路由器架构

路由器架构（共4篇）

路由器架构 篇1

0 引言

LAR[1] (Location-aided routing) 协议是一种方向性泛洪的路由协议, 适用于较快速的移动自组网 (MANET:Mobile Ad Hoc Network) , 相对于普通泛洪路由具有路由查找快、控制开销小的特点, 由于其只提出策略, 并不限于某一确定的协议, 因而适用范围广。当前关于LAR协议本身的研究较多, 但如何在硬件上实现LAR协议的研究相对较少, 本文尝试提出一种实现LAR协议的路由器架构设计。

在移动自组网中, 每个节点的地位均等, 要求采用无中心的网络结构, 同时网络中的节点是移动的, 从而带来拓扑的频繁变化, 这就要求网络中的节点必须具备动态查找、建立和维护路由的功能。当网络中的路由建立后, 数据又通过这些路由节点由源节点发送至目的节点, 因而每个节点又必须具备数据转发的功能。即每个节点既是路由器又是数据转发器。这使得传统的路由器架构不再适用。

1 传统路由器架构

当前的路由器架构设计多基于Linux平台, 按功能可以划分成包转发和包路由两部分[2]。包转发功能指的是当接收到数据包后, 查找路由表, 根据路由表中查得的路由信息转发数据包。包路由功能指的是节点建立转发路由的过程, 每个节点的转发路由表中含有足以完成数据转发所需的路由信息, 即路由表中含有发现路由和维护路由所需的信息。

在Linux平台下, 包转发都是通过内核应用程序实现的, 即对用户空间来说, 路由相对是一个后台程序。路由转发表保存在内核空间, 由内核路由表或用户空间的路由后台程序调用。当Linux内核收到一个数据包后, 它查询内核空间中保存的内核转发表, 通过对应的网络接口将该数据包发送到下一跳邻居节点。内核路由表的这种调用是通过用户空间的路由后台程序安装设计好的算法或协议来实现的。其原理如图1所示。

2 实现LAR协议的路由器架构设计

2.1 实现LAR协议的路由器需求分析

实现LAR协议的路由器其功能是寻找从源节点发送数据包到目的节点的最佳路由, 从而实现数据包的可靠传输。因此, 必须能够满足以下需求:

(1) 从接口组件接收数据包, 从数据包中分离出包头文件, 对数据包分类, 解码和校验。为了减少延时适应的高动态性, 可以在收到数据包后只对头文件进行处理。

(2) 必须能根据路由表或缓存中已有的路由信息找到数据包的发送路由。

(3) 如果没有到目的节点的路由, 必须能够依据LAR协议发起路由查找。

(4) 如果获得了目的节点的路由, 必须能够确定下一跳节点的路由和接口, 然后更新发送数据包的头文件信息。

(5) 所发送的数据包必须能够通过接口正确发送到下一跳节点。

2.2 与现有路由器之间的不同

LAR协议是一种按需型路由协议, 它所需求的路由器与传统的路由器存在以下不同:

(1) 处理没有路由信息的数据包的方式不同

现有路由协议在接到一个数据包后, 通常会在内核路由表中查找该包对应的路由信息, 如果找不到对应的路由信息, 则直接将该包扔掉。而LAR协议中的数据包有可能其路由在现在的路由表里还没有, 因此必须先在队列缓存器中保留该数据包, 通知路由后台程序启动路由查找, 直到其路由信息建立后, 才能转发或等待一定的时间后丢弃该数据包。现有的架构还不能实现这一要求, 要实现LAR协议, 新的路由架构必须要实现以下功能:

①能识别存在路由请求的需求。

②能告知路由后台程序存在路由查找。

③队列缓存能保存数据包直到路由建立。

④路由建立后能将该数据重新插入发送列队。

(2) 路由缓存的更新方式不同

为了优化路由发现开销, LAR协议要求路由器中设计一个缓存, 存贮用户空间中最近使用过的路由。每一条路由记录中都设计一个计时器, 当路由使用完后, 计时器达到最大计数, 此时才可删除路由器缓存中的该条路由记录并重设计时器。如果内核路由表中的某条路由记录在预设的最大时间到来时仍未被使用, 应当能够告知路由后台程序。而目前的路由器架构中并不向后台程序提供这一信息。

(3) 功能区分不同

现有架构的路由器的路由功能和转发功能区分的很明确, 而LAR协议所要求的路由器对这两种功能则没有明确区分。

LAR协议只有当有数据要发送时才发起路由, 没有周期性的路由广播、邻居节点或链路感知, 及时地删除不用的路由信息等行为, 路由行为只随着转发行为启动。

2.3 实现LAR协议的路由器架构设计

针对以上需求和特点, 借鉴现有的路由器的架构, 实现LAR协议的路由器在现有基础上做出以下改进:

