2010年3月22日 星期一

OSPF與EIGRP的比較

OSPF與EIGRP的比較

OSPF和EIGRP都是近年來出現的比較好的動態路由協議,OSPF以協議標準化強,支持廠家多,受到廣泛應用,而EIGRP協議由網絡界公認的領先廠商Cisco公司發明,並靠其在業界的影響力和絕對的市場份額,也受到用戶的普遍認同。然而這兩種協議究竟哪種更好,誰更適合網絡未來發展的需要?本文就用戶普遍關心的問題,從技術角度客觀分析這兩種協議各自的優缺點,以便網絡集成商和企業用戶在網絡設計規劃時,能作為參考。


一、OSPF協議

(一)、OSPF協議簡介
  OSPF是Open Shortest Path First(即"開放最短路由優先協議")的縮寫。它是IETF組織開發的一個基於鏈路狀態的自治系統內部路由協議。在IP網絡上,它通過收集和傳遞自治系統的鏈路狀態來動態地發現並傳播路由。
  每一台運行OSPF協議的路由器總是將本地網絡的連接狀態,(如可用接口信息、可達鄰居信息等)用LSA(鏈路狀態廣播)描述,並廣播到整個自治系統中去。這樣,每台路由器都收到了自治系統中所有路由器生成的LSA,這些LSA的集合組成了LSDB(鏈路狀態數據庫)。由於每一條LSA是對一台路由器周邊網絡拓撲的描述,則整個LSDB就是對該自治系統網絡拓撲的真實反映。
  根據LSDB,各路由器運行SPF(最短路徑優先)算法。構建一棵以自己為根的最短路徑樹,這棵樹給出了到自治系統中各節點的路由。在圖論中,"樹"是一種無環路的連接圖。所以OSPF計算出的路由也是一種無環路的路由。

OSPF協議為了減少自身的開銷,提出了以下概念:
(1). DR:
在各類可以多址訪問的網絡中,如果存在兩台或兩台以上的路由器,該網絡上要選舉出一個"指定路由器"(DR)。"指定路由器"負責與本網段內所有路由器進行LSDB的同步。這樣,兩台非DR路由器之間就不再進行LSDB的同步。大大節省了同一網段內的帶寬開銷。

(2). AREA:
OSPF可以根據自治系統的拓撲結構劃分成不同的區域(AREA),這樣區域邊界路由器(ABR)向其它區域發送路由信息時,以網段為單位生成摘要LSA。這樣可以減少自治系統中的LSA的數量,以及路由計算的複雜度。
OSPF使用4類不同的路由,按優先順序來說分別是:
區域內路由
區域間路由
第一類外部路由
第二類外部路由
區域內和區域間路由描述的是自治系統內部的網絡結構,而外部路由則描述了應該如何選擇到自治系統以外目的地的路由。一般來說,第一類外部路由對應於OSPF從其它內部路由協議所引入的信息,這些路由的花費和OSPF自身路由的花費具有可比性;第二類外部路由對應於OSPF從外部路由協議所引入的信息,它們的花費遠大於OSPF自身的路由花費,因而在計算時,將只考慮外部的花費。

(二)、OSPF協議主要優點:

1、OSPF是真正的LOOP- FREE(無路由自環)路由協議。源自其算法本身的優點。(鏈路狀態及最短路徑樹算法)

2、OSPF收斂速度快:能夠在最短的時間內將路由變化傳遞到整個自治系統。

3、提出區域(area)劃分的概念,將自治系統劃分為不同區域後,通過區域之間的對路由信息的摘要,大大減少了需傳遞的路由信息數量。也使得路由信息不會隨網絡規模的擴大而急劇膨脹。

4、將協議自身的開銷控制到最小。見下:
1)用於發現和維護鄰居關係的是定期發送的是不含路由信息的hello報文,非常短小。包含路由信息的報文時是觸發更新的機制。(有路由變化時才會發送)。但為了增強協議的健壯性,每1800秒全部重發一次。
2)在廣播網絡中,使用組播地址(而非廣播)發送報文,減少對其它不運行ospf 的網絡設備的干擾。
3)在各類可以多址訪問的網絡中(廣播,NBMA),通過選舉DR,使同網段的路由器之間的路由交換(同步)次數由 O(N*N)次減少為 O (N)次。
4)提出STUB區域的概念,使得STUB區域內不再傳播引入的ASE路由。
5)在ABR(區域邊界路由器)上支持路由聚合,進一步減少區域間的路由信息傳遞。
6)在點到點接口類型中,通過配置按需播號屬性(OSPF over On Demand Circuits),使得ospf不再定時發送hello報文及定期更新路由信息。只在網絡拓撲真正變化時才發送更新信息。

