IP路由器的主要功能(下)(唐健、邬江兴)
四、ICMP消息的处理
IP数据包在互联网中传输时难免会遇到各种问题,如:路由器故障、路径太长、系统拥塞
等,
这就需要互联网在IP层具有一定的控制功能,ICMP(Internet Control Message Protocol)协
议就
是互联网中传递控制信息的主要手段。
自从1981年ICMP发布在RFC792中以来,其内容并非一成不变,ICMP消息已从最初的十种类型
发
展为二十多种类型,其中主要包括:信宿不可到达、源抑制、重走向、回应请求/应答、路由器通
告/请求、超时、参数出错、时戳请求/应答、信息请求/应答、子网模请求/应答、路径跟踪
等。
每个类型还可以细分为不同情形,每种情形用一个代码来表示。
当路由器接收到一个IP数据包(非ICMP消息)时,若发现信宿不可到达、超时或参数出错,
就
要丢弃该数据包,同时向源主机发送相应类型的ICMP消息;若路由器发现拥塞,可能丢弃IP数据
包,
也可能继续转发,但此时必须向源主机发送源抑制消息。
为了使主机能发现其所在子网上的路由器,路由器要周期性地广播路由器通告消息,或者在
接
收到一个主机的路由器请求消息时,路由器发送相应的路由器通告消息;当路由器接收到一个回应
请求消息时,就返送一个回应应答消』急,以表明该路由器的可达性;一旦路由器接收到一个路由
器或主机的子网模请求消息,就要以一个子网模应答消息作为答复;若路由器发现与目的IP地址、
源主机都在同一个网络中的另一个路由器是最佳路由时,就会生成重走向消息,让源主机直接把IP
数据包发送给另一路由器,以减少路由跳数;信息请求/应答消息是为了用于诸如无盘工作站等自
配置系统获取所在网络的网络号。
若要估算路由器之间或路由器与主机之间的时差,或者要了解到达一个目的IP地址的路径构
成,
就要分别生成时戳请求/应答及路径跟踪消息。
路由器不必生成所有ICMP消息,比如协议不可到达消息和瑞口不可到达消息,都只由主机生
成。
有些ICMP消息也用于网络管理,比如:回应请求/应答消息、时戳请求/应答消息、路径跟
踪
消息等。利用回应请求/应答消息,网管站可了解路由器端口是否正常工作、估算IP数据包丢失
率;
利用时戳请求/应答消息,网管站可以估算IP数据包的时延;利用路径跟踪消息,网管站可以了解
路径长度。
值得注意的是,ICMP消息并非都有效。源抑制不能有效地进行拥塞控制,可能以后将用其它
更
有效的拥塞控制方法;信息请求/应答消息现在已经被取消了,取而代之的是RARP、BOOTP等更有
效
的机制。恶意的主机或路由器使用ICMP消息,可能引起反面作用,给路由器增添处理负担,或使
某
些网管功能失效。
ICMP消息是封装在IP数据包的数据部分进行传输的,IP数据包报头的“协议”域指出数据区
内
容为ICMP消息,IPv4中定义为1。
五、网络管理
一个网络要井然有序地运转,必然少不了网络管理。网络管理的主要任务是:保证网络能按
需
要不断增长;尽可能早地排除故障;保证网络能以最佳性能水平运行;确保内部支持人员消息灵
通。
十余年来,互联网在巨大发展过程中所暴露出的问题引起人们对网络管理和网络扩充规划的高度重
视。
几个网无(如:路由器、主机、交换机、传输链路)、至少一个网管站和一个网管协议、一
个
管理信息库(MIB)就构成了一个网管体系。网管站执行管理者的功能,可以对网元进行轮询,以
检查某个变量的值;可以在接到网无告警后,执行一个或多个动作,包括操作员通知、事件日志、
系统关闭、自动的系统恢复等。网元执行被管理者功能,其中有一个代理进程负责编辑被管设备的
信息,并将它存储到管理数据库中,并对网管站的轮询作出响应和在发现故障时告警。网管协议规
定了网无与网管站之间交流管理信息的方式;MIB是网元与网管站之间交流的管理信息。
作为一个网无,路由器必须具有网管代理。目前,网管代理执行的网管协议是SNMP(还有
TELN
