基于控制平面協(xié)議的IP核心網(wǎng)安全加固策略部署
1 引言
隨著網(wǎng)絡(luò)帶寬需求的迅速增長(zhǎng)以及芯片等技術(shù)的發(fā)展,IP核心網(wǎng)轉(zhuǎn)發(fā)處理能力得到了極大的提升。作為網(wǎng)絡(luò)流量的承載節(jié)點(diǎn),在互聯(lián)網(wǎng)公網(wǎng)地址空間的場(chǎng)景下,現(xiàn)網(wǎng)設(shè)備經(jīng)常會(huì)收到大量上送至CPU的報(bào)文攻擊,若不加保護(hù),往往可能由于大量非法報(bào)文的沖擊造成控制平面協(xié)議、業(yè)務(wù)中斷和CPU被掛死等問(wèn)題。本文通過(guò)對(duì)某地市IDC SR至CR間控制平面協(xié)議的安全加固策略部署案例,給出城域網(wǎng)核心路由器上控制平面防攻擊策略加固的建議。
圖1 IP核心網(wǎng)控制面協(xié)議架構(gòu)
2 IP核心網(wǎng)控制平面協(xié)議部署
IP城域網(wǎng)整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)分為三層:核心層、匯聚層和接入層,其中核心層和匯聚層路由器分別稱(chēng)為CR、BRAS/SR。每地市城域網(wǎng)核心層設(shè)置2臺(tái)高性能路由器,設(shè)備型號(hào)主要包括華為NE5000E和阿卡7950。匯聚層BRAS/SR設(shè)備采用N*10G電路雙上聯(lián)至2臺(tái)市核心CR,業(yè)務(wù)流量在兩個(gè)方向上進(jìn)行負(fù)載均擔(dān)。河南聯(lián)通每地市城域網(wǎng)各自構(gòu)成單獨(dú)私有AS域,每地市一個(gè)獨(dú)立的AS域,現(xiàn)網(wǎng)各層次網(wǎng)絡(luò)設(shè)備間涉及的控制面協(xié)議有IGP(connected、static、ospf 、isis)、BGP、LDP和PIM等。IGP協(xié)議以ospf為例,主要用于設(shè)備的loopback地址和互聯(lián)地址承載,不做業(yè)務(wù)路由承載。IBGP協(xié)議用于城域網(wǎng)內(nèi)IPV4和VPNV4用戶(hù)路由承載。IP核心網(wǎng)控制面協(xié)議架構(gòu)如圖1所示。
針對(duì)IP核心網(wǎng)中設(shè)備運(yùn)行的各種業(yè)務(wù)涉及的協(xié)議進(jìn)行分類(lèi),部署了相關(guān)安全策略加固。
3 IP核心網(wǎng)安全加固策略
超高寬帶時(shí)代IP核心網(wǎng)轉(zhuǎn)發(fā)平面的處理能力急劇提升,但控制面基于設(shè)備CPU運(yùn)行,處理能力的增長(zhǎng)有限。攻擊者一旦向IP核心網(wǎng)設(shè)備發(fā)起海量消息請(qǐng)求,將導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備CPU無(wú)法實(shí)時(shí)處理消息,進(jìn)而引發(fā)正常業(yè)務(wù)交互及內(nèi)部處理流程阻塞。IP網(wǎng)絡(luò)的開(kāi)放性在帶來(lái)各種業(yè)務(wù)、管理維護(hù)便利性的同時(shí)也帶來(lái)了巨大的安全隱患。因此,為保障相關(guān)控制協(xié)議和業(yè)務(wù)的正常運(yùn)行,我們對(duì)IP核心網(wǎng)進(jìn)行了各類(lèi)安全加固策略部署。
3.1 IP核心網(wǎng)控制平面防攻擊安全加固機(jī)制
IP核心網(wǎng)轉(zhuǎn)發(fā)平面相對(duì)于控制平面來(lái)說(shuō),其處理能力近乎是無(wú)限的,因此轉(zhuǎn)發(fā)面能夠輕易地上送海量報(bào)文將控制面沖擊過(guò)載。為防止過(guò)多的報(bào)文由轉(zhuǎn)發(fā)面上送至控制面,在不影響正常業(yè)務(wù)運(yùn)行的基礎(chǔ)上可進(jìn)行協(xié)議限速、動(dòng)態(tài)/靜態(tài)白名單、動(dòng)態(tài)/靜態(tài)黑名單等安全防御機(jī)制部署,如表1所示。
表1 轉(zhuǎn)發(fā)面和控制面間安全防御機(jī)制
安全防御機(jī)制 | 抑制措施 |
協(xié)議限速 | 逐一針對(duì)每種協(xié)議設(shè)置上送控制面的帶寬限制 |
動(dòng)態(tài)/靜態(tài)白名單 | 通過(guò)動(dòng)態(tài)檢測(cè)和靜態(tài)配置設(shè)置白名單保障可靠報(bào)文不受限速控制 |
動(dòng)態(tài)/靜態(tài)黑名單 | 黑名單策略拒絕所有報(bào)文上送,防止被非法攻擊 |
通過(guò)上述抑制措施,可實(shí)現(xiàn)對(duì)高優(yōu)先級(jí)和通過(guò)安全檢測(cè)的正常業(yè)務(wù)放行,在保障網(wǎng)絡(luò)可靠運(yùn)行的前提下盡可能的提供高性能的業(yè)務(wù)處理能力。
3.1.1 路由協(xié)議認(rèn)證校驗(yàn)
IP城域網(wǎng)內(nèi)節(jié)點(diǎn)繁多,組網(wǎng)復(fù)雜,設(shè)備型號(hào)多樣化,目前現(xiàn)網(wǎng)運(yùn)行的多種路由協(xié)議均支持安全認(rèn)證,在設(shè)備間報(bào)文交互時(shí),啟用IGP、BGP等協(xié)議加密認(rèn)證部署,采用HASH算法保證協(xié)議報(bào)文不被篡改,增強(qiáng)路由協(xié)議的安全性。
3.1.2 訪問(wèn)控制安全防御
訪問(wèn)控制列表ACL(Access Control List)是由一系列允許和拒絕語(yǔ)句組成的有序規(guī)則列表,通過(guò)匹配報(bào)文的信息實(shí)現(xiàn)對(duì)報(bào)文的分類(lèi)。ACL是一個(gè)匹配工具,能夠?qū)?bào)文和路由進(jìn)行匹配。IP核心網(wǎng)具備完善的ACL訪問(wèn)控制能力,基于ACL,可以實(shí)現(xiàn)流量速率限制、黑白名單及用戶(hù)自定義流匹配。
(1)流量速率限制,用來(lái)設(shè)置上送至設(shè)備CPU的報(bào)文分類(lèi)限速規(guī)則,通過(guò)對(duì)不同協(xié)議報(bào)文設(shè)置帶寬限制,降低報(bào)文相互影響,同時(shí)也可限制上送CPU報(bào)文的整體速率,當(dāng)上送整體速率超出閾值將丟棄報(bào)文,避免CPU過(guò)載。
(2)白名單中包含合法及高優(yōu)先級(jí)用戶(hù)集合,將確定為正常使用設(shè)備的合法用戶(hù)以及高優(yōu)先級(jí)用戶(hù)設(shè)置在白名單中,匹配白名單特征的報(bào)文將會(huì)被高速率高優(yōu)先級(jí)上送。
(3)黑名單中包含非法用戶(hù)集合,通過(guò)ACL設(shè)定將確定為攻擊的非法用戶(hù)設(shè)置到黑名單中,匹配黑名單特征的報(bào)文將被丟棄或者進(jìn)行低優(yōu)先級(jí)上送。
(4)用戶(hù)自定義流可通過(guò)自定義防攻擊ACL規(guī)則的設(shè)定靈活的匹配攻擊流數(shù)據(jù)特征,將符合特征的數(shù)據(jù)限制上送。
訪問(wèn)控制列表ACL可以根據(jù)數(shù)據(jù)包的源地址、目的地址、協(xié)議類(lèi)型、端口號(hào)等元素來(lái)過(guò)濾IP流量并在路由策略中被調(diào)用。ACL通過(guò)設(shè)定規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi),并根據(jù)規(guī)則來(lái)判斷接收哪些數(shù)據(jù)包、拒絕哪些數(shù)據(jù)包。每個(gè)ACL可以自定義多個(gè)規(guī)則,ACL根據(jù)功能可分為接口ACL、基本ACL和高級(jí)ACL列表,如表2所示。
表2 訪問(wèn)控制列表ACL
列表種類(lèi) | 列表功能 | 數(shù)字范圍 | 支持的過(guò)濾選項(xiàng) |
接口ACL | 通過(guò)接口限制數(shù)據(jù)包 | 1000-1999 | 接口名, any代表所有接口 |
基本ACL | 通過(guò)源地址限制數(shù)據(jù)包 | 2000-2999 | 源IP地址, 若不配置表示匹配任意源地址的報(bào)文 |
高級(jí)ACL | 通過(guò)源/目的地址、協(xié)議號(hào)TCP/UDP、 源/目的端口號(hào)限制數(shù)據(jù)包 | 3000-3999 | 源/目的IP、源/目的端口號(hào)、 協(xié)議類(lèi)型5元組 |