(1) 在核心路由表中, 为每条路由记录增加一个标志位。通过该标志位指示该条路由记录是否是LAR协议的路由记录。标志位的定义与核心程序对数据包路由失效时定义的标志位相同。当路由器发现该标志位时, 就能识别出这是一条LAR协议路由, 当该路由的下一跳信息没有时, 对应的处理程序能够告知路由后台程序, 该条路由还没有建立, 需要在队列中保持该数据包, 而不是将其删除。

(2) 需要对现有的核心包转发功能进行升级以实现LAR协议的按需路由功能。为此增加LARC (LAR Component) 功能模块, 其功能是实现现有路由架构的包转发功能和LAR协议所需的路由功能:核心路由表数据包延迟发送的信息后, 通知用户空间中的路由后台程序为该数据包发起路由查找, 同时将该数据包放入缓存器, 等得到相应的路由信息后再将该数据包放入发送列队, 如果设定的时间用完仍未找到对应的路由, 则在缓存器中删除该数据包。

(3) 为了缓存器更新管理, 每条路由记录中加入时间戳用以记录每条路由最后一次用于转发数据包的时间。通过此种方式可以清除缓存器中长时间未更新的路由。

(4) API程序必须重新编写, 以实现LAR协议的相关功能。API程序中需增加的新功能是:增加需延迟发送的数据包对应的路由记录功能;得到通知信息后后台程序发起路由查找的功能;通过核心包发送功能程序路由查找结束的信息功能;记录缓存路由保持的时间功能;记录缓存路由保持的时间功能;当后台程序不再发起路由查找时, 由后台程序调用的清除缓存的功能。

在此基础上, 实现LAR协议的路由器架构如图2所示。

实现LAR协议的路由器由用户空间LAR路由后台程序和两个核心模块组成:LAR路由转发辅助模块和LAR路由维护辅助模块。用户空间的后台程序实现大部分LAR路由功能, 如:路由查找和路由维护。路由器通过上述两个模块与转发功能模块实现相互通信。

LAR转发辅助模块负责处理从网络设备送来的LAR数据包。如果收到的数据包中含有路由查找选项, 则该模块启动转发功能:更改该包的IP地址和头文件, 同时, 出头文件中获取所需的信息送入缓冲器, 然后, 将该头文件信息上传到用户空间的路由后台程序, 待核内转发完后再在后台处理。如果该数据包的目的节点是本节点, 则将该数据包按需分离 (同时剥离头文件信息) 。如果该数据包是路由请求包, 则送到LAR后台处理程序执行转发功能。

LAR维护辅助模块负责检查所有待发送到网络设备的LAR数据, 该模块只用来进行路由维护。该模块将所有待发送的数据包复制后送到LAR路由后台程序, 暂时缓存在该模块的缓冲器中。根据软件设计的需要, 如果LAR头文件中插入请求回传确认选项。在本设计中, 路由维护的工作是在用户空间中完成的。因为路由维护还不能算是内核转发功能的一部分。一旦数据包发送和复制, 路由维护工作就转入后台执行。当收到所需求的确认信息后, LAR路由维护辅助模块将该数据包送到LAR后台程序进行相关匹配处理。如果缓存器中某条路由信息超时, 路由后台程序更新缓存器, 然后产生路由错误数据包。

按照以上架构的设计, LAR数据包可以快速通过核心转发, 所需的时延很小, 因为大部分功能是在用户空间中实现的。核心路由表只保存每个节点的邻居节点信息, 因而能够更好地适应高速动态的需求。

3 结束语

综上, 用当前的操作系统很容易实现主动型路由协议, 如文献[3]已经实现了DSDV (Destination Sequenced Distance Vector) 路由协议和在DSDV基础上改进的协议, 但实现像LAR协议这样兼具路由和数据包转发功能的按需型路由协议还存在诸多难题。本文尝试研究针对移动自组网路由的操作系统服务, 提出一种基于当前操作系统的通用架构和API来实现LAR协议。如果实现该架构, 移动自组网的系统结构无疑将得到极大的简化。

摘要：LAR (Location-Aided Routing) 协议是一种适用于无线移动自组网的路由协议。介绍了当前传统的路由器架构, 实现LAR协议路由器的需求, 并提出了一种实现LAR协议的、基于Linux架构的路由器架构设计。

关键词：LAR协议,移动自组网,路由器架构

参考文献

[1]Young-Bae Ko, Nitin H Vaidya.Location-Aided Routing in mobile Ad hoc networks[C]//Proc.of ACM/IEEE Mobicom, Oct.1998:66-75.

