第四章動態路由協議網絡安全基礎與實踐FundamentalsandPracticesofNetworkSecurityNetworkSecurity目錄動態路由RIP路由協議OSPF的基本概念和工作過程第一節第二節第三節OSPF單域的配置第四節OSPF的多區域第五節OSPF多區域配置第六節OSPF高級技術第七節一、動態路由2．未來新一代計算機芯片技術理想的路由算法穩定計算簡單最佳正確完整公平一、動態路由2．未來新一代計算機芯片技術理想的路由算法關于“最佳路由”不存在一種絕對的最佳路由算法。所謂“最佳”只能是相對于某一種特定要求下得出的較為合理的選擇而已。路由選擇非常復雜需要所有節點共同協調工作的。環境不斷變化，而這種變化有時無法事先知道。當網絡發生擁塞時，很難獲得所需路由選擇信息。一、動態路由2．未來新一代計算機芯片技術理想的路由算法互聯網：采用自適應的（即動態的）、分布式路由選擇協議。把整個互聯網劃分為許多較小的自治系統AS，采用分層次的路由選擇協議。分為2個層次：自治系統之間的路由選擇或域間路由選擇(interdomainrouting)；自治系統內部的路由選擇或域內路由選擇(intradomainrouting)；一、動態路由2．未來新一代計算機芯片技術自治系統（AS）：是在單一技術管理下的許多網絡、IP地址以及路由器，而這些路由器使用一種自治系統內部的路由選擇協議和共同的度量。每一個AS對其他AS表現出的是一個單一的和一致的路由選擇策略。自治系統R1R4自治系統R3自治系統自治系統R2自治系統一、動態路由2．未來新一代計算機芯片技術大類路由選擇協議內部網關協議IGPInteriorGatewayProtocol在一個自治系統內部使用的路由選擇協議常用：RIP，OSPF外部網關協議EGPExternalGatewayProtocol在不同自治系統之間進行路由選擇時使用的協議使用最多：BGP-4一、動態路由2．未來新一代計算機芯片技術大類路由選擇協議

用內部網關協議（例如，RIP）自治系統B自治系統A用外部網關協議（例如，BGP-4）R1R2

用內部網關協議（例如，OSPF）自治系統之間的路由選擇也叫做域間路由選擇(interdomainrouting)。自治系統內部的路由選擇叫做域內路由選擇

(intradomainrouting)。一、動態路由2．未來新一代計算機芯片技術大類路由選擇協議

用內部網關協議（例如，RIP）自治系統B自治系統A用外部網關協議（例如，BGP-4）R1R2

用內部網關協議（例如，OSPF）自治系統之間的路由選擇也叫做域間路由選擇(interdomainrouting)。自治系統內部的路由選擇叫做域內路由選擇

(intradomainrouting)。目錄RIP路由協議動態路由OSPF的基本概念和工作過程第二節第一節第三節OSPF單域的配置第四節OSPF的多區域第五節OSPF多區域配置第六節OSPF高級技術第七節二、RIP路由協議2．未來新一代計算機芯片技術內部網關協議互聯網路由選擇協議域內路由選擇域間路由選擇距離向量(DistanceVector)鏈路狀態(LinkState)路徑向量(pathvector)RIPOSPFBGP-4二、RIP路由協議2．未來新一代計算機芯片技術RIP的工作原理路由信息協議RIP(RoutingInformationProtocol)是一種分布式的、基于距離向量的路由選擇協議。互聯網的標準協議。最大優點：簡單。要求網絡中的每個路由器都要維護從它自己到其他每一個目的網絡的距離記錄。二、RIP路由協議2．未來新一代計算機芯片技術RIP距離定義路由器到直接連接的網絡的距離=1。路由器到非直接連接的網絡的距離=所經過的路由器數+

1。RIP協議中的“距離”也稱為“跳數”(hopcount)，每經過一個路由器，跳數就加1。以太網交換機路由器網絡網絡網絡網絡網絡ABCD跳數=1跳數=1E路由A-B-E的距離=2，路由A-C-D-E的距離=3。二、RIP路由協議2．未來新一代計算機芯片技術RIP距離定義好路由=“距離短”的路由。最佳路由=“距離最短”的路由。一條路徑最多只能包含15

個路由器。“距離”的最大值為16

時即相當于不可達。RIP不能在兩個網絡之間同時使用多條路由，只選擇距離最短”的路由。以太網交換機路由器網絡網絡網絡網絡網絡ABCD跳數=1跳數=1E二、RIP路由協議2．未來新一代計算機芯片技術RIP協議的三個特點僅和相鄰路由器交換信息。交換的信息是當前本路由器所知道的全部信息，即自己的路由表。按固定時間間隔交換路由信息，例如，每隔30秒。當網絡拓撲發生變化時，路由器也及時向相鄰路由器通告拓撲變化后的路由信息。二、RIP路由協議2．未來新一代計算機芯片技術RIP報文組成：首部和路由2個部分。路由部分：由若干個路由信息組成。每個路由信息共20個字節。地址族標識符（又稱為地址類別）字段用來標志所使用的地址協議。路由標記填入自治系統的號碼，后面為具體路由，指出某個網絡地址、該網絡的子網掩碼、下一跳路由器地址以及到此網絡的距離。一個RIP報文最多可包括25個路由，因而RIP報文的最大長度是4+20x25=504字節。如超過，必須再用一個RIP報文來傳送。RIP2具有簡單的鑒別功能。二、RIP路由協議2．未來新一代計算機芯片技術RIP報文RIP協議特點：好消息傳播得快，壞消息傳播得慢。問題：壞消息傳播得慢（慢收斂）。當網絡出現故障時，要經過比較長的時間才能將此信息（壞消息）傳送到所有的路由器。二、RIP路由協議2．未來新一代計算機芯片技術RIP報文R2R1網1網3網2正常情況11

12R1R1

說：“我到網1的距離是1，是直接交付。”“1”表示“從本路由器到網1”“1”表示“距離是1”“

”表示“直接交付”目錄OSPF的基本概念和工作過程RIP路由協議動態路由第三節第二節第一節OSPF單域的配置第四節OSPF的多區域第五節OSPF多區域配置第六節OSPF高級技術第七節三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF路由協議概述互聯網路由選擇協議域內路由選擇域間路由選擇距離向量(DistanceVector)鏈路狀態(LinkState)路徑向量(pathvector)RIPOSPFBGP-4三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF路由協議概述開放最短路徑優先OSPF(OpenShortestPathFirst)是為克服RIP的缺點在1989年開發出來的。原理很簡單，但實現很復雜。使用了Dijkstra

提出的最短路徑算法SPF。采用分布式的鏈路狀態協議(linkstateprotocol)。現在使用OSPFv2。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF路由協議特點分層結構：OSPF支持分層設計，以便更好地管理大型網絡。可伸縮性：OSPF適用于任何大小的網絡，并且可以與其它路由協議一起使用。支持多路徑：OSPF支持在多個等價路徑中進行路由選擇，以提高網絡的可靠性和容錯能力。快速收斂：OSPF協議使用快速收斂算法，可以在網絡拓撲變化時快速重新計算路由。鏈路狀態數據庫(link-statedatabase)每個路由器最終都能建立。全網的拓撲結構圖。在全網范圍內是一致的（這稱為鏈路狀態數據庫的同步）。每個路由器使用鏈路狀態數據庫中的數據構造自己的路由表（例如，使用Dijkstra的最短路徑路由算法）。鏈路狀態數據庫能較快地進行更新，使各個路由器能及時更新其路由表。重要優點：OSPF更新過程收斂速度快。OSPF將自治系統劃分為兩種不同的區域(area)自治系統AS區域0.0.0.1區域0.0.0.3主干區域0.0.0.0至其他自治系統R9R7R6R5R4R3R2R1區域0.0.0.2R8網8網6網3網2網1網7網4網5主干區域(backbonearea)標識符=

0.0.0.0，作用=用來連通其他下層區域。OSPF中的路由器：區域邊界路由器ABR(areaborderrouter)區域0.0.0.1區域0.0.0.3主干區域0.0.0.0至其他自治系統R9R7R4R3R2R1區域0.0.0.2R8網8網6網3網2網1網7網4網5R6R5自治系統ASOSPF中的路由器：主干路由器BR

(backbonerouter)區域0.0.0.1區域0.0.0.3主干區域0.0.0.0至其他自治系統R9R2R1區域0.0.0.2R8網8網6網3網2網1網7網4網5R7R4R3R6R5自治系統ASOSPF中的路由器：自治系統邊界路由器ASBR

