任务3 路由设备漏洞发现与防范
任务介绍
路由器是局域网连接外部网络的重要桥梁,是网络系统中不可或缺的重要部件,也是网络安全的前沿关口。如果路由器的自身安全没有保障,整个网络亦毫无安全可言。企业在网络安全管理上,必须对路由器进行合理的规划、配置,了解自身的安全漏洞,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
本任务以案例为启示,培养学生加强路由器安全管理的措施和方法,确保电子商务网络更具安全性。
任务分析
安全专家最近发现大多数家庭路由器存在一个设计漏洞,导致攻击者能远程利用此安全漏洞引诱连接到这种路由器的计算机访问一个陷阱网站。这类网站通常伪装成银行、商务公司或医疗机构等可信赖网站。即使用户修改了路由器默认口令,此安全漏洞还能被利用。只要计算机安装了最新版本的Adobe Flash软件,无论这台计算机采用什么操作系统与浏览器,该安全漏洞都能被攻击者利用。
最严重的修改是修改连接到路由器的服务器电脑访问的网站,如这将诱使受害者访问假冒的eBay或美国银行网站,看到假冒的窃取他们登录证书的网页。
该安全漏洞还能让攻击者打开受害者路由器上的端口,再把这些端口发送给外部服务器,从而把受害者的路由器变成类似于僵尸电脑的设备。
现已证实Linksys、Dlink和SpeedTouch等公司生产的路由器存在该安全漏洞,其他厂商产品也可能同样存在。既然多数路由器会在默认状态下打开即插即用功能,则防止这种攻击的惟一办法是关闭这个功能。有些路由器可以关闭这个功能,但并非所有的路由器都能关闭这个功能。
任务实施
通过此案例的学习,学习能充分认识到到黑客能很容易地利用路由器的漏洞发起攻击,路由器攻击会浪费CPU周期,误导信息流量,导致网络陷于瘫痪。好的路由器本身会采取好的安全机制保护自身,但仅此一点远远不够,保护路由器安全仍需网络管理员在配置和管理路由器过程中采取相应的安全措施。
一、堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一,具体操作是将控制台和终端会话配置成在较短闲置时间后自动退出系统;避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问,用户一定要确保路由器的安全补丁是最新的。漏洞常常在供应商发行补丁之前被披露,这又会让黑客抢在供应商发行补丁之前利用受影响的系统——亟须引起用户关注。
二、避免身份危机
黑客常利用弱口令或默认口令进行攻击,防止这类漏洞的有效措施是加长口令、选用30~60天的口令有效期、重要IT员工辞职后应立即更换口令等措施。用户应启用路由器上的口令加密功能,即使黑客能浏览系统的配置文件,但仍需破译密文口令。实施合理的验证控制以便路由器安全传输证书。用户还可以在大多数路由器上配置诸如远程验证拨入用户服务等协议,使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证,以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分,后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳(SSH)或IPSec内传送安全证书。
三、禁用不必要服务
拥有众多路由服务虽好,但诸多安全事件都凸显了禁用不需要服务的重要性。需要注意的是,禁用路由器上的CDP可能会影响路由器的性能。再一个需要用户注意的是定时,定时对有效操作网络必不可少。即使用户确保了部署期间时间同步,经过一段时间后,时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议(NTP)的服务,对照有效准确的时间源以确保网络上的设备时针同步。确保网络设备时钟同步的最佳方式不是通过路由器,而在防火墙保护的非军事区(DMZ)的网络区段放一台NTP服务器,将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。用户很少需要在路由器上运行其他服务,如SNMP和DHCP,只有绝对必要的时才会使用。
四、限制逻辑访问
(一)限制逻辑访问
限制逻辑访问是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但若无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
(二)控制消息协议(ICMP)
控制消息协议有助于排除故障,但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为防止黑客搜集上述信息,只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间(TTL)的。此外,逻辑访问控制还应禁止ICMP流量以外的所有流量。
(三)使用入站访问控制
可将特定服务引导至对应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层(SSL)的HTTP(HTTP/S)流量进入Web服务器。为了避免路由器成为DoS攻击目标,用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击,但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。
(四)利用出站访问控制
可限制来自网络内部的流量。这种控制能防止内部主机发送ICMP流量,只允许有效源地址包离开网络,有助于防止IP地址欺骗,减小黑客利用用户系统攻击另一站点的可能性。
五、监控配置更改
用户在改动路由器配置后,必须对其监控。如用户使用SNMP,则一定选择功能强大的共用字符串,最好使用提供消息加密功能的SNMP。如不通过SNMP管理对设备进行远程配置,最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,就能防止黑客改动或关闭接口。此外,用户还需将系统日志消息从路由器发送至指定服务器。
为进一步确保安全管理,用户可使用SSH等加密机制,利用SSH与路由器建立加密的远程会话。为加强保护,还应限制SSH会话协商,只允许会话用于同用户经常使用的几个可信系统进行通信。
配置管理的一个重要部分是确保网络使用合理的路由协议。避免使用路由信息协议(RIP),因为RIP容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议(BGP)和开放最短路径优先协议(OSPF)等协议,以便在接受路由更新前通过发送口令的MD5散列,使用口令验证对方。以上措施有助于确保系统接受的任何路由更新的正确性。
六、实施配置管理
用户应实施控制存放、检索与更新路由器配置的配置管理策略,并将配置备份文档妥善保存在安全服务器上,以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。
用户可通过两种方法将配置文档存放在支持命令行接口(CLI)的路由器平台上。一是运行脚本,脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;二是在配置服务器到路由器之间建立IPSec隧道,通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应明确哪些人员有权更改路由器配置、何时更改与如何更改。在进行任何更改之前,制订详细逆序操作规程。
知识拓展
一、路由器综述
路由器是互联网的主要节点设备,通过路由决定数据转发。转发策略称为路由选择(routing),即路由器(route)。
路由器常用于节点众多的大型网络环境,它处于ISO/OSI模型的网络层。与交换机和网桥相比,路由器、特别是高端路由器在实现骨干网的互联方面具有明显优势。路由器高度的智能化,对各种路由协议、网络协议和网络接口的广泛支持,还有其独具的安全性和访问控制等功能和特点,为网桥和交换机等其他互联设备所不及。路由器的中低端产品可用于连接骨干网设备与小规模端点的接入,高端产品用于骨干网间的互联以及骨干网与互联网的连接。对于骨干网的互联和骨干网与互联网的互联互通,不但技术复杂,涉及通信协议、路由协议和接口众多,信息传输速度要求高,且对网络安全性的要求也大大高于其他场合。采用高端路由器作为互联设备具有其他互联设备不可比拟的优势。
二、路由器的作用
路由器的一个作用是连通不同网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,让网络系统发挥更大效益。
从过滤网络流量的角度看,路由器的作用与交换机和网桥非常相似。但与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但对那些结构复杂的网络,使用路由器可提高网络的整体效率。路由器的另一明显优势是自动过滤网络广播。总之,在网络中添加路由器的整个安装过程比即插即用的交换机复杂许多。
三、路由器的类型及特点
路由器在互联网各种级别的网络中随处可见。接入网络使家庭和小型企业能连接到某个互联网服务提供商;企业网中的路由器连接一个企业或企业内成千上万的计算机;骨干网上的路由器终端系统通常不能直接访问,它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论对骨干网、企业网还是接入网都带来不同挑战。骨干网要求路由器能对少数链路进行高速路由转发。企业级路由器不但要求端口数目多、价格低廉,且要求配置起来简单方便,并提供QoS。
路由器的类型有以下几种:
(1) 接入路由器。接入路由器连接家庭或ISP内的小型企业客户,不仅提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术很快提高各家庭的可用带宽,进一步增加接入路由器的负荷。鉴于这些趋势,接入路由器将会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开电话交换网。
(2) 企业级路由器。企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互联,且进一步要求支持不同的服务质量。许多企业网络均为Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无须配置,但不支持服务等级。相反,有路由器参与的网络能将机器分成多个碰撞域,并能控制一个网络的大小。此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但路由器的每端口造价贵,且在使用之前须进行大量配置工作。因此,企业路由器的成败在于是否提供大量端口且每端口的造价低廉、是否容易配置、是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。
(3) 骨干级路由器。骨干级路由器实现企业级网络的互联。对它的要求是速度和可靠性,代价则处于次要地位。硬件的可靠性可采用电话交换网中使用的技术,如热备份、双电源、双数据通路等获得。这些技术对所有骨干路由器都是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时,输入端口在转发表中查找该包的目的地址以确定其目的端口,当包越短或当包要发往许多目的端口时,势必增加路由查找的代价。因此,将一些常访问的目的端口放到缓冲中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。除性能瓶颈问题,路由器的不稳定性不容忽视。
(4) 太比特路由器。在未来核心互联网使用的三种主要技术中,光纤和DWDM均已成熟且现成。若没有与现有光纤技术和DWDM技术提供的原始带宽对应的路由器,新的网络基础设施将无法从根本上得到性能改善。因此,开发高性能的骨干交换/路由器(太比特路由器)已成为一项迫切要求。太比特路由器技术现在还主要处于开发实验阶段。
四、路由器的体系结构
从体系结构上看,路由器可分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器、第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。
五、路由器的构成
路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。
输入端口是物理链路和输入包的进口处。端口通常由线卡提供,一块线卡一般支持4、8或16个端口,一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口(称为路由查找),路由查找可以使用一般的硬件来实现,或者通过在每块线卡上嵌入一个微处理器来完成。第三,为了提供QoS(服务质量),端口要对收到的包分成几个预定义的服务级别。第四,端口可能需要运行诸如SLIP(串行线网际协议)和PPP(点对点协议)这样的数据链路级协议或者诸如PPTP(点对点隧道协议)这样的网络级协议。一旦路由查找完成,必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的,则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源(如交换开关)的仲裁协议。
六、路由器原理及路由协议
(一)网络互联
把自己的网络同其他的网络互联起来,从网络中获取更多的信息和向网络发布自己的消息,是网络互联最主要的动力。网络的互联有多种方式,使用最多的是网桥互联和路由器互联。
(1)网桥互联的网络。网桥工作在OSI模型中的第二层,即链路层。完成数据帧(Frame)的转发,主要目的是在连接的网络间提供透明的通信。网桥的转发是依据数据帧中的源地址和目的地址判断一个帧是否应转发和转发到哪个端口。帧中的地址称为“MAC”地址或“硬件”地址,一般是网卡所带的地址。
网桥的作用是把两个或多个网络互联起来,提供透明的通信。网络上的设备看不到网桥的存在,设备之间的通信就如同在一个网上一样方便。由于网桥是在数据帧上进行转发的,因此只能连接相同或相似的网络(相同或相似结构的数据帧),如以太网之间、以太网与令牌环(Token Ring)之间的互联,对于不同类型的网络(数据帧结构不同),如以太网与X.25之间,网桥就无能为力了。
