|
打造坚若磐石的现代企业网络
http://www.cww.net.cn 2012年12月20日 12:50
当前,席卷全球的信息技术革命方兴未艾,正在给人类的经济社会生活带来革命性影响。信息化与数字化、网络化、知识化相互融合、相互促进,正使人类进入一个新经济时代。美国麻省理工学院的尼葛洛庞帝教授将未来的时代称之为“比特的时代”。比尔·盖茨指出,信息高速公路将越过国界,把信息和机会播入发展中国家,价格低廉的全球通信能把各地的人们卷入世界经济的主流。 在纷繁复杂的信息高速公路上,路由器是高速路上不可或缺的重要一环,而路由器是否足够可靠、足够安全,已经成为衡量整个网络质量的关键指标。按照一条10G的以太链路计算,如果链路中断10秒钟,轻载链路会造成1.2GByte的流量损失,重载链路的损失将会高达5GByte左右。对于一条10M的专线业务来说,5G相当于4096秒(1.14小时)的流量丢失!网络在为我们提供便利的同时,也成为了不少黑客的“游乐场”,他们很乐意随时尝试去通过非法手段获取到各种信息,或炫耀或牟利,对网络安全造成了极大的威胁。 我们需要什么样的路由器? 那么,怎样才能打造出一台安全可靠的路由器?笔者认为,路由器自身首先必须是安全可靠的。这涉及到关键部件的冗余设计,业务平面的逻辑隔离以及足够的网络防攻击特性。 关键部件冗余设计的路由器 关键部件冗余设计,路由器正常工作需要可靠的电力输入,路由器不能像电视机那样一根电源线输入,否则会因为这一路电源的故障导致整台设备断电,这台设备上的所有业务将会中断,所以电源备份时必不可少的。 业务平面逻辑隔离的路由器 众所周知,路由器是非常复杂的产品,设备上电后如何与其他设备建立通信联系、如何正确识别转发业务流量以及如何监控设备自身状态,这些都是需要进行很精细设计的。归纳起来应该存在控制平面、转发平面和监控平面三种平面。这三种平面各司其职,控制平面负责路由计算、转发平面负责数据转发、监控平面负责设备状态监控。用户不会希望某一个平面繁忙会影响到其他的平面正常工作,所以三个平面应该是逻辑隔离的,这样才能保证路由器能够工作在最佳状态。 丰富防攻击特性的路由器 软件安全特性,“软硬兼施”的安全措施才是全面的,对于软件层面经常遇到的ARP攻击、溢出攻击等,也应该有对应的对策。主流厂商一般会部署控制平面的ARP防攻击、协议认证;转发平面的URPF、端口镜像;管理平面的CPU/内存阈值、SSHv2安全登录方式等。 能端到端保护业务的路由器 此外,对于网络上端到端的业务转发,路由器也应该有故障检测、快速业务倒换特性支持。比如,行业业务中经常遇到的VPN业务,路由器作为PE/P节点要把不同企业的业务,或者企业里面不同属性的业务隔离开,并且进入到MPLS标签转发网络中进行快速转发。这样的场景会面临如下两个可靠性问题: l如何进行故障检测。如果只依靠路由协议的定时器超时来检测故障,秒级的故障检测应该不会是首选。主流设备商一般会选择BFD(BidirectionalForwarding Detection,双向转发检测)进行链路故障检测。它检测周期短(毫秒级)、占用带宽小(60k左右)、可以检测非直连链路而且能与主流路由协议联动。实现方式可以分为硬件BFD和软件BFD两种,硬件BFD依靠硬件实现,不会影响业务性能;软件BFD依靠软件编程实现,业务量很大时会对业务有一定影响。 l如何进行业务切换。FRR(FastReRoute,快速重路由)特性也许是合适的选择,不过由于FRR有专利所以并不是所有厂商都会选择去支持的。其实现原理为:在PE节点上同时计算出本地到远端主备PE节点的两个转发路径,并且把转发表项提前下载到接口板上,这样,当主路径出现故障时,流量就会像被拨开关一样,直接切换到备用路径上进行正常转发,省去了重新路由计算以及表项生成的时间。 [1] [2]
来源:通信世界网 编 辑:赵宇 联系电话:010-67110006-864
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |