路由优化机制论文

路由优化机制论文（精选8篇）

路由优化机制论文 篇1

移动IPv6采用了路由优化策略, 以避免“三角路由问题”。当移动节点移动到外地链路时, 可通过向通信对端节点直接发送新转交地址和家乡地址的绑定关系, 保持与通信对端节点的通信。然而由于外地链路与通信对端之间没有强认证关系, 因此, 绑定更新过程存在很大安全隐患。

1 路由优化安全威胁

移动节点MN (Mobile Node) 进行路由优化的过程如图1所示。首先MN将新的转交地址NCo A (New Care-of address) 与家乡地址Ho A (home address) 的绑定关系发送给通信对端CN (Correspondent Node) 。然后CN向MN发送确认。但MN与CN之间不经认证的或错误的绑定更新BU (Binding Update) 往往会引发多种攻击。

第一类攻击:错误绑定更新攻击。由于绑定更新不经认证, 攻击者可以将合法MN的Ho A与攻击者的转交地址Co A (Care-of address) 或另一节点的IP地址绑定, 从而使CN发给MN的数据流向攻击者或另一节点。

第二类攻击:中间人攻击。在MN和CN都移动的情况下, 攻击者将自己的IP地址作为新的Co A分别发给移动节点和通信对端, 使移动节点和通信对端都以为这个Co A就是对方的新转交地址。攻击者成功介入通信双方的会话之中。

第三类攻击:拒绝服务攻击。攻击者可以先与一个或多个提供大量数据流 (如视频) 的服务器建立连接, 然后将绑定更新中的新转交地址设置为受害者地址。由于不经验证, 提供大量数据流的服务器会以为受害者是刚才发起连接的用户, 并将数据发给受害者, 从而导致受害者的机器拒绝服务。类似的攻击手段还有反射式拒绝服务攻击, 放大式拒绝服务攻击等。

2 现有的安全路由优化方法

返回路由可达协议RRP[1] (Return Routability Protocol) 由两项测试组成:家乡地址测试和转交地址测试。通过令牌的交换进行密钥协商, 确定Ho A和Co A地址是否可达, 以保证在MN的移动过程中, CN依然能够与真实的MN交换数据。但RR的安全性仅依赖于两个令牌环, 攻击者完全可以截获令牌环并完成返回路由可达。因此, 返回路由可达只能限制攻击者的位置, 从一定程度上减少受攻击的可能, 但并不能完全抵御绑定更新引起的各种安全威胁[2]。

为此人们又提出了一些安全路由解决方法, 大体可分为基于公共密钥基础设施的解决方法和不依赖公共密钥基础设施的解决方法。由于基于公共密钥基础设施的解决方法在部署上的困难, 因此这类路由优化方案实现起来仍存问题。

基于加密生成地址协议CGA (Cryptographically Generated Addresses) 的安全路由优化方法[3]是一种典型的不依赖公共密钥基础设施的解决方法。它将128bit的IP地址划分为2部分:64bit的子网前缀和64bit的接口标识。利用Hash算法对公钥和子网前缀等信息生成一个合法的IPv6地址, 从而在公钥和IP地址之间形成绑定关系。但由于基于CGA的安全路由优化方法不验证Co A的有效性, 任何攻击者都可以实施洪水攻击。

基于身份的安全路由优化[4]在返回路由可达协议的基础上结合了基于身份的加密机制IBC (ID-based Cryptography) 。它利用IBC的特点, 使用MN的Ho A和Co A作为其身份信息分别产生公私钥, 并利用这两对公私钥实现家乡地址测试和转交地址测试。虽然不依赖于全球密钥分发系统, 但这种方法速度较低。首先, 返回路由可达采用家乡地址和转交地址两项测试的目的在于通过不同路径上的测试判定Ho A和Co A的真实性。而在结合了IBC后, IBC能够确定MN的身份, 因此两组测试实现身份认证的方式应该简化。其次, 虽然进行了预绑定更新, 但从安全考虑, MN和CN之间需要利用非对称加密机制进行MN的身份验证。由于非对称加密算法速度相对较慢, 因此也延长了绑定更新时间。针对以上两点, 本文提出了一种高效的安全路由优化机制。

3 高效的移动IPv6安全路由优化

3.1 协议介绍

快速的移动IPv6安全路由优化是对基于身份的安全路由优化的改进。在传统的公钥体系中, 公钥、私钥成对产生, 并公开公钥。而在基于身份的公钥体系中, 公钥就是用户的ID, 或者可由用户的ID直接导出。私钥由密钥生成中心KGC (Key Generator Center) 生成。

快速的移动IPv6安全路由优化过程如:当MN移动到一个新的外地链路并得到新转交地址NCo A后, 如果发现与CN之间的数据交换依然需要通过HA进行转交, 应该立刻执行路由优化, 具体过程如图2所示。

(1) MN向HA发送私钥生成请求消息REQ

MN通过隧道向HA发送私钥生成请求消息REQ, 请求家乡代理HA为其生成新转交地址NCo A对应的私钥和用于加、解密的系统参数param。

REQ={Ho A, NCo A, CN, N0}, 其中, N0是MN生成的随机数。

(2) HA向MN发送私钥生成应答消息REP-MN

HA收到私钥生成请求消息REQ后, 利用IBE产生MN的新转交地址NCo A对应的私钥SMN。并向MN发送私钥应答消息REP。

REP-MN={SMN, N0, Co A, param}, 其中, SMN是MN的新转交地址NCo A对应的私钥, N0与私钥生成请求消息REQ中的N0匹配, param是用于加解密的系统参数。

(3) HA向CN发送用于加解密的系统参数param

在HA向MN发送REP的同时, HA向CN发送用于加解密的系统参数param。

REP-CN={Co A, CN, param}, 其中, param与REP-MN中的系统参数一致。

(4) CN向MN发送对称密钥k0

k0是CN为它与MN之间通信生成的会话密钥, 用于实现对MN的身份验证和绑定更新消息的完整性保护。为保证k0的私密性, CN利用MN的公钥PMN对k0加密发送, 记为EPMN (k0) 。由于采用了IBE, 因此, MN的公钥PMN是可以由CN通过MN的新转交地址直接获得的。

