路由安全策略的強化措施探討發(fā)布者：本站     時(shí)間：2020-05-02 16:05:56

重要行業(yè)領(lǐng)域廣泛使用的冗余結構模式網(wǎng)絡(luò )，在路由安全性方面存在可能造成網(wǎng)絡(luò )中斷的安全隱患。利用定時(shí)檢測對端網(wǎng)絡(luò )目的節點(diǎn)是否可達的網(wǎng)絡(luò )檢測機制，可發(fā)現網(wǎng)絡(luò )故障，加速路由收斂。據此，本文提出了通過(guò)調整路由協(xié)議參數、建立故障快速檢測機制、優(yōu)化網(wǎng)絡(luò )服務(wù)質(zhì)量等加強路由安全策略的建議。
 
日益普及的網(wǎng)絡(luò )應用對網(wǎng)絡(luò )的穩定性要求愈來(lái)愈高，金融行業(yè)領(lǐng)域骨干網(wǎng)絡(luò )的組網(wǎng)模式都以備份冗余結構設計為基礎，即網(wǎng)絡(luò )系統由多臺核心網(wǎng)絡(luò )設備組成一個(gè)“熱備份組”,如果處于活動(dòng)狀態(tài)的設備發(fā)生了故障，網(wǎng)絡(luò )系統將選擇一個(gè)備份設備來(lái)替代活動(dòng)設備，并自動(dòng)實(shí)現路由切換和數據包轉發(fā)，網(wǎng)絡(luò )內的主機仍然保持網(wǎng)絡(luò )活動(dòng)的連續性而不受影響。
 
一、存在的路由安全問(wèn)題分析
 
熱備份冗余結構網(wǎng)絡(luò )通常采用動(dòng)態(tài)路由協(xié)議或浮動(dòng)靜態(tài)路由協(xié)議實(shí)現多條備份路由之間的動(dòng)態(tài)切換，而核心網(wǎng)絡(luò )兩端的路由設備通常采用以太網(wǎng)接口相互聯(lián)接，且中間經(jīng)過(guò)了傳輸設備，如運營(yíng)商的光端機或協(xié)議轉換器，或是某些二層網(wǎng)絡(luò )設備等。在沒(méi)有特殊配置的情況下，廣域網(wǎng)兩端的網(wǎng)絡(luò )路由設備之間并不能檢測到彼此的端口狀態(tài)變化信息，當通信鏈路、網(wǎng)絡(luò )傳輸設備發(fā)生突發(fā)故障時(shí)，本端設備仍然認為對端設備網(wǎng)絡(luò )通信可達，從而導致發(fā)送到對端設備的數據全部被丟棄，造成網(wǎng)絡(luò )中斷，引發(fā)網(wǎng)絡(luò )安全性風(fēng)險。
 
第一種情況，當 4 臺路由器運行在 OSPF 動(dòng)態(tài)路由協(xié)議下，遇到運營(yíng)商廣域網(wǎng)線(xiàn)路中斷時(shí)，由于鏈路中間傳輸設備的影響，使得所連接的路由器接口仍然為 up狀態(tài)。OSPF 路由協(xié)議采用慢 hello 機制，hello time 和dead time 默認為 10 秒和 40 秒，因此當線(xiàn)路出現故障時(shí)，在最壞的情形下 OSPF 需要 40 秒才能完成路由收斂，會(huì )產(chǎn)生網(wǎng)絡(luò )短暫中斷，對視頻流量及實(shí)時(shí)交互報文等時(shí)延敏感型業(yè)務(wù)會(huì )造成重大影響。
 
第二種情況，當邊界路由器 R1、R3 之間運行OSPF 動(dòng)態(tài)路由協(xié)議或是 VRRP（或 HSRP 等）備份冗余路由協(xié)議，R2、R4 路由器采用浮動(dòng)靜態(tài)路由協(xié)議的情況下，若遇到運營(yíng)商傳輸設備發(fā)生故障，例如路由器R1 的 G1/0/1 接口連接的傳輸設備部分損壞導致該接口變化為 down 狀態(tài)，此后路由器 R1 會(huì )刪除到 R2 的路由，而通過(guò) OSPF 動(dòng)態(tài)路由協(xié)議或 VRRP 等備份冗余路由協(xié)議更新路由表后將下一跳指向 R3,這樣從路由器 R1 發(fā)出的數據包需經(jīng)過(guò)路由器 R3、R4 的傳輸，最終到達路由器 R2.然而在數據包回程路由方向，路由器 R2 的G1/0/1 接口仍為 up 狀態(tài)，此時(shí)路由器 R2 的路由表中到R1 的靜態(tài)路由仍然保持不變，因此去往路由器 R1 的數據包仍舊從路由器 R2 的 G1/0/1 接口發(fā)出，但該條鏈路已經(jīng)處于中斷狀態(tài)，故此時(shí)網(wǎng)絡(luò )傳輸會(huì )被中斷。
 
二、解決路由問(wèn)題的機制及原理
 
網(wǎng)絡(luò )中冗余備份鏈路的設計思想，要求網(wǎng)絡(luò )設備在網(wǎng)絡(luò )發(fā)生故障時(shí)，能夠快速準確地檢測出故障，并將流量路由至備份鏈路，以加快網(wǎng)絡(luò )收斂速度。由此看來(lái)，尋找一種有效的網(wǎng)絡(luò )故障檢測方法是充分發(fā)揮冗余結構網(wǎng)絡(luò )功能的關(guān)鍵。目前，已提出的通過(guò)硬件檢測機制來(lái)實(shí)現快速故障檢測的方法存在一定的局限性，如該方法可適用 POS 鏈路，但不可用于以太網(wǎng)鏈路；利用網(wǎng)絡(luò )應用層面本身來(lái)實(shí)現故障檢測，不僅增加了網(wǎng)絡(luò )傳輸與網(wǎng)絡(luò )應用之間的耦合度，其故障檢測耗費的時(shí)間也相對較長(cháng)，不能滿(mǎn)足實(shí)時(shí)性強的網(wǎng)絡(luò )應用要求。
 
最簡(jiǎn)單的網(wǎng)絡(luò )檢測方法是基于傳統的 Ping 功能，使用 ICMP 控制報文協(xié)議，定期向對端遠程通信目的節點(diǎn)發(fā)送一定格式的數據包，并等待遠程通信節點(diǎn)的反饋，測試數據包在本端和目的端之間的往返時(shí)間，如果在規定時(shí)間內收到來(lái)自對端目的節點(diǎn)正確的反饋信息，那么該連接就是正常的，否則判斷該連接已經(jīng)中斷。在此基礎上，對網(wǎng)絡(luò )的響應時(shí)間、網(wǎng)絡(luò )時(shí)延抖動(dòng)、丟包率等網(wǎng)絡(luò )信息進(jìn)行統計分析，達到實(shí)時(shí)檢測網(wǎng)絡(luò )運行狀態(tài)的目的。
 
三、加強路由安全策略的建議
 
基于網(wǎng)絡(luò )檢測的基本原理，從網(wǎng)絡(luò )運維的實(shí)踐出發(fā)，充分考慮各種網(wǎng)絡(luò )通信環(huán)境、網(wǎng)絡(luò )設備特性、路由協(xié)議特點(diǎn)、網(wǎng)絡(luò )應用的實(shí)際要求等因素，建議從以下幾個(gè)方面加強路由安全策略。
 
1. 調整動(dòng)態(tài)路由協(xié)議參數，縮短路由收斂時(shí)間
 
運行 OSPF 動(dòng)態(tài)路由協(xié)議的路由設備默認以 10 秒間隔發(fā)送 hello 包，發(fā)現鄰居后 hello 包在鄰居之間扮演著(zhù) keep alive 的角色。為解決協(xié)議在網(wǎng)絡(luò )狀態(tài)發(fā)生變化時(shí)完成路由收斂相對較慢，產(chǎn)生網(wǎng)絡(luò )短暫中斷的問(wèn)題，可根據網(wǎng)絡(luò )活動(dòng)的需要改變協(xié)議的 hello 包發(fā)送時(shí)間hello-interval 參數及死亡時(shí)間 dead-interval 參數配置，如設置 hello 包間隔時(shí)間在 1 ~ 3 秒，這對大多數網(wǎng)絡(luò )應用是可接受的。
 
2. 建立網(wǎng)絡(luò )故障快速檢測機制
 
利 用 雙 向 轉 發(fā) 檢 測（Bidirectional ForwardingDetection ,BFD）協(xié)議，提供一個(gè)通用標準化的與介質(zhì)無(wú)關(guān)和協(xié)議無(wú)關(guān)的快速故障檢測機制，上層協(xié)議建立會(huì )話(huà)后周期性地快速發(fā)送 BFD 報文，如果在檢測時(shí)間內沒(méi)有收到BFD報文則認為該雙向轉發(fā)路徑發(fā)生了故障。
 
建議將 BFD 協(xié)議與 OSPF 動(dòng)態(tài)路由協(xié)議（或是 VRRP等協(xié)議）進(jìn)行聯(lián)動(dòng)使用，選定對端網(wǎng)絡(luò )中某個(gè)地址作為網(wǎng)絡(luò )檢測目標，通過(guò)設定最小發(fā)送間隔 min-transmit-interval、最小接收間隔 min-receive-interval 等參數，定時(shí)進(jìn)行目標地址的網(wǎng)絡(luò )檢測，檢測到鏈路故障后告知OSPF 進(jìn)程鄰居不可達，再由 OSPF 進(jìn)程中斷 OSPF 鄰居關(guān)系。此種方法的網(wǎng)絡(luò )檢測時(shí)間能有效控制在 1 秒以?xún)?，因而加快網(wǎng)絡(luò )收斂速度，大幅減少網(wǎng)絡(luò )應用的中斷時(shí)間，提高網(wǎng)絡(luò )的可靠性。