通过思科路由器提高OSPF安全性1

通过思科路由器提高OSPF安全性1

　OSPF也是一种路由协议，它是链路状态协议的开放版本。在实际工作中，在一些大型网络、混合型的网络中，常常使用OSPF协议。在上一篇文章中，笔者谈到过RIP协议的缺陷。而网络专家之所以开发OSPF协议，就主要是为了应对RIP协议的缺陷。

　　一、利用OSPF协议解决RIP路由信息协议的缺陷

　　说句实话，引入OSPF协议主要是用来解决RIP路由信息协议的一些缺陷。

　　如RIP与RIP2协议都具有15跳的限制。如果网络跨越超过了15跳限制的话，目的地会被认为不可达。所以，RIP路由信息协议其使用范围就被定义在小型网络。而OSPF协议继承了RIP路由信息协议原有的优点，同时突破了这个15跳的限制。另外，OSPF还可以解决RIP路由信息协议汇聚缓慢等缺陷。笔者在谈到OSPF的安全问题时，之所以简要介绍OSPF协议与RIP路由信息协议的关系，主要是想强调一下，OSPF协议也如同RIP协议一样，是目前企业网络设计中常用的协议。所以，如何提高这个协议的安全性，对于网络管理员来说也就显得尤其的重要。

　　二、OSPF的认证方式

　　OSPF主要是通过路由更新认证的方式提供了其链路的安全性。如可以认证OSPF分组，如此路由器就可以根据预先配置的密码参与到路由域中。不过默认情况下，路由器往往不采用认证，有些书上也把它叫做NULL认证。也就是说，网络上的路由器交换是不对彼此进行认证的。这显然不利于OSPF协议的安全性。

　　通常情况下，为了提高OSPF协议的安全性，往往要对其采取一些安全措施。常见的安全措施目前为止有两种。分别为简单的密码认证与消息摘要认证。

　　简单的密码认证允许在每一个区域中配置一个密码，在同一个区域中的路由器要参与到路由域中，就必须配置相同的密钥。如果没有密钥的话，则其他路由器是不会接受新加入的路由器的。这在一定程度上，可以提高OSPF协议的安全性。不过这种方式确实是“简单”，其比较容易受到攻击。如现在有一种叫做“消极攻击”的方式，对这种简单密码认证就很有效。在这个域中，只要具有链路分析器这个工具，就可以轻而易举的获得这个密钥，从而进行一些破坏工作。