(5) MN向CN发送绑定更新消息BU和BU的消息认证码

当MN收到EPMN (k0) 后, 利用REP-MN消息中得到的自己的私钥SMN对EPMN (k0) 进行解密, 得到k0。显然, 这个k0只有MN和CN知道。因此, MN能够利用k0对绑定更新消息BU生成消息认证码MAC-BU, 并将它与BU一起发送给CN。

(6) CN向MN发送绑定更新确认消息BA

当CN收到MN的绑定更新消息BU和消息认证码MAC-BU后, 利用k0对BU进行和MN一样的认证码生成算法。然后和接收到的MAC-BU进行比较。若一致, 说明绑定更新消息BU的来源和完整性, 于是CN向MN发送绑定更新确认消息BA。

到此, 路由优化完成, MN可以不经过HA直接与CN进行通信。

3.2 协议分析

3.2.1 安全性分析

由于基于身份的加密机制中密钥分配中心能够在核实用户身份后对用户生成私钥, 而在本方案中HA作为密钥分配中心, 与MN之间有隧道保证安全, 因此, HA能够确认MN身份并为其生成私钥SMN。这就保证了由MN的公私密钥对保护的k0的私密性。因此, 利用k0生成的绑定更新消息认证码能够保证BU的真实性和完整性。这就抵御了上文所述的错误绑定更新攻击。同样, 在MN移动, CN也移动的情况下, MN也可利用本方法对CN的绑定更新消息进行认证, 从而避免攻击者欺骗通信双方的情况发生。这就抵御了中间人攻击。最后, 由于利用k0生成了BU的认证码, 因此攻击者也不可能在向多个服务其发起访问服务后, 再将受害者MN的Co A与自己的家乡地址绑定, 使大量的数据流向受害者的机器。这就抵御了拒绝服务攻击的发生。

3.2.2 效率分析

在快速移动IPv6安全路由优化中, 密钥生成中心 (家乡代理HA) 能够为MN生成安全的私钥。由于私钥只有MN和其家乡代理HA知道, 因此家乡地址测试和转交地址测试一次完成, 可以简化路由优化步骤, 提高切换效率。其次, 由于对称加密机制比非对称加密机制运算速度快, 因此利用对称加密机制实现MN与CN之间的身份认证能够进一步提高绑定速度。

结束语

移动IPv6主要的安全威胁是路由优化过程中CN对MN绑定更新消息的认证问题。利用可达返回路由这类安全协议无法完全解决绑定更新存在的安全问题。公共密钥基础设施PKI虽然能够保证绑定更新消息的安全, 但由于实际部署上的困难, 也不可行。本文对基于身份的安全路由优化进行了改进, 将家乡地址测试和转交地址测试一次完成, 并用对称加密机制提高运算速度, 在保证绑定更新安全性的同时降低了移动IPv6的切换时延, 提高了路由优化效率。

参考文献

[1]IETF RFC 3775.Mobility Support in IPv6[S].2004

[2]Kui Ren, Wenjing Lou, Kai Zeng, etal.Routing Optimization Security in Mobile IPv6[OL].http://ece.wpi.edu/~wjlou/publication/COMNET06-Ren.pdf.2009, 9

[3]M.Roe, T.Aura, G.O’Shea, etal.Authentication of mobile IPv6 Binding Updates andAcknowledgments[OL].http://tools.ietf.org/search/draft-roe-mobileip-updateauth-02.2009, 9

[4]李占波, 庞海波.基于MIPv6的路由选择策略研究.微计算机信息.2008年36期

路由优化机制论文 篇2

关键词：aodv；能量感知；优化

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 (2012) 16-0048-01

一、Aodv简介

Aodv协议是用于特定的网络的可移动节点。它可以在不同的动态对等网络确定一条到目的地的路由，并具有接入速度快，计算量小，内存占用率小，网络负载轻等特点。它使用的目标序列，保证在任何时候也不会出现回环（即使在路由控制信息的异常也不会），避免了传统距离数组协议中出现的许多问题（如无限计数问题）。

AODV算法目的是对多个移动节点在建立和维持一个动态的，自启动，多跳路由网络。路由协议使移动节点可以迅速获得新的目的地节点和路由，节点只需要保持其信号到达的路由节点，更远的节点路由信息不需要维护。网络连接断开和变化将使网络拓扑结构发生变化，使移动节点可以及时应对这一变化。AODV的操作是无自环的，由于解决了“无穷计数”问题，该算法在网络拓扑变化如在网络节点移动快速收敛。当一个路由协议连接断开，AODV会通知所有受影响的节点，节点会让用到这个连接的路由失效。

AODV路由协议的一个显著特点是它在每个路由表条目使用目标序列。目的节点创建目的序列，并包含在路由信息里面，接着路由信息将被发送到所有请求节点那里。通过使用目的序列号，我们确保了网络中没有回路，且易于编程。如果目的节点提供了两条路由，那么节点收到请求后将选择最大的序列号（由于目的地节点每收到一个新的请求，会将目的序列加1，从而使该路由保持最新最好）。

二、ns2网络模拟器简介

ns2是美国国防支持的项目（虚拟网络平台）开发通用多协议网络仿真网络软件，开发的源代码使研究人员更好地开展各类算法的实现及其改进。

ns是一个离散事件模拟器，事件提供了系统的状态变化，状态修改只有在事件发生时进行，典型的事件有分组到达、时钟超时等。同时，ns也有丰富的组件库，对一些通用的实体对象建模，对象易于组合，扩展。ns组件库支持网络类型：广域网，局域网，移动通信网络，卫星通信网络，支持的路由方式有：分层路由，动态路由，组播路由等，ns也提供跟踪和监控对象，可以把网络系统的状态和事件记录分析，如：tracefile，生成.tr文件记录仿真过程数据，从中可以提取有用信息。

三、AODV分析以及改进

AODV路由协议有很多缺陷，其中有一个缺陷是每个源节点只保持一特定目的节点的路由选择，如果此路由失败，将重新启动路由发现过程，这样会增加网络成本。在网络拓扑变化频繁，这一缺陷显得更加突出。

