協議處于down的狀態。

（2）當A路由器通過宣告進OSPF協議進程的接口發送第一個組播hello報文后進入init狀態。B也可以通過同樣的方式進入init狀態。

（3）當路由器B接收到A發過來的第一個hello報文后，會根據這個hello報文里的Router ID字段提取出來，作為自己的鄰居的RID（Router ID）。然后將A的RID寫入hello報文的鄰居字段，將自己的RID寫入Router ID字段，發送給A。A接收到該hello包，在鄰居字段看到自己的RID時，A就認為B已經知道自己是它的鄰居，從而A達到2way的狀態。B也可以通過同樣的方式達到2way狀態，這時雙方進入雙向通信階段。

（4）到達2way狀態后，路由器開始發送第一個DBD（數據庫描述）報文，這個報文用來選舉主/從（master/slave）關系。選舉的方法是Router ID大的路由器為master。選舉完成后由master發起LSA的交互。在這里由于假設A的路由器ID比B的大，所以選舉的結果為路由器A是master。此時雙方到達exstart狀態。

（5）A發起接下來的DBD報文交互。此時到達exchange狀態。這時交互的DBD不同于上面所講第一個DBD，exchange狀態交互的DBD包含每臺路由器LSDB中的LSA報頭。相當于告知對方路由器，本路由器上有哪些網段的路由。

（6）當交互完DBD報文之后，路由器通過LSA報頭的信息和本地LSDA中的信息進行比較，得知本地路由器缺少哪些網段的路由，從而向對方路由器發送LSR報文請求這些缺少的LSA。而收到LSR的路由器就會響應這些請求，發送對應的LSU報文。此時雙方的狀態為loading。

（7）當loading狀態結束后，雙方就進入了完全鄰接FULL狀態。

4. GNS3介紹

GNS3是一款思科模擬器軟件，它具有圖形化的界面，并且直接采用cisco路由器的網絡操作系統IOS，因此可以提供接近于真實cisco路由交換設備的虛擬網絡環境。GNS3實際上整合了Dynamips、Dynagen、Pemu和Winpcap等軟件。

5.實驗拓撲

在GNS3中創建兩臺路由器R1和R2，給R1和R2分別安裝一個NM-4T的模塊，該模塊可為路由器提供4個串行接口。在R1上給環回口Loopback 0 配置ip地址1.1.1.1/8，模擬一個1.0.0.0/8的網段。配置R1連接R2的接口S0/0的IP地址為12.1.1.1/8并將接口開啟，配置R2連接R1的接口的IP地址為12.1.1.2/8并將接口開啟。在R1上啟用OSPF路由協議，指定Router ID為1.1.1.1，將lookback 0所連接的網絡1.0.0.0/8以及S0/0接口所連接的網絡12.0.0.0/8都宣告進OSPF進程。在R2上啟用OSPF路由協議，指定Router ID為2.2.2.2，將S0/0接口所連接的網絡12.0.0.0/8宣告進OSPF進程。R1和R2在同一個區域0。配置完畢后，R2通過OSPF路由協議從R1的S0/0接口獲取到一條關于目標網絡為1.0.0.0/8的路由條目。實驗拓撲圖如圖所示。

6.基本配置命令

6.1 R1的基本配置

8.結束語

本文對OSPF路由協議作了介紹，對OSPF鄰接關系的建立過程進行了分析，并在GNS3模擬器上搭建了一個OSPF點到點實驗拓撲，對這一過程進行了模擬，通過查看和分析調試信息驗證了鄰接關系從down變成full的各個過程。

參考文獻：

ospf協議范文5

關鍵詞：Linux系統；路又器；配置

Linux 作為一種新近崛起的操作系統，由于其性能穩定，源碼開放及價格方面的優勢而逐漸被廣大用戶所接受?，F在Linux的主要用武之地在于服務器領域，但是，經過適當的配置之后，它還可以擔當互聯網的物理基石--路由器這一重要角色。

一、BGP/OSPF 概述

路由器是與兩個或兩個以上的網絡連接的計算機，它根據路由協議生成并維護一個路由表，并按照該路由表中的信息轉發包。這些路由器對公司內部的網絡結構了如指掌，知道將分組送到目的地的全部細節，但對于其他公司的網絡結構并不了解。像這樣“在同一機構下管理的一系列路由器和網絡”被稱為自治系統(AS)。由不同機構掌管的自治系統，可以采用不同的路由選擇算法；但同一自治系統內的所有路由器都使用同一路由協議，以便于自治系統內部各個路由器互換路由信息來維持相互的連通性。每一個自治系統都有一個16位的“自治系統（AS）編號”作為標志，就像 IP 地址一樣，它是由專門機構來分配的。

