路由安全策略的強化措施探討發(fā)布者：本站     時間：2020-05-02 16:05:56

重要行業(yè)領域廣泛使用的冗余結構模式網(wǎng)絡，在路由安全性方面存在可能造成網(wǎng)絡中斷的安全隱患。利用定時檢測對端網(wǎng)絡目的節(jié)點是否可達的網(wǎng)絡檢測機制，可發(fā)現(xiàn)網(wǎng)絡故障，加速路由收斂。據(jù)此，本文提出了通過調整路由協(xié)議參數(shù)、建立故障快速檢測機制、優(yōu)化網(wǎng)絡服務質量等加強路由安全策略的建議。
 
日益普及的網(wǎng)絡應用對網(wǎng)絡的穩(wěn)定性要求愈來愈高，金融行業(yè)領域骨干網(wǎng)絡的組網(wǎng)模式都以備份冗余結構設計為基礎，即網(wǎng)絡系統(tǒng)由多臺核心網(wǎng)絡設備組成一個“熱備份組”,如果處于活動狀態(tài)的設備發(fā)生了故障，網(wǎng)絡系統(tǒng)將選擇一個備份設備來替代活動設備，并自動實現(xiàn)路由切換和數(shù)據(jù)包轉發(fā)，網(wǎng)絡內(nèi)的主機仍然保持網(wǎng)絡活動的連續(xù)性而不受影響。
 
一、存在的路由安全問題分析
 
熱備份冗余結構網(wǎng)絡通常采用動態(tài)路由協(xié)議或浮動靜態(tài)路由協(xié)議實現(xiàn)多條備份路由之間的動態(tài)切換，而核心網(wǎng)絡兩端的路由設備通常采用以太網(wǎng)接口相互聯(lián)接，且中間經(jīng)過了傳輸設備，如運營商的光端機或協(xié)議轉換器，或是某些二層網(wǎng)絡設備等。在沒有特殊配置的情況下，廣域網(wǎng)兩端的網(wǎng)絡路由設備之間并不能檢測到彼此的端口狀態(tài)變化信息，當通信鏈路、網(wǎng)絡傳輸設備發(fā)生突發(fā)故障時，本端設備仍然認為對端設備網(wǎng)絡通信可達，從而導致發(fā)送到對端設備的數(shù)據(jù)全部被丟棄，造成網(wǎng)絡中斷，引發(fā)網(wǎng)絡安全性風險。
 
第一種情況，當 4 臺路由器運行在 OSPF 動態(tài)路由協(xié)議下，遇到運營商廣域網(wǎng)線路中斷時，由于鏈路中間傳輸設備的影響，使得所連接的路由器接口仍然為 up狀態(tài)。OSPF 路由協(xié)議采用慢 hello 機制，hello time 和dead time 默認為 10 秒和 40 秒，因此當線路出現(xiàn)故障時，在最壞的情形下 OSPF 需要 40 秒才能完成路由收斂，會產(chǎn)生網(wǎng)絡短暫中斷，對視頻流量及實時交互報文等時延敏感型業(yè)務會造成重大影響。
 
第二種情況，當邊界路由器 R1、R3 之間運行OSPF 動態(tài)路由協(xié)議或是 VRRP（或 HSRP 等）備份冗余路由協(xié)議，R2、R4 路由器采用浮動靜態(tài)路由協(xié)議的情況下，若遇到運營商傳輸設備發(fā)生故障，例如路由器R1 的 G1/0/1 接口連接的傳輸設備部分損壞導致該接口變化為 down 狀態(tài)，此后路由器 R1 會刪除到 R2 的路由，而通過 OSPF 動態(tài)路由協(xié)議或 VRRP 等備份冗余路由協(xié)議更新路由表后將下一跳指向 R3,這樣從路由器 R1 發(fā)出的數(shù)據(jù)包需經(jīng)過路由器 R3、R4 的傳輸，最終到達路由器 R2.然而在數(shù)據(jù)包回程路由方向，路由器 R2 的G1/0/1 接口仍為 up 狀態(tài)，此時路由器 R2 的路由表中到R1 的靜態(tài)路由仍然保持不變，因此去往路由器 R1 的數(shù)據(jù)包仍舊從路由器 R2 的 G1/0/1 接口發(fā)出，但該條鏈路已經(jīng)處于中斷狀態(tài)，故此時網(wǎng)絡傳輸會被中斷。
 