其次，在特设网络中，节点通常利用电池来提供能源，电池的能量在没有相关技术进行提高前，能量是一个尤其重要的问题。AODV路由协议是一个比较成熟的路由协议，容易实现，但它没有过多考虑节点的能量状态。如果某一个节点是在一些交叉连接处，节点也可能参与了多个路径，节点能耗的急剧增加，过早耗尽自己的能量，由此导致路由链路发生故障，不得不重新建立路由，从而导致了较大的网络开销，而且还会增加能量的节点网络中的能量消耗。

针对上述缺点，也提出了一些改进的方法，如增加多径，距离的限制提高路由可靠性和提高路由维护机制。本文提出了一种改进的方法，是让源节点除了维护主要路由到目标节点，并维持一个目的地节点和备用路由。所以当主路由失败，将使用备份路由数据，不需要重新启动路由发现过程。在每个源节点到目的节点维护一个备份路由，并通过修改局部修复机制，这样，当主路由失败，将通过备用路由的数据包发送。只有当备用路线还没有开始，重新启动路由发现过程。

五、结束语

因为路由协议的路由表维护，只有指定的目标节点路由，路由失败时，需要重新启动路由发现过程。为了解决这一问题，本文提出了一种改进的方法，在每个源节点到目的节点保持一个指定的备用路由，当主路由失败，我们通过备用路由的发送数据包。只有当备用路线不能启动，我们才重新启动路由发现过程。在NS2平台的仿真结果表明，改进后的方法可以提高数据包的投递率，降低端到端的延迟，减少路由发现和路由开销。

参考文献：

[1]夏丹丹.基于NS2的AODV改进协议仿真实现[J].微计算机信息,2008(24).

[作者简介]邓媛元（1986.9-），女，汉族，湖南益阳人，本科学历，工程师，研究方向为计算机应用。

路由优化机制论文 篇3

默认路由(Default route),是对IP数据包中的目的地址找不到存在的其他路由时,路由器所选择的路由。目的地不在路由器的路由表里的所有数据包都会使用默认路由。这条路由一般会连去另一个路由器,而这个路由器也同样处理数据包:如果知道应该怎么路由这个数据包,则数据包会被转发到已知的路由;否则,数据包会被转发到默认路由,从而到达另一个路由器。默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由,那么目的地址在路由表中没有匹配表项的包将被丢弃·默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能。默认路由器是相对于固定路由而言的。对路由器来讲,每一个需要路由的IP地址,他需要知道下一站的路径,这个路径就是下一站路由了。当路由器找不到准确的下一站路径的时候,也就是说路由器不能找到需要路由的IP地址的下一站在哪里,这时他会选择默认路由,把数据包转发过去,再让默认的下一站去处理数据转发。每个可以正常联网的路由器都必须有默认路由存在,否则路由器没有识别路由的IP地址,路由器将会丢弃,导致无法访问。

实际上,默认路由可以理解为好多静态路由的集合,这些静态路由都有一个相同的特点,那就是下一条是相同的,这个时候就可以用一条默认路由(0.0.0.0 0.0.0.0 x.x.x.x)来代替所有的静态路由了。在实际的园区网中要访问外网的网段会非常多,每个网段都要加一跳静态路由那不是很麻烦吗,这个时候用默认路由是个非常不错的选择。本研究正是基于默认路由的这个特点,结合仿真实验,研究如何灵活配置默认路由大大简化整体路由表信息的问题。

2 本研究拓扑图的设计和IP地址段的规划

本研究采用如下图1的拓扑图及IP地址段规划设计。在如下综合网络中,四个路由器接口连接情况以及分配的地址段分别为:12.1.1.0/24、23.1.1.0/24、24.1.1.0/24,另外路由器R03配置了四个Loopback口地址,分别为1.1.1.1/32、2.2.2.2/32、3.3.3.3/32,4.4.4.4/32。要想实现全网连通,根据路由的配置原理,对于所有非直连网段均需要配置路由,R01和R04需要配置到6个网段的路由,R02需要配置到4个网段的路由,R03需要配置到2个网段的路由。因此,如果用普通静态路由配置,将需要配置18条路由。而在当前网络中各个路由器需要配置的路由都具有相同的下一跳,R01去往目的网段的下一跳都在12.1.1.2,R04去往目的网段的下一跳都在24.1.1.1,R02去往目的网段的下一跳都在23.1.1.2,R03去往目的网段的下一跳都在23.1.1.1,因此可以在每台设备上配置一条默认路由来代替。

3 方案的实施和连通性测试

默认路由的配置方案如下:

利用show ip route命令查看各个设备上的路由表信息,此处以R04路由表为例,可见路由表中除了直连网段的路由外,就只有一条标记为S*的默认路由。

通过默认路由的配置,现在R01和R04上有2条路由,其中1条为直连路由,1条为默认路由,R02上有4条路由,其中3条为直连路由,1条为默认路由,R03上有5条路由,其中4条为直连路由,一条为默认路由,真正配置的路由为4条默认路由。

从R01上逐次ping各个路由器接口,结果如下:

可见,四条默认路由解决了本网络的整体连通性。相比不用默认路由去技术,采用默认路由技术后,路由的配置从原来的18条变成了4条,大大简化了路由的配置和路由表中路由信息的条目数。

4 结语

路由优化机制论文 篇4

随着网络应用日益深入到人们的生活之中,网络冗余备份机制显得越发重要。作为IPv4的替代协议, IPv6网络必须提供可靠的网络冗余机制保证业务的可靠传输。多路由器备份是一个日益重要的网络冗余备份机制。 在多路由器备份场景中,在同一链路上的两个或多个路由器提供网络的冗余备份功能。本文中将分析研究IPv6邻居发现协议以及默认路由优先级协议,并利用路由器发现机制,邻居不可达检测机制以及默认路由器优先级实现网络冗余机制。

2 邻居发现协议

邻居发现协议是IPv6协议的一个基本组成部分。它主要利用ICMPv6协议, 增加了新的ICMPv6报文类型以解决几个问题。路由器发现:主机如何定位链路上的路由器;前缀发现:主机如何发现同一链路上有哪些前缀;参数发现:节点学习链路MTU等参数,地址自动配置;地址解析:获取邻居的链路层地址,下一跳判定; 邻居不可达检测:判定邻居可达状态,重复地址检测;重定向:路由器告知主机更好的第一跳节点。

