路由安全策略的強(qiáng)化措施探討發(fā)布者:本站 時(shí)間:2020-05-02 16:05:56
重要行業(yè)領(lǐng)域廣泛使用的冗余結(jié)構(gòu)模式網(wǎng)絡(luò),在路由安全性方面存在可能造成網(wǎng)絡(luò)中斷的安全隱患。利用定時(shí)檢測(cè)對(duì)端網(wǎng)絡(luò)目的節(jié)點(diǎn)是否可達(dá)的網(wǎng)絡(luò)檢測(cè)機(jī)制,可發(fā)現(xiàn)網(wǎng)絡(luò)故障,加速路由收斂。據(jù)此,本文提出了通過(guò)調(diào)整路由協(xié)議參數(shù)、建立故障快速檢測(cè)機(jī)制、優(yōu)化網(wǎng)絡(luò)服務(wù)質(zhì)量等加強(qiáng)路由安全策略的建議。
日益普及的網(wǎng)絡(luò)應(yīng)用對(duì)網(wǎng)絡(luò)的穩(wěn)定性要求愈來(lái)愈高,金融行業(yè)領(lǐng)域骨干網(wǎng)絡(luò)的組網(wǎng)模式都以備份冗余結(jié)構(gòu)設(shè)計(jì)為基礎(chǔ),即網(wǎng)絡(luò)系統(tǒng)由多臺(tái)核心網(wǎng)絡(luò)設(shè)備組成一個(gè)“熱備份組”,如果處于活動(dòng)狀態(tài)的設(shè)備發(fā)生了故障,網(wǎng)絡(luò)系統(tǒng)將選擇一個(gè)備份設(shè)備來(lái)替代活動(dòng)設(shè)備,并自動(dòng)實(shí)現(xiàn)路由切換和數(shù)據(jù)包轉(zhuǎn)發(fā),網(wǎng)絡(luò)內(nèi)的主機(jī)仍然保持網(wǎng)絡(luò)活動(dòng)的連續(xù)性而不受影響。
一、存在的路由安全問(wèn)題分析
熱備份冗余結(jié)構(gòu)網(wǎng)絡(luò)通常采用動(dòng)態(tài)路由協(xié)議或浮動(dòng)靜態(tài)路由協(xié)議實(shí)現(xiàn)多條備份路由之間的動(dòng)態(tài)切換,而核心網(wǎng)絡(luò)兩端的路由設(shè)備通常采用以太網(wǎng)接口相互聯(lián)接,且中間經(jīng)過(guò)了傳輸設(shè)備,如運(yùn)營(yíng)商的光端機(jī)或協(xié)議轉(zhuǎn)換器,或是某些二層網(wǎng)絡(luò)設(shè)備等。在沒(méi)有特殊配置的情況下,廣域網(wǎng)兩端的網(wǎng)絡(luò)路由設(shè)備之間并不能檢測(cè)到彼此的端口狀態(tài)變化信息,當(dāng)通信鏈路、網(wǎng)絡(luò)傳輸設(shè)備發(fā)生突發(fā)故障時(shí),本端設(shè)備仍然認(rèn)為對(duì)端設(shè)備網(wǎng)絡(luò)通信可達(dá),從而導(dǎo)致發(fā)送到對(duì)端設(shè)備的數(shù)據(jù)全部被丟棄,造成網(wǎng)絡(luò)中斷,引發(fā)網(wǎng)絡(luò)安全性風(fēng)險(xiǎn)。
第一種情況,當(dāng) 4 臺(tái)路由器運(yùn)行在 OSPF 動(dòng)態(tài)路由協(xié)議下,遇到運(yùn)營(yíng)商廣域網(wǎng)線路中斷時(shí),由于鏈路中間傳輸設(shè)備的影響,使得所連接的路由器接口仍然為 up狀態(tài)。OSPF 路由協(xié)議采用慢 hello 機(jī)制,hello time 和dead time 默認(rèn)為 10 秒和 40 秒,因此當(dāng)線路出現(xiàn)故障時(shí),在最壞的情形下 OSPF 需要 40 秒才能完成路由收斂,會(huì)產(chǎn)生網(wǎng)絡(luò)短暫中斷,對(duì)視頻流量及實(shí)時(shí)交互報(bào)文等時(shí)延敏感型業(yè)務(wù)會(huì)造成重大影響。
