如何使用控制平面協(xié)議實現(xiàn)IP核心網(wǎng)安全加固策略部署

　　隨著網(wǎng)絡(luò)帶寬需求的迅速增長以及芯片等技術(shù)的發(fā)展，IP 核心網(wǎng)轉(zhuǎn)發(fā)處理能力得到了極大的提升。作為網(wǎng)絡(luò)流量的承載節(jié)點，在互聯(lián)網(wǎng)公網(wǎng)地址空間的場景下，現(xiàn)網(wǎng)設(shè)備經(jīng)常會收到大量上送至 CPU 的報文攻擊，若不加保護(hù)，往往可能由于大量非法報文的沖擊造成控制平面協(xié)議、業(yè)務(wù)中斷和 CPU 被掛死等問題。本文通過對某地市 IDC SR 至 CR 間控制平面協(xié)議的安全加固策略部署案例，給出城域網(wǎng)核心路由器上控制平面防攻擊策略加固的建議。

　　2 IP 核心網(wǎng)控制平面協(xié)議部署

　　IP 城域網(wǎng)整個網(wǎng)絡(luò)結(jié)構(gòu)分為三層：核心層、匯聚層和接入層，其中核心層和匯聚層路由器分別稱為 CR、BRAS/SR。每地市城域網(wǎng)核心層設(shè)置 2 臺高性能路由器，設(shè)備型號主要包括華為 NE5000E 和阿卡 7950。匯聚層 BRAS/SR 設(shè)備采用 N*10G 電路雙上聯(lián)至 2 臺市核心 CR，業(yè)務(wù)流量在兩個方向上進(jìn)行負(fù)載均擔(dān)。河南聯(lián)通每地市城域網(wǎng)各自構(gòu)成單獨私有 AS 域，每地市一個獨立的 AS 域，現(xiàn)網(wǎng)各層次網(wǎng)絡(luò)設(shè)備間涉及的控制面協(xié)議有 IGP（connected、static、ospf 、isis）、BGP、LDP 和 PIM 等。IGP 協(xié)議以 ospf 為例，主要用于設(shè)備的 loopback 地址和互聯(lián)地址承載，不做業(yè)務(wù)路由承載。IBGP 協(xié)議用于城域網(wǎng)內(nèi) IPV4 和 VPNV4 用戶路由承載。IP 核心網(wǎng)控制面協(xié)議架構(gòu)如圖 1 所示。針對 IP 核心網(wǎng)中設(shè)備運行的各種業(yè)務(wù)涉及的協(xié)議進(jìn)行分類，部署了相關(guān)安全策略加固。

　　3 IP 核心網(wǎng)安全加固策略

　　超高寬帶時代 IP 核心網(wǎng)轉(zhuǎn)發(fā)平面的處理能力急劇提升，但控制面基于設(shè)備 CPU 運行，處理能力的增長有限。攻擊者一旦向 IP 核心網(wǎng)設(shè)備發(fā)起海量消息請求，將導(dǎo)致網(wǎng)絡(luò)節(jié)點設(shè)備 CPU 無法實時處理消息，進(jìn)而引發(fā)正常業(yè)務(wù)交互及內(nèi)部處理流程阻塞。IP 網(wǎng)絡(luò)的開放性在帶來各種業(yè)務(wù)、管理維護(hù)便利性的同時也帶來了巨大的安全隱患。因此，為保障相關(guān)控制協(xié)議和業(yè)務(wù)的正常運行，我們對 IP 核心網(wǎng)進(jìn)行了各類安全加固策略部署。