3.2現(xiàn)網(wǎng)基于報(bào)文限速的CPU防護(hù)
3.2.1 總體描述
在互聯(lián)網(wǎng)公網(wǎng)地址空間的場(chǎng)景下,作為網(wǎng)絡(luò)流量的承載節(jié)點(diǎn),IP核心網(wǎng)路由器通過(guò)管理控制協(xié)議完成業(yè)務(wù)策略的部署,控制報(bào)文按照預(yù)期路徑轉(zhuǎn)發(fā)?,F(xiàn)網(wǎng)設(shè)備對(duì)上送至CPU的報(bào)文進(jìn)行類(lèi)型劃分,不同類(lèi)型的報(bào)文占用不同的上送通道,不同的通道具有獨(dú)立的帶寬和優(yōu)先級(jí),基于此方式重點(diǎn)保障信任的協(xié)議報(bào)文以高優(yōu)先級(jí)、大帶寬上送,限制不信任報(bào)文以低優(yōu)先級(jí)、小帶寬上送,從而避免由于非法報(bào)文沖擊導(dǎo)致正常協(xié)議報(bào)文無(wú)法及時(shí)處理造成業(yè)務(wù)中斷,IP核心網(wǎng)基于報(bào)文限速的CPU保護(hù)如圖2所示。
圖2 IP核心網(wǎng)設(shè)備報(bào)文限速CPU防護(hù)
3.2.2 現(xiàn)網(wǎng)基于報(bào)文限速的CPU防護(hù)策略部署
根據(jù)當(dāng)前現(xiàn)網(wǎng)業(yè)務(wù)和被攻擊情況,對(duì)IP核心網(wǎng)上常見(jiàn)的運(yùn)行協(xié)議進(jìn)行歸類(lèi)并按需制定策略配置方案。配置內(nèi)容涵蓋全局配置、IPv4和IPv6相關(guān)配置。
(1)全局配置內(nèi)容:調(diào)整白名單、自定義流、黑名單順序;關(guān)閉tcpsyn-flood防御功能,通過(guò)白名單、自定義流、黑名單過(guò)濾tcpsyn攻擊報(bào)文。
(2)IPv4配置內(nèi)容,以現(xiàn)網(wǎng)設(shè)備涉及到的路由及組播協(xié)議為例,相應(yīng)的配置內(nèi)容如表3所示。
表3 IPv4相關(guān)流量配置內(nèi)容
流量?jī)?nèi)容 | 優(yōu)先級(jí) | 動(dòng)作策略 | 備注說(shuō)明 |
BGP | 高 | 自定義白名單1 限速512K | 用ACL過(guò)濾 |
OSPF | 高 | 自定義白名單2 限速1M | OSPF協(xié)議對(duì)端Peer的源IP, 用ACL過(guò)濾 |
ISIS | NA | NA | ISIS為基于鏈路層協(xié)議, 不涉及ACL |
LDP | 高 | 自定義白名單3 限速512K | LDP協(xié)議對(duì)端的Peer和直連地址的源IP, 用ACL過(guò)濾 |
PIM | 高 | 自定義白名單4 限速1M | 用ACL過(guò)濾 |
對(duì)于BGP協(xié)議來(lái)說(shuō),對(duì)于已生成鏈接的協(xié)議報(bào)文走動(dòng)態(tài)白名單上送,此處僅對(duì)還未生成鏈接的BGP協(xié)議報(bào)文限速。
3.2.3 CPU防攻擊策略配置模板和配置步驟
收集現(xiàn)網(wǎng)設(shè)備上運(yùn)行的各種業(yè)務(wù)涉及的協(xié)議,進(jìn)行歸類(lèi)后通過(guò)ACL匹配相應(yīng)的協(xié)議報(bào)文。ACL列表編號(hào)可以自定義,注意不要與現(xiàn)網(wǎng)存在的ACL沖突即可。高級(jí)ACL中可以以名字或數(shù)字表示協(xié)議類(lèi)型,如果用整數(shù)形式表示取值范圍是1-255,如果用字符串形式表示可以選取bgp、ospf、tcp、udp。以華為高端路由器設(shè)備相關(guān)配置為例,CPU防攻擊策略配置模板和配置步驟如下所示,以BGP/OSPF/LDP/PIM協(xié)議配置為例。
(1)通過(guò)ACL匹配設(shè)備上運(yùn)行協(xié)議報(bào)文,如表4所示。其中,ISIS不是IP報(bào)文,不通過(guò)ACL匹配。
表4 ACL匹配協(xié)議報(bào)文
ACL列表 | 匹配協(xié)議報(bào)文 |