[2]Peterson L L, Davie B S.Computer Networks[M].Morgan Kaufmann Publishers[M].2000.

[3]Gupta B.Design, implementation and testing of routing protocols for mobile ad-hoc networks[D].Master's thesis, University of Illinois at Urbana-Champaign, 2002.

面向数据的因特网路由架构 篇2

目前Internet主要用于获得数据和服务,它们的名称解析通过DNS来完成。DNS把URL中的主机名部分解析成对应的IP地址,用户路由到这个IP地址的主机再结合URL的路径名部分可获得数据。这个机制在Internet的初期应用的很好,但是随着网络应用和规模的发展,它在以下两个方面已不能很好的适应。

移动性:终端节点和IP地址绑定,不能自由移动,数据和服务标识符也被URL的主机名/路径名的形式固定。

安全性:DNS的层次结构很容易受DOS的攻击,而且数据和服务的标识符没有自我验证的功能,也容易受到网络欺骗。

考虑到这些不足,面向数据的路由架构提出在网络层用平面名称来标示节点、数据和服务,替代IP地址来进行路由。

1 设计原则

首先应在概念上区分名称和地址,在目前的Internet中,节点的名称和地址都是由IP地址来标示的。如果一台服务器改变地址,就得和新的IP地址绑定,同时DNS也得做相应的更新,否则用户通过旧的IP地址是无法获得所需的数据和服务的。已经有文献[1,2,3]提出应该把名称和地址分离,IP地址只能表示节点的地址,而要表示节点必须得用固定的、唯一的名称。对于数据和服务,固定唯一的名称可以支持它们在同一节点或不同节点间复制和移动。用Hash函数产生的平面空间名称可以为节点、数据和服务提供固定唯一的标识符,这种平面名称不包含关于地址信息的语义,而且可以提供名称自我验证的功能,有效防止网络欺骗。但是必须有机制把平面名称这种不友好的标示符映射成类似URL这种可读的标识符。目前已提出应该有三层名称解析[1]:从用户层的描述符UID(user-level descriptor)到服务和数据的标识符SID(service and data identifier),从服务和数据的标识符到终端节点标识符EID(endpoint identifier),从终端节点标识符到IP地址(IP address)。但由于用户只关心获得数据和服务,而不关心它们是从哪里来的,因此可以把数据和服务看作是和终端节点同等重要的网络对象,同时把终端节点看作是数据和服务的集合。基于这个关系和在平面名称上路由的想法[2],进一步简化了解析机制, 如图1所示,只用了一层名称解析:从UID到SID或EID。如果用户想获得数据和服务,就直接查找相应的SID,如果想登录终端节点,则查找相应EID,所以数据和服务与终端节点是处于同等地位的,可以直接在它们的名称上路由。这层解析可以由市场上的第三方来完成。本文的目的是探讨因特网的优化完善而暂不关注其可实施性。因此,重点是设计通过简单的路由机制在EID和SID上路由的架构模型,以下讨论都假设用户已经能获得解析后的SID或EID。

2 面向数据的路由架构

2.1 SID和EID

要获得平面空间名称的方法很多,这里用Hash函数产生。每个数据或服务和终端节点都有一对公钥/密钥对,SID是数据或服务的公钥Hash结果,而EID是终端节点公钥的Hash结果。拥有某数据和服务的终端节点就拥有了该数据或服务的公钥,而终端节点要想提供该数据或服务,则还必须拥有它的密钥,这在更新相应路由表时会被要求提供,从而能防止网络欺骗。用户请求的UID先被第三方解析成相应的SID或EID,然后由本地路由器把请求转发出去,当目标服务器响应该请求时,会把用户需要的SID或EID的公钥连同数据一起发给用户。用户获得公钥后就可以通过对公钥进行Hash来验证结果是否和他们请求的SID或EID相同,从而实现名称的自我验证。

2.2 模型框架

本模型使用了三层网络架构,并引进了在MPLS VPN架构中使用的P(provider), PE(provider edge), CE(customer edge)路由器的概念。在一个自制域(AS)内,P路由器构成核心层,CE路由器构成接入层,PE路由器构成分布层起着连接P和CE的作用。图2给出了一个AS内的例子,P1-P4和PE1-PE4构成核心区,PE1-PE4和CE1-CE3构成接入区,注意核心区和接入区都包含了PE。CE和PE的关系是多对一,而PE和P的关系是一对多。想要提供数据和服务的终端节点先在连接的本地CE路由器上注册相应SID和他们自己的EID,CE路由器通过这些SID和EID形成路由表。表1显示了CE1的路由表。EID1是PC1的名称,SID1,SID3,SID4和SID5是PC1提供的数据或服务的名称,PC2和PC3同理。转发请求的过程如下所示。