IPv6主机利用邻居发现协议中的路由器发现过程来发现链路上的路由器网关。路由器发现过程定义并使用了路由器公告 (ICMPv6类型133) 和路由器请求 (ICMPv6类型133)两种ICMPv6消息。

路由器随机的发出非请求路由器公告报文到链路范围内所有节点组播地址(FF02::1)如图1所示。此时链路范围内的所有主机都可以接收到该路由器公告报文。

IPv6主机也可以通过发送路由器请求报文到链路范围内所有路由器组播地址(FF02::2)主动请求路由器发送路由器公告报文。当路由器收到主机的路由器请求报文时将立即发送路由器公告报文作为回应。 如图2所示。

当收到路由器公告报文后,IPv6主机将根据路由器公告报文的内容自动配置默认路由列表。IPv6主机将使用默认路由器列表来选择默认路由器转发报文。

3 默认路由优先级

如图3所示, 在同一个链路上存在多个路由器,其中与路由器1相比,路由器2可以提供更好的路由转发性能。理论上IPv6主机应该优先选择路由器2作为默认路由器。但是根据RFC4861定义的路由器发现协议, 当一个链路上存在多个路由器时,IPv6主机从默认路由器列表中循环选择默认路由器。此时路由器1可能被主机选为默认路由器。实际上这样的选择不是最优化的。

RFC4191在路由器公告报文的基础上,使用了路由器公告报文中的保留位, 增加了Prf (Default Router Preference)字段,用来定义路由器优先级:

01 High

00 Medium (default)

11 Low

10 Reserved - MUST NOT be sent

IPv6主机可以根据路由器公告报文中的路由器优先级来选择高优先级的路由器作为默认路由器。如图4所示,主机1和主机2选择了具有更高优先级的路由器2作为默认路由器。

此时如果路由器2发生故障,主机1和2将选择备份的路由器1作为默认路由转发数据报文。

4 默认路由器不可达检测

优选的默认路由器可能因为很多原因失效不能提供服务,例如硬件故障,链路故障等等。IPv6主机必须检测到优选默认路由器故障从而选择备份的默认路由器。在IPv6中, 主机使用邻居不可达检测机制来发现优选默认路由器故障。邻居不可达检测过程定义并使用了邻居公告(ICMPv6类型136)和邻居请求(ICMPv6类型135)两种ICMPv6消息。

当IPv6主机收到邻居路由器公告报文后,IPv6主机将为邻居路由器创建新的邻居列表, 其邻居状态都变为REACHABLE。经过一定时间,邻居状态由REACHABLE变为STALE状态。当主机需要发送数据给一个状态为STALE的邻居时,发送主机把邻居状态改为DELAY,并启动定时器。若定时器超时后,邻居状态仍为DELAY,则把邻居状态改为PROBE。若定时器超时前收到邻居可达确认,则邻居状态变为REACHABLE。在PROBE状态, 主机每隔一定时间重发一次单播的邻居请求, 直到收到邻居的可达性确认。当发送了若干个邻居请求后,依然没有收到邻居的回应,则中止发送,删除邻居条目,此时认为邻居不可达,如图5所示。

5 实现网络备份机制

图6给出了一个利用路由器优先级,路由器发现过程以及邻居不可达检测过程实现的路由器备份过程。

(1)路由器1和路由器2发送路由器公告。

(2)根据路由器优先级 ,主机创建路由默认路由器列表,选择高优先级的路由器作为主路由器,低优先级路由器作为备份路由器。

(3)正常情况下IPv6报文经路由器2转发。

(4)主路由器2发生故障。

(5)主机通过邻居不可达检测机制检测到主路由器2不可达。

(6)选择备份路由器1作为主默认路由器。

(7)新的IPv6报文经路由器1转发。

6 结束语

当使用IPv6承载网络业务时, 网络的冗余备份机制变得越来越普遍,越来越重要。本文通过在IPv6网络中应用路由器发现机制, 路由器优先级以及邻居不可达检测机制实现了IPv6网络的路由器冗余备份机制,为IPv6网络业务的传输提供了可靠保证,并提高了网络自愈能力。同时我们也应该注意到当IPv6网络用于语音, 数据等实时业务传输时, 业务要求可靠不间断传输。本文提供的IPv6网络路由器备份机制的有效性依赖于邻居故障发现以及备份路由器切换的有效性及快速性。根据邻居发现协议,邻居不可达检测通常需要几秒,十几秒的时间,对于传送实时业务的通信网络,这样的故障切换时间太长。如何缩短故障切换时间是我们下一步的研究方向。

摘要：随着互联网技术的爆炸性发展,网络应用日益深入到人们的生活之中。网络冗余备份机制显得越发重要。作为IPv4的替代协议,IPv6网络必须提供可靠的网络冗余机制保证业务的可靠传输。多路由器备份是一个日益重要的网络冗余备份机制。在多路由器备份场景中,在同一链路上的两个或多个路由器提供网络的冗余备份功能。本文中将分析研究IPv6邻居发现协议以及默认路由优先级协议,并利用路由器发现机制,邻居不可达检测机制以及默认路由器优先级实现网络冗余机制。

路由优化机制论文 篇5

计算机网络路由的优化

路由的优化指的是整合路由策略或路由协议路由优化, 来使网络由复杂化转为简单化, 为用户带去更为良好的网络体验。优化计算机网络路由不仅能够稳定网络连接, 且具有极佳的伸缩性与安全性, 能够进行快速的收敛, 并进一步实现网络的高效性能。计算机网络路由的优化较常用的方法有两种, 一种是路由过滤, 即通过对网络进行分布控制列表, 路由重分布, 结合路由策略与被动接口等等方式, 来阻隔路由进行更新时的外来干扰, 使一些路由能够不被传送。另一种是策略路由。策略路由实质上是一种基于策略的路由数据包转发机制。主要通过路由映射图进行策略定义, 因为其灵活性强, 操作性能高, 在使用过程中往往能够完美达到网络优化标准, 管理者只需要通过路由映射图中set和match两大命令即可完成计算机网络路由的优化, 并且能够进一步实现路由中根据协议类型、IP源地址、目的地址来选择转发路径信息传输方式。