网桥扩大了网络的规模,提高了网络性能,给网络应用带来方便,以前的网络中,网桥应用尽管较为广泛,但网桥互联也带来诸多问题:一是,广播风暴,即网桥不阻挡网络中广播消息。当网络规模较大时(几个网桥,多个以太网段),有可能引起广播风暴(Broadcasting Storm),导致整个网络全被广播信息充满,直至完全瘫痪;二是,当与外部网络互联时,网桥会把内部和外部网络合二为一,使双方自动向对方完全开放自己的网络资源。这种互联方式在与外部网络互联时显然难以接受。其主要根源是网桥只是最大限度地把网络沟通,而不管传送的信息是什么。
(2)路由器互联网络。路由器互联与网络的协议有关,路由器工作在OSI模型中的第三层,即网络层。路由器利用网络层定义的“逻辑”上的网络地(即IP地址)区别不同的网络,实现网络的互联和隔离,保持各个网络的独立性。路由器不转发广播消息,仅把广播消息限制在各自网络内部。发送到其他网络的数据首先被送到路由器,再由路由器转发。
IP路由器只转发IP分组,把其余的部分挡在网内(包括广播),保持各个网络具有相对的独立性,这样可以组成具有许多网络(子网)互联的大型的网络。由于在网络层互联,路由器可方便连接不同类型的网络,只要网络层运行的是IP协议,通过路由器就可互联。
网络中的设备用它们的网络地址(TCP/IP网络中为IP地址)互相通信。IP地址是与硬件地址无关的“逻辑”地址。路由器只根据IP地址来转发数据。IP地址的结构有两部分,一部分定义网络号,另一部分定义网络内的主机号。目前在Internet网络采用子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址均为32bit,且两者一一对应,并规定子网掩码中数字为“1”所对应的IP地址中的部分为网络号,为“0”所对应的则为主机号。网络号和主机号合起来,才构成一个完整的IP地址。同一个网络中的主机IP地址,其网络号必须是相同的,该网络称为IP子网。
通信只能在具有相同网络号的IP地址之间进行,要与其他IP子网的主机进行通信,则须经过同一网络上的某个路由器或网关(Gateway)出去。不同网络号的IP地址不能直接通信,即使它们接在一起,也不能通信。
路由器IP地址的网络号要求与所连接的IP子网的网络号相同。不同的端口为不同的网络号,对应不同的IP子网,这样才能使各子网中的主机通过自己子网的IP地址把要求出去的IP分组送到路由器上。
(二)路由原理
当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时,它将直接把IP分组送到网络上,对方很容易收到。而要送不同IP于网上的主机时,它要选择一个能到达目的子网上的路由器,把IP分组送给该路由器,由路由器负责把IP分组送到目的地。如果没有找到这样的路由器,主机就把IP分组送给一个称为“缺省网关(Default Gateway)”的路由器上。“缺省网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的IP地址。
路由器转发IP分组时,只根据IP分组目的IP地址的网络号部分选择合适的端口,把IP分组送出。同主机一样,路由器也要判定端口所接的是否是目的子网,如是,即直接把分组通过端口送至网络;否则,也要选择下一个路由器传送分组。路由器也有它的缺省网关,用来传送不知往哪儿送的IP分组。这样,通过路由器把知道如何传送的IP分组正确转发出去,不知道的IP分组送给“缺省网关”路由器,这样一级级地传送,IP分组最终将送到目的地,送不到目的地的IP分组则被网络丢弃了。
目前TCP/IP网络均通过路由器互联,Internet是成千上万个IP子网通过路由器互联起来的国际性网络,称为以路由器为基础的网络(Router Based Network),形成以路由器为节点的“网间网”。在“网间网”中,路由器不仅负责对IP分组的转发,还负责与别的路由器联络,共同确定“网间网”的路由选择和维护路由表。
路由动作包括两项基本内容:寻径和转发。
寻径。即判定到达目的地的最佳路径,由路由选择算法实现。因其涉及不同的路由选择协议和路由选择算法,故而相对复杂。为判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表,根据路由表可将目的网络与下一站(nexthop)的关系告诉路由器。路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度来决定最佳路径。这就是路由选择协议(Routing Protocol),例如路由信息协议(RIP)、开放式最短路径优先协议(OSPF)和边界网关协议(BGP)等。
转发。即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找,判明是否知道如何将分组发至下一个站点(路由器或主机),如路由器不知如何发送分组,通常将该分组丢弃;否则应根据路由表的相应表项将分组发送至下一站点,如果目的网络直接与路由器相连,路由器就把分组直接送到相应的端口上。这就是路由转发协议(RoutedProtocol)。