自治系統內的路由器稱為“內部網關”，所用的協議稱為“內部網關協議”。內部網關協議大體上分為兩類，一類是距離向量協議，如 RIP,EIGRP 協議；另一類是鏈路狀態協議如 OSPF 協議。鏈路狀態路由協議與距離向量協議的不同之處在于，采用鏈路狀態路由協議的路由器不是交換到達目的地的距離，而是維護一張網絡拓撲結構圖。然后用數據庫表示該圖，其中的表項對應網絡的一條鏈路。路由器根據數據庫的信息計算出“最佳路由”，由此指導包的轉發。當網絡拓撲結構發生變化時，只需將相應紀錄而非整個數據庫通知其他節點。各路由器做出相應修改并重新計算路由后，就可以繼續正常工作。

OSPF 具有支持多重度量制式和多重路徑等諸多優點，因此成為因特網上推薦使用的內部網關協議，RIP 卻由于自身的局限性而被打入冷宮?，F在，在性能上唯一能夠與 OSPF 相匹敵的內部網關協議便是 EIGRP--Cisco 的一個專有協議，但 OSPF 的“開放”本身就是一個響亮的招牌，因為誰也不想受制于某家供應商。

二、建立路由器

（1）安裝 Zebra

既可以從 Zebra.org 網站下載 Zebra 的最新源程序，也能從 Redhat 和 Debian 中獲得它，但不一定是最新版的。從源代碼中進行軟件安裝，就會發現使用的是一些普通的安裝過程。

配置腳本會搜索系統上已經安裝的 IP 棧并且自動地設置成支持他們。當前，IP 棧很可能僅僅是指 IPv4，但是 IPv6 用戶也不用擔心，因為 Zebra 也會發現并且支持它。

程序安裝之后，還可能必須在 /etc/services 中增加一些命令行。Zebra 的守護程序在他們自己的虛擬終端連接(VTY)下運行，所以的系統必須知道這些虛擬終端連接。

（2）配置 Zebra

如果已經熟悉 Cisco IOS，就能在短時間內掌握 Zebra，因為會發現兩者極為相似。Zebra 的每個守護程序使用一個單獨的 VTY，這些 VTY 可以通過一個遠程登錄會話進行動態配置。所以，如果需要設置 OSPF，簡單地遠程登錄到該 Linux 上 2604 端口；為了修改內核的路由表或設置路由協議間的再分發，可以遠程登錄到端口 2601，該 Zebra 守護程序充當內核管理器，管理其他的守護程序和系統本身之間的通信。

現在介紹如何在一個服務器上創建和運行 OSPF 和 BGP。Zebra 的守護程序運用純文本文件儲存它們的配置。對于 OSPF/BGP 路由器，將用到三個文件∶zebra.conf、ospfd.conf 和 bgpd.conf。

這里的感嘆號充當注解標識或分隔符。盡管存在大量不同的網絡接口類型(Ethernet、ISDN 等等)，但只要是 Linux 內核能夠辨認的網絡接口類型，Zebra 都可以使用。

（3）設置OSPF

接下來，我們還需要告訴守護程序將通過 OSPF 廣播哪些網絡以及相關的域（area）。OSPF 的可伸縮性允許它支持多個域。鍵入 router ospf 開始配置 OSPF，然后鍵入 network 192.168.66.0/24 area 0。這告訴路由器，我們將使用 OSPF 廣播一個子網掩碼為 255.255.255.0 的 192.168.66.0 網絡。

在本例中，我們讓 eth0 接口變成一個被動（passive）接口，以便使它不能發送路由更新。這對于實驗是非常重要的，因為在那個方向上的其他的路由器可能監聽到發送的路由更新，將接口變成一個被動（passive）接口，從而有效的避免擾亂網絡的正常運行。為此，鍵入命令 passive - interface eth0。如果打算將此路由器作為工作路由器使用時，就沒有這個必要了。一旦完成修改，用 end 命令從配置模式中退出，然后用 write file 命令保存。為了讓 OSPF 或 BGP 在某接口上工作，那么該接口必須處于""運行""狀態。為手工運行一個接口，登錄到端口 2601 并且在該接口上執行 no shut 命令。

ospf協議范文6

關鍵詞:ospf;漏洞;數字簽名

一 ospf 協議概述

ospf(open shortest path first)作為目前互聯網絡應用最為廣泛的內部網關路由協議,主要提供自治系統(autonomous system,as)內的動態選擇路由。它是一種典型的鏈路狀態協議,不同于距離向量協議(如 rip 等)。ospf 主要有以下特性:

適應范圍廣——支持各種規模的網絡,最大可支持數百臺路由器。

快速收斂——網絡拓撲結構發生變化后立刻發送更新報文,使這一變化在自治系統中同步。

無自環——由于 ospf 根據收集到的鏈路狀態用 spf 算法計算路由,從算法本身保證了不會生成自環路由。

區域劃分——允許將自治系統劃分成區域,區域間傳送的路由信息被進一步抽象,從而減少了占用的網絡帶寬。

等價路由——支持到同一目的地的多條等價路由。

二ospf 的漏洞分析

2.1 存在的漏洞

ospf 路由協議雖然采取了多種安全機制來保護其不受侵犯,但是這些安全機制并非能讓 ospf 路由協議成為一個絕對安全的協議,它還存在相當多的漏洞。

1、空驗證和簡單口令驗證的安全漏洞分析

當驗證類型字段置為 0 時,即表示該報文為空驗證?？镇炞C時驗證字段的值可為任意值,路由器在發送和接收該報文時不做任何額外的身份驗證處理,接收方只要校驗和無誤便接收該 ospf 報文并將其中的 lsa 加入到鏈路狀態數據庫中。這一驗證類型可以認為是沒有任何的安全性的。當使用簡單口令驗證時,驗證類型字段置為 1,64 位的驗證字段中存放的是簡單口令驗證用的口令。簡單口令驗證的報文是以明文的形式傳輸的,這其中也包括口令。接收方只要確定校驗和正確且驗證字段的口令等于預先約定的值即可接收。這一方案對于在傳輸過程中的竊聽者,沒有任何的安全性可言。竊聽者可以很輕松地監聽到口令,然后偽造 ospf 報文并發送出去,擾亂正常的路由秩序。

2、加密驗證的漏洞

加密驗證可預防外部竊聽、重播、修改路由消息及阻塞協議報文傳輸等攻擊。但是外部的攻擊者還可以通過發送惡意報文來耗盡路由器的資源,使得路由器由于一直應付這樣的惡意攻擊而陷入一種更加脆弱的境界。

3、協議中的其它威脅

(1)最大年齡攻擊:

在 ospf 路由協議中,由于 lsa 的 age 字段在經過任何一個路由器的時候都需要修改其值,因此它一般不被驗證字段的 md5 摘要所覆蓋。攻擊者可輕松利用該漏洞在lsa 的傳播過程中將其截獲并修改 lsa 的 age 為 maxage。一旦一個 lsa 的 age 字段被修改為 maxage,就可引起路由器鏈路狀態數據庫中 lsa 的早熟,lsdb 過早的將lsa 剔除導致 lsdb 中路由信息的缺失。

(2)針對序列號的攻擊:

由于 ospf 的 lsa 是采用泛洪的方式傳播的,因此在泛洪途中區域中的入侵者或錯誤路由器都可以對 lsa 信息發起攻擊,篡改其內容。針對序列號的攻擊有兩種,序列號加一攻擊和最大序列號攻擊。

(3)分塊網絡攻擊:

如果使虛假 lsa 不被泛洪給該 lsa 的合法生成者,則該 lsa 的合法生成者就不會啟動其自反擊機制來糾正該 lsa。假設有一個被入侵的路由器所處的位置可以將區域分為兩個子區域,則攻擊者就可以只向其中的一個子區域以另一個子區域中的某路由器的身份注入虛假 lsa,而不向另一個子區域注入 lsa,這顯然就可以達到欺騙的效果。

2.2漏洞防范策略

1、針對空驗證和簡單口令驗證漏洞的防范策略

采用密碼驗證類型來解決對 ospf 報文任意修改、甚至生成新報文的漏洞,并且驗證類型時,每個 ospf 路由器發出的報文都包含 32 位無符號非遞減加密序列號,在所有鄰居路由器中都存放著當前該路由器的最新加密序列號,并要求接收到的 ospf 報文的加密序列號必須大于或等于存儲在路由器中的加密序列號。

