OSPF路由协议的研究

1、ospf路由协议的研究张尚韬（福建信息职业技术学院福州，350003）摘 要：目前路由器在网络上扮演着越来越重要的角色，而在大型的网络中链路状态路由协议被广泛使 用。0spf路由协议又被称为开放式最短路径优先路由协议，它是典型的链路状态路由协议。0spf路由协议 就是利用其它路由器传送过来的链路状态来建立路由表的。本文重点讨论0spf路由协议，具体包括：路由 器怎样根据0spf路由协议来学习路由拓扑图和路由表以及0spf路由协议安全性的研究。关键词：0spf;路由；lsa;妥全1 0spf路由协议ospf是一种路由更新方式的路由协议，它会根据三种不同的方式来建立整个网络的拓 扑图，以便建立路由

2、器所需要的路由表。此三种不同的方式依次为：1.1相邻关系的建立：一个启用ospf路山协议的路山器会定时的发送所谓的hello数据包， 川来发现与它相邻的路由器。而这种hello数据包主要包含了三个栏目：hello interval：川来说明它送hello数据包的频率； router dead interval： jfj来指定路由器无法使用的时间； neighbor list：用來描述路由器已经知道邻居路由器的列表。当路由器z间利用hello数据包建立了彼此z间相邻的关系后，他们会进行彼此z间资料库 内容的交换，这样能让彼此之间的资料库同步，资料这样才能相同。1.2通过lsa （链路状态通告）来

3、实现信息分享的功能：一个具有ospf路由协议的路 由器会根据当时与它相邻的路由器连线情况发出所谓的lsa,以期能告诉它的路由器关于 此项信息。而收到lsa的路由器会再将其丢到网络中去，来让其他的路由器也有机会能知 道此项信息。1.3故短路径的计算：一个路市器收到它所需耍的数据时，便开始利用dijkstrk算法来计算 得到从它自己到达所有路由器的一个最短路径树。如此，它就可以川此最短路径树来建立所 需要的路由表，以便能将资料往正确的路径发出。为了减少路由器在运行过程屮传送流量、平衡数据的负担以及减少网络拓扑结构信息廉 的大小，ospf路由协议选择了两种阶层的路由架构。第一种为区域路由架构，第二种

4、为骨 干路由架构。这两种架构都存在于网络的同一口治系统。而在ospf系统中所谓的区域是一 群网络、设备、路山器的集合，每一个区域都维持自c区域的连接状态。区域内部的路山器 并不知道区域外部的网络拓扑，相对的区域外部的路由器也不知道区域内部的网络拓扑。这 样的机制不仅仅减少选择路由时所需的传送流量、平衡数据的负拟，以及减少网络拓扑结构 信息库的大小，更能将网络架构受到的攻击限制在一个区域内的路由器上，而不会影响其他 区域路由器的运行。所谓的骨t也可能是一群网络、设备、路由器的集合，但是佇干还具有 帮助自治系统内其他区域路市器将数据包传送给另一个区域或另一个自治系统的功能。2 ospf路由协议封装

5、数据包的型态ospf路巾协议定义了 5种包封装的型态。hello封装数据包用来维护相连路rfl器的关 系与找寻相邻的路市器。datebase description用来让两个路由器的网络拓扑数据库的的数 据同步。link state request封装数据包是当两个路由器拓扑结构数据库同步后，仍然有-一 些数据无法得知时，则运川此封装数据包要求得到这些数据。link state update是川来发送 更新的lsa信息给其他路fl器。link state acknowledge是当路fl器收到更新的lsa后回 应给产生lsa更新的路由器。3链路状态通告(lsa)安全方面的考虑个ospf的lin

6、k state update封装数据包通當包含了一个或多个的lsa來描述网络 上的一条或多条连接情况。lsa的表头主要有8部分，其表头如图一，为提高ospf网络的 安全性，我们将对其中两个可能遭受攻击的位进行说明。lsa的age位：该位用来指示该lsa经过多长吋i'可或是该lsa要被删除了。产生该 lsa的路由器，会将age位设置为“0”。而每当经过一个路由器吋，该路由器会将lsa的 age位加“1”后再往其他路由器发送。lsa的age位会一直增加到一个最大值3600,此时 收到lsa的age位为故大值的路rlt器会根据收到的lsa将lsa从路市器口己的网络拓扑 数据库中移除掉。因此，

