李良一
摘 要 首先就BGP協(xié)議的概念以及特點作出分析,而后進一步針對其具體的工作流程展開討論,對于深入了解BGP協(xié)議的工作機制和特征有著積極意義。
關(guān)鍵詞 BGP;協(xié)議;原理
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2014)07-0046-01
當前信息化時代之下,數(shù)據(jù)傳輸已經(jīng)成為了日常工作和生活必不可少的重要組成部分,網(wǎng)絡(luò)服務(wù)的易得性和可靠性也因此得到廣泛關(guān)注。這其中負責網(wǎng)絡(luò)正常工作的諸多協(xié)議,作為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)挠辛χС郑渤蔀榱搜芯康闹攸c對象。
1 BGP協(xié)議的概念以及特點
邊界網(wǎng)關(guān)協(xié)議(BGP, Border Gateway Protocol),其職能在于實現(xiàn)數(shù)據(jù)傳輸過程中,不同因特網(wǎng)自治域系統(tǒng)間的路由實現(xiàn),本質(zhì)上看就是在不同的網(wǎng)絡(luò)系統(tǒng)之間交換網(wǎng)絡(luò)可達信息(NLRI,Network Layer Reachable Information)。隨著網(wǎng)絡(luò)發(fā)展的日益成熟,相應(yīng)的拓撲結(jié)構(gòu)以及網(wǎng)絡(luò)自治域也隨之呈現(xiàn)出日益復(fù)雜的特征,一方面自治域內(nèi)部呈現(xiàn)出相對的獨立特征,另一個方面其間的通信卻呈現(xiàn)出越來越頻繁的特征,并且對于通信質(zhì)量的要求也有顯著提升趨勢。所有這些都使得BGP協(xié)議的地位日益重要,這種頻繁作用在互聯(lián)網(wǎng)自治域邊緣的通信協(xié)議,已經(jīng)成為了網(wǎng)絡(luò)路由體系的重要組成部分,其存在對于支持整個互聯(lián)網(wǎng)數(shù)據(jù)傳輸工作的完成和實現(xiàn),并且在一定程度上對于減少交換和路由設(shè)備的運行負荷都有積極意義。
從工作特點方面看,BGP協(xié)議能夠?qū)崿F(xiàn)對于無類型區(qū)域間路由(CIDR,Classless Inter—Domain Routing)的良好支持,這種支持作用能夠極大地抑制和縮減路由表本身的規(guī)模,并且對于提升路由效率等方面都有顯著的作用。并且在實現(xiàn)路由的過程中,BGP協(xié)議通過自治域(AS,Autonomous System)邊界路由器展開作用,采用特定的策略和算法選擇過濾路由,將諸如路由信息協(xié)議(RIP,Router Information protocol)、開放式最短路徑優(yōu)先(OSPF,Open Shortest Path First)以及BGP等路由信息發(fā)送到對應(yīng)節(jié)點之上。在傳輸可靠性方面,BGP直接采用TCP作為傳輸協(xié)議,相對而言可以保證其可靠性,并且對于路由聚合和過濾等方面也能夠表現(xiàn)出良好支持。
近年來對于BGP協(xié)議的重視體現(xiàn)在多個方面,單就我國的研究而言,胡湘江等人研究出通過采用基于AS聯(lián)盟安全體系結(jié)構(gòu),使用具有分布式認證中心的信任模型來提升BGP協(xié)議安全性,并且構(gòu)建起B(yǎng)GP安全機制。此外對于BGP協(xié)議體系中,基于身份的秘鑰算法,以及確保BGP協(xié)議活動中身份真實性的確認,防止基于BGP的詐騙等研究也都層出不窮。