软交换网络安全保护机制研究.docx
- 文档编号:10424188
- 上传时间:2023-02-11
- 格式:DOCX
- 页数:31
- 大小:309.25KB
软交换网络安全保护机制研究.docx
《软交换网络安全保护机制研究.docx》由会员分享,可在线阅读,更多相关《软交换网络安全保护机制研究.docx(31页珍藏版)》请在冰豆网上搜索。
软交换网络安全保护机制研究
软交换网络安全保护机制研究
拟制
日期
评审人
日期
批准
日期
签发
日期
第一节概述
软交换目标网络是一个全IP网络,高质量、高可靠性的软交换语音业务需要IP网络提供电信级的保护。
网络故障后引起流量中断的因素有:
Ø故障检测时间
Ø单台设备故障响应时间(表项更新)
Ø故障传播时间
软交换网络相应的解决方案有:
Ø在软交换媒体面与归属CE之间部署BFD可靠性技术,在加快网络故障检测时间;
Ø在软交换网元部署接口备份技术,在归属CE部署FRR技术,加快设备的网络故障响应时间;
Ø软交换信令面部署SCTP多归属技术,提高网络冗余度;
Ø采用快速路由收敛,提高故障恢复时间。
本专题对软交换网络的安全保护机制进行研究,涉及软交换网路中的BFD技术、FRR技术、SCTP多归属技术等,并对其在中国移动软交换网络中的典型应用及相关配置进行了详细介绍。
第二节BFD技术
2.1BFD简介
BFD---BidirectionalForwardingDetection,即双向转发检测,是一个简单的“Hello”协议,和路由协议的邻居检测部分相似。
一对系统在它们之间所建立会话的通道上周期性的发送检测报文,如果某个系统在足够长的时间内未收到对端的检测报文,则认为在这条到相邻系统的双向通道的某个部分发生了故障。
2.2BFD特点
BFD具有以下特点:
Ø对相邻转发引擎之间的通道提供轻负荷、持续时间短的检测。
这些故障包括接口,数据链路以至转发引擎本身。
Ø提供一个单一的机制来对任何媒介、任何协议层进行实时地检测,并且检测的时间与开销范围比较宽。
2.3BFD检测模式
BFD定义了两种检测模式:
Ø异步检测模式
系统之间相互周期性地发送BFD控制包,如果某个系统在检测时间内没有收到对端发来的BFD控制报文,就宣布会话为Down。
Ø查询检测模式
这种模式假定每个系统都有一个独立的方法确认它连接到其他系统。
一旦BFD会话建立,系统停止发送BFD控制包,除非某个系统需要显式地验证连接性。
在需要显式验证连接性的情况下,系统发送一个短系列的BFD控制包,然后,协议再次保持沉默。
两种模式的区别:
本质区别在于检测的位置不同,异步模式下本端按一定的发送周期发送BFD控制报文,在远端检测本端系统发送的BFD控制报文;而在查询模式下检测本端发送的BFD控制报文是在本端系统进行的。
异步检测模式是主要工作模式,但查询模式在某些情况下是比较有用的,比如系统建立了大量的BFD会话,则周期性的发送BFD负担会很重。
查询模式的缺点:
检测时间本质上是由系统实现的直观推测驱动的,它对BFD协议不可见。
当通道来回行程时间比期望的检测时间长,则查询模式也是不可用的。
2.4BFD检测时间
BFD的检测时间由三个值决定:
ØDMTI(DesiredMinTxInterval):
本端想要采用的最短BFD控制报文发送周期;
ØRMRI(RequiredMinRxInterval):
本端能够支持的最短BFD控制报文接收周期;
ØDetectMult(Detecttimemultiplier):
检测时间倍数。
首先,一个系统接收到对端发来的BFD控制报文后,将该报文携带的RMRI与自己本地的DMTI进行比较,取二者中的较大值作为自己发送BFD控制报文的速率。