ET、ICMP等)。SNMPv1于1990年正式成为标准RFC115.7,现在已经发展到版本3。网管代理与网
管
站之间SNMP协议实体的通信通过数据包交换来完成。一个数据包由版本标识符、SNMP团体名和PDU
组成。SNMP应支持五种PDU:GetRequest、GetNextRequest、GetResponse、SetRequest、
Trap。SN
MP数据包被封装在UDP中,协议实体在UDP协议口162接收陷讲数据包,而在UDP协议口161接收其
它
数据包。
网管代理中的MIB把管理信息分为许多组,每组管理信息由一些对象类型组成。每个对象类型
有一个名字(对象标识符)、句法(数据结构)和编码(用句法来表示对象实例)。每个对象类型
的实现叫做对象实例,由变量名标识,并具有相应变量值。与路由器有关的MIB已经在RFC中定义
了
不少,如:IPMIB-Ⅱ、OSPF MIB、BGP MIB、FDDI MIB、RS-232MIB等,当然,厂商或管理者
还可
依据自己的需要,定义一些专用MIB。
六、安全服务
路由器的安全服务有两个方面的含义,一是保证路由器本身不被侵害(有意或无意的);二
是
对穿过路由器的数据包过滤,或保证发送数据包的完整、可信性。路由器的安全服务功能将促进对
安全要求严格的各项应用(如:电子商务)的发展。
如何保障路由器自身的安全,以前考虑甚少。在许多RFC(Reference for Comments)的
“Sec
urityConsideration”中仅有轻描淡写的一句“Security issues are not discussed in
thismemo”。
现在,黑客不仅攻击网站,也开始攻击路由器,极大地威胁着互联网。路由器的安全性显得越来越
紧迫和重要。路由器之间或路由器与主机之间的信息交互是通过路由、网管等通信协议来自动实现
的。这些协议消息在网络中流动,可能受到篡改、伪造等威胁,进而导致路由器的选路错误或内部
数据泄漏等严重后果。所以,RIPv2、OSPFv2、SNMPv2/v3都增加了安全性考虑,由路由器对协
议消
息进行相应的列表、口令、认证或加密等处理,把危险系数降到最低。
当路由器位于网络边缘时,还应采取过滤、加密或认证等措施(除非采用代理服务器)。比
如,
如果路由器位于可信的内部网与不可信的外部网之间,这时路由器就需要具有防火墙或VPN功能。
由
于防火墙技术由来已久,这里重点探讨VPN技术。最近几年IETF开放着一个叫做IPSec
(RFC2401)的
协议包,可有效地用于构建VPN。IPSec包括ESP、AH、ISAKMP三个主要的协议。
ESP提供数据加密服务,保证IP数据包的完整和可信性。ESP报头置于IPv4报头之后。它的协
议
号为50。ESP既可以加密整个IP数据包,也可以仅加密高层数据帧,视具体要求而定。支持的加密
算
法包括DES-CBC、Triple-DES、RC5、IDEA、CAST、BLOWFISH和HRC4。
AH提供数据认证服务,并保证IP数据包的完整性。AH报头放在IPv4报头与高层协议帧(如:
TCP)
之间。AH的协议号为51。AH能够使用多种认证算法,目前已经被定义的两个认真算HMAC-MD5和
JMAC-
SHA1。
ISAKMP提供用于应用层服务的通用格式,支持IPSec协议的密钥管理要求。除此之外,IETF
设计
了Oakley密钥确定协议来实施ISAKMP功能。
由于ESP不提供数据认证、AH不保证数据可信性,实际中可将二者联合使用,取长补短。
七、结语
互联网技术在飞速发展,看看不断出现的RFC正式文档和草案,看看各个路由器制造商推出的
不
同解决方案,就可领略到这一点。也许不久的将来,其它功能,比如信令功能、第二层交换等,会
成
为路由器新的主要功能。我们试目以待。
摘自《数据通信》
文章整理:
站长天空 网址:http://www.z6688.com/
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
