Information Security ?
信息安全Electronic Technology & Software Engineering 电子技术与软件工程? 205【关键词】动态路由 协议 安全性能 分析评价
动态路由协议是指路由器表的更新过程,
能够满足网络结构变化过程中的各种需求,目前常见的动态路由协议有BGP 协议、OSPF 协议和RIP V2协议三种。在路由器的网络数据和数据包传输过程中,如果路由协议出现漏洞,则很容易让不法分子钻空子,对网络的安全性带来威胁。本文将从BGP 协议、OSPF 协议和RIP V2协议三种动态路由协议的安全性和应用两方面展开分析研究,对常用动态路由协议的安全性进行评价。
1 BGP协议安全性的评价
从BGP 协议与Internet 的互动方式来看,
BGP 采用会话管理的方式,通过其中TCP 的179端口触发Keeppalive 和update 信息,Keeppalive 和update 信息被触发后会影响到与其临近的其他信息,BGP 的路由表就会实现更新和传播。Internet 是由多个相互连接的商业网络共同组成的,每一个网络单位都有一个自治系统号,这个系统号又被称为ASN ,在网络构建过程中,IANA 会完成它们的分配任务。在网络连接的状态下路由信息是共享的,这也就意味着在复杂多样的ASN 网络连接中需要有层的保护方式对各个自治系统号进行保护。
以TCP 为主要传输方式的BGP 协议最常
见的安全问题也是由TCP 本身引发的,由于在BGP 协议中,采用的是TCP 序列号进行工作,因此会出现TCP 序列号拒绝服务攻击、预测序列号以及SYP Flood 攻击等问题。当路由器设备应用可预测序列号时,就会遭到TCP 序列的攻击,BGP 协议的安全性就失去了保障。
在实际应用过程中,Internet 中运行的大常用动态路由协议安全性的评价
文/莫凡
部分路由器都会配备Cisco 设备,该设备中不包含预测序列号方案,BGP 协议遭到攻击的可能性会大大降低。许多BGP 协议中都采用了明文密码和相关的认证机制,除了受到正常序列号的攻击之外还可能遇到伪造报文和序列号的攻击。因此在应用时,BGP 协议一般都用在核心网的出口处,只需要对其设置一个相关的密码认证,协议的安全性就能大大提高。2 OSPF协议安全性的评价相较于其他类型的安全动态路由协议来说,OSPF 的运行机制较为复杂,因此其在运行过程中遭受攻击的环节最多,遭受攻击的可能性也最大。常见的OSPF 攻击方式有三种,分别是:资源消耗攻击、Upadate 报文攻击和Hello 报文攻击三种。其中资源消耗攻击主要体现在在OSPF 协议运行时,不同类型的OSPF 报文被不间断地大量发送,实体资源也就在不断消耗,极易造成资源的枯竭最后罢工停用。例如在给OSPF 发送Hello 报文时,由于Hello 报文所占的容量大,数据列过长且涉及的邻居列表也很多,因此很容易引发OSPF 与邻近列表之间构建其他对话,在接收一个报文的过程中所消耗的资源大大超出其任务所需,导致资源过度消耗。Upadate 报文攻击出现的原因是由于OSPF 协议中的LSA 参数被修改,在运转过程中OPSF 的运行方向出现了偏离。而OSPF 偏离的对象往往是攻击者的方向,攻击者常常会假扮成OSPF 路由器,在通过与其他路由器成功连接之后使LSA 在两个路由器之间传递,攻击者就无需链路密钥直接入侵OSPF 对其进行攻击。Hello 报文攻击出现的主要原因是Hello 报文中的参数出现了错误,邻居路由器在接收到错误报文之后就会丢弃Hello 报文,由此就会出现邻居Down 。而Hello 报文本身的作用是通过路由器之间的传递维护路由器与邻居路由器节点之间的关系,无论是Hello 报文的参数出现错误还是传输过程中遭到拒绝,都会造成邻居路由器Down 。在实际应用中,为了提高安全性较差的OSPF 协议的安全性能,一般采取的方式是增加验证和设计入侵检测系统。在验证的基础上,再在协议中加入入侵检测信息系统,充分保证系统的安全性能。 3 RIP V2协议安全性的评价与RIP V1相同的是,RIP V2同样采用的是不可靠的UDP 协议;但不同的是,RIP V2采用了密文和明文两种认证机制。明文认证机制能起到初步的安全防护作用,但在运行过程中易被察觉。在使用了密文加强保护之后,其报文传输内容就不那么容易被破解。在传输过程中,RIP V2协议以单向为主,当R2发出的信息正常时,R1就会接受信息,若发送的信息未被认证,信息就会被丢弃。报文就会在传输过程中被不断更新,RIP V2被攻击的可能性就大大削减。因此从总体上看,加了密文的RIP 协议路由器是一种安全性能较高的动态路由协议。4 结束语在常用的动态路由协议中,或多或少都存在一些安全性能方面的隐患,网络数据的安全性的重要性人尽皆知,因此为了保证常用动态路由协议的安全性可靠,就需要采取有针对性的措施对其安全问题进行排除。其中使用认证机制能够在一定程度上降低路由协议存在的安全风险,但要进一步确保其安全,还需要采取其他措施如建立密文协议等。经过重重处理,动态路由协议的安全性才能够得到充分提高,网路安全才能有所保障。参考文献[1]唐灿华.常用动态路由协议安全性分析及应用[J].中国新通信,2016,18(07):30-30,31.[2]莫闯.探究常用动态路由协议的安全性[J].科技风,2017(10):73.[3]邵明珠,卓伟,赵开新.常用路由协议分析及比较[J].河南机电高等专科学校学报,2016,14(02):25-27.作者简介莫凡(1989-),男,广东省雷州市人。研究方向为计算机技术。作者单位广东海洋大学寸金学院 广东省湛江市 524094