acl number 3001 description DEFEND_BGP rule 5 permit tcp destination-port eq bgp rule 10 permit tcp source-port eq bgp | 匹配BGP協(xié)議報(bào)文 |
acl number 3002 description DEFEND_LDP rule 5 permit tcp destination-port eq 646 rule 10 permit tcp source-port eq 646 rule 15 permit udp destination-port eq 646 rule 20 permit udp source-port eq 646 | 匹配LDP協(xié)議報(bào)文 |
acl number 3003 description DEFEND_OSPF rule 5 permit ospf | 匹配OSPF協(xié)議報(bào)文 |
acl number 3018 description DEFEND_PIM rule 5 permit 103 | 匹配PIM協(xié)議報(bào)文 |
(2)配置防攻擊模板。將ACL關(guān)聯(lián)自定義流;指定白名單、自定義流、黑名單的帶寬;調(diào)整白名單、自定義流、黑名單的處理順序;將ACL關(guān)聯(lián)到黑名單;設(shè)置自定義流的優(yōu)先級(jí);設(shè)置丟包告警參數(shù);關(guān)閉tcpsyn泛洪防御功能,改由通過(guò)黑白名單和自定義流作過(guò)濾。具體配置如表5所示。
表5 CPU防攻擊配置模板
配置命令 | 配置解讀 |
cpu-defend policy 14 | 創(chuàng)建CPU防攻擊策略 |
user-defined-flow 1 acl 3001 | BGP協(xié)議ACL 3001關(guān)聯(lián)自定義流1 |
user-defined-flow 2 acl 3002 | LDP協(xié)議ACL 3002關(guān)聯(lián)自定義流2 |
user-defined-flow 3 acl 3003 | OSPF協(xié)議ACL 3003關(guān)聯(lián)自定義流3 |
user-defined-flow 18 acl 3018 | PIM協(xié)議ACL 3018關(guān)聯(lián)自定義流18 |
blacklist acl 3030 | IPv4黑名單 |
car user-defined-flow 1 cir 512 cbs 1000000 | 指定BGP協(xié)議帶寬 |
car user-defined-flow 2 cir 512 cbs 1000000 | 指定LDP協(xié)議帶寬 |
car user-defined-flow 3 cir 1000 cbs 1000000 | 指定OSPF協(xié)議帶寬 |
car user-defined-flow 18 cir 1000 | 指定PIM協(xié)議帶寬 |
priority user-defined-flow 1 high | 指定BGP協(xié)議優(yōu)先級(jí) |
priority user-defined-flow 2 high | 指定LDP協(xié)議優(yōu)先級(jí) |
priority user-defined-flow 3 high | 指定OSPF協(xié)議優(yōu)先級(jí) |
priority user-defined-flow 18 middle | 指定PIM協(xié)議優(yōu)先級(jí) |
priority blacklist low | 指定黑名單優(yōu)先級(jí) |
alarm drop-rate user-defined-flow 1 enable | 自定義流1告警使能 |
alarm drop-rate user-defined-flow 2 enable | 自定義流2告警使能 |
alarm drop-rate user-defined-flow 3 enable | 自定義流3告警使能 |
alarm drop-rate user-defined-flow 18 enable | 自定義流18告警使能 |
alarm drop-rate blacklist enable | 黑名單告警使能 |
alarm drop-rate user-defined-flow 1 interval 60 threshold 1 | 修改自定義流1告警參數(shù) |