5、通過嚴格劃分路由的級別(共分四極),提供更可信的路由選擇。

6、良好的安全性,ospf支持基於接口的明文及md5 驗證。

7、OSPF適應各種規模的網絡,最多可達數千台。

二、EIGRP協議
(一)、EIGRP協議簡介
EIGRP和早期的IGRP協議都是由Cisco發明,是基於距離向量算法的動態路由協議。EIGRP(Enhanced Interior Gateway Routing Protocol)是增強版的IGRP協議。它屬於動態內部網關路由協議,仍然使用矢量-距離算法。但它的實現比IGRP已經有很大改進,其收斂特性和操作效率比IGRP有顯著的提高。
EIGRP的收斂特性是基於DUAL ( Distributed Update Algorithm ) 算法的。DUAL 算法使得路徑在路由計算中根本不可能形成環路。它的收斂時間可以與已存在的其他任何路由協議相匹敵。

(二)、EIGRP協議主要優點:
1. 精確的路由計算和多路由的支持
EIGRP協議繼承了IGRP協議的最大的優點:矢量路由權。EIGRP協議在路由計算中要對網絡帶寬,網絡時延,信道佔用率,信道可信度等因素作全面的綜合考慮,所以EIGRP的路由計算更為準確,更能反映網絡的實際情況。同時EIGRP協議支持多路由,使路由器可以按照不同的路徑進行負載分擔。

2. 較少的帶寬佔用
使用EIGRP協議的對等路由器之間週期性的發送很小的hello報文,以此來保證從前發送報文的有效性。路由的發送使用增量發送方法,即每次只發送發生變化的路由。發送的路由更新報文采用可靠傳輸,如果沒有收到確認信息則重新發送,直至確認。EIGRP還可以對發送的EIGRP報文進行控制,減少EIGRP報文對接口帶寬的佔用率,從而避免連續大量發送路由報文而影響正常數據業務的事情發生。

3. 無環路由和較快的收斂速度
路由計算的無環路和路由的收斂速度是路由計算的重要指標。EIGRP協議由於使用了DUAL算法,使得EIGRP協議在路由計算中不可能有環路路由產生,同時路由計算的收斂時間也有很好的保證。因為,DUAL算法使得EIGRP在路由計算時,只會對發生變化的路由進行重新計算;對一條路由,也只有此路由影響的路由器才會介入路由的重新計算。
4. MD5認證
為確保路由獲得的正確性,運行EIGRP協議進程的路由器之間可以配置MD5認證,對不符合認證的報文丟棄不理,從而確保路由獲得的安全。

5. 任意掩碼長度的路由聚合
EIGRP協議可以通過配置,對所有的EIGRP路由進行任意掩碼長度的路由聚合,從而減少路由信息傳輸,節省帶寬。

6. 同一目的但優先級的路由可實現負載分擔
去往同一目的的路由表項,可根據接口的速率、連接質量、可靠性等屬性,自動生成路由優先級,報文發送時可根據這些信息自動匹配接口的流量,達到幾個接口負載分擔的目的。

7. 協議配置簡單
使用EIGRP協議組建網絡,路由器配置非常簡單,它沒有複雜的區域設置,也無需針對不同網絡接口類型實施不同的配置方法。使用EIGRP協議只需使用router eigrp命令在路由器上啟動EIGRP 路由進程,然後再使用network 命令使能網絡範圍內的接口即可。

三、OSPF和EIGRP的比較

OSPF和EIGRP都是收斂速度較快並且不會形成環路的算法,網絡帶寬佔用較小,使用靈活,安全性較好的路由協議。但是從以上分析可以看出,各自還是有優缺點。

(一)、OSPF的缺點

1、配置相對複雜。由於網絡區域劃分和網絡屬性的複雜性,需要網絡分析員有較高的網絡知識水平才能配置和管理OSPF網絡。

2、路由負載均衡能力較弱。OSPF雖然能根據接口的速率、連接可靠性等信息,自動生成接口路由優先級,但通往同一目的的不同優先級路由,OSPF只選擇優先級較高的轉發,不同優先級的路由,不能實現負載分擔。只有相同優先級的,才能達到負載均衡的目的,不像EIGRP那樣可以根據優先級不同,自動匹配流量。

(二)、EIGRP的缺點

1. EIGRP沒有區域(AREA)的概念,而OSPF在大規模網絡的情況下,可以通過劃分區域來規劃和限制網絡規模。所以EIGRP適用於網絡規模相對較小的網絡,這也是矢量-距離路由算法(RIP協議就是使用這種算法)的局限所在。

2. 運行EIGRP的路由器之間必須通過定時發送HELLO報文來維持鄰居關係,這種鄰居關係即使在撥號網絡上,也需要定時發送HELLO報文,這樣在按需撥號的網絡上,無法定位這是有用的業務報文還是EIGRP發送的定時探詢報文,從而可能誤觸發按需撥號網絡發起連接,尤其在備份網絡上,引起不必要的麻煩。所以一般運行EIGRP的路由器,在撥號備份端口還需配置Dialer list和Dialer group,以便過濾不必要的報文,或者運行TRIP協議,這樣做增加路由器運行的開銷。而OSPF可以提供對撥號網絡按需撥號的支持,只用一種路由協議就可以滿足各種專線或撥號網絡應用的需求。