随着路由的发展,路由协议的种类也有很多,于是我研究了一下动态路由协议的实际应用和详细的介绍,在这里拿出来和大家分享一下,希望对大家有用。顾名思义,动态路由协议是一些动态生成(或学习到)路由信息的协议。在计算机网络互联技术领域,我们可以把路由定义如下,路由是指导IP报文发送的一些路径信息。动态路由协议是网络设备如路由器(Router)学习网络中路由信息的方法之一,这些动态路由协议使路由器能动态地随着网络拓扑中产生(如某些路径的失效或新路由的产生等)的变化,更新其保存的路由表,使网络中的路由器在较短的时间内,无需网络管理员介入自动地维持一致的路由信息,使整个网络达到路由收敛状态,从而保持网络的快速收敛和高可用性。 路由器学习路由信息、生成并维护路由表的方法包括直连路由(Direct)、静态路由(Static)和动态路由(Dynamic)。直连路由是由链路层动态路由协议发现的,一般指去往路由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也不需要路由器通过某种算法进行计算获得,只要该接口处于活动状态(Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路由无法使路由器获取与其不直接相连的路由信息。静态路由是由网络规划者根据网络拓扑,使用命令在路由器上配置的路由信息,这些静态路由信息指导报文发送,静态路由方式也不需要路由器进行计算,但是它完全依赖于网络规划者,当网络规模较大或网络拓扑经常发生改变时,网络管理员需要做的工作将会非常复杂并且容易产生错误。而动态路由的方式使路由器能够按照特定的算法自动计算新的路由信息,适应网络拓扑结构的变化。 动态路由协议的分类 按照区域(指自治系统),动态路由协议可分为内部网关协议IGP(InteriorGatewayProtocol)和外部网关协议EGP(ExteriorGatewayProtocol),按照所执行的算法,动态路由协议可分为距离向量动态路由协议(DistanceVector)、链路状态动态路由协议(LinkState),以及思科公司开发的混合型动态路由协议。 OSPF动态路由协议的特点 OSPF全称为开放最短路径优先。“开放”表明它是一个公开的协议,由标准协议组织制定,各厂商都可以得到动态路由协议的细节。“最短路径优先”是该动态路由协议在进行路由计算时执行的算法。OSPF是目前内部网关协议中使用最为广泛、性能最优的一个动态路由。 采用OSPF动态路由协议的自治系统,经过合理的规划可支持超过1000台路由器,这一性能是距离向量动态路由如RIP等无法比拟的。距离向量动态路由协议采用周期性地发送整张路由表来使网络中路由器的路由信息保持一致,这个机制浪费了网络带宽并引发了一系列的问题,下面对此将作简单的介绍。 路由变化收敛速度是衡量一个动态路由协议好坏的一个关键因素。在网络拓扑发生变化时,网络中的路由器能否在很短的时间内相互通告所产生的变化并进行路由的重新计算,是网络可用性的一个重要的表现方
太原理工大学现代科技学院计算机通信网络课程实验报告专业班级 学号 姓名 指导教师
实验名称 同组人 专业班级 学号 姓名 成绩 一、实验目的 《计算机通信网络》实验指导书 掌握RIP 动态路由协议的配置、诊断方法。 二、实验任务 1、配置RIP 动态路由协议,使得3 台Cisco 路由器模拟远程网络互联。 2、对运行中的RIP 动态路由协议进行诊断。 三、实验设备 Cisco 路由器3 台,带有网卡的工作站PC2 台,控制台电缆一条,交叉线、V35 线若干。 四、实验环境 五、实验步骤 1、运行Cisco Packet Tracer 软件,在逻辑工作区放入3 台路由器、两台工作站PC ,分别点击各路由器,打开其配置窗口,关闭电源,分别加入一个2 口同异步串口网络模块(WIC-2T ),重新打开电源。然后,用交叉线(Copper Cross-Over )按图6-1(其中静态路由区域)所示分别连接路由器和各工作站PC ,用DTE 或DCE 串口线缆连接各路由器(router0 router1),注意按图中所示接口连接(S0/0 为DCE ,S0/1 为DTE )。 2、分别点击工作站PC1、PC3,进入其配置窗口,选择桌面(Desktop )项,选择运行IP 设置(IP Configuration ),设置IP 地址、子网掩码和网关分别为 PC1 PC3 3、点击路由器R1,进入其配置窗口,点击命令行窗口(CLI )项,输入命令对路由器配置如下: 点击路由器R2,进入其配置窗口,点击命令行窗口(CLI )项,输入命令对路由器配………… ……… …… ………… …装… …… ……… … …… … …… … …… 订 …… … …… … …… … …… … …… … …
南昌大学实验报告 学生姓名:学号:专业班级: 实验类型:□验证■综合□设计□创新实验日期:2017/12/14 实验成绩: 实验六动态路由协议RIP配置实训 一、实验目的 ●深入了解RIP协议的工作原理 ●学会配置RIP协议网络 ●掌握RIP协议配置错误排除 二、实验设备及条件 ●运行Windows 操作系统计算机一台 ●Cisco Packet Tracer模拟软件 ●Cisco 1841路由器两台,普通交换机三台,路由器串口线一根 ●RJ-45转DB-9反接线一根 ●超级终端应用程序 三、实验原理 3.1 RIP协议简介 路由信息协议(Routing Information Protocol,RIP)是一种内部网关协议(IGP),是一种动态路由选择协议,用于自治系统(AS)内的路由信息的传递。RIP协议基于距离矢量算法(Distance Vector Algorithms),使用“跳数”(即metric)来衡量到达目标地址的路由距离。这种协议的路由器只关心自己周围的世界,只与自己相邻的路由器交换信息,范围限制在15跳(15度)之内,再远,它就不关心了。RIP应用于OSI网络七层模型的网络层。 在默认情况下,RIP使用一种非常简单的度量制度:距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。RIP进程使用UDP的520端口来发送和接收RIP 分组。RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。在RIP中,如果一个路由在180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。 RIP协议是最早的路由协议,现在仍然发挥“余热”,对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现。有两个版本。 ●RIPv1协议—有类路由协议 ●RIPv2协议—无类路由协议,需手工关闭路由自动汇总。 另外,为了兼容IP V6的应用,RIP协议也发布了IP V6下的应用协议RIPng(Routing Information Protocol next generation) 有类与无类的区别在于: 有类路由在路由更新时不会将子网掩码一同发送出去,路由器收到更新后会假设子网掩码。子网掩码的假设基于IP的分类,很明显,有类路由只会机械地支持A、B、C这样的IP
03 动态路由协议简介 3.1 协议介绍及其优点 3.1.1 前景和背景知识 1、动态路由协议的发展历程 2、认识动态路由协议: 路由协议是用于路由器之间交换路由信息的协议。通过路由协议,路由器可以动态共享有关远程网络的信息,并自动将信息添加到各自的路由表中。 3.1.2网络发现和路由表的维护 1、路由协议的用途如下: 1)发现远程网络 2)维护最新路由信息 3)选择通往目的网络的最佳路径 4)当前路径无法使用时找出新的最佳路径 2、路由协议由哪些部分组成? 1)数据结构(Data structures)-某些路由协议使用路由表和/或数据库来完成路由过程。 此类信息保存在内存中。 2)算法(Algorithm)-算法是指用于完成某个任务的一定数量的步骤。路由协议使用 算法来路由信息并确定最佳路径。 3)路由协议消息(Routing protocol messages)-路由协议使用各种消息找出邻近的路由 器,交换路由信息,并通过其它一些任务来获取和维护准确的网络信息。 3、动态路由协议的运行过程如下: 1)路由器通过其接口发送和接收路由消息。 2)路由器与使用同一路由协议的其它路由器共享路由消息和路由信息。 3)路由器通过交换路由信息来了解远程网络。 4)如果路由器检测到网络拓扑结构的变化,路由协议可以将这一变化告知其它路由器。 3.1.3动态路由协议的优点 1、静态路由的优点: 1)占用的CPU 处理时间少。 2)便于管理员了解路由。 3)易于配置。 2、静态路由的缺点: 1)配置和维护耗费时间。 2)配置容易出错,尤其对于大型网络。 3)需要管理员维护变化的路由信息。 4)不能随着网络的增长而扩展;维护会越来越麻烦。 5)需要完全了解整个网络的情况才能进行操作。 3、动态路由的优点: 1)增加或删除网络时,管理员维护路由配置的工作量较少。 2)网络拓扑结构发生变化时,协议可以自动做出调整。 3)配置不容易出错。 4)扩展性好,网络增长时不会出现问题。 4、动态路由的缺点:
常用动态路由协议安全性分析及应用 【摘要】路由器寻找的最佳路径是路由协议,它能保持各个路由器间的路由表相同,实现各个路由器间的相互连通,且在网络间传递数据包。可见,动态路由协议是借助路由器间的信息传递,计算、更新网络结构。但在此过程中,存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP 和RIP V2三种常用的动态路由协议安全性进行分析,并总结其应用。 【关键词】动态路由安全性应用 连接网络的重要硬件设备,是路由器,它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程,它能够满足网络结构变化的需求。常用的动态路由分为三种,分别为BGP协议、OSPF协议和RIP V2协议。如果在数据包传递过程中,协议出现漏洞,那么容易被人利用,给网络安全造成严重影响。所以,分析常用动态路由协议安全性显得尤为重要。 一、常用动态路由协议安全性分析 1.1 BGP协议安全性 多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络,需要定义一个自治系统号,即ASN,它们
的分配由IANA完成[1]。自治系统号共有65535个,其中私用保留的为65512―65535。路由信息在共享状态下,此号码的维护方式可以采取层的方式。BGP采用会话管理,其中TCP 的179端口可起到触发作用,使Keepalive和update信息被触发,且累及其邻居,从而更新和传播BGP路由表。 然而,因BGP的传输方式以TCP为主,那么容易导致BGP 出现关于TCP的诸多问题,例如拒绝服务攻击,预测序列号,SYN Flood攻击等。BGP主要是利用TCP的序列号,未使用自身的序列号。所以,一旦设备应用可预测序列号,就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备,没有采用预测序列号方案,这就降低了受到攻击的风险。一些BGP在默认状态下,未采用相关的认证机制,有些BGP继续沿用明文密码,这样,大大增加了受到攻击的可能性。 实际应用BGP协议时,还会受到伪造报文攻击等其他攻击。但通常情况下,BGP主要在核心网的出口应用,且配置密码认证,因此,BGP协议的安全性相对较高。 1.2 OSPF协议安全性 复杂是OSPF运行机制的主要特征,运行中的诸多环节都有可能受到攻击者的攻击,给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送,这样极易导致攻击实体资源枯
RIP EIGRP和OSPF重分布 Cisco默认的几种路由协议的AD如下: 1.直连接口:0 2.静态路由:1(例外:使用接口来代替下1跳地址的时候它会被认为是直连接口) 3.EIGRP汇总路由:5 4.External(外部) BGP:20 5.EIGRP:90 6.IGRP:100 7.OSPF:110 8.IS-IS:115 9.RIP:120 10.EGP:140 11.External(外部) EIGRP:170 12.Internal(内部) BGP:200 13.未知:255 做重分布时的各路由协议的默认metric值 1、往RIP里做时,metric值默认infinity.所以要人工指定metric值,注意不要超过RIP中最大16跳. 2、往OSPF里做时,metric值默认是20,metric-type 是2默认不发布子网. 3、往EIGRP里做时,metric值默认是infinity,人工指metric值时包括:带宽,延迟,可靠度,负载,MTU.(注:可靠度=255时最大,负载=1时最小,MTU=1500,一般来说这三个值都设成这样.而且在配置metric值时的顺序就是这样的顺序.) 如:Paige(config-router)#redistribute ospf 1 metric 10000 100 255 1 1500 4、往IS-IS里做时,Router的默认类型是level-2的,并且metric值为0,在做重分布时,如果网络中只有一个IS-IS进程时,可以不写IS-IS的tag,而其他的路由协议,如EIGRP后面必须跟上进程号. 注:metric-type类型为由于OSPF的外部路由分为 类型1:--外部路径成本+数据包在OSPF网络所经过各链路成本 类型2:--外部路径成本,即ASBR上的默认设置 问题:在向EIGRP中重分布时,必须指定默认管理距离吗?为何只在OSPF向EIGRP重分布时distance eigrp 90 150?? 答:在默认时EIGRP的内部管理距离是90,外部路由管理距离是170,命令“distance eigrp 90 150”只是修改了外部管理距离 R1(config)#int loo0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#int s2/0 R1(config-if)#ip add 192.168.12.1 255.255.255.0 R1(config-if)#no sh
一、实验拓扑 和上个实验《使用BFD备份静态路由》的拓扑一样,编址一样。 二、基础配置 R1的基础配置 # sysname AR1 # interface Vlanif1 ip address 192.168.10.1 255.255.255.0 # interface GigabitEthernet0/0/0 ip address 12.1.1.1 255.255.255.0 ospf cost 5 # interface GigabitEthernet0/0/1 ip address 102.1.1.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.255 # bgp 100
network 12.1.1.2 0.0.0.0 network 102.1.1.2 0.0.0.0 # 三、观查现况(未使能BFD) 在PC上发50个ping包,并同时中断HUB2 和HUB3之间的链路,观察OSPF和BGP的收敛,及PC的丢包 PC>ping 192.168.20.20 -c 50 Ping 192.168.20.20: 32 data bytes, Press Ctrl_C to break From 192.168.20.20: bytes=32 seq=1 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=2 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=3 ttl=126 time=16 ms From 192.168.20.20: bytes=32 seq=4 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=5 ttl=126 time=16 ms Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! Request timeout! From 192.168.20.20: bytes=32 seq=25 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=26 ttl=126 time=15 ms From 192.168.20.20: bytes=32 seq=27 ttl=126 time=31 ms From 192.168.20.20: bytes=32 seq=28 ttl=126 time=16 ms --- 192.168.20.20 ping statistics --- 28 packet(s) transmitted 9 packet(s) received 67.86% packet loss round-trip min/avg/max = 15/19/31 ms
关于路由协议试题以及参考答案 1、解决路由环问题的方法有(ABD) A.水平分割 B.路由保持法 C.路由器重启 D.定义路由权的最大值 2、下面哪一项正确描述了路由协议(C) A.允许数据包在主机间传送的一种协议 B.定义数据包中域的格式和用法的一种方式 C.通过执行一个算法来完成路由选择的一种协议 D.指定MAC地址和IP地址捆绑的方式和时间的一种协议 3、以下哪些内容是路由信息中所不包含的(A) A.源地址 B.下一跳 C.目标网络 D.路由权值 4、以下说法那些是正确的(BD) A.路由优先级与路由权值的计算是一致的 B.路由权的计算可能基于路径某单一特性计算,也可能基于路径多种属性 C.如果几个动态路由协议都找到了到达同一目标网络的最佳路由,这几条路由都会被加入路由表中
D.动态路由协议是按照路由的路由权值来判断路由的好坏,并且每一种路由协议的判断方法都是不一样的 5、IGP的作用范围是(C) A.区域内 B.局域网内 C.自治系统内 D.自然子网范围内 6、距离矢量协议包括(AB) A. RIP B. BGP C. IS-IS D. OSPF 7、关于矢量距离算法以下那些说法是错误的(A) A.矢量距离算法不会产生路由环路问题 B.矢量距离算法是靠传递路由信息来实现的 C.路由信息的矢量表示法是(目标网络,metric) D.使用矢量距离算法的协议只从自己的邻居获得信息 8、如果一个内部网络对外的出口只有一个,那么最好配置(A) A.缺省路由 B.主机路由 C.动态路由
9、BGP是在(D)之间传播路由的协议 A.主机 B.子网 C.区域(area) D.自治系统(AS) 10、在路由器中,如果去往同一目的地有多条路由,则决定最佳路由的因素有(AC) A.路由的优先级 B.路由的发布者 C.路由的metirc值 D.路由的生存时间 11、在RIP协议中,计算metric值的参数是(D) A. MTU B.时延 C.带宽 D.路由跳数 12、路由协议存在路由自环问题(A) A. RIP B. BGP C. OSPF D. IS-IS