二、解決路由問題的機制及原理
 
網(wǎng)絡中冗余備份鏈路的設計思想，要求網(wǎng)絡設備在網(wǎng)絡發(fā)生故障時，能夠快速準確地檢測出故障，并將流量路由至備份鏈路，以加快網(wǎng)絡收斂速度。由此看來，尋找一種有效的網(wǎng)絡故障檢測方法是充分發(fā)揮冗余結構網(wǎng)絡功能的關鍵。目前，已提出的通過硬件檢測機制來實現(xiàn)快速故障檢測的方法存在一定的局限性，如該方法可適用 POS 鏈路，但不可用于以太網(wǎng)鏈路；利用網(wǎng)絡應用層面本身來實現(xiàn)故障檢測，不僅增加了網(wǎng)絡傳輸與網(wǎng)絡應用之間的耦合度，其故障檢測耗費的時間也相對較長，不能滿足實時性強的網(wǎng)絡應用要求。
 
最簡單的網(wǎng)絡檢測方法是基于傳統(tǒng)的 Ping 功能，使用 ICMP 控制報文協(xié)議，定期向對端遠程通信目的節(jié)點發(fā)送一定格式的數(shù)據(jù)包，并等待遠程通信節(jié)點的反饋，測試數(shù)據(jù)包在本端和目的端之間的往返時間，如果在規(guī)定時間內(nèi)收到來自對端目的節(jié)點正確的反饋信息，那么該連接就是正常的，否則判斷該連接已經(jīng)中斷。在此基礎上，對網(wǎng)絡的響應時間、網(wǎng)絡時延抖動、丟包率等網(wǎng)絡信息進行統(tǒng)計分析，達到實時檢測網(wǎng)絡運行狀態(tài)的目的。
 
三、加強路由安全策略的建議
 
基于網(wǎng)絡檢測的基本原理，從網(wǎng)絡運維的實踐出發(fā)，充分考慮各種網(wǎng)絡通信環(huán)境、網(wǎng)絡設備特性、路由協(xié)議特點、網(wǎng)絡應用的實際要求等因素，建議從以下幾個方面加強路由安全策略。
 
1. 調整動態(tài)路由協(xié)議參數(shù)，縮短路由收斂時間
 
運行 OSPF 動態(tài)路由協(xié)議的路由設備默認以 10 秒間隔發(fā)送 hello 包，發(fā)現(xiàn)鄰居后 hello 包在鄰居之間扮演著 keep alive 的角色。為解決協(xié)議在網(wǎng)絡狀態(tài)發(fā)生變化時完成路由收斂相對較慢，產(chǎn)生網(wǎng)絡短暫中斷的問題，可根據(jù)網(wǎng)絡活動的需要改變協(xié)議的 hello 包發(fā)送時間hello-interval 參數(shù)及死亡時間 dead-interval 參數(shù)配置，如設置 hello 包間隔時間在 1 ~ 3 秒，這對大多數(shù)網(wǎng)絡應用是可接受的。
 
2. 建立網(wǎng)絡故障快速檢測機制
 
利 用 雙 向 轉 發(fā) 檢 測（Bidirectional ForwardingDetection ,BFD）協(xié)議，提供一個通用標準化的與介質無關和協(xié)議無關的快速故障檢測機制，上層協(xié)議建立會話后周期性地快速發(fā)送 BFD 報文，如果在檢測時間內(nèi)沒有收到BFD報文則認為該雙向轉發(fā)路徑發(fā)生了故障。
 
建議將 BFD 協(xié)議與 OSPF 動態(tài)路由協(xié)議（或是 VRRP等協(xié)議）進行聯(lián)動使用，選定對端網(wǎng)絡中某個地址作為網(wǎng)絡檢測目標，通過設定最小發(fā)送間隔 min-transmit-interval、最小接收間隔 min-receive-interval 等參數(shù)，定時進行目標地址的網(wǎng)絡檢測，檢測到鏈路故障后告知OSPF 進程鄰居不可達，再由 OSPF 進程中斷 OSPF 鄰居關系。此種方法的網(wǎng)絡檢測時間能有效控制在 1 秒以內(nèi)，因而加快網(wǎng)絡收斂速度，大幅減少網(wǎng)絡應用的中斷時間，提高網(wǎng)絡的可靠性。