第二種情況,當(dāng)邊界路由器 R1、R3 之間運(yùn)行OSPF 動(dòng)態(tài)路由協(xié)議或是 VRRP(或 HSRP 等)備份冗余路由協(xié)議,R2、R4 路由器采用浮動(dòng)靜態(tài)路由協(xié)議的情況下,若遇到運(yùn)營(yíng)商傳輸設(shè)備發(fā)生故障,例如路由器R1 的 G1/0/1 接口連接的傳輸設(shè)備部分損壞導(dǎo)致該接口變化為 down 狀態(tài),此后路由器 R1 會(huì)刪除到 R2 的路由,而通過(guò) OSPF 動(dòng)態(tài)路由協(xié)議或 VRRP 等備份冗余路由協(xié)議更新路由表后將下一跳指向 R3,這樣從路由器 R1 發(fā)出的數(shù)據(jù)包需經(jīng)過(guò)路由器 R3、R4 的傳輸,最終到達(dá)路由器 R2.然而在數(shù)據(jù)包回程路由方向,路由器 R2 的G1/0/1 接口仍為 up 狀態(tài),此時(shí)路由器 R2 的路由表中到R1 的靜態(tài)路由仍然保持不變,因此去往路由器 R1 的數(shù)據(jù)包仍舊從路由器 R2 的 G1/0/1 接口發(fā)出,但該條鏈路已經(jīng)處于中斷狀態(tài),故此時(shí)網(wǎng)絡(luò)傳輸會(huì)被中斷。
二、解決路由問(wèn)題的機(jī)制及原理
網(wǎng)絡(luò)中冗余備份鏈路的設(shè)計(jì)思想,要求網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)發(fā)生故障時(shí),能夠快速準(zhǔn)確地檢測(cè)出故障,并將流量路由至備份鏈路,以加快網(wǎng)絡(luò)收斂速度。由此看來(lái),尋找一種有效的網(wǎng)絡(luò)故障檢測(cè)方法是充分發(fā)揮冗余結(jié)構(gòu)網(wǎng)絡(luò)功能的關(guān)鍵。目前,已提出的通過(guò)硬件檢測(cè)機(jī)制來(lái)實(shí)現(xiàn)快速故障檢測(cè)的方法存在一定的局限性,如該方法可適用 POS 鏈路,但不可用于以太網(wǎng)鏈路;利用網(wǎng)絡(luò)應(yīng)用層面本身來(lái)實(shí)現(xiàn)故障檢測(cè),不僅增加了網(wǎng)絡(luò)傳輸與網(wǎng)絡(luò)應(yīng)用之間的耦合度,其故障檢測(cè)耗費(fèi)的時(shí)間也相對(duì)較長(zhǎng),不能滿足實(shí)時(shí)性強(qiáng)的網(wǎng)絡(luò)應(yīng)用要求。
最簡(jiǎn)單的網(wǎng)絡(luò)檢測(cè)方法是基于傳統(tǒng)的 Ping 功能,使用 ICMP 控制報(bào)文協(xié)議,定期向?qū)Χ诉h(yuǎn)程通信目的節(jié)點(diǎn)發(fā)送一定格式的數(shù)據(jù)包,并等待遠(yuǎn)程通信節(jié)點(diǎn)的反饋,測(cè)試數(shù)據(jù)包在本端和目的端之間的往返時(shí)間,如果在規(guī)定時(shí)間內(nèi)收到來(lái)自對(duì)端目的節(jié)點(diǎn)正確的反饋信息,那么該連接就是正常的,否則判斷該連接已經(jīng)中斷。在此基礎(chǔ)上,對(duì)網(wǎng)絡(luò)的響應(yīng)時(shí)間、網(wǎng)絡(luò)時(shí)延抖動(dòng)、丟包率等網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計(jì)分析,達(dá)到實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)的目的。
三、加強(qiáng)路由安全策略的建議
基于網(wǎng)絡(luò)檢測(cè)的基本原理,從網(wǎng)絡(luò)運(yùn)維的實(shí)踐出發(fā),充分考慮各種網(wǎng)絡(luò)通信環(huán)境、網(wǎng)絡(luò)設(shè)備特性、路由協(xié)議特點(diǎn)、網(wǎng)絡(luò)應(yīng)用的實(shí)際要求等因素,建議從以下幾個(gè)方面加強(qiáng)路由安全策略。
1. 調(diào)整動(dòng)態(tài)路由協(xié)議參數(shù),縮短路由收斂時(shí)間
運(yùn)行 OSPF 動(dòng)態(tài)路由協(xié)議的路由設(shè)備默認(rèn)以 10 秒間隔發(fā)送 hello 包,發(fā)現(xiàn)鄰居后 hello 包在鄰居之間扮演著 keep alive 的角色。為解決協(xié)議在網(wǎng)絡(luò)狀態(tài)發(fā)生變化時(shí)完成路由收斂相對(duì)較慢,產(chǎn)生網(wǎng)絡(luò)短暫中斷的問(wèn)題,可根據(jù)網(wǎng)絡(luò)活動(dòng)的需要改變協(xié)議的 hello 包發(fā)送時(shí)間hello-interval 參數(shù)及死亡時(shí)間 dead-interval 參數(shù)配置,如設(shè)置 hello 包間隔時(shí)間在 1 ~ 3 秒,這對(duì)大多數(shù)網(wǎng)絡(luò)應(yīng)用是可接受的。
2. 建立網(wǎng)絡(luò)故障快速檢測(cè)機(jī)制
利 用 雙 向 轉(zhuǎn) 發(fā) 檢 測(cè)(Bidirectional ForwardingDetection ,BFD)協(xié)議,提供一個(gè)通用標(biāo)準(zhǔn)化的與介質(zhì)無(wú)關(guān)和協(xié)議無(wú)關(guān)的快速故障檢測(cè)機(jī)制,上層協(xié)議建立會(huì)話后周期性地快速發(fā)送 BFD 報(bào)文,如果在檢測(cè)時(shí)間內(nèi)沒(méi)有收到BFD報(bào)文則認(rèn)為該雙向轉(zhuǎn)發(fā)路徑發(fā)生了故障。
建議將 BFD 協(xié)議與 OSPF 動(dòng)態(tài)路由協(xié)議(或是 VRRP等協(xié)議)進(jìn)行聯(lián)動(dòng)使用,選定對(duì)端網(wǎng)絡(luò)中某個(gè)地址作為網(wǎng)絡(luò)檢測(cè)目標(biāo),通過(guò)設(shè)定最小發(fā)送間隔 min-transmit-interval、最小接收間隔 min-receive-interval 等參數(shù),定時(shí)進(jìn)行目標(biāo)地址的網(wǎng)絡(luò)檢測(cè),檢測(cè)到鏈路故障后告知OSPF 進(jìn)程鄰居不可達(dá),再由 OSPF 進(jìn)程中斷 OSPF 鄰居關(guān)系。此種方法的網(wǎng)絡(luò)檢測(cè)時(shí)間能有效控制在 1 秒以內(nèi),因而加快網(wǎng)絡(luò)收斂速度,大幅減少網(wǎng)絡(luò)應(yīng)用的中斷時(shí)間,提高網(wǎng)絡(luò)的可靠性。
選擇我們,優(yōu)質(zhì)服務(wù),不容錯(cuò)過(guò)
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強(qiáng)大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗(yàn),優(yōu)秀的技術(shù)和設(shè)計(jì)水平,更放心
3. 全程省心服務(wù),不必?fù)?dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時(shí)聯(lián)系電話:021-58370032