目录 1. 路由协议 (3) 1.1. 静态的与动态的部路由 (3) 1.2. 选路信息协议(RIP) (5) 1.2.1. 慢收敛问题的解决 (7) 1.2.2. RIP报文格式 (8) 1.2.3. RIP编址约定 (9) 1.2.4. RIP报文的发送 (10) 1.3. OSPF (10) 1.3.1. 概述 (10) 1.3.2. 数据包格式 (10) 1.3.3. OSPF基本算法 (11) 1.3.4. OSPF路由协议的基本特征 (12) 1.3.5. 区域及域间路由 (13) 1.3.6. OSPF协议路由器及链路状态数据包分类 (16) 1.3.7. OSPF协议工作过程 (18) 1.3.8. OSPF路由协议验证 (21) 1.3.9. 小结 (21) 1.4. HELLO协议 (22) 1.5. 将RIP,HELLO和EGP组合起来 (23) 1.6. 边界网关协议第4版(BGP4) (24) 1.7. EGP (27) 1.7.1. 给体系结构模型增加复杂性 (27) 1.7.2. 一个其本思想:额外跳 (28) 1.7.3. 自治系统的概念 (30) 1.7.4. 外部网关协议(EGP) (31) 1.7.5. EGP报文首部 (32) 1.7.6. EGP邻站获取报文 (33) 1.7.7. EGP邻站可达性报文 (34) 1.7.8. EGP轮询请求报文 (34) 1.7.9. EGP选路更新报文 (35) 1.7.10. 从接收者的角度来度量 (37) 1.7.11. EGP的主要限制 (38) 2. CISCO 路由器产品介绍 (40) 2.1. C ISCO 2500 (40) 2.2. C ISCO 4500-M (40) 2.3. C ISCO 7200 (41) 2.4. C ISCO 7513/7507 (43) 3. 路由器的基本配置 (43) 参数设置 (43)
动态路由协议概述 动态路由协议的基本思想: 路由器之间互相交换路由表(距离矢量路由协议) 链路信息(链路状态路由协议) 1.距离向量路由选择协议包括RIPv1、RIPv2 、IGRP 、BGP,其中IGRP是思科专有协议。 2.RIPv1 、RIPv2 、IGRP是内部网关路由选择协议,BGP是外部网关路由选择协议。 3.距离向量路由选择协议的工作方式是定期广播路由器自身的完整或部分路由表。 4.每个路由器把自己直连网络的路由的度量值设置为0,把它收到的来自其它路由器的路由表中的度量值增加一定的数值。 RIPv1的特征: 1.它是距离矢量路由选择协议 使用跳数作为度量值,最大跳数15,超过15跳,就不再添加进路由表
2.采用广播(255.255.255.255)进行路由更新 3.更新周期为30秒 4.管理距离:120 5.不支持变长子网掩码VLSM,只允许使用标准的A、B 、C类网络地址,是有类别(Classful)的路由选择协议。 RIPv2配置: 1.指定路由选择协议:# router rip 2.除了要加入一条“version 2”以外,其他配置都与RIPv1配置相同。 http://biz.doczj.com/doc/5815721594.html,work命令指定要发布的直连网络地址,不需要指定子网值,只指定标准A、B 、C类网络地址即可 4.RIPv2靠识别配置在各个接口上的IP地址和子网掩码来支持变长子网掩码。 RIPv2的特征: 1.也是距离矢量路由选择协议,支持认证 2.同样使用跳数作为度量值,最大跳数15,超过15跳,就不再添加进路由表 3.采用组播地址(22 4.0.0.9)进行路由更新 4.更新周期也是30秒,同时支持触发更新 5.管理距离也是120 6.支持变长子网掩码VLSM,适合多数小型网络,是无类别(Classless)的路由选择协议
目录 摘要 (2) Abstract (3) 第一章绪论 (4) 1.1局域网发展 (4) 1.2研究意义 (4) 1.3本章小结 (7) 第二章路由 (7) 2.1路由协议简介 (7) 2.1.1 RIP协议 (9) 2.2 路由环路及解决 (10) 2.3 本章小结 (16) 第三章本设计组网 (17) 3.1 需求分析 (17) 3.2 设备介绍 (17) 3.3 组网实现 (17) 3.4 本章小结 (24) 第四章网络分析 (25) 4.1网络分析总体描述 (25) 4.2 对网络进行流量的监控 (25) 4.2.1 流量监控软件 (25) 4.2.2 流量监控实现 (26)
摘要 随着社会经济的发展,越来越多的公司、工厂、学校的出现,人们对于小型局域网的需求越来越大,越来越多。而局域网的组成路由协议是不可或缺的一部分,在路由协议中RIP协议有着举足轻重的地位。考虑到小型局域网的要求及各种路由协议的优缺点,因此在这里我们将会用RIP协议来进行组网。 本文中主要针对石家庄某大型公司的内部网络进行设计和分析,更会对其中可能会出现的各种问题进行讨论及进行解决。对RIP协议的局限性进行研究、分析,对比其他路由协议查找本协议的缺点和不足之处。对该公司的局域网进行分析、讨论。 关键词:RIP 小型局域网网络分析
Abstract With the development of social economy, more and more companies, factories and schools are becoming more and more.. And the local area network routing protocol is an indispensable part, in the routing protocol RIP protocol has a pivotal position. Considering the requirements of small local area network and the advantages and disadvantages of various routing protocols, we will use RIP protocol to make a network.. This paper mainly for the internal network of a large company in Shijiazhuang of design and analysis, will discuss and solve the problems which may occur. Research and analyze thelimitations of RIP protocol, disadvantages and shortcomings compared to other routing protocols for this agreement.The company's local area network is analyzed and discussed. Keywords: RIP LAN Network analysis