计算机网络路由的优化算法

1源路由算法

由于路由在发展过程中具有极强的变化性, 很容易出现时延约束或带宽约束等情况, 并使路由优化算法进一步复杂化。如果使用源路由算法, 则能够准确的定位路由当前网络层的运行状态, 并及时发现带宽中出现问题的路径与删除。同时, 源路由算法还能够结合概率算法与分级路由算法等方式寻找路由中时延最短的路径, 或通过吞吐量算法寻找带宽瓶颈, 在运用源路由算法进行路有变化问题排除。

2单播路由算法

在计算机网络通信中, 单播路由无疑占据着重要的作用, 单播路由算法位于网络通信的传输层中, 负责路由数据的输送。计算机网络在进行数据接收与发送时通常有一个固定的限制单位, 加上数据输送在达到一定节点后只会选择单一路由, 往往会造成信息堵塞, 而单播路由算法则能够采用多组合式的路由途径来进行数据的传输, 从而在一定程度上避免路由链路层出现瓶颈问题, 并进一步扩大路由缓存空间, 提高带宽的利用率。

3分布式路由算法

分布式路由算法的使用必须配合源路由算法才能顺利进行。在优化过程中, 先通过源路由算法进行网络节点最短路径的分析与计算, 并进一步了解和把握每个网络节点的局部信息。分布式路由算法再将源路由算法得出的数据进行化整为零计算, 并计算出各网络节点内部能够满足路由数据传输的最短路径, 从而降低时延, 提高路由信息传输选择的准确性与流畅性。

4分级路由算法

在大型的广域网源路由中, 由于信息数据的传输量较大, 缓存过程中就需要更大的空间。分级路由算法的出现很好的解决了这一问题, 其不仅能够为广域网源路由提供空间扩展, 同时还能够解决在扩展过程中可能出现的网络问题计算。分级路由算法通常采用异步传输的模式进行计算机网络路由优化。其是在源路由算法与分布式路由算法的基础上提升而来, 具有这两者共同的优化功能并更有利于计算机网络路由的优化。

5按比例的路由算法

网络节点变化速度发生变化时容易出现节点信息更新不及时情况, 从而影响到网络路由的优化计算, 造成网络资源开销增加, 堵塞网络。按比例的路由算法在网络路由优化中可以通过搭建多条标签交换路径进行发送节点与目的节点的连接, 并在连接过程中进行全局与局部信息的手机。在路径中传输的数据全部采用计算统计方法进行收集, 再通过不同数据流的比例分配标签来进行路径交换, 使路由传输选择合理化。

结语

OSPF路由机制与安全性研究 篇6

OSPF (Ope n Shorte s t Path Firs t)作为目前互联网络应用最为广泛的内部网关路由协议，主要提供自治系统(Autonomous System, AS)内的动态选择路由。它是一种典型的链路状态协议，不同于距离向量协议(如RIP等)。

2 链路状态数据库及其形成与维护

在一个区域内，所有的OSPF路由器都需要维护一个相同的链路状态数据库，这个数据库其实是一张关于这个区域的网络拓扑图，图中的每一条边都有一个相应的权值，表示向该方向传输数据的代价。在这张图的基础上路由器就可以通过Dijkstra算法来计算到每一个目的地的最短路径，从而生成路由表。从另一个方面讲，路由器上的链路状态数据库也是一个LSA的集合，链路状态数据库是路由器在综合其它路由器的LSA后生成的。

在链路状态路由算法中，保持所有路由器的链路状态数据同步是一项重要的事情。所有的路由器的同步都是建立在以下四个条件的基础之上的：

1)动态发现邻居;2)确认邻居间的双向链接关系;3)维持与邻居之间的邻接关系;4)指派与备份指派路由器的选举产生。

这四个条件的产生都是Hello协议作用的结果，路由器发送Hello报文让其它路由器发现它的存在，然后通过双向发送Hello报文来确立双向链接的邻居关系和保持邻接关系。指派路由器和备份指派路由器的选举则需要前三者作为先行条件。在路由器开始尝试邻接关系建立之时，链路状态数据便开始了同步的进程。这一发送和接收数据库描述分组的过程被称作“数据库交换进程”。

主路由器在收到LSR报文后通过读取LSR中LSA摘要确定需要发送到从路由器的LSA。然后将LSA封装到LSU报文中发送到从路由器。从路由器在收到LSU报文后需要向主路由器发送一个应答信号，即发送一个LSAck报文。如果主路由器在一定的时间间隔内(RxmtInte rval)没有收到来自从路由器的确认应答，则主路由器会重新发送链路状态描述报文。这就是路由器间同步数据库的过程两个基本的数据库操作———添加一个LSA到数据库和从数据库中删除一个LSA的基本流程如图1所示：

3 OSPF的安全机制分析

3.1 验证机制

OSPF路由协议的设计者为OSPF路由协议的每一个报文都添加了验证机制，在OSPF的所有报文中都有一个32bit长度的验证(Authe ntication)字段，另外在验证字段前边另有16bit的验证类型(AuthenType)字段用于标识验证字段的类型，这两者一起组成了OSPF报文的验证机制。一个OSPF协议的报文头部可。验证类型可以基于通用接口 (或通用网络/子网) 进行配置，置0为空验证，即在路由交换中不需要任何验证;置1为简单口令验证，可防止路由器在不提防的情况下加入到路由域;置2则为加密验证。所有其它值，是由IANA预留的分配。三种验证机制中最为安全的便是加密验证，使用该类型时，为同一个网络/子网的所有OSPF路由器配置一个相同的密钥。每一个该网络的路由器都用密钥和报文内容作为输入生成一个32位的消息摘要，并附着于报文之后一起发送到目的路由器。报文即使被攻击者截获也无法从签名中恢复出密钥，因为生成的消息摘要是采用MD5算法生成的单项散列函数。即便篡改报文，由于单向散列函数的雪崩效应可保证篡改后的报文生成的散列值与以前的散列值有较大的差异性，篡改的报文不可能骗过路由器替代原报文。