alarm drop-rate user-defined-flow 2 interval 60 threshold 1 | 修改自定義流2告警參數(shù) |
alarm drop-rate user-defined-flow 3 interval 60 threshold 1 | 修改自定義流3告警參數(shù) |
alarm drop-rate user-defined-flow 18 interval 60 threshold 1 | 修改自定義流18告警參數(shù) |
alarm drop-rate blacklist interval 120 threshold 100 | 修改黑名單告警參數(shù) |
undo tcpsyn-flood enable | 去使能TCP SYN泛洪攻擊防范功能,讓TCP SYN報(bào)文按照 白名單->自定義流->黑名單的順序匹配, 保護(hù)合法協(xié)議報(bào)文的同時(shí),限制攻擊報(bào)文的上送數(shù)量 |
process-sequence whitelist user-defined-flow blacklist | 修改報(bào)文匹配順序?yàn)榘酌麊?、自定義流、黑名單,該命令必須配置 |
undo application-apperceive disable | 打開(kāi)動(dòng)態(tài)白名單功能,注意這個(gè)命令行是默認(rèn)配置 |
(3)將防攻擊策略應(yīng)用在各單板。
3.3 IP核心網(wǎng)控制平面防攻擊加固
部署ISIS、OSPF、BGP、LDP、PIM等協(xié)議認(rèn)證,避免攻擊者嘗試經(jīng)過(guò)控制平面協(xié)議對(duì)路由等轉(zhuǎn)發(fā)依賴(lài)的表項(xiàng)進(jìn)行破壞。通過(guò)將配置的密碼進(jìn)行MD5等加密算法后再加入到協(xié)議報(bào)文中,提高了協(xié)議加密密碼的安全性。在接口視圖下配置協(xié)議驗(yàn)證模式和驗(yàn)證字,其中驗(yàn)證字標(biāo)識(shí)符必須與對(duì)端保持一致。在配置認(rèn)證的過(guò)程中,如果在協(xié)議鄰居超時(shí)間隔內(nèi)沒(méi)有在OSPF、ISIS等鄰居兩端設(shè)備上配置相同的認(rèn)證,則原有UP的協(xié)議鄰居狀態(tài)將置DOWN一次。
圖3 OSPF鄰居關(guān)系的建立
4 地市SR至CR擴(kuò)容中繼OSPF協(xié)議狀態(tài)異常案例分析
4.1 故障現(xiàn)象
某地市城域網(wǎng)核心層設(shè)置一臺(tái)華為高端路由器NE5000E和阿卡高端路由器7950,為保障城域網(wǎng)中繼合格率不低于98%,其申請(qǐng)某臺(tái)IDC SR至CR間擴(kuò)容中繼10條。根據(jù)地市提供的核心設(shè)備數(shù)據(jù)制作模板在CR和SR兩端設(shè)備均正常配置IP接口和IGP協(xié)議數(shù)據(jù)后,發(fā)現(xiàn)有三條新開(kāi)至阿卡7950的中繼IDC SR端的OSPF鄰居狀態(tài)一直處于Init狀態(tài),無(wú)法進(jìn)入最終全毗鄰的Full穩(wěn)態(tài)。
4.2 故障分析定位
OSPF定義了Hello、DBD、LSR、LSU、LSAck五種協(xié)議報(bào)文,Hello包用來(lái)發(fā)現(xiàn)直連鏈路上的鄰居建立鄰居關(guān)系并周期性的發(fā)送Hello包保活鄰居關(guān)系;DBD報(bào)文是兩臺(tái)路由器在建立全毗鄰的鄰接關(guān)系的過(guò)程中交互的消息,用來(lái)描述LSDB信息;LSR報(bào)文向OSPF鄰居請(qǐng)求鏈路狀態(tài)信息;LSU為鏈路狀態(tài)更新報(bào)文,包含一條或多條LSA;LSAck對(duì)LSU中的LSA進(jìn)行確認(rèn),保證OSPF的LSA可靠傳輸。
兩臺(tái)ospf路由器在建立鄰居關(guān)系的過(guò)程中定義了很多狀態(tài)機(jī),其中Init是中間狀態(tài),長(zhǎng)時(shí)間處于此狀態(tài)是不正常的。Init狀態(tài)表示本路由器已經(jīng)收到了對(duì)方的hello報(bào)文,但不確定對(duì)方收到了自己發(fā)送的hello報(bào)文,原因是對(duì)方發(fā)過(guò)來(lái)的hello報(bào)文鄰居表中沒(méi)有自己的routerid??赡艿脑蛴校?/p>
