IP承载网组网与安全探讨
【摘要】由于IP传输可以提供更大的带宽,方便运营商根据需求快速开发新业务,较低的网络建设成本有利于运营商减少OPEX,增加收入,更易于保持持续的竞争力,对不断变化的市场更加快速地反应,因此越来越多的业务承载在了IP网络上,业务对承载网络质量与安全性也越来越高。本文研究了IP承载网组网及安全性,探索了IP承载网络建设的发展趋势。
【关键词】IP承载网;组网;安全
0.引言
随着通信技术的发展,IP技术快速的在向电信领域渗透,业务IP化与网络IP化也逐渐开展,IP网络成为了未来国家通信基础设施的核心,发挥着重要的作用。随着信息技术和业务的快速发展,越来越多的新业务将由IP网络来承载, IP承载网络作为一个新的基础网络,向着多业务承载目标发展。
1.IP承载网组网结构
IP承载网是运营商以IP技术构建的一张专网,用于承载对传输质量要求较高的业务(如软交换、视讯、VPN等)。
1.1网络分层
IP承载网采用单一自治域方式组网,网络从总体上分为三层:
(1)核心层:核心层由核心节点组成,负责对汇聚节点流量进行汇聚并输导各个汇聚节点之间的业务量。
(2)汇聚层:汇聚层由汇聚节点组成,其功能是对接入层的流量进行汇聚。
(3)接入层:接入层由接入节点组成,设置在地、市,接入节点根据业务需要设置,负责业务系统的接入。
1.2路由协议部署
(1)BGP布署:域间路由协议采用BGP,考虑BGP Session的N平方问题,核心层CR做IPV4 RR Server设备,BGP主要承载域间路由和MPLS VPN路由。
(2)MPLS VPN布署:核心层CR和BR上运行M-IBGP协议,BGP MPLS VPN作为全网业务和应用的统一组织形式,不同的业务由不同的VPN承载以实现不同业务的隔离、监控和管理。
(3)ISIS:CR、BR、BR/AR、RR、AR运行ISIS,采用平面路由设计,全网所有路由器置于L2层,承载CR/BR、CR、BR、BR/AR、RR、AR的LOOPBACK地址和互联30位网段路由,保持其路由表的简洁性。
(4)标签:IP承载网端到端(PE-PE)间MPLS标签通过LDP分发,在骨干网内部CR、CR/BR、BR、BR/AR、AR间的互联接口上启用LDP。目前大多数IP承载网标签分发、控制、保持方式采用DU+有序+自由组合方式。
(5)OSPF:IP承载网PE和CE之间部署OSPF协议,采用OSPF多实例,完成PE到业务侧的可达,为了避免整网VPN路由引入到CE设备中,在PE设备上强制下发OSPF缺省路由,业务上行到CE后通过发布NULL0路由至PE。
2.IP承载网络的安全性
目前IP承载网主要承载话音和信令:3G CS域话音和信令、2G PS域、3G PS域、内部支撑系统(包括网管、BOSS、信令监测系统)等高品质电信服务的电信数据基础网络。随着业务的快速发展,对业务安全性要求越来越高。
2.1网络可靠性设计
IP承载网规划充分考虑了网络可靠性保障的问题,从设备、链路、网络三个角度对IP承载网络实施保护。
2.1.1设备级保护
(1)通过设备关键部件/板卡冗余,提高设备可靠性保障;
(2)采用不间断路由转发(NSF)、优雅重启动等设备级保护技术,减少由于设备故障问题对业务的影响;
(3)业务层多链路接入,端口分配至不同板卡,降低链路故障影响。
2.1.2链路级保护
(1)汇聚结点至少双上联核心结点,以实现链路备份。
(2)接入层以口字形汇聚上联路由器,实现链路备份。
(3)在传输方面,要求同方向上行链路采用双路由保护。
2.1.3网络级保护
(1)网络拓扑冗余备份,双归双路由。
(2)采用快速路由切换实现网络侧的保护。
(3)采用链路故障快速检测机制实现网络业务侧的故障检测。
(4)采用MPLS TE,路由快速收敛等技术提高网络业务安全。
2.2路由协议可靠性