3. EIGRP的無環路計算和收斂速度是基於分佈式的DUAL算法的,這種算法實際上是將不確定的路由信息(active route)散播(向鄰居發query報文),得到所有鄰居的確認後(reply報文)再收斂的過程,鄰居在不確定該路由信息可靠性的情況下又會重複這種散播,因此某些情況下可能會出現該路由信息一直處於active狀態(這種路由被稱為stuck in active route),並且,如果在active route的這次DUAL計算過程中,出現到該路由的後繼(successor)的metric發生變化的情況,就會進入多重計算,這些都會影響DUAL算法的收斂速度。而OSPF算法則沒有這種問題,所以從收斂速度上看,雖然整體相近,但在某種特殊情況下,EIGRP還有不理想的情況。

4、EIGRP是Cisco公司的私有協議。Cisco公司是該協議的發明者和唯一具備該協議解釋和修改權的廠商。如果要支持EIGRP協議需向Cisco公司購買相應版權,並且Cisco公司修改該協議沒有義務通知任何其他廠家和使用該協議的用戶。而OSPF是開放的協議,是IETF組織公佈的標準。世界上主要的網絡設備廠商都支持該協議,所以它的互操作性和可靠性由於公開而得到保障,並且在眾多的廠商支持下,該協議也會不斷走向更加完善。


附錄: Quidway(R) 系列路由器對OSPF的支持

Quidway(R) 系列路由器上所實現的OSPF軟件遵循 Internet RFC 2328所描述的協議文本,下面列出一些主要特色:

支持STUB區域:定義STUB區域以節省該區域內路由器引入ASE路由時的開銷。也可以用該命令過濾區域間路由。

支持按需撥號:OSPF 按需撥號(OSPF over On Demand Circuits)是對OSPF協議的一種改進,它通過抑制HELLO報文和連接狀態廣播報文的定時傳送,使得協議在ISDN、X.25 、SVCs 和 撥號線等按需撥號網上運行得更為有效。

豐富的路由策略:支持引入其它路由協議發現的路由。支持路由過濾功能。

授權驗證字:OSPF對同一區域內的相鄰路由器之間可以選擇明文驗證字和MD5加密驗證字兩種報文合法性驗證手段。

路由器接口參數的靈活配置:在路由器的接口上,可以配置OSPF的參數包括:輸出花費、HELLO報文發送間隔、重傳間隔、接口傳輸時延、路由優先級、相鄰路由器"死亡"時間、報文驗證方式和報文驗證字等。

虛連接: Quidway(R) 系列路由器的OSPF支持虛連接。以保證和增強骨幹區域的連通性。

支持多種接口類型:支持協議中規定的廣播,NBMA,點到多點,點到點四種接口類型。並支持將某種類型的接口任意改為其它類型。

支持配置鄰接點:在NBMA等不支持多播發送報文的網絡上,可以手工配置鄰接點,單播發送協議報文。

支持區域間路由聚合: 如果某區域中存在一些連續的網段,可以在它的區域邊界路由器(ABR)上使用聚合命令將這些連續的網段聚合成一個網段。可以減少其它區域中鏈路狀態數據庫(LSDB)的規模。

豐富的調試信息: Quidway(R) 系列路由器的OSPF,提供了豐富的調試信息幫助用戶診斷故障。

2010年3月17日 星期三

追查異常流量

當公司對外線路流量衝高之後,使用Ntop工具還是追查不到,有可能該流量是被加密處理過,簡易的追查方式是:

先從Cisco Router上,流量較大的interface追起:
1. sh ip cache s0/0 flow
2. 把IP Flow Switching Cache貼到文字檔,再開啟EXCEL載入此文字檔,以空白分隔
3. 打開有一個Pkts欄位,排序這個欄位,把最高的幾筆IP找出來
4. 到Cisco PIX上,show conn | in 這幾個IP
5. 查看是誰在連這些可疑IP的什麼服務port,如下:

T121F-PIX525# sh conn | in 203.69.138.8
TCP out 203.69.138.8:443 in 10.185.59.199:2353 idle 0:00:00 Bytes 366945414 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2367 idle 0:00:00 Bytes 365583735 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2359 idle 0:00:00 Bytes 364010407 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2363 idle 0:00:00 Bytes 363703764 flags UIO

該死的user(10.185.59.199)正在爽爽的使用https下載東西。
下一步就看你要讓他怎麼個死法了。