7、路由器若想把某个由自己产生的lsa从自己的数据库与其他在相 同区域的路市器数据库移除的话，只耍送出一个一小时最大值的lsa即对以将该lsa从区 域屮的所令路由器数据廉屮移除掉。而这样的行为即可以保持区域内所有路由器的数据库一 致性的特质。lsa的sequence number位：这是当一个路由器收到多份相同的lsa时，可川来判断 哪一个lsa是比较新的版本。lsa的sequence number位的最小值为0x8000(x)01,最大值 为0x7fffffffo hu 0x80000000这个值山ospf保留起來。当路山器产生一个比较新的lsa 时，会根据之前产生的相同的lsa的sequenc

8、e number再加一。这样一来当一个路由器收 到多份相同的lsa时，町利用sequence number的值來判断哪个lsa是比较新的版木。 而当sequence number的值到达最大值0x7fffffff时，产牛该lsa的路由器若想再继续 产牛新的lsa时，会先针对该lsa发111 max age的lsa ,來让区域内所有的路由器先消 除该lsa ,之后再由最小值开始发出新的lsa。4 ospf的安全性ospf具备了两种主要女全性。第一种为flooding与信息最小相依性，第二种为分层式 的路由方法和信息隐藏。因为flooding对以确保在同一区域的路由器所保存的网络拓扑结 构数据库是

9、一致的。假设一个路由器坏了或是一个攻击者假造、更改其他路由器的lsa所 携带的相关信息，当原來产生该lsa的路由器也收到该项被更改或者假造的lsa时，它会 发出一个新的lsa来更正该项错误。这就是ospf所谓的fight-back的功能。而信息最小 相依性是指所有的信息都是由原来路由器产生的原来的信息，并不是使川由邻居的路由器所 提供给它的信息。例如：rip路由协议是利川邻居的路由器所提供的信息来得到其他路由器 的信息。这样的方式主要有两种隐忧，-是这样的方式很难去验证它所得到的信息是否正确; 二是这样的方式即使路由器知道它所得到的信息是不正确的，仍然没有办法去判断到底是哪 一个路仃器更改了这

10、项信息。因此，ospf所使用的网络拓扑数据便是由原来路仃器产牛的 原来的信息。这种方式有两个主耍的好处，一是只要路由器旁边的相邻路rlr器有一个是好的, 它就能得到所有网络架构的网络拓扑，也能够将自己的信息传给其它的路由器；二是这样的 方式可提供路山器之间加上认证码來验证它所收到的信息是否山原來的路山器送出。分层式的路由方法是指如之前提到的ospf分为区域与骨干两种层次。因此ospf的路 由方式即分为两种，一是区域内部的路由方式，二是区域间的路由方式。而区域连上骨干区 域的方式是利用所谓的区域边界路山器來完成连接的，也因此可以山三种方向來考虑ospf 分层式路山方式所提供信息的隐藏与安全。4.

11、1对于区域内部的路山器而言：山于区域内部的路山器所发出的lsa只会在区域内部中传 送，因此，区域内部的网络拓扑信息并不会传送到外面去。相对的外部区域的网络拓扑信息 也不会传送到内部來。所以当一个区域网络遭受到攻击时并不会影响到其他区域。4.2对区域边界路由器而言：若一个区域只有一个区域边界路由器负责对外界沟通时，那个 区域内部的路市幣只能完全接受区域边界路由器。因此，若该区域边界路由器对区域内传送 错误信息，区域内部的路由器只能接受，而若区域边界路由器对区域外传诵区域内的错误信 息，区域外的路由器也不知道。但是真正受到彩响的区域仍是维持在一个区域中。若一个区 域有多个区域边界路仃器负责对外界沟

12、通时，则区域边界路仃器所传送到内部的信息与传送 到外部的信息就能够被侦测出冲突的情形发牛。因而，可以侦测出哪一个路rlr器发牛问题。 4.3对向治系统边界路由器而言：ospf利川自治系统边界路由器来接收从外部输入的路由 信息，并将此路山信息传送到自治系统中。对于安全性而言，自治系统边界路山器是一个安 全上的漏洞。因为，自治系统边界路由器并没有办法去辨別由其他自治系统所送过来的路由 信息是否正确。若当一个攻击者一直传送一些垃圾般的路由信息给自治系统边界路由器时, 自治系统边界路山器只能全盘接受。此时很可能会造成自治系统边界路山器数据溢出（database overflow）的问题。而我们只能利用一些对database overflow的攻击來进彳j保护 措施。虽然ospf会有这样的攻击漏洞，但是这样的攻击并不会影响到自治系统内部的传输 流量。所以，ospf对于自治系统内的保护仍有很人的帮助。而冃，目前己有针对自治系统 之间的路由协议（如：bgp）,发展出一种安全认证的机制来保护自治系统传输路由信息的 安全性。5结束语以上文章是针对ospf路山协议做出的研究，其中也涉及到ospf安全方而的内容，ospf 的即时更新链路状态通