第一步:在本地CE路由器中查找。如果用户请求的目标在本地CE路由表中,如SID1,那么CE就直接把请求转发给PC1。对于多源数据,如SID5同时由PC1,PC2和PC3提供,这由具体应用来决定。如果是Web浏览器,则CE把请求转发到路由表中第一个找到的下一条节点,如果是文件下载这样的应用,CE复制请求并向PC1,PC2和PC3各发一份,下载工作就可以由三个源共同分担完成。

第二步:在与本地路由器相连的PE中查找。如果用户请求目标不在本地CE路由表中,CE就把请求转发到它所连接的PE。表2给出了PE1的路由表,其中SID8,SID9,SID10,EID4,EID5属于CE2,SID2x和EID2x代表属于PE2的所有SID和EID,SID3x,EID3x,SID4x,EID4x意义同理。CE向它连接的PE注册路由表项,PE之间再交换这些表项信息直到每个PE都包含本AS内所有SID和EID的路径。

PE路由表都是相似的,由两部分组成:本身负责的SID和EID的路由表项及由其它PE负责的SID和EID的路由表项。PE间是对等的,相互构成peers。这里在PE的路由表中增加了一个叫做Belong的字段,用于记录SID和EID是属于哪个PE的,增加这个字段可以大大减小P路由表的大小。当请求到达PE时,PE查找自己的路由表,并把Destination对应的Belong字段的内容填入请求数据包包头的Belong字段中(注意在数据包的包头中添加了Belong字段)。当请求转发到P路由器的话,P把包头中的Belong字段当作Destination来查找转发。由于Belong字段记录的是SID和EID属于的PE,因此,P路由表只需包含到达每个PE的路由表项。

第三步:转发到AS边界路由器。当SID或EID不在该AS中时,PE路由表找不到相应表项只能通过缺省值将请求转发到AS边界路由器(AS Border Router),再由ASBR在另一个AS中查找。

2.3 路由机制

模型中不同的节点被赋予了不同的工作:CE负责处理它领域内用户的请求,PE负责本AS内所有SID和EID的路由表项,P负责维持任意两PE间的路由。本模型建立和更新路由表的机制与OSPF类似。

建立路由表:在接入区,路由表的建立通过终端服务器和CE的主动注册。终端服务器向本地CE注册它的EID及它提供的SID,CE用这些信息来形成自己的路由表,然后再进一步用同样的方式向它所连接的PE注册,这样PE就有了它负责领域内的SID和EID的路由表项。在核心区的路由表建立后,PE间通过泛洪交换彼此的路由表信息,这样PE就能够包含整个AS中的SID和EID的路由信息。

在核心区,P通过和邻居P交换路由信息可获得所有PE的路由表项。首先PE向所连接的P注册它的信息,然后P之间交换路由信息并用SPF决定最优路径。

更新路由表:主要有两种情况需要更新路由表。

每个路由器时隔1秒向邻居路由器发送一条hello消息以维持路由表。当路由器位置发生变化或者链路状态改变时,周期性的hello消息就能自动检测到这个物理变化从而再次调用建立路由表算法来更新路由表。

当终端服务器改变位置或者改变它提供的SID时,即当EID或SID变化时,则需要更新本地CE和所有PE路由表中的相应路由表项。终端服务器先向本地CE主动重新注册,同时提供EID或SID的密钥以证明自己拥有更新的权限。然后CE再向所连接的PE重新注册改变后的EID或SID,最后该PE向其它PE广播此信息以使所有相关的路由表项都得到更新。

3 评估和可行性分析

要在真实因特网上进行仿真是相当困难的,以下主要在三个关键方面对本架构进行评估和分析:

维护开销和收敛时间:本路由机制用hello消息检测网络拓扑变化,因此维护开销和OSPF相当。而仅核心区的路由器需要像OSPF一样建立路由表,而且P路由器仅需PE的路由表项,相比OSPF本架构只需在较小范围内完成较少路由表项,因此收敛时间大大减少。同时接入区的路由表通过主动注册建立,几乎不需要收敛时间。

传输延时:使用NS2的Ping协议来测试由于包头长度增加而带来的传输延时,网络拓扑根据图1建立。使用普通IP数据包,假设长度为60字节,pc6收到来自pc1的ping答复的往返时间RTT是146.7ms。本文定义的网络层数据包相应长度设为120字节(由于使用SHA-1作为hash函数,source ID, destination ID和Belong字段的长度都是20字节),测试的RRT为153.4ms。可见增加60字节仅多用了6.7ms。

