×

如何使用控制平面协议实现IP核心网安全加固策略部署

消耗积分:3 | 格式:pdf | 大小:0.47 MB | 2020-11-26

分享资料个

  随着网络带宽需求的迅速增长以及芯片等技术的发展,IP 核心网转发处理能力得到了极大的提升。作为网络流量的承载节点,在互联网公网地址空间的场景下,现网设备经常会收到大量上送至 CPU 的报文攻击,若不加保护,往往可能由于大量非法报文的冲击造成控制平面协议、业务中断和 CPU 被挂死等问题。本文通过对某地市 IDC SR 至 CR 间控制平面协议的安全加固策略部署案例,给出城域网核心路由器上控制平面防攻击策略加固的建议。

  2 IP 核心网控制平面协议部署

  IP 城域网整个网络结构分为三层:核心层、汇聚层和接入层,其中核心层和汇聚层路由器分别称为 CR、BRAS/SR。每地市城域网核心层设置 2 台高性能路由器,设备型号主要包括华为 NE5000E 和阿卡 7950。汇聚层 BRAS/SR 设备采用 N*10G 电路双上联至 2 台市核心 CR,业务流量在两个方向上进行负载均担。河南联通每地市城域网各自构成单独私有 AS 域,每地市一个独立的 AS 域,现网各层次网络设备间涉及的控制面协议有 IGP(connected、static、ospf 、isis)、BGP、LDP 和 PIM 等。IGP 协议以 ospf 为例,主要用于设备的 loopback 地址和互联地址承载,不做业务路由承载。IBGP 协议用于城域网内 IPV4 和 VPNV4 用户路由承载。IP 核心网控制面协议架构如图 1 所示。针对 IP 核心网中设备运行的各种业务涉及的协议进行分类,部署了相关安全策略加固。

  3 IP 核心网安全加固策略

  超高宽带时代 IP 核心网转发平面的处理能力急剧提升,但控制面基于设备 CPU 运行,处理能力的增长有限。攻击者一旦向 IP 核心网设备发起海量消息请求,将导致网络节点设备 CPU 无法实时处理消息,进而引发正常业务交互及内部处理流程阻塞。IP 网络的开放性在带来各种业务、管理维护便利性的同时也带来了巨大的安全隐患。因此,为保障相关控制协议和业务的正常运行,我们对 IP 核心网进行了各类安全加固策略部署。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

评论(0)
发评论

下载排行榜

全部0条评论

快来发表一下你的评论吧 !