路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的路由表,同时后者要利用前者提供的功能来发布路由协议数据分组。随后涉及的路由协议,除非特别说明均指路由选择协议。
(三)路由协议
1. 静态路由和动态路由
典型的路由选择方式有两种:静态路由和动态路由。
(1)静态路由。静态路由即在路由器中设置的固定路由表。除非网络管理员干预,静态路由不会发生变化。由于静态路由不能对网络的改变作出反应,一般用于网络规模不大、拓扑结构固定的网络中,其优点是简单、高效、可靠。在所有路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。
(2)动态路由。动态路由是网络中的路由器之间相互通信、传递路由信息、利用收到的路由信息更新路由器表的过程。它能实时适应网络结构的变化。如果路由更新信息表明发生网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各网络引起各路由器重新启动其路由算法,并更新各自路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。各种动态路由协议会不同程度占用网络带宽和CPU资源。
静态路由和动态路由的特点和适用范围不同,在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如查到则根据相应的静态路由转发分组;否则再查找动态路由。
2. 动态路由协议
根据是否在一个自治域内部使用,动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)。自治域指一个具有统一管理机构、统一路由策略的网络,自治域内部采用的路由选择协议称为内部网关协议,常用的有RIP、OSPF;外部网关协议主要用于多个自治域之间的路由选择,常用的是BGP和BGP-4。
(1)RIP路由协议。最初为Xerox网络系统的Xerox parc通用协议设计,是Internet中常用的路由协议。RIP采用距离向量算法,即路由器根据距离选择路由,也称为距离向量协议。路由器收集所有可到达目的地的不同路径,且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其他信息均予以丢弃。路由器也把所收集的路由信息用RIP协议通知相邻的其他路由器,使正确的路由信息逐渐扩散到全网。
RIP使用非常广泛,它简单、可靠,便于配置,但只适用于小型同构网络,因其允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达。而且,RIP每隔30s一次的路由信息广播是造成网络的广播风暴的重要原因之一。
(2)OSPF路由协议。RIP早在20世纪80年代中期即不能适应大规模异构网络的互联,OSPF随之产生。OSPF是网间工程任务组织(IETF)内部网关协议工作组为IP网络而开发的一种路由协议。
OSPF是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其他路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其他一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。
与RIP不同,OSPF将一个自治域再划分为区,相应地也有两种类型的路由选择方式:当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。这就大大减少了网络开销,增加了网络稳定性。当一个区内的路由器出现故障时并不影响自治域内其他区路由器的正常工作,方便网络的管理、维护。
(3)BGP和BGP-4路由协议。BGP是为TCP/IP互联网设计的外部网关协议,用于多个自治域之间。它既不是基于纯粹的链路状态算法,也不是基于纯粹的距离向量算法。其主要功能是与其他自治域的BGP交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP更新信息包括网络号/自治域路径的成对信息。自治域路径包括到达某个特定网络须经过的自治域串,这些更新信息通过TCP传送出去,以保证传输的可靠性。
为满足Internet日益扩大的需要,BGP持续发展。最新的BGP4可以将相似路由合并为一条路由。
(4)路由表项的优先问题。在一个路由器中可同时配置静态路由和一种或多种动态路由。它们各自维护的路由表都提供给转发程序,但这些路由表的表项间可能会发生冲突。这种冲突可通过配置各路由表的优先级解决。通常静态路由具有默认的最高优先级,当其他路由表表项与它矛盾时,均按静态路由转发。
四、路由算法