(ASborderrouter)區域0.0.0.1區域0.0.0.3主干區域0.0.0.0至其他自治系統R9R2R1區域0.0.0.2R8網8網6網3網2網1網7網4網5R7R4R3R6R5自治系統AS三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF劃分區域優點和缺點優點：減少了整個網絡上的通信量。減少了需要維護的狀態數量。缺點：交換信息的種類增多了。使OSPF協議更加復雜了。分層次劃分區域的好處：使每一個區域內部交換路由信息的通信量大大減小，因而使OSPF協議能夠用于規模很大的自治系統中。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術其他特點對于不同類型的業務可計算出不同的路由。可實現多路徑間的負載均衡（loadbalancing）。所有在OSPF路由器之間交換的分組都具有鑒別的功能。支持可變長度的子網劃分和無分類編址CIDR。32位的序號，序號越大狀態就越新。全部序號空間在600年內不會產生重復號。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF的五種分組類型問候(Hello)分組。數據庫描述(DatabaseDescription)分組。鏈路狀態請求(LinkStateRequest)分組。鏈路狀態更新(LinkStateUpdate)分組。鏈路狀態確認(LinkStateAcknowledgment)分組。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF工作過程1，確定鄰站可達。相鄰路由器每隔10秒鐘要交換一次問候分組。若有40秒鐘沒有收到某個相鄰路由器發來的問候分組，則可認為該相鄰路由器是不可達的。2，同步鏈路狀態數據庫。同步：指不同路由器的鏈路狀態數據庫的內容是一樣的。兩個同步的路由器叫做完全鄰接的(fullyadjacent)路由器。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF工作過程3，更新鏈路狀態。只要鏈路狀態發生變化，路由器就使用鏈路狀態更新分組，采用可靠的洪泛法向全網更新鏈路狀態。為確保鏈路狀態數據庫與全網的狀態保持一致，OSPF還規定：每隔一段時間，如30分鐘，要刷新一次數據庫中的鏈路狀態。OSPF鏈路狀態只涉及相鄰路由器，與整個互聯網的規模并無直接關系，因此當互聯網規模很大時，OSPF協議要比距離向量協議RIP好得多。OSPF沒有“壞消息傳播得慢”的問題，收斂數度快。三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF工作過程問候問候數據庫描述數據庫描述數據庫描述數據庫描述鏈路狀態請求鏈路狀態更新鏈路狀態確認確定可達性同步鏈路狀態數據庫更新鏈路狀態三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF工作過程更新報文tACK報文RRRRt1t2t3t4OSPF使用可靠的洪泛法發送更新分組三、OSPF的基本概念和工作過程2．未來新一代計算機芯片技術OSPF工作過程多點接入的局域網采用了指定的路由器DR(designatedrouter)的方法，使廣播的信息量大大減少。指定的路由器代表該局域網上所有的鏈路向連接到該網絡上的各路由器發送狀態信息。目錄OSPF單域的配置RIP路由協議OSPF的基本概念和工作過程第四節第二節第三節動態路由第一節OSPF的多區域第五節OSPF多區域配置第六節OSPF高級技術第七節三、OSPF單域的配置2．未來新一代計算機芯片技術OSPF單域配置實例共3臺路由器、2臺PC組成的網絡環境。要求所有路由器配置OSSPF動態路由單域環境并完成PC間通信。三、OSPF單域的配置2．未來新一代計算機芯片技術OSPF單域配置實例配置思路（1）全網IP地址規劃與配置。包括3臺路由器的LoopBack端口，用于充當RouterID。（2）3臺路由器分別啟用OSPF協議并宣告其自身網段地址（3）驗證路由器之間的鄰居關系及路由表條目學習情況（4）驗證PC間通信目錄OSPF的多區域RIP路由協議OSPF的基本概念和工作過程第五節第二節第三節OSPF單域的配置第四節動態路由第一節OSPF多區域配置第六節OSPF高級技術第七節三、OSPF多區域2．未來新一代計算機芯片技術生成OSPF多區域的原因OSPF是一種基于鏈路狀態的路由協議，其運行需要在整個OSPF域內建立鏈路狀態數據庫（LSDB），該數據庫包含了整個網絡的拓撲信息。OSPF引入了多區域的概念。每個區域都可以獨立地維護自己的LSDB，并且只需與本區域內的路由器交換信息。這樣可以減少LSDB的大小和路由器之間的通信開銷。OSPF協議產生多區域可以提高網絡的可擴展性和性能，并且使得網絡管理更加靈活和可靠。三、OSPF多區域2．未來新一代計算機芯片技術OSPF中路由器的類型OSPF路由器類型一共有三種：IR（InternalRouter，內部路由器）ABR（AreaBorderRouter，區域邊界路由器）ASBR（AutonomousSystemBoundaryRouter，自治系統邊界路由器）。三、OSPF多區域2．未來新一代計算機芯片技術OSPF中鏈路狀態通告OSPF中鏈路狀態通告類型：類型描述類型1LSA描述了OSPF路由器自身的直連端口的參數信息，該LSA只在當前區域內泛洪；類型2LSA描述了DR已知的區域內自己及其他路由器的端口參數信息，只在當前區域內泛洪；類型3LSA描述了ABR發送到其他區域的本區域中匯總的端口參數信息，區域間泛洪；類型4LSA描述了ASBR的信息，由ABR發出；類型5LSA描述了AS外部網絡的信息，由ASBR發出；類型7LSA描述了AS外部網絡的信息，由NSSA區域中的ASBR發出。目錄OSPF多區域配置RIP路由協議OSPF的基本概念和工作過程第六節第二節第三節OSPF單域的配置第四節OSPF的多區域第五節動態路由第一節OSPF高級技術第七節三、OSPF多區域的配置2．未來新一代計算機芯片技術OSPF多區域配置實例全網共7臺路由器使用OSPF協議組成的網絡拓撲。為了優化網絡，設計了4個OSPF區域，分別為Area0、Area1、Area2、Area3。根據OSPF協議設計規定，所有非骨干區