(1)物理鏈路問(wèn)題,導(dǎo)致hello報(bào)文丟失。
(2)ospf配置了驗(yàn)證,驗(yàn)證沒(méi)通過(guò)。
(3)配置了訪問(wèn)控制列表,阻止了hello報(bào)文。
(4)幀中繼網(wǎng)絡(luò)配置錯(cuò)誤。
4.2.1 OSPF鄰居建立過(guò)程
OSPF通過(guò)Hello包發(fā)現(xiàn)直連鏈路上的OSPF路由器建立雙向關(guān)系,通過(guò)DBD報(bào)文協(xié)商主/從關(guān)系并交換LSA頭部摘要信息,然后通過(guò)請(qǐng)求/發(fā)送LSAs同步鏈路狀態(tài)信息,最終完成同步進(jìn)入OSPF全毗鄰的Full穩(wěn)態(tài),OSPF具體的鄰居建立細(xì)節(jié)如圖3所示。
由上述OSPF鄰居關(guān)系建立過(guò)程可以看出,OSPF鄰居狀態(tài)長(zhǎng)期處于Init是由于Hello報(bào)文中相應(yīng)字段沒(méi)有成功交互造成的。
4.2.2 故障定位測(cè)試
從故障現(xiàn)象初步判斷,造成OSPF協(xié)議狀態(tài)異常的原因有2個(gè)方面,一個(gè)是物理鏈路問(wèn)題,另一個(gè)是協(xié)議配置及策略配置問(wèn)題。IP城域網(wǎng)BRAS/SR至CR間中繼IPv4和IPv6協(xié)議棧所采用的動(dòng)態(tài)IGP協(xié)議分別為OSPF和ISIS,并對(duì)協(xié)議報(bào)文進(jìn)行了MD5加密部署,其中OSPF網(wǎng)絡(luò)類(lèi)型為點(diǎn)到點(diǎn)網(wǎng)絡(luò)。逐一排查光路、接口數(shù)據(jù)配置、OSPF及協(xié)議加密配置后發(fā)現(xiàn),3條故障鏈路均使用裸光纖直連承載未經(jīng)過(guò)任何傳輸設(shè)備,對(duì)互聯(lián)IPv4/IPv6地址Ping大包測(cè)試均為丟包現(xiàn)象,且接口IGP協(xié)議認(rèn)證類(lèi)型及認(rèn)證密鑰均沿用已有正常鏈路配置,IPv6使用的ISIS協(xié)議鄰居狀態(tài)正常,所以重點(diǎn)考慮OSPF安全加固策略配置的問(wèn)題。
進(jìn)一步聯(lián)系地市詢(xún)問(wèn)得知,該3條擴(kuò)容鏈路所使用的ipv4互聯(lián)地址均為新啟用的網(wǎng)段,在CR和SR側(cè)抓包發(fā)現(xiàn),7950 CR側(cè)收不到NE40發(fā)過(guò)來(lái)的Hello包,NE40側(cè)可以可以收到7950側(cè)發(fā)來(lái)的包。檢查7950上OSPF相關(guān)配置發(fā)現(xiàn),其設(shè)置了OSPF協(xié)議相應(yīng)的白名單并在系統(tǒng)策略中應(yīng)用,該白名單中定義的IP網(wǎng)段并不包含3條故障鏈路所使用的互聯(lián)IP,分析可能是由于這個(gè)原因?qū)е滦路值刂范捂溌稯SPF鄰居無(wú)法正常建立。在CR側(cè)OSPF協(xié)議相應(yīng)的白名單中添加新增互聯(lián)IP網(wǎng)段地址,查看接口流量情況、鄰居狀態(tài)建立情況,通過(guò)一段時(shí)間的觀察和業(yè)務(wù)測(cè)試能夠確定協(xié)議建立正常。7950配置有CPU保護(hù)策略,該策略配置有基于OSPF協(xié)議源地址的前綴列表,未出現(xiàn)在白名單內(nèi)的OSPF協(xié)議報(bào)文都會(huì)被丟棄,新地址段未配置在白名單內(nèi),導(dǎo)致7950丟棄來(lái)自SR的hello報(bào)文,鄰居無(wú)法建立。
4.3 IP核心網(wǎng)控制平面協(xié)議防攻擊策略部署注意事項(xiàng)
