在多域互联的环境中,一个域产生的攻击很可能在跨域多个对等网络进行传播。不同运营商网络对安全性等级的要求不同,这里我们只讨论MPLSICI网络设备应该支持的安全能力。
控制平面的保护主要包括对路由、信令和OAM的保护。ASBR应具备以下能力。
(1)信令会话鉴权
ASBR设备应具备利用IPSec完成对等ASBR之间所有信令和路由协议消息交换的能力,并支持HMAC-MD5和可选的SHA-1以及鉴权算法升级。另外,OAM操作也是安全攻击的一个来源,如果ASBR不做防范,大量、有可能是蓄意的QAM消息会给ASBR的处理能力造成巨大的压力。目前MPLS-Ping不支持鉴权,而BFD支持鉴权对象的传送以及TTL处理,建议BFD支持MD5方式的鉴权以提供更好的安全防范。
(2)控制平面的DOS攻击防护
在不影响性能的前提下,对信令、路由和OAM分组进行基于每接口的过滤和限速,并具备隔离受攻击接口以及限制BGP路由数量的能力。
(3)畸形分组防护
根据相关协议规范,对畸形的信令、路由和OAM分组进行相应的处理。
(4)使能特定协议
允许管理员基于端口使能某种协议,并将非使能协议的相关分组丢弃。
(5)防止错误交叉连接
设备必须支持LSP-Ping以验证端到端的LSP连接以及PE到PE的L3VPN连接,并通过对跨ICI的RT属性的限定和对等通告,保证错误的RT值无法建立正确的交叉连接。
(6)私密信息保护
识别并阻止那些能够暴露网络操作者私密性的消息,如OAM的性能消息、LSPTrace消息等。需要注意的是,运营商需要灵活掌控对这些消息的处理,因为对某些消息的阻断会影响其他必要的信息交互,比如,禁止ICI的LSPPING消息交换可能会使得LSP错误交叉连接的调试变得更加困难。
数据平面的保护主要包括防DOS攻击以及标签欺骗。对于DOS攻击防御,我们可通过流量监管实现,如前所述的消息丢弃、聚合、流量限速等机制。对于防范标签欺骗,ASBR至少具备以下两类判断和处理能力:一是能够确定所收到的跨互连接口的标签是否被分配给即将建立的正确邻居网络的LSP,如果未被分配,则丢弃该标签分组。由于路由器首先弹栈顶层标签并根据顶层标签做转发决定,因此只判别顶层标签即可;二是如果标签栈中的所有标签都未被处理,则将MPLS标签分组丢弃。这就保证了来自其他网络域的每一个标签都是实际分配给该域的。
跨MPLS ICI的IP VPN业务实现
当一个MPLS提供商网络无法遍及企业客户所在的所有站点时,则需要与其他运营商合作,通过运营商网间跨域VPN的建立满足企业安全互联的要求。目前可行的主流跨域VPN方式有多域OptionA和OptionB两种。
OptionA是ASBR之间VRF到VRF的连接。ASBR为需要跨域的VPN创建相应的VPNVRF,把对端的ASBR看作自己的CE设备,先把域内的VPN信息扩散到本端ASBR上,然后再把VPN信息扩散到对端的ASBR设备上,对端ASBR接收VPN信息后,再扩散到自己域内的PE设备,最终到达CE设备,这样就实现了两个域内VPN路由信息的交互。该方式的优点是实现简单,在ASBR设备之间不需要进行MPLS标签交换,不存在互通性的问题。缺点是需要为每个跨域的VPN建立一个VRF,并需要与域间链路上的一个子接口绑定,进行接口地址和路由协议的配置,存在扩展性方面的问题。
OptionB是相邻域间对等ASBR之间建立单跳的MP-EBGP邻接体,传递VPN-IPv4路由。即对等ASBR之间运行MP-EBGP,传播VPN-IPv4路由及对应的VPN标签、RD/RT等路由信息。对端的ASBR收到从MP-EBGP来的VPN路由信息后在本地保存,再继续向自己域内的PE设备扩散。该方式的优点是实现了跨域VPN的自动发现以及路由的自动通告,不需要像OptionA方式为每个跨域VPN业务均配置,扩展性更好些,并且对跨域VPN的相关策略也有一定的控制力。