计算机网络技术实验报告 学生学号: 学生姓名: 专业年级:网络工程级班 开课学期:第5学期 指导教师:梁正友
一、实验名称 动态路由协议配置 二、实验目的 1.了解路由协议工作机制。 2.掌握常用路由协议配置方法。 三、实验任务 1.配置LAN端口。 2.配置WAN端口。 3.完成RIP协议的配置。 4.完成IGRP协议的配置。 5.完成OSPF协议的配置。 四、实验环境及工具 安装Boson NetSim的PC至少一台。 五、实验记录 实验任务一 实验时间实验内容实验地点实验人 LAN端口的配置 实验步骤LAN端口是路由器与局域网的连接点,每个LAN端口与一个子网相连,配置LAN端口就是将LAN端口子网地址范围 内的一个IP地址分配给LAN端口。目前路由器上常用的LAN 端口多为以太网端口,即Ethernet口,在路由器中常被简 写为e,e0即表示Ethernet0,即第0号以太网端口。LAN 端口的配置步骤如下: 1.启动Boson NetSim 从Windows系统中选择“开始”→“程序”→Boson Software→Boson NetSim命令,运行Boson NetSim。 2.查看网络拓扑结构图 单击Boson NetSim主界面工具栏中的NetMap按钮,调 出网络拓扑结构图。双击图中的网络设备图标即可显示 该设备型号及和其他网络设备的连接。右击网络设备图
标,在弹出的快捷菜单中选择Configure命令进入该网络设备的配置状态。 3.进入特权模式 右击路由器Router4图标,在弹出的快捷菜单中选择Configure命令,进入Router4的配置状态。在Router>提示符下输入enable,系统提示符改为Router#,表示进入特权模式。 4.进入配置模式 在Router#提示符下输入configure terminal,系统提示符显示Router(config)#,表示进入配置模式。 5.配置以太网端口 在配置模式下输入“interface e0”,按Enter键,提示符变为Router(config-if)#,进入e0端口配置。 6.在Router(config-if)#下输入“ip address 172.16.10.1 255.255.255.0”,其格式为:ip address
计算机网络实验报告记录(动态路由协议配置)
————————————————————————————————作者:————————————————————————————————日期:
计算机网络技术实验报告 学生学号: 学生姓名: 专业年级:网络工程级班 开课学期:第5学期 指导教师:梁正友
一、实验名称 动态路由协议配置 二、实验目的 1.了解路由协议工作机制。 2.掌握常用路由协议配置方法。 三、实验任务 1.配置LAN端口。 2.配置WAN端口。 3.完成RIP协议的配置。 4.完成IGRP协议的配置。 5.完成OSPF协议的配置。 四、实验环境及工具 安装Boson NetSim的PC至少一台。 五、实验记录 实验任务一 实验时间实验内容实验地点实验人 LAN端口的配置 实验步骤LAN端口是路由器与局域网的连接点,每个LAN端口与一个子网相连,配置LAN端口就是将LAN端口子网地址范围 内的一个IP地址分配给LAN端口。目前路由器上常用的LAN 端口多为以太网端口,即Ethernet口,在路由器中常被简 写为e,e0即表示Ethernet0,即第0号以太网端口。LAN 端口的配置步骤如下: 1.启动Boson NetSim 从Windows系统中选择“开始”→“程序”→Boson Software→Boson NetSim命令,运行Boson NetSim。 2.查看网络拓扑结构图 单击Boson NetSim主界面工具栏中的NetMap按钮,调 出网络拓扑结构图。双击图中的网络设备图标即可显示 该设备型号及和其他网络设备的连接。右击网络设备图
动态路由协议RIP 1.实验目的:通过不同路径实现全网互通 2.实验设备:4台路由器,2台电脑,若干交叉线 3.实验步骤:启动RIP路由协议:router rip分布直连网络:network 4.实验拓扑图 . 5..实验具体步骤: 1.R1 Router>en Router>enable Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#host Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip ad R1(config-if)#ip address 192.168.1.254 255.255.255.0 R1(config-if)#no sh R1(config-if)#no shutdown R1(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#int f0/1 R1(config-if)#ip ad R1(config-if)#ip address 192.168.3.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#no shutdown