IP核心網(wǎng)在進(jìn)行控制面協(xié)議安全加固的過(guò)程中必須要保證業(yè)務(wù)的暢通運(yùn)行。黑名單不要限速為0,避免由于個(gè)別協(xié)議漏配置導(dǎo)致業(yè)務(wù)不通。修改防攻擊配置時(shí)要避免修改過(guò)程中影響現(xiàn)網(wǎng)業(yè)務(wù),注意配置的先后順序,應(yīng)先配置好白名單和自定義流數(shù)據(jù),黑名單最后配置,避免配置過(guò)程中黑名單優(yōu)先生效導(dǎo)致協(xié)議中斷或設(shè)備脫網(wǎng)。根據(jù)現(xiàn)網(wǎng)業(yè)務(wù)及時(shí)增加、刪除及修改相關(guān)業(yè)務(wù)報(bào)文配置策略并調(diào)整協(xié)議帶寬。由于IP核心網(wǎng)設(shè)備設(shè)置有控制面協(xié)議報(bào)文過(guò)濾限制,如LDP協(xié)議標(biāo)簽過(guò)濾僅允許匯聚層設(shè)備某環(huán)回地址生成LDP標(biāo)簽,所以各城域網(wǎng)在新啟用環(huán)回地址網(wǎng)段和與CR的互聯(lián)地址網(wǎng)段時(shí)需要提前規(guī)劃好,避免出現(xiàn)瑣碎地址段以便管理。
5 結(jié)束語(yǔ)
IP核心網(wǎng)轉(zhuǎn)發(fā)處理能力強(qiáng),但控制面和管理面處理能力有限,同時(shí)IP網(wǎng)絡(luò)對(duì)接入終端缺乏認(rèn)證授權(quán)機(jī)制,導(dǎo)致任何終端均可隨意接入網(wǎng)絡(luò),IP網(wǎng)絡(luò)通信節(jié)點(diǎn)眾多,通信協(xié)議層出不窮。網(wǎng)絡(luò)的開(kāi)放性和復(fù)雜性,對(duì)運(yùn)營(yíng)商的管理和運(yùn)維提出了更高要求,在進(jìn)行網(wǎng)絡(luò)安全加固的過(guò)程中,應(yīng)保證設(shè)計(jì)配置方案最大限度的滿(mǎn)足安全要求,確保安全加固目標(biāo)服從業(yè)務(wù)目標(biāo),提升互聯(lián)網(wǎng)用戶(hù)的感知水平,打造高質(zhì)量的網(wǎng)絡(luò)品牌口碑。
參考文獻(xiàn):
[1]劉倩,呂艷娜.基于MD5的IP城域網(wǎng)動(dòng)態(tài)IGP協(xié)議加密部署[J].信息通信,2019(12):216-217.
[2]丁文龍.基于IP城域網(wǎng)優(yōu)化及實(shí)現(xiàn)策略的探討[J].中國(guó)新通信,2019,21(07):58.
[3]潘偉.IP城域網(wǎng)網(wǎng)絡(luò)安全防護(hù)策略思考[J].西部廣播電視,2019(07):252-253.
[4]舒暢,張琰.路由優(yōu)化的網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)[J].信息與電腦(理論版),2018(24):184-185.
[5]張潤(rùn)哲. 基于信任機(jī)制的BGP安全研究[D].廣西大學(xué),2018.
[6]趙一方. IS-IS協(xié)議網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)及異常檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2018.
[7]何鈺,張威.策略路由在網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全和信息化,2017(04):108-109.
[8]王耀偉. IP城域網(wǎng)網(wǎng)絡(luò)優(yōu)化方案設(shè)計(jì)與實(shí)施[D].北京郵電大學(xué),2009.
作者簡(jiǎn)介:
劉倩(1987年-),女,畢業(yè)于廈門(mén)大學(xué)通信工程系,工程師,碩士,主要從事IP城域網(wǎng)及承載網(wǎng)的維護(hù)與優(yōu)化工作;項(xiàng)朝君,畢業(yè)于南京郵電大學(xué),高級(jí)工程師,碩士,主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò)研究?jī)?yōu)化;黃華峰,畢業(yè)于重慶郵電大學(xué),工程師,碩士,主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò)研究?jī)?yōu)化;王高松,畢業(yè)于北京郵電大學(xué),工程師,本科,主要從事IP網(wǎng)、承載網(wǎng)網(wǎng)絡(luò)研究?jī)?yōu)化。
注:本文來(lái)源于《電子產(chǎn)品世界》雜志2020年10月期
評(píng)論