3.2 可靠的泛洪机制

OSPF路由协议采用了一种叫做泛洪(flood)的机制来保证区域内各个路由器的链路状态数据库同步。每一个区域内的路由器都会生成LSA来描述特定的网络拓扑信息，而链路状态更新报文(LSU)则提供了泛洪的机制，每一个LSU包含有一个或多个LSA，泛洪过程将这些包含着拓扑信息的LSA分发到目的路由器。为实现可靠的泛洪，OSPF路由协议规定：路由器在收到来自其它路由器的一个或多个链路状态通告后，必须向其来源路由器发送一个确认应答(Link State Acknowle dgm e nt Packe t, LSAk)，告知已经收到LSA。因而OSPF的泛洪算法被认为是可靠的，实践也很好的证明了这一点。与RIP等距离向量协议相比，OSPF的泛洪机制在安全性上拥有更多的优势。由于OSPF的链路状态数据库是一个分布的数据库，各个数据库都是同步的，无论是一个节点错误还是入侵者试图伪造或修改其它路由器的信息，只要还存在一个可交替的路径，好的路由器就最终能收到消息，尽管可能存在冲突的信息。对信息的依赖大大降低是泛洪单个LSA更深远的意义：每个路由器都只使用来自最初信息发布者通告的未经加工的信息，而不是来自于其邻居的整合过了的信息。这种信息独立有助于找出哪个路由器发布了虚假信息，而且“独立”有助于使用身份认证来验证消息源的可靠性。

3.3 分层路由机制

OSPF层次路由机制设计的初衷是为了解决路由协议中路由表过大等问题的。这一设计大大减少了路由表的大小、带宽和路由计算的资源。同时也给OSPF路由协议带来的稳定性，使得OSPF更加的健壮和安全。OSPF通过将自治系统划分成若干个区域，若干个区域的ABR又组成一个骨干区域。区域内部的路由不为外部所知道，路由选择时区域内路由要优先于区域间路由，这使得一个OSPF区域内的威胁很难影响到另外一个区域内部的通信。

参考文献

[1]陈海鸿, OSPF路由协议包的安全防范.广东金融电脑, 2000.

[2]杨静, 谢蒂, , 王雷.OSPF路由协议的安全分析及其漏洞分析[J].山东大学学报 (工学版) , 2003,

路由优化机制论文 篇7

无线传感网络节点多用于比较恶劣的环境,如战场或各种地下作业,因此对节能和数据可靠传输的要求较高,同时由于节点分布不均匀,多为垂直和水平分布,传统的路由协议如AODV(Ad Hoc On-Demand Distance Vector Routing),Gear,Leach等缺乏灵活性,且对节点定位要求较高[1]。而先应式路由协议OLSR(Optimized Link State Routing)引入了MPR选择机制,使得其有效减少路由开销和保证节点传输的可靠性。

OLSR是一种先验式路由协议,已经被IETF MANET工作组正式公布为自组网路由协议的RFC标准。OLSR通过获得的拓扑信息,利用Dijkstra算法进行路由计算,选择到达目的节点的最短路径。

虽然OLSR协议具有很多优点,但研究结果表明,当节点分布稀疏时,使用OLSR协议获得的数据吞吐量大幅度下降,同时延迟也增大[2]。因此本文将对OLSR协议进行改进,使其在稀疏节点环境中也能取得较好的性能。

1 OLSR路由协议的改进

本文提出的结合功率进行补偿机制的改进OLSR协议,在节点密集处采用传统OLSR协议,在节点稀疏处自动切换到改进后的OLSR协议。

1.1 OLSR路由算法的缺陷

(1)不适应稀疏节点

OLSR协议默认节点信号传播半径足够大,保证源与目的节点之间存在通信链路使得网络整体连通。但在节点稀疏或移动分布式无线网络拓扑结构中,网络拓扑频繁改变,无法确保网络的连通性及节点间始终存在通信路径。

(2)链路结构不均衡

OLSR协议只有被选为MPR的节点才产生并转发TC(Topology Control)消息,默认情况下的TC只包含了MPR(MultiPoint Relays)选择者的地址信息[3]。在每个时刻,网络节点的拓扑集里仅仅存在MPR链路信息,而对其他的对称链路或者单向链路不会反映到网络拓扑集中。OLSR协议实验可以得到10个节点情况下网络拓扑图如图1所示,完整的拓扑图如图2所示。

由图1可以看出,节点3,7,8,9均未被任何节点选为MPR,它们没有TC消息可以发送,同时节点8只有一条链路可以被广播。

节点8到目的节点只有一条可用链路,因此需要为这些MPR节点集中节点数为1的节点选择一个备用的转发节点,当MPR节点出现故障时,能够及时代替MPR节点转发。

1.2 稀疏OLSR路由补偿节点选择算法

改进协议针对只有一条链路被感知的节点,在Hello消息中增加一个标志位,标志该节点MPR集中节点数量。

协议开始后,按照传统OLSR协议进行MPR选举,MPR集合中的节点选出后,各个MPR节点检查收到的节点Hello消息中的标志位,当标志位为1时,在网络性能下降到一定程度时就可以采用补偿算法选取相应的补偿节点,增大补偿节点发射功率,使它的通信范围覆盖MPR集合中惟一节点所覆盖的范围,这样就解除了该惟一节点的不可靠性,以保证整个网络的连通性。补偿节点选择流程如图3所示。

由图3可得到补偿算法如下:

为了节约能量,补偿节点最大发射功率的工作时间为一个查找周期,当发现MPR集合中的集合节点不需要补偿节点时就恢复之前的发射功率。

2 自主切换机制

在路由建立阶段,当通过各个节点的Hello消息使整个网络的MPR节点集确定后,MPR子集内部各个节点利用式(1)求出平均阈值Savr:

undefined

式中:Sall代表整个网络的节点数和;Smpr代表MPR集合节点个数。MPR节点集合内的各个子节点计算自己负责转发的节点数Hello_Count。当Hello_Count低于平均阈值Savr时,便利用式(2)开始预测本轮信号强度:

undefined

式中:Snew-measure表示新测得的信号强度;Sold表示上一次预测的信号强度;Snew表示预测的下一段时间的信号强度;∂是权重,取值范围是[0,1],∂越小,预测信号强度受该时刻信号强度的影响越大[4]。