路由算法在路由协议中至关重要,采用何种算法决定最终的寻径结果如何,故选择路由算法一定要仔细。通常综合考虑以下几个设计目标:
(1) 最优化。指路由算法选择最佳路径的能力。
(2) 简洁性。算法设计简洁,利用最少的软件和开销,提供最有效的功能。
(3) 坚固性。路由算法处于非正常或不可预料的环境时,如硬件故障、负载过高或操作失误时,都能正确运行。由于路由器分布在网络连接点上,所以在它们出故障时会产生严重后果。最好的路由器算法通常能经受时间的考验,并在各种网络环境下被证实是可靠的。
(4) 快速收敛。收敛是在最佳路径的判断上所有路由器达到一致的过程。当某个网络事件引起路由可用或不可用时,路由器就发出更新信息。路由更新信息遍及整个网络,引发重新计算最佳路径,最终达到所有路由器一致公认的最佳路径。收敛慢的路由算法会造成路径循环或网络中性。
(5)灵活性。路由算法可以快速、准确地适应各种网络环境。例如,某个网段发生故障,路由算法要能很快发现故障,并为使用该网段的所有路由选择另一条最佳路径。
路由算法按照种类可分为以下几种:静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量。前面几种的特点与字面意思基本一致,下面着重介绍链路状态和距离向量算法。
链路状态算法(也称最短路径算法)发送路由信息到互联网上所有的结点,然而对于每个路由器,仅发送它的路由表中描述其自身链路状态的那一部分。距离向量算法(也称为Bellman-Ford算法)则要求每个路由器发送其路由表全部或部分信息,但仅发送到邻近结点上。从本质上看,链路状态算法将少量更新信息发送至网络各处,而距离向量算法发送大量更新信息至邻接路由器。
由于链路状态算法收敛更快,它在一定程度上比距离向量算法更不易产生路由循环。但另一方面,链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间,因此链路状态算法将会在实现时显得更昂贵一些。除此,两种算法在多数环境下都能很好运行。
需要注意是,路由算法使用多种不同的度量标准决定最佳路径。复杂的路由算法可能采用多种度量来选择路由,通过一定的加权运算,将它们合并为单个的复合度量、再填入路由表中,作为寻径的标准。通常所使用的度量有:路径长度、可靠性、时延、带宽、负载、通信成本等。
五、新一代路由器
由于多媒体等应用在网络中的发展,以及ATM、快速以太网等新技术的不断采用,网络的带宽与速率飞速提高,传统路由器已不能满足人们对路由器的性能要求。因为传统路由器的分组转发的设计与实现均基于软件,在转发过程中对分组的处理要经过许多环节,转发过程复杂,使分组转发的速率较慢。另外,由于路由器是网络互联的关键设备,是网络与其他网络进行通信的一个“关口”,对其安全性有很高的要求,因此路由器中各种附加的安全措施增加了CPU的负担,使路由器成为整个互联网上的“瓶颈”。
传统路由器在转发每一个分组时,都要进行包括路由查找、访问控制表匹配、地址解析、优先级管理等一系列的操作。这些操作大大影响路由器的性能与效率,降低了分组转发速率和转发的吞吐量,增加了CPU负担。由于经过路由器的前后分组间相关性很大,具有相同目的地址和源地址的分组往往连续到达,为分组的快速转发提供了实现的可能与依据。IP Switch、Tag Switch等新一代路由器即采用这一设计思想用硬件实现快速转发,大大提高了路由器的性能与效率。
新一代路由器使用转发缓存简化分组的转发操作。在快速转发过程中,只需对一组具有相同目的地址和源地址的分组的前几个分组进行传统的路由转发处理,并把成功转发的分组的目的地址、源地址和下一网关地址(下一路由器地址)放人转发缓存中。当其后的分组要转发时,首先查看转发缓存,如该分组的目的地址和源地址与转发缓存中的匹配,则直接根据转发缓存中的下一网关地址进行转发,无须经过传统的复杂操作,大大减轻路由器负担,实现了提高路由器吞吐量的目标。
任务总结
路由器在企业网中占有重要地位,是整个网络的核心,故而成为黑客入侵和病毒肆虐的重点对象。
通过该任务的学习,学生能进一步深刻理解路由器的安全性:不能单纯地以路由器能供正常上网为最终目标,还要注意路由器内部是否存在安全漏洞,是否被植入后门,以免上网的信息流入黑客手里。
国家安全部门严格管理各种网络设备的采购,为防止国外交换机有意植入后门进而入侵国家安全部门,在招标过程中特别强调采用国内自主研发的网络设备。
任务评价
一、评价方法
本任务采用学生自我评价、小组评价和教师评价的方法,对学习目标进行检验。学生本人首先对自己的调研情况进行自查,找出成绩分析不足;小组根据每位同学所做的工作和对调查报告结论的贡献给出综合评价;最后教师针对每个小组的调研报告结合每一位同学给出评价结论,指出改进和努力的方向。
二、评价指标
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。