2011年,美國明尼蘇達大學Max Schuhar等人在國際會議NDSS201的相關(guān)文獻中提出了基于BGP協(xié)議漏洞的協(xié)調(diào)跨平面會話終結(jié)CXPST供給算法,即通過在數(shù)據(jù)傳輸網(wǎng)絡(luò)環(huán)境中制造某些通信鏈路的時斷時續(xù)的震蕩效應(yīng),來實現(xiàn)迫使網(wǎng)絡(luò)中的路由器,尤其是邊界路由器頻繁地更換路由表,并且不停展開路由計算和選擇,最終造成網(wǎng)絡(luò)路由資源耗盡,導(dǎo)致網(wǎng)絡(luò)路由器陷入癱瘓的狀況。諸如此類攻擊以及反攻擊的相關(guān)研究,BGP協(xié)議的發(fā)展也日趨
成熟。
2 BGP協(xié)議的工作機制分析
想要在實際的工作環(huán)境中確保BGP協(xié)議能夠正常展開工作,成為通信環(huán)境中的有力支持力量,還需要更深一步就其工作機制展開分析。
不同的自治域AS在展開跨區(qū)的數(shù)據(jù)傳輸過程中,在本域內(nèi)的最后一個路由節(jié)點可以被視為邊界路由,這就是BGP協(xié)議主要的工作環(huán)境。一臺配置好BGP路由協(xié)議的路由器,能夠?qū)崿F(xiàn)通過TCP協(xié)議與其他相鄰BGP路由保持通信的功能。需要注意的是,BGP路由在網(wǎng)絡(luò)初始化的時候?qū)τ谂R近路由無法自行感知,通常需要人工或經(jīng)由相應(yīng)軟件算法進行設(shè)定。在完成設(shè)定之后,邏輯上相鄰的BGP路由器會定期交換路由信息,確保期間的路由道路暢通。通常做法是采用每隔60秒發(fā)送的Hello數(shù)據(jù)包來確定BGP路由之間的鄰居關(guān)系,通常Hello數(shù)據(jù)包也會被稱作為Keepalive數(shù)據(jù)包,其作用在于幫助BGP路由時間確定彼此的工作和活躍狀態(tài)。Hello數(shù)據(jù)包的成功傳輸會幫助BGP路由器為其邏輯相鄰的其他路由器設(shè)定一個時間參數(shù)Hold Time,用以表示其鄰居路由器的活躍狀態(tài),通常將Hold Time設(shè)定為180秒,即在180秒內(nèi)認為該鄰居路由工作正常,通向其路由的線路順暢,而如果超過180秒仍未接收到鄰居路由的Hello數(shù)據(jù)包,則將該鄰居路由工作狀態(tài)設(shè)定為無效,并且對應(yīng)修改路由表和算法。
圖1是BGP協(xié)議工作流程的簡要示意圖。從圖中可以看出,最開始的時候,路由器處于閑置狀態(tài),而后由BGP Start進行觸發(fā)而躍到工作狀態(tài),當監(jiān)聽到來源于網(wǎng)絡(luò)的鏈接請求的時候,開始保持連接。在這樣的情況下,如果TCP鏈接成功,就會發(fā)送Open信息到邏輯連接端,并且進入到Open Sent狀態(tài)展開工作,而未能成功連接,則只進入活躍狀態(tài)并且進一步嘗試連接。相應(yīng)的狀態(tài)轉(zhuǎn)化基本都可以通過圖1表達。
圖1 BGP協(xié)議工作流程示意圖
3 結(jié)論
BGP協(xié)議本身的安全特征,直接影響到網(wǎng)絡(luò)傳輸工作的有效性和安全性,針對于這種情況,有必要深入分析其工作原理和流程,就每一個具體環(huán)節(jié)展開研究,針對其可能存在的漏洞和不足展開修正和改善,才能真正實現(xiàn)數(shù)據(jù)傳輸服務(wù)的可
靠性。
參考文獻
[1]胡湘江,朱培棟,龔正虎.SE-BGP:一種BGP安全機制[J].軟件學報,2008,19(1).
[2]伍孝金,宋坤,張宏科.基于IPv6的BGP4+路由策略的研究與實現(xiàn)[J].計算機工程與設(shè)計,2007,28(17).
[3]喻衛(wèi),蔡開裕,朱培棟.BGP安全機制的研究[J].計算機工程與應(yīng)用,2006,42(5).endprint