RIP(Routing Information Protocols)路由信息协议 OSPF(Open Shortest Path First)开放式路径优先 EIGRP:(Enhanced Interior Gateway Routing Protocol)―――――――――――――――加强型内部网关路由协议 静态路由:静态路由只适用于小型网络或小型转中型网络中只有较小范围的扩充中。需要手工输入,手工管理,管理开销对于动态路由来说是一个大大的负担。 优点:带宽优良,安全性好。 动态路由协议:网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新和维护路由表的过程,是基于某种路由协议实现的。 种类:距离向量路由协议和链路状态路由协议。 特点:减少管理任务,占用网络宽带 RIP:RIP是使用最广泛的距离向量路由协议。RIP是为小型网络环境设计的,因为这类协议的路由学习及路由更新将产生较大的流量,占用过多的带宽。为了避免路由环路,RIP 采用水平分割、毒性逆转、定义最大跳数、闪式更新、抑制计时5 个机制来避免路由环路。水平分割是一个规则,用来防止路由环路的产生,这里的规则指的是从一个接口上学习到的路由信息,不再从这个接口发送出去。 RIP 协议分为版本1 和版本2。不论是版本1 或版本2,都具备下面的特征: 1. 是距离向量路由协议; 2. 使用跳数(Hop Count)作为度量值; 3.默认路由更新周期为30 秒; 4. 管理距离(AD)为120; 5. 支持触发更新; 6. 最大跳数为15 跳; 7. 支持等价路径,默认4 条,最大6 条; 8. 使用UDP520 端口进行路由更新。 RIPv1 和RIPv2 的区别如表: RIPv1 和RIPv2 的区别 RIPv1 RIPv2 在路由更新的过程中不携带子网信息在路由更新的过程中携带子网信息 不提供认证提供明文和MD5 认证 不支持VLSM 和CIDR 支持VLSM 和CIDR 采用广播(255.255.255.255)更新采用组播(224.0.0.9)更新 有类别(Classful)路由协议无类别(Classless)路由协议 经过一系列路由更新,网络中的每个路由器都具有一张完整的路由表的过程,称为收敛。OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。现广为使用的是OSPF第二版,最新标准为RFC2328
CISCO实验教程之四:RIP动态路由协议配置 一、路由表功能介绍 所谓路由表,指的是路由器或者其他互联网网络设备上存储的表,该表中存有到达特定网络终端的路径,在某些情况下,还有一些与这些路径相关的度量。 路由器的主要工作就是为经过路由器的每个数据包寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表(Routing Table),供路由选择时使用,表中包含的信息决定了数据转发的策略。打个比方,路由表就像我们平时使用的地图一样,标识着各种路线,路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。 1.静态路由表 由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。 2.动态路由表 动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。 路由器通常依靠所建立及维护的路由表来决定如何转发。路由表能力是指路由表内所容纳路由表项数量的极限。由于Internet上执行BGP协议的路由器通常拥有数十万条路由表项,所以该项目也是路由器能力的重要体现。 路由表项如下: 首先,路由表的每个项的目的字段含有目的网络前缀。其次,每个项还有一个附加字段,还有用于指定网络前缀位数的子网掩码(address mask).第三,当下一跳字段代表路由器时,下一跳字段的值使用路由的IP地址。 理解网际网络中可用的网络地址(或网络ID)有助于路由决定。这些知识是从称为路由表的数据库中获得的。路由表是一系列称为路由的项,其中包含有关网际网络的网络ID 位置信息。路由表不是对路由器专用的。主机(非路由器)也可能有用来决定优化路由的路由表。路由表项的类型 路由表中的每一项都被看作是一个路由,并且属于下列任意类型: 网络路由 网络路由提供到网际网络中特定网络ID 的路由。 主路由 主路由提供到网际网络地址(网络ID 和节点ID)的路由。主路由通常用于将自定义路由创建到特定主机以控制或优化网络通信。 默认路由 如果在路由表中没有找到其他路由,则使用默认路由。例如,如果路由器或主机不能找到目标的网络路由或主路由,则使用默认路由。默认路由简化了主机的配置。使用单个默认的路由来转发带有在路由表中未找到的目标网络或网际网络地址的所有数据包,而不是为网际网络中所有的网络ID 配置带有路由的主机。 路由表结构 路由表中的每项都由以下信息字段组成:
I P v路由协议的详细介 绍精编 Document number:WTT-LKK-GBB-08921-EIGG-22986
I P v6路由协议的详细介绍IPv6是对IPv4的革新,尽管大多数IPv6的路由协议都需要重新设计或者开发,但IPv6路由协议相对IPv4只有很小的变化。目前各种常用的单播路由协议(IGP、EGP)和组播协议都已经支持IPv6。 1IPv6单播路由协议 IPv6单播路由协议实现和IPv4中类似,有些是在原有协议上做了简单扩展(如,ISISv6、BGP4+),有些则完全是新的版本(如,RIPng、OSPFv3)。 1.1RIPng 下一代RIP协议(简称RIPng)是对原来的IPv4网络中RIP-2协议的扩展。大多数RIP的概念都可以用于RIPng。 为了在IPv6网络中应用,RIPng对原有的RIP协议进行了修改: UDP端口号:使用UDP的521端口发送和接收路由信息组播地址:使用FF02::9作为链路本地范围内的RIPng 路由器组播地址 路由前缀:使用128比特的IPv6地址作为路由前缀 下一跳地址:使用128比特的IPv6地址 1.2OSPFv3 OSPFv3是OSPF版本3的简称,主要提供对IPv6的支持,遵循的标准为RFC2740(OSPFforIPv6)。与OSPFv2相