路由表大小:在平面路由中路由表的大小随着节点数量n的增加以n递增,而层级路由中每个节点只知道和它同级的节点的信息,因此路由表以log n增加。本架构使用层级路由结合平面名称,因此路由表的大小应按路由器分类讨论。可见P路由表和层级路由接近,PE路由表介于层次路由和平面路由之间,而CE路由表不随路由器节点数量的变化而改变。

4 结束语

提出的面向数据的路由架构可以很好地支持数据的复制和迁移以及节点的移动,同时平面名称的使用可以有效防止网络欺骗,三层网络的设计及三类路由器的分工使路由机制简单同时网络易于拓展。但本架构也存在挑战,如网络的部署需要路由器的改变,因此将会很困难。接下来的工作将是通过改进路由算法进一步优化网络性能。

参考文献

[1]Balakrishnan H,Lakshminarayanan K,Ratnasamy S,et al.A LayeredNaming Architecture for the Internet[C].Portland,OR,USA:ACMSIGCOMM’04:343-352.

[2]Caesar M,Condie T,Kannan J,et al.Routing on Flat Labels[C].Pisa,Italy:ACM SIGCOMM’06:363-374.

路由器架构 篇3

1 机会网络安全路由架构建设的必然性

所谓的机会网络,就是利用大家的各种社会活动所创造的机遇性机会对信息进行传输,其将网络断路当做一种常态,将每一次节点的移动都当做一次新的传输机会,即使面对再恶劣的环境也可以以完全颠覆传统网络的处理方式对数据进行处理,其概念来源极为广泛,与容迟网络、移动的自组织网络以及社会网络等都有着极为密切的关系。从当前社会网络的蓬勃发展来看,机会网络越来越广泛的的应用前景是毋庸置疑,尤其是低成本手持通信设备高速普及的今天,以日常生活中的移动对数据进行传输与共享极为普遍。

由于机会网络是一种公共通信设施,其网络建立在开放式的环境下,在其网络中进行上传或者接受等信息的传输时,随时都有遭受窃听、截取、修改、重放等方式攻击的威胁[2],而传统的网络公钥密码体制对公钥的约束较多,公钥的使用必然要先依赖于所谓的认证中心的可信第三方存在,统一由认证中心为用户颁发公钥证书。因此,公钥证书中认证中心的签名信息就将用户身份与看似随机的公钥信息紧密联系在了预期,所有用户身份与公钥一定要经过认证中心签名才是合法的,因而认证中心成为网络路由架构下的关键核心部门,对用户公钥证书的生命周期中任何一个环节都要负责。此类证书的使用不但耗费了巨大的计算与存储开销,管理工作比较纷繁复杂,而且处于系统中心地位的证书认证机构有着非常高的要求,系统负担极重,最重要的是对用户信息数据保密性不强,安全性存在极大的缺陷[3]。

由此可见,在机会网络中建立起以身份加密的安全路由架构,保护开放性环境下用户资料和数据的安全,是非常有必要的,也是当前信息化社会建设迫切需要解决的问题之一。

2 基于身份加密的机会网络安全路由架构的基本概况

在机会网络中,网路节点都是以“存储-携带-转发”的基本模式对所传输的消息进行路由,任意一个节点都需要通过自身具备的知识来进行计算,做出判断,选用最佳的路由策略。

机会网络根据转发策略的区别可以分为基于散播的路由、基于效用值的路由以及基于移动的路由等3种,其中,最受关注的要数以节点的社会上下文作为效用值,对转发策略进行制定的路由协议。运用移动通信设备携带者的社会属性(即,社会上下文)来预测节点的下一次相遇性机会,可以制定更有效的路由策略,通过身份加密的用户隐私保护策略则重点保护用户的社会上下文不暴露给更多不受信任的节点,保护用户隐私[3]。例如,当源节点NS要想目的节点ND发送消息M时,NS首先将ND的档案合并生成消息头Header(M),再发给2跳内的邻居节点,邻居节点会通过对比自身的档案消息与Header(M)的属性消息,得到匹配度再发回给NS,NS最终会选择匹配度较高的节点作为随后的2跳路由选择,如此推进,直到到达ND。

基于身份加密的机会网络安全路由架构通过关键字可搜索的加密算法为节点的社会上下文设置了相匹配的陷门,虽然中继节点仍然可以计算上下文匹配度、制定相应的转发策略,但是不会暴露任何源节点NS属性信息。同时,节点的社会上下文信息会合成相应的公钥对信息进行加密[4]。

基于身份加密的机会网络安全路由架构一方面对方案的安全模型进行建设,另一方面也对基于身份密码体制下的强指定验证者签名、签密、多签密、多接收者匿名签密以及面向群组的加密和签密、安全密钥分发协议等密码学方案的安全性定义与具体实现进行了重点的研究,方案甚至可以满足代理签名与强指定验证者签名情况的安全特性,可以有效的防止签名滥用与签名内容的泄露。

3 机会网络安全路由架构具体内容

3.1 基于IBE的安全路由算法

为了避免信息加密阶段因为身份证书的获取与验证带来不必要的麻烦,可以运用身份密码学架构,提供在节点与私钥间无交互通信的情况下实现的安全服务,本方案需要运用到高效可搜索的加密算法,该算法是IBE的一种变形,通过该算法为节点的属性生成陷门,为节点隐私提供保护,并通过节点的社会上下文生成公私钥数据对,保障消息的机密性和安全性;通过设置相关功能函数,分别对系统参数的初始化、陷门、密钥、消息头的生成以及信息的解密等进行处理[5]。如,设网络中的节点NX有m个社会属性,但是在每一个社会属性下又要设计一些相关的函数对相关数据进行管理和推演,该类函数一般都是强密码的。如,可以设置消息分块函数,当需要传输的消息过大时,可以运行该函数将消息分成n比特的消息块,方便传输,使加解密过程更迅捷。

3.2 安全架构在机会网络中的具体实施

最开始,将网络中节点按照社会上下文中相关属性的不同被划分为诸多不同的社区定义为本架构在机会网络中实施时的安全假设。至此,某一个相同社会属性的接地同属于一个社区,而提供了这种安全假设后,属于同一社区内的用户就可以相互信任,且某一个节点为本社区内任意节点透露其共有的属性并不会被视为隐私的泄露。同时,任意节点的社会上下文具备唯一性,可以作为节点身份的代表。例如,在Comi社区中的节点都有相同的社会属性i,社区内节点见透露属性i时并不会被视为隐私泄露。

在上述安全假设基础上,架构中所有中继节点在制定转发策略时,可以轻而易举的发现自身档案与目的节点的档案之间共同的社会属性,快速计算其匹配度。如果社会属性不同,中继节点就无法获得任何信息,可以对社会上下文的隐私起到极好的保护作用[6]。

例如,在Propicman协议模型中,要在机会网络中部署实施了安全架构的S-Propicman协议,要先建立参数系统,初始化节点,节点NS将需要发送给节点ND的消息M以数据包的形式逐步发送,结果多个节点NX的转发后,消息数据包得到ND处,ND运行诸如DEC等消息加解密算法解密数据包,即可获取明文数据M。

3.3 身份加密安全架构在机会网络中的安全性

3.3.1 社会上下文的隐私性

高效可搜索的加密方案具备抵抗不可区分的自适应选择关键字符攻击的能力,可以保证节点只有在拥有对方节点的陷门时,才可以获取消息源头中的相关属性信息,而且相关环节专门负责生成并保存社会属性的私钥,其陷门的分发仅仅针对内部用户,这也就避免了单一节点被捕获可能造成的属性私钥泄露情况的发生。

3.3.2 信息的机密性

在架构中生成公钥并加密消息都是以目的节点的社会上下文属性为基础的,目的节点是唯一可以解密的节点;同时,也可以引入对称密钥来进行消息的加密,运用节点社会上下文生成的公私钥对对称密钥进行加解密,极大的提高了算法的性能也保证了消息的机密性[7]。

3.3.3 通信节点的匿名性

架构中源节点发送的数据包中包含了根据目的节点的社会上下文生成的可搜索消息头和消息秘闻,但并不包含任何源节点的消息,可见数据包在结果多跳的路由转发后,攻击节点就无法从截获的数据包中取得相关数据源节点的丁点身份信息,实现了发送者的匿名性。

4 结语

机会网络融移动的自组织网络、容迟网络、社会网络等诸多概念为一体,可以通过移动节点的相遇性机会对消息进行传输和共享。基于身份认证的机会网络安全路由架构其实就是针对目前机会网络中极为流行的基于社会中上下文的路由转发协议,来设计基于身份加密的信息安全架构,以此保证节点社会中上下文的隐私性与信息的保密性。此安全路由架构可以通过搜索方便的加密算法来为任意一个节点的社会属性设计相应的陷门,导致中继节点在可计算自身和目的节点之间社会上下文匹配度、可制定相应的转发路由策略的同时,却无法获取目的节点与属性相关的任何信息,同时,也可以使用节点的社会上下文产生公钥对信息进行加密,多次实验仿真数据表明,此安全路由架构可以确保信息的机密性,且本方案中的部署在网络报文投递率和报文的平均时延方面并未造成明显的影响,不失为一种实用、高效、稳定的机会网络安全路由架构。

参考文献

[1]沈二琳,李德其.基于MCPK的移动网络安全路由方案[J].广西计算机信息,2010,(26):74-77.

[2]王永芝,季磊,胡一度.使用对技术的基于身份密码学研究综述[J].安庆师范学院学报,2009.8,1l(3):56-59.

[3]陆乾容,杜少敏.机会网络研究进展及其安全路由架构[J].中国计算机研究,2008,(5):12-23.

[4]许娟,刘军燕.机会网络及其数据管理的概念、问题与进展[J].软件学报,2009,8,1l(3):56-59.

[5]钟桓昌,刘鼎铭.无线Ad hoc网络及其安全路由架构研究难点[J].中国计算机研究,2007,(5):46-57.

[6]刘光耀,冯凡卡,刘军.一种WSN的非一致性数据故障检测机制[J].软件学报,2010,(12):112-115.

路由器架构 篇4

随着网络技术[1]的迅猛发展，使得网络设备变得更加丰富多样，网络规模日益庞大。网络中主机要通信，需要IP地址互相通信。IP地址(Internet Protocol Address)是一种在互联网中给主机编址的方式，也称为网际协议地址。常见的IP地址，分为IPv4与IPv6两大类，目前中小型企业在互联网应用的地址多是IPv4地址[2]。

在IPv4地址中，网络给每个连接在互联网上的主机(主机包括台式电脑、笔记本、手机等移动终端)终端分配和设定的一个32位bit长度的IP地址，而IP地址均用二进制中0和1代码表示，规定每个IPv4的地址均为32bit长，而由比特换算成字节，即4个字节的长度，为标示方便，在TCP/IP协议中又以点分十进制规定来规定，比如10.1.1.1来标示一个IP地址，这样比32bit长度的要更加方便记忆。

IPv4地址按照实际可用的情况对其做了划分，其中A类的IP地址是从1.0.0.0开始，到126.255.255.255.255结束，B类地址是从128.0.0.0开始，到191.255.255.255结束，C类IP地址是从192.0.0.0开始，到223.255.255.255结束，D类IP地址是从224.0.0.0开始，到239.255.255.255结束，E类的IP地址从240.0.0.0开始，到255.255.255.255结束。随着网络规模的日益扩大，IPv4地址逐渐变为一种稀缺资源，特别是IPv4地址，按照A、B、C、D、E类的分配已殆尽，对于局域的小企业和小公司，是无法负担高昂的IP地址申请和维护成本的。针对这个问题，相关网络专家提出NAT解决方案，通过NAT将A类的私网(从10.0.0.0开始，到10.255.255.255结束)、B类的私网(从172.16.0.0开始，到172.31.255.255结束)、C类的私网(从192.168.0.0开始，到192.168.255.255结束)装换成公网IP。

NAT技术作为一种对网络地址转换的技术，可以将私网地址转化为公网地址，节省了网络地址的开销。

中小型局域网内部因为布局复杂，业务多样性也导致其网络接口丰富，有以太网协议的，也有基于点对点Ppp协议的。本文针对这个问题，研究了在局域网如何在丰富多样的网络协议中通信，如何在Ppp与以太网结合通信[3]。本文借助路由器支持多接口的优点可以将不通网络连接起来，将不同地域的不同接口类型的局域网最终打通，通过配置静态路由让每个网段互相可达，达到局域可通的目的，而在局域网汇聚交换机上，再将其业务网的私网以NAT方式转换为公网[4]，通过配置好局域网的路由规则后，则局域网和公网中的若干IP地址即可通信。

1 基于静态路由协议的局域网架构设计

局域网内部，依靠静态路由协议将各个网段互动可达，在外网出口的汇聚路由器上面，配置合理的静态路由，和NAT转换[5]，这样内网中业务机器可以到达外网的公网地址，且可以多个地址对应一个地址，节省网络公网IP地址。

而在外网的交换机设备上面，将连接在交换机上的服务器端的IP地址的访问控制权限打开，使得内网的IP段的网络可以通过NAT访问，且在外网的交换机上，配置合理的静态路由，使得其可以将数据包信息发回给局域网。

1.1 基于静态路由协议的网络架构

静态路由是一种路由协议，其配置简单，适合在小型的局域网中由网络管理员配置，能够将网络规模和流量按照局域网设计者和管理者的意愿流动。基于静态路由的局域网规划如图1所示。

在基于静态路由协议的局域网里，每台路由器需均配置静态路由，这样才能够全部局域网可达。

在全局网络中，将局域的各个网段信息要添加到路由表中，指明下一跳地址的接口IP地址。

在点对点的广域网中，基于帧中继的网络中，其要配置可达的网络FR值，且要设定好dce端和dct端。

1.2 基于Ppp认证

Ppp认证中，其认证方式有PAP认证和CHAP认证。其中CHAP认证和PAP认证可分为单向认证和双向认证[5]。

具体认证流程如图2所示有以下三步。

第一步:主验证方主动向被验证方发送请求，此时，主验证方发送一个随机的数字，并同时将主验证方的本端用户们一起发送。

第二步:被验证方收到主验证方的验证请求后，检查本地用户的密码，如果配置了CHAP认证密码后，如果没有配置默认的CHAP密码，则被验证方依据的用户名和密码查找本地的用户名和密码，然后将其利用MD5算法对报文和密码以及随机数生成一个摘要信息发送回主验证方。

第三步:主验证方依靠MD5算法对报文和本地的密码以及验证方式生成一个摘要，并且将其与收到的摘要值比较。如果相同，通过验证，否则拒绝认证。

1.3 NAT的规划

在NAT中，有三种比较流行的实现方法，有Basic NAT、NAPT、Easy IP等方法。

其通过ACL访问控制列表选中要转换的地址段，将其在出口的汇聚路由器上声明，且声明其选择的NAT类型，对其执行NAT转换。

2 基于静态路由协议的局域网架构实施

本文就网络的具体的IP地址段，具体网络端口，具体的端口的核心配置做扼要说明。

2.1 网络架构和地址规划

网络架构中，一共有4台路由器，其中，RT做汇聚，其上联的是公网，通过NAT转换将其局域内的私网IP地址转化为公网IP，且要有对公网的访问权限，如图3所示。

其中业务网段的IP信息如下:

SWA上面的VLAN2，其网关是192.168.6.1，掩码是24位;SWB上面的VLAN2，其网关是192.168.7.1，掩码是24位;SWC上面的VLAN2，其网关是192.168.8.1，掩码是24位;SWD上面的VLAN2，其网关是192.168.8.1，掩码是24位。

需要将这些业务VLAN转换NAT，且其公网的NAT地址是203.1.1.1到203.1.1.10，要求这些业务的网段能访问公网服务器网段，其网关是50.1.2.1，掩码是24位。

2.2 静态路由协议配置

所有的路由器和交换机均需要配置静态路由，使得其所有的网络可达，其中汇聚中的静态默认路由是直接将默认路由信息发送给公网交换机，而公网交换机需要将公网的IP地址的默认路由指向汇聚路由器。

针对图3中的数据，对所有的交换机和路由器进行静态路由的配置。

2.3 出口NAT配置相关要点

出口NAT是以outbound方式配置在出口路由器上，需要在路由器上启动防火墙，设置好源头公网地址，配置相关的源地址，以便其作NAT，最后在其接口下配置其inbound。

将防火墙功能开启:

firewall enable

添加公网地址池地址:

nat address-group 1 203.1.1.1 203.1.1.10

添加转换公网的IP地址段，其中只允许业务网段，则只能在ACL列表里面添加业务网段。

在局域汇聚接口上直接做出向的NAT，为接口配置相应的IP地址接口地址，且将其选择为带地址和端口的转换。

配置完毕后，可以互相ping通，且只有业务网段可以ping通公网服务器网段，而公网服务器网段是无法ping通业务网段，通过NAT后，进一步加强了安全性。

2.4 基于Ppp的认证参数配置流程

基于Ppp的CHAP认证中RTB为服务器端，RTA为客户端，是被验证端。

在RTB上的系统界面上，在本地声明为用户和密钥，且将其密码设置为简单的simple格式。

在点对点接口的视图下，配置IP地址，且配置其为认证的服务器端，且其认证模式为ppp authentication-mode chap。

在接口下的RTB的相应认证端口配置Ppp认证信息如下:

在认证端RTA的路由器上配置其相应的本地账户，其密码一定要和住认证是一致的。

而在RTA认证端上的接口配置如下信息即可:

这样配置完毕，通过查看链接状态的命令查看其端口信息为up状态，且能够ping通对端即表示配置成功。

3 结束语

本文就局域网中静态路由的配置、NAT的配置要点和难点，以及Ppp认证方式做了分析和研究，就局域网中配置的要点和难点做了总结。通过本文可以实现一个小型基于静态路由协议和Ppp认证的局域网配置。

参考文献

[1]Colton A.Cisco IOS for IP Routing[M].3rd ed.,Rocket Science Press,Inc.,2003.

[2]Rekhter Y,Li T.RFC1771,A Border Gateway Protocol 4(BGP-4)[S].1995.

[3]Park J,Sandhu R.The UCONABC usage control model[J].ACM Transactions on Information and Systems Security,2004,7(1):128-174.

[4]Hill B.Cisco完全手册[M].北京:电子工业出版社,2002.