2、針對密碼驗證漏洞的防范策略

密碼驗證雖然是三種驗證方案中最為安全的一種方案,但是它還遠沒有達到牢不可破的程度。密碼驗證方案中,lsu 報文的頭部仍然是以明文的形式在網絡中傳播,這給惡意攻擊者以很大的機會篡改 lsu 報文。另外,采用 md5 算法并非絕對安全,中國山東大學的科學家已經破解出 md5 算法。再者,維護、管理密鑰的成本較高。本文建議在此驗證類型的基礎上,結合數字簽名保護機制來確保 ospf 路由協議的安全。這樣的防護可以有效的防備大部分的威脅。本文在后面將提出一種基于 lsu 的報文數字簽名方案,可以實現上述功能。

三 基于 lsu 的數字簽名 ospf

基于 lsu 的數字簽名方案與 ospf 路由協議報文的加密驗證機制的有機結合,有效防止了一系列的威脅、攻擊。具體分析如下:

1.內部的惡意路由器篡改 lsa 鏈路狀態信息。由于內部的惡意路由器掌握了加密驗證所需的密鑰,因此它可以毫不費力的修改 lsa 數據,然后重新生成一個 md5 摘要放入驗證字段。但是采用上述的數字簽名方案后,除生成該 lsu 的源路由器外,其它路由器一旦修改 lsu 的內容都將在接收方路由器被驗證出來,這很好的保證了路由信息不被外來入侵者尤其是內部錯誤路由器的篡改。這主要得益于數字簽名的不可否認性。這同樣解決了困擾 ospf 路由協議安全的序列號攻擊,包括序列號加一攻擊和最大序列號攻擊,原理與防止篡改內容是相同的。

2.最大程度的防止了最大年齡攻擊:在標準 ospf 中,maxage 字段是 lsa 中最容易受到攻擊的地方,這是由于 maxage 的特殊性而造成的。在簽名的 lsu 中添加了 is maxage 字段用于判斷該 lsu 中是否攜帶了最大年齡的 lsa。本文提出的這種方案有效地阻止了入侵者對年齡字段的修改,一旦年齡字段修改為 maxage,則路由器在接收該 lsu 報文后的驗證過程中通過比對消息摘要時可發現篡改,從而拋棄該 lsu。這在一定程度上阻止了針對 lsa 的最大年齡攻擊。但是,有些入侵者將 lsa 的 age 字段修改為一個很接近maxage 的值,這種情況本方案將很難對此進行判別并作出應對,目前來看也沒有有效的應對措施。這種攻擊方式從一定程度上加快了路由器更新 lsa 的速度,消耗了一定的資源,卻無特別大的威脅,應該在可以容忍的范圍之內。

基于 lsu 的數字簽名 ospf 機制的效率可以從計算時間、網絡帶寬和存儲三方面來分析。

時間:數字簽名保護的 ospf 協議其核心內容就是對一定的內容進行數字簽名。這一過程包括求不定長度的數據的 hash 序列、使用不對稱密鑰加解密數據。實驗在一臺amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上進行,系統為 cygwin 仿真的 unix 操作系統。采用 rsaref2 庫算法得到如下的結果:對于一個 16 比特的數據,使用 512-bit 的 key 產生和驗證一個數字簽名數據需要耗時 0.47 秒和 0.023 秒。事實上本文采用的 hash 函數計算出的散列值長度為 128 比特,也就是說系統在產生和驗證該數字簽名時需要耗費的時間可能還要多。

網絡帶寬:數字簽名保護的 ospf 協議相對于標準 ospf,其多占用的網絡帶寬主要體現在以下幾個方面:1、lsu 中數字簽名保護數據使得 lsu 的長度增大,直接增大了網絡中數據的傳輸量。2、數字簽名體制中 key 的分發與管理,這包括 pklsa 的傳播以及相應的應答等。這些額外的網絡帶寬負載與網絡的容量相比都是極其微小的。

存儲:數字簽名的 ospf路由器都需要存放自身的私鑰和區域中其它路由器的公鑰,這一部分存儲空間大小一定程度上決定于 area 的大小。而對于數字簽名的 lsu 或 lsa,在接受 lsu 報文后通過驗證后會將這些報文中的 lsa 存入鏈路狀態數據庫之中,這與普通的 ospf 路由器無異,不會將額外的簽名信息保存下來占用空間。而對于那些不能通過驗證的 lsa 則拋棄不用。

參考文獻

[1]鐘廷龍,李鑫,郭云飛. ospf 路由協議安全性分析[j]. 微計算機信息, 2005