比,OSPFv3除了提供对IPv6的支持外,还充分考虑了协议的网络无关性以及可扩展性,进一步理顺了拓扑与路由的关系,使得OSPF的协议逻辑更加简单清晰,大大提高了OSPF的可扩展性。 OSPFv3和OSPFv2的不同主要有: 修改了LSA的种类和格式,使其支持发布IPv6路由信息 修改部分协议流程,使其独立于网络协议,大大提高了可扩展性 主要的修改包括用Router-ID来标识邻居,使用链路本地(Link-local)地址来发现邻居等,使得拓扑本身独立于网络协议,与便于未来扩展。 进一步理顺了拓扑与路由的关系 OSPFv3在LSA中将拓扑与路由信息相分离,一、二类LSA中不再携带路由信息,而只是单纯的描述拓扑信息,另外用新增的八、九类LSA结合原有的三、五、七类LSA来发布路由前缀信息。 提高了协议适应性 通过引入LSA扩散范围的概念,进一步明确了对未知LSA的处理,使得协议可以在不识别LSA的情况下根据需要做出恰当处理,大大提高了协议对未来扩展的适应性。 1.3IS-ISv6
Information Security ? 信息安全Electronic Technology & Software Engineering 电子技术与软件工程? 205【关键词】动态路由 协议 安全性能 分析评价 动态路由协议是指路由器表的更新过程, 能够满足网络结构变化过程中的各种需求,目前常见的动态路由协议有BGP 协议、OSPF 协议和RIP V2协议三种。在路由器的网络数据和数据包传输过程中,如果路由协议出现漏洞,则很容易让不法分子钻空子,对网络的安全性带来威胁。本文将从BGP 协议、OSPF 协议和RIP V2协议三种动态路由协议的安全性和应用两方面展开分析研究,对常用动态路由协议的安全性进行评价。 1 BGP协议安全性的评价 从BGP 协议与Internet 的互动方式来看, BGP 采用会话管理的方式,通过其中TCP 的179端口触发Keeppalive 和update 信息,Keeppalive 和update 信息被触发后会影响到与其临近的其他信息,BGP 的路由表就会实现更新和传播。Internet 是由多个相互连接的商业网络共同组成的,每一个网络单位都有一个自治系统号,这个系统号又被称为ASN ,在网络构建过程中,IANA 会完成它们的分配任务。在网络连接的状态下路由信息是共享的,这也就意味着在复杂多样的ASN 网络连接中需要有层的保护方式对各个自治系统号进行保护。 以TCP 为主要传输方式的BGP 协议最常 见的安全问题也是由TCP 本身引发的,由于在BGP 协议中,采用的是TCP 序列号进行工作,因此会出现TCP 序列号拒绝服务攻击、预测序列号以及SYP Flood 攻击等问题。当路由器设备应用可预测序列号时,就会遭到TCP 序列的攻击,BGP 协议的安全性就失去了保障。 在实际应用过程中,Internet 中运行的大常用动态路由协议安全性的评价 文/莫凡 部分路由器都会配备Cisco 设备,该设备中不包含预测序列号方案,BGP 协议遭到攻击的可能性会大大降低。许多BGP 协议中都采用了明文密码和相关的认证机制,除了受到正常序列号的攻击之外还可能遇到伪造报文和序列号的攻击。因此在应用时,BGP 协议一般都用在核心网的出口处,只需要对其设置一个相关的密码认证,协议的安全性就能大大提高。2 OSPF协议安全性的评价相较于其他类型的安全动态路由协议来说,OSPF 的运行机制较为复杂,因此其在运行过程中遭受攻击的环节最多,遭受攻击的可能性也最大。常见的OSPF 攻击方式有三种,分别是:资源消耗攻击、Upadate 报文攻击和Hello 报文攻击三种。其中资源消耗攻击主要体现在在OSPF 协议运行时,不同类型的OSPF 报文被不间断地大量发送,实体资源也就在不断消耗,极易造成资源的枯竭最后罢工停用。例如在给OSPF 发送Hello 报文时,由于Hello 报文所占的容量大,数据列过长且涉及的邻居列表也很多,因此很容易引发OSPF 与邻近列表之间构建其他对话,在接收一个报文的过程中所消耗的资源大大超出其任务所需,导致资源过度消耗。Upadate 报文攻击出现的原因是由于OSPF 协议中的LSA 参数被修改,在运转过程中OPSF 的运行方向出现了偏离。而OSPF 偏离的对象往往是攻击者的方向,攻击者常常会假扮成OSPF 路由器,在通过与其他路由器成功连接之后使LSA 在两个路由器之间传递,攻击者就无需链路密钥直接入侵OSPF 对其进行攻击。Hello 报文攻击出现的主要原因是Hello 报文中的参数出现了错误,邻居路由器在接收到错误报文之后就会丢弃Hello 报文,由此就会出现邻居Down 。而Hello 报文本身的作用是通过路由器之间的传递维护路由器与邻居路由器节点之间的关系,无论是Hello 报文的参数出现错误还是传输过程中遭到拒绝,都会造成邻居路由器Down 。在实际应用中,为了提高安全性较差的OSPF 协议的安全性能,一般采取的方式是增加验证和设计入侵检测系统。在验证的基础上,再在协议中加入入侵检测信息系统,充分保证系统的安全性能。 3 RIP V2协议安全性的评价与RIP V1相同的是,RIP V2同样采用的是不可靠的UDP 协议;但不同的是,RIP V2采用了密文和明文两种认证机制。明文认证机制能起到初步的安全防护作用,但在运行过程中易被察觉。在使用了密文加强保护之后,其报文传输内容就不那么容易被破解。在传输过程中,RIP V2协议以单向为主,当R2发出的信息正常时,R1就会接受信息,若发送的信息未被认证,信息就会被丢弃。报文就会在传输过程中被不断更新,RIP V2被攻击的可能性就大大削减。因此从总体上看,加了密文的RIP 协议路由器是一种安全性能较高的动态路由协议。4 结束语在常用的动态路由协议中,或多或少都存在一些安全性能方面的隐患,网络数据的安全性的重要性人尽皆知,因此为了保证常用动态路由协议的安全性可靠,就需要采取有针对性的措施对其安全问题进行排除。其中使用认证机制能够在一定程度上降低路由协议存在的安全风险,但要进一步确保其安全,还需要采取其他措施如建立密文协议等。经过重重处理,动态路由协议的安全性才能够得到充分提高,网路安全才能有所保障。参考文献[1]唐灿华.常用动态路由协议安全性分析及应用[J].中国新通信,2016,18(07):30-30,31.[2]莫闯.探究常用动态路由协议的安全性[J].科技风,2017(10):73.[3]邵明珠,卓伟,赵开新.常用路由协议分析及比较[J].河南机电高等专科学校学报,2016,14(02):25-27.作者简介莫凡(1989-),男,广东省雷州市人。研究方向为计算机技术。作者单位广东海洋大学寸金学院 广东省湛江市 524094