软交换等业务接入IP承载网主要应用VRRP冗余链路备份机制,快速链路检测机制BFD,快速链路切换机制IP FRR,信令接口故障检测机制SCTP等提高IP承载网络的可靠性。
2.3路由协议的安全性
为提高IP承载网内务协议的运行安全,在各设备厂商软件版本支持和加密算法一致的情况下,ISIS hello,BGP PEER,LDP PEER,OSPF PEER、RSVP PEER间启用MD5认证,不同协议采用不同MD5密钥,防止密钥窃取,保证路由协议和标签协议建立邻居的安全性,以提高运行于IP承载网上各种协议的安全性。对VRF、VPN路由转发表的容量控制,以防止CE过量路由造成PE的不稳定。
QoS即服务质量。在网络中通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。IP承载网根据客户和应用需求,提供差分服务,引入QOS技术给予保障,合理分配带宽资源,尽最大可能保障网络控制信息的流畅,提高服务质量,创造更高的经济利益。
层次化QoS,通过保证不同等级业务流量的带宽公平调度和服务等级映射Per service per FC queuing,层次化调度。IP承载网QOS主要涉及到流分布,流量监控,拥塞控制和拥塞避免等方面。
3.IP承载网络安全性管理
目前IP专用承载网和Internet是物理隔离,拥有独立地址空间和IP路由,网管维护平台与业务承载相隔离。因此IP承载网对来自外部的非法接入、盗用和攻击的问题很少,主要安全隐患来自网络内部的主机和设备,如感染蠕虫病毒、终端设备在错误的配置、来自内部的DOS恶意攻击等。因此网络管理及帐号管理显得极其重要。
3.1网管建设
目前网管采用带内+带外网管两种方式管理网络,设备网管口配置IPNET私网地址。IP承载网络上采用省级+地市两级网络架构,省级IPNet数据网管系统和省级网管终端由省级运维部门管理,地市通过分权分域形式进行地市设备的管理。
3.2帐号分级管理
通过设备本身性能对帐号进行分级处理,再通过ACL进行帐号访问功能进行限制。
(1)管理员:拥有增加或者删除用户的管理权限。
(2)操作员:具有一般工作需求的操作权限。
(3)普通用户:仅具有配置查询权限。
(4)临时用户:为临时流程人员采用临时帐号,配置时限自动过期。
3.3管控平台的实施
管控平台是对自然人集中式的管理维护设备接入,对账户进行统筹,做到维护使用账户明确审计和审计策略,对账户的生命周期进行管理,包括层次化的账户分层,从工程建设初期的账户到维护阶段流转以及对日常使用的监控,系统采集分析部署的账户有不同级别的权限,维护人员的账户也由不同的自然人把控管理和支撑,对各类的操作提供行查询和统计的角色部署。对设备实施radius 授权(RSA)认证的方式,能对单点用户进行行为把控。
3.4维护终端接入安全
终端设备通过安全域终端区管理认证,MAC地址绑定认证,封闭未用的网络端口等方式实现网络登录的认证管理,只(下转第299页)(上接第162页)有通过认证的终端设备才可登陆网管对设备进行访问与使用相关资源。
3.5日常维护管理
日常维护管理主要包括:日常巡检,应急演练,日志采集;
3.5.1日常巡检包括几个方面
(1)物理层面:设备运行状态、板卡状态,CPU利用率、内存利用率,温度。
(2)链路层面:业务链路和IP承载网互联链路状态。
(3)协议层面:路由协议状态。
(4)业务层面:业务流量统计与监控。
3.5.2应急故障演练
周性的对现网设备进行应急故障演练,可以提高设备稳定性,降低设备的故障率,同时传答安全意。
3.5.3日志采集
加强日志监控,采用合理的策略对日志进行合理的审计,定期进行分析,及时发现安全隐患和违规操作。
4.结语
随着网络的飞速发展,应该进一步完善了解IDC网络安全体系,积极进行绿色IDC建设,降低经济成本,提供全方位的、强大的、安全的、多功能服务的IDC网络。[科]