路由安全策略的強化措施探討發布者：本站     時間：2020-05-02 16:05:56

重要行業領域廣泛使用的冗余結構模式網絡，在路由安全性方面存在可能造成網絡中斷的安全隱患。利用定時檢測對端網絡目的節點是否可達的網絡檢測機制，可發現網絡故障，加速路由收斂。據此，本文提出了通過調整路由協議參數、建立故障快速檢測機制、優化網絡服務質量等加強路由安全策略的建議。
 
日益普及的網絡應用對網絡的穩定性要求愈來愈高，金融行業領域骨干網絡的組網模式都以備份冗余結構設計為基礎，即網絡系統由多臺核心網絡設備組成一個“熱備份組”,如果處于活動狀態的設備發生了故障，網絡系統將選擇一個備份設備來替代活動設備，并自動實現路由切換和數據包轉發，網絡內的主機仍然保持網絡活動的連續性而不受影響。
 
一、存在的路由安全問題分析
 
熱備份冗余結構網絡通常采用動態路由協議或浮動靜態路由協議實現多條備份路由之間的動態切換，而核心網絡兩端的路由設備通常采用以太網接口相互聯接，且中間經過了傳輸設備，如運營商的光端機或協議轉換器，或是某些二層網絡設備等。在沒有特殊配置的情況下，廣域網兩端的網絡路由設備之間并不能檢測到彼此的端口狀態變化信息，當通信鏈路、網絡傳輸設備發生突發故障時，本端設備仍然認為對端設備網絡通信可達，從而導致發送到對端設備的數據全部被丟棄，造成網絡中斷，引發網絡安全性風險。
 
第一種情況，當 4 臺路由器運行在 OSPF 動態路由協議下，遇到運營商廣域網線路中斷時，由于鏈路中間傳輸設備的影響，使得所連接的路由器接口仍然為 up狀態。OSPF 路由協議采用慢 hello 機制，hello time 和dead time 默認為 10 秒和 40 秒，因此當線路出現故障時，在最壞的情形下 OSPF 需要 40 秒才能完成路由收斂，會產生網絡短暫中斷，對視頻流量及實時交互報文等時延敏感型業務會造成重大影響。
 
第二種情況，當邊界路由器 R1、R3 之間運行OSPF 動態路由協議或是 VRRP（或 HSRP 等）備份冗余路由協議，R2、R4 路由器采用浮動靜態路由協議的情況下，若遇到運營商傳輸設備發生故障，例如路由器R1 的 G1/0/1 接口連接的傳輸設備部分損壞導致該接口變化為 down 狀態，此后路由器 R1 會刪除到 R2 的路由，而通過 OSPF 動態路由協議或 VRRP 等備份冗余路由協議更新路由表后將下一跳指向 R3,這樣從路由器 R1 發出的數據包需經過路由器 R3、R4 的傳輸，最終到達路由器 R2.然而在數據包回程路由方向，路由器 R2 的G1/0/1 接口仍為 up 狀態，此時路由器 R2 的路由表中到R1 的靜態路由仍然保持不變，因此去往路由器 R1 的數據包仍舊從路由器 R2 的 G1/0/1 接口發出，但該條鏈路已經處于中斷狀態，故此時網絡傳輸會被中斷。
 
二、解決路由問題的機制及原理
 
網絡中冗余備份鏈路的設計思想，要求網絡設備在網絡發生故障時，能夠快速準確地檢測出故障，并將流量路由至備份鏈路，以加快網絡收斂速度。由此看來，尋找一種有效的網絡故障檢測方法是充分發揮冗余結構網絡功能的關鍵。目前，已提出的通過硬件檢測機制來實現快速故障檢測的方法存在一定的局限性，如該方法可適用 POS 鏈路，但不可用于以太網鏈路；利用網絡應用層面本身來實現故障檢測，不僅增加了網絡傳輸與網絡應用之間的耦合度，其故障檢測耗費的時間也相對較長，不能滿足實時性強的網絡應用要求。
 
最簡單的網絡檢測方法是基于傳統的 Ping 功能，使用 ICMP 控制報文協議，定期向對端遠程通信目的節點發送一定格式的數據包，并等待遠程通信節點的反饋，測試數據包在本端和目的端之間的往返時間，如果在規定時間內收到來自對端目的節點正確的反饋信息，那么該連接就是正常的，否則判斷該連接已經中斷。在此基礎上，對網絡的響應時間、網絡時延抖動、丟包率等網絡信息進行統計分析，達到實時檢測網絡運行狀態的目的。
 
三、加強路由安全策略的建議
 
基于網絡檢測的基本原理，從網絡運維的實踐出發，充分考慮各種網絡通信環境、網絡設備特性、路由協議特點、網絡應用的實際要求等因素，建議從以下幾個方面加強路由安全策略。
 
1. 調整動態路由協議參數，縮短路由收斂時間
 
運行 OSPF 動態路由協議的路由設備默認以 10 秒間隔發送 hello 包，發現鄰居后 hello 包在鄰居之間扮演著 keep alive 的角色。為解決協議在網絡狀態發生變化時完成路由收斂相對較慢，產生網絡短暫中斷的問題，可根據網絡活動的需要改變協議的 hello 包發送時間hello-interval 參數及死亡時間 dead-interval 參數配置，如設置 hello 包間隔時間在 1 ~ 3 秒，這對大多數網絡應用是可接受的。
 
2. 建立網絡故障快速檢測機制
 
利 用 雙 向 轉 發 檢 測（Bidirectional ForwardingDetection ,BFD）協議，提供一個通用標準化的與介質無關和協議無關的快速故障檢測機制，上層協議建立會話后周期性地快速發送 BFD 報文，如果在檢測時間內沒有收到BFD報文則認為該雙向轉發路徑發生了故障。
 
建議將 BFD 協議與 OSPF 動態路由協議（或是 VRRP等協議）進行聯動使用，選定對端網絡中某個地址作為網絡檢測目標，通過設定最小發送間隔 min-transmit-interval、最小接收間隔 min-receive-interval 等參數，定時進行目標地址的網絡檢測，檢測到鏈路故障后告知OSPF 進程鄰居不可達，再由 OSPF 進程中斷 OSPF 鄰居關系。此種方法的網絡檢測時間能有效控制在 1 秒以內，因而加快網絡收斂速度，大幅減少網絡應用的中斷時間，提高網絡的可靠性。