当预测的下次信号强度低于预先规定的一定强度时,可以确定此处为稀疏节点分布区且信号强度较低,则该MPR集合中节点分组内实行改进后的OLSR协议,否则继续使用OLSR协议。

OLSR协议和改进OLSR协议的自主切换机制流程如图4所示。

3 功率控制算法依据

补偿机制中,需要增大节点的发射功率,当源节点向目的节点发送分组时,发送功率Pt与接收功率Pr的关系[5]如下:

undefined

式中:λ为载波波长;d为源节点和目的节点间的距离;Gt为发射机天线增益;Gr为接收机天线增益。设接收功率的门限为Prt,当信号的功率不小于Prt时才能被正确接收,可推出式(4)和式(5):

undefined

由式(4)可知,当传输距离增大1倍,发射功率成幂级数增加,才能被正确接收。

4 实验结果

本文实验环境是在Linux操作平台下移植了TinyOS操作系统,利用CC2430控制芯片进行编程,并在ns2.34环境下进行仿真实验。

4.1 仿真实验环境

仿真的网络范围为500 m×1 000 m,节点数量为20和100个,传输范围为250 m,物理信道的带宽为2 Mb/s,MAC层使用802.11a协议。建立12个CBR业务连接,分组长度为512 B,仿真时间为200 s,发包率为4个/s,节点的速度分别为0 m/s,1 m/s,5 m/s,10 m/s,20 m/s,25 m/s,30 m/s。

4.2 性能指标

协议改进主要针对网络的可靠传输,因此仿真实验的性能指标有节点投递率和网络传输平均延时[7]。由于改进后的协议运用了自主切换机制,必然会增大部分能量的开销,因此,需要对剩余能量也进行仿真实验[6]。

(1) 投递率

OLSR协议适用于节点密集型的网络,从图5可以看出,两个协议在100个节点的网络整体比20个节点的稀疏网络的投递率高。在节点固定或者移动较小的情况下,性能已经很好,则改进后的协议性能并未得到良好的体现。当节点移动速度超过10 m/s后,网络性能明显下降,这时运用自主切换机制,网络的投递率得到显著改善。速度越大,OLSR协议性能下降越快,而改进的OLSR协议性能下降得到控制。

(2) 平均时延

在节点固定或者移动速度较低的情况下,改进的OLSR协议并未表现出特别的优势,这是由于监测网络的性能耗费一定的时延,之前采用自主切换提高的时延并不明显。

端到端时延统计如图6所示。由图可看出,当节点移动速度超过15 m/s后,改进的OLSR协议能够在网络剩余能量很低或部分MPR节点失效的情况下,使数据通过补偿节点得到及时的转发,因而它的网络传播时延相比OLSR协议有明显降低。

(3) 剩余能量

对100个节点进行仿真,速度固定为5 m/s,假定节点初始能量在[20,60]间随机分配。仿真时间为400 s,x轴表示剩余能量,y轴表示处于该能量的节点数,如图7所示。

在400 s处,使用传统路由协议在剩余能量60 J处有3个,而改进的协议在此处为1个。但是在剩余能量为10 J的节点中,传统OLSR有15个,而改进的OLSR只有11个,两个协议的大多数节点都集中在[20,50]的能量区。由此可见,使用改进的OLSR协议并没有造成过多的能量耗费,同时有效地平衡了能量的均衡使用,从而延长了部分节点的寿命。

5 结 论

本文分析了OLSR协议不适合节点分布稀疏的网络拓扑结构情况,通过加入特定节点补偿机制和自主切换机制对其进行改进,并对改进后的OLSR协议进行了仿真。实验结果表明,改进后的协议能够取得更高的投递率,提高了网络传输的可靠性。在节点移动速度较大时,在降低时延方面效果显著。同时也有利地均衡了各个节点的能量,从而延长整个网络的寿命。

选取出的补偿节点进行合适的功率放大后,增大了节点的传输覆盖范围,必然会对周围的节点传输信号有所影响,本文假定是在忽略功率增大的幅度对周围节点信号强度影响的情况下进行的研究,下一步对增加这种补偿和切换机制后的网络与节点信号强度之间的关系和影响进行研究,找到一种均衡的度量关系,使改进的协议性能可以得到最好的发挥。

摘要：针对物联网无线传感器监测系统,研究了适合稀疏分布传感器节点下的无线路由OLSR协议,并对传统OLSR路由协议进行改进。在网络高可靠性要求和节点分布不均的情况下,引入了功率补偿机制和自主切换机制,并对改进后的协议通过NS2进行了仿真实验。实验结果表明,该协议在可靠性和时延方面均有所提高,达到了提高稀疏节点无线路由网络系统性能的目的。

关键词：OLSR协议,稀疏路由,补偿点,功率补偿,自主切换机制

参考文献

[1]SUN Yan-jing,LIU Xue.Wireless multi-hop ad hoc net-works based on OLSR for underground coal mine[C]//Wireless Communications and Signal Processing.Suzhou:IEEE,2010:1-4.

[2]WISITPONGPHAN N,FAN Bai,MUDALIGE P,et al.Routing in sparse vehicular ad hoc wireless networks[J].Selected Areas in Communications,2007,25(8):1538-1556.

[3]DE RANGO Floriano,FOTINO Marco,MARANO S,et al.Energy efficient OLSR routing protocol for mobilead-hoc networks[C]//Military Communications Confer-ence.San Diego,CA:IEEE,2008:1-7.

[4]严雯,郭伟,刘军.一种基于信号强度的OLSR路由协议改进算法[J].电讯技术,2008,48(5):40-45.

[5]谭学治,王则鸣,李鹏.基于OLSR的Ad Hoc网络功率意识路由协议[J].通信技术学报,2008,41(11):103-105.

[6]TADDIA C,GIOVANARDI A,MAZZINI G,et al.Ener-gy efficiency in OLSR protocol[C]//Sensor and Ad HocCommunications and Networks.Reston,VA:IEEE,2006:792-796.

[7]CHENG Shun-feng.A wireless sensor system for prognos-tics and health management[J].Sensors Journal,2010,10(4):856-862.

[8]LI Zhi-yuan,HU Jin-hong.Simulation and analysis of opti-mized OLSR[C]//Multimedia Information Networking andSecurity.Nanjing,Jiangsu:IEEE,2010:97-100.

[9]王笃亭.基于DSP的FFT算法在无功补偿控制器上的应用[J].现代电子技术,2010,33(12):194-196.

路由器的网络安全机制的研究 篇8

随着计算机与通信技术的高速发展，Internet本身的缺陷和漏洞也被无情地显露出来，非法入侵、计算机病毒、恶意攻击等现象在互连网上非常普遍。而路由器是互联网的主要节点设备，构成了Internet的骨架。路由器的网络安全性直接影响着网络互连的质量，因此有效的路由器安全机制的设置可以显著提高网络的安全性。

2 网络安全面临的威胁

目前网络安全存在的威胁[1]主要表现在：

(1)非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，例如，有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。

(2)信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括信息在传输中丢失或泄漏，如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息。

(3)破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应：恶意添加、修改数据，以干扰用户的正常使用。

(4)拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

下面针对上文提出的几个方面的安全威胁，采用路由器上的相关安全机制来解决这些问题。

3 路由器网络安全访问策略

3.1 访问控制列表

访问控制列表(Access Control List,ACL)是应用到路由器接口或线路的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由特定指示条件，如源地址、目的地址和端口号等来决定。

(1)ACL工作原理

一个ACL是一组判断语句的集合，它可以应用于路由器的某个接口或线路，从而可以对出入路由器的数据包进行控制。当一个数据包到达一个接口时，如果该接口应用了某一个访问控制列表，则需要与访问控制列表中的条件判断语句进行匹配。访问控制列表中的条件判断语句按照逻辑次序顺序执行。如果一个数据包的报头与某个条件判断语句相匹配，该数据包就忽略剩下的判断语句，至此比较过程结束。

(2）动态访问控制列表

动态访问控制列表是一般访问控制列表的增强类型，其主要思想是：当用户希望访问内部网络资源时，首先通过Telnet远程登录到路由器，如果用户的身份经过成功认证，路由器便关闭Telnet会话，并在接口向内的方向增加一个动态表项，该动态表项授予用户的源IP地址临时通过路由器进行访问的权限，从而达到访问内部网络资源的目的。在达到了一个预先设置好的超时限制或网络管理员手工清除后，路由器将删除该访问控制列表的临时性动态条目，此时外部用户需要重新认证才能访问内部网络资源。

3.2 Radius服务器

路由器收到用户的认证请求，可以通过本地认证，即在路由器上建立一个用户名和口令数据库，但是如果需要管理的路由器很多，这种方法比较烦琐。为了避免管理开销，可以将路由器配置为参考一台安全服务器而不是一个本地数据库来执行用户认证，这些安全服务器可以将网络中所有的用户名和口令集中保存在一个中央数据库里。网络管理员一般都为实现该目的而选用一台TACACS+或RADIUS服务器。

RADIUS采用客户端/服务器结构，它已经被广泛实施在各种各样的需要高级别安全且需要远程访问的网络环境。RADIUS可以提供AAA服务，包含Authentication(认证)、Authorization(授权)、Accounting(计账)三个方面。它解决了哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对用户计费这些问题。RADIUS认证机制灵活，可以采用PAP、CHAP等认证方式。

3.3 实施过程

如何把ACL与Radius服务器结合使用，这里通过如图3所示的网络拓扑来说明具体的实施过程。各设备的配置信息如表1所示，其中交换机S1、S2不需要进行配置。

(1）配置基本网络环境

1)按照表1所示内容，正确填写计算机(PC1、PC2、PC3、PC4)及服务器(RS)的网络连接参数。

2)通过Console端口，分别设置路由器(R)的端口f0/1)、f()/1。

此时，通过路由器R连接的两个网络之间可以相互访问，可以通过ping命令验证。另外，网络中的各台主机都可以在不经过Radius服务器验证的情况下，通过Telnet方式登录到路由器上。

(2）设置ACL

1)对路由器R的VTY线路设置ACL

上述的ACL定义了哪些主机可以连接到VTY线路上，“line vty 0 4”命令指定了5条VTY线路。命令“access-class5 in”用于将ACL施用至VTY线路，而不是路由器的某个接口，其中关键字“in”几乎总被用于该命令，与之相反的关键字“out”用于限制该路由器通过Telnet方式访问外部目的地，该命令中很少使用。

此时，只有网络10.0.0.0(子网掩码为：255.0.0.0)中的主机才可以通过Telnet方式登录到路由器上。

2)对路由器R的端口f0/1设置ACL

(3）配置Radius服务器

Radius服务器可以利用Windows 2000 Server系统中的IAS(Internet Authentication Service)组件来实现。IAS可以对连接进行集中的身份认证、授权以及记账，使网络管理员可以集中管理远程访问权限和连接属性。

1)Radius服务器配置

(1)添加客户端

在“管理工具”中打开“Internet验证服务”控制台，在其中新建客户端，可以取名为“myClient”。客户端地址为：192.168.0.10，共享密钥可以设置为：123456。

(2)设置远程访问策略

在IAS控制台中，设置远程访问策略“如果启用拨人许可，就允许访问”的属性。在属性对话框中针对“如果用户符合上面的条件”选择“授予远程访问权限”单选框;单击“编辑配置文件”按钮，在弹出对话框中选择“身份认证”选项卡;选中“加密身份认证(CHAP)”和“未加密的身份认证(PAP、SPAP)”复选框，设置身份验证方法。

2）客户端配置

在路由器上通过Console端口配置AAA客户端，步骤如下：

4 结语

介绍基于路由器的主要安全技术，它们往往是配合使用的，各种安全机制只有协调工作，系统的安全性才会牢固。在信息化高速发展的今天，为了保证高效的网络安全，加强推进路由器安全机制、安全协议与算法的研究是至关重要的。

参考文献

[1]戴英侠.计算机网络安全[M].北京:清华大学出版社,2005.

[2]魏亮.路由器原理与应用[M].北京:人民邮电出版社,2005.