即,速度较慢的系统决定BFD控制报文的发送速率。
DetectMult不需要协商,两端系统各自配置。
由于异步模式和查询模式检测方式不同,因此使用不同的DetectMult值来计算检测时间:
Ø在异步模式下,检测的位置是在对端。
异步模式的检测时间=接收到的远端DetectMulti×max(本地的RMRI,接收到的DMTI)
Ø在查询模式下,检测的位置在本端。
查询模式的检测时间=本地的DetectMulti×max(本地的RMRI,接收到DMTI)
DMTI、RMRI、DetectMulti都是可以独立配置的,因此,有可能存在两个系统收发BFD控制报文速率不同的情况。
对于系统间使用同一种介质的情况,建议两端配置的参数相同。
2.5BFD与应用程序的关系
BFD与应用程序的关系如下:
ØBFD的目的是实现转发引擎间的故障检测,并将检测结果上报给应用程序,不关心上层协议将采取哪些措施;
ØBFD不直接为控制层面协议(controlprotocol)提供连通性检测,这些控制协议都有自己的检测机制;
Ø如果有多个基于相同数据协议的控制协议希望与同一个远端系统BFD会话,那么这些控制协议应该共享一个BFD会话,而不是建立多个会话;
Ø不同数据协议之间不能共享BFD会话。
例如,假设两个系统之间的同一条链路上同时在运行IPv4和IPv6,则需要建立两个相互独立的BFD会话,分别对IPv4路径和IPv6路径进行检测。
这是因为,BFD需要封装在它检测的数据协议中。
使用BFD检测的通常是控制层面的协议,例如各种路由协议。
对于这些协议,与其本身的检测机制相比,应用BFD的检测结果能够在发生故障时更快地将流量转到正常的链路上。
2.6BFD支持的应用
BFD提供对以下应用的支持:
ØBFDforIS-IS
BFD能够为IS-IS邻居之间的链路提供快速检测功能,当邻居之间的链路出现故障时,加快IS-IS协议的收敛速度。
ØBFDforOSPF/BGP
BFD能够为OSPF/BGP邻居之间的链路提供快速检测功能,当邻居之间的链路出现故障时,加快OSPF/BGP协议的收敛速度。
ØBFDfor静态路由
将两个节点之间的静态路由与BFD会话绑定,当BFD检测到故障时,可以促使静态路由快速失效,以减少对上层业务的影响。
ØBFDforFRR(FastReroute,快速重路由)
−BFDforLDPFRR
对于MPLS采用软件转发的产品,可以通过BFD检测被保护的接口,触发LDPFRR切换。
−BFDforIPFRR
通过BFD检测故障的上报,可以触发IPFRR。
−BFDforVPNFRR
通过BFD检测故障的上报,可以触发VPNFRR。
ØBFDforVRRP
在基于VRRP的可靠性组网中,BFD为主备路由器之间的链路提供快速检测机制,当检测到链路故障时,会通告VRRP模块,以实现主备路由器之间的快速切换功能。
ØBFD会话绑定VPN实例
2.7BFD检测的链路类型
BFD除支持对IP链路检测之外,还支持对以下类型链路的BFD单跳检测:
Ø三层物理接口
Ø以太网接口(包括Eth-Trunk子接口)
对于一个物理以太网接口有多个子接口的情况,BFD会话可以独立建立在各个子接口上和此物理以太网接口上。
ØIP-Trunk
−IP-Trunk链路
−IP-Trunk成员链路
检测Trunk成员口与检测Trunk口的BFD会话互相独立,可同时检测。
ØEth-Trunk
−二层Eth-Trunk链路
−二层Eth-Trunk成员链路
−三层Eth-Trunk链路
−三层Eth-Trunk成员链路
检测Trunk成员口与检测Trunk口的BFD会话互相独立,可同时检测。
ØVLANIF
−VLAN以太成员链路
−VLAN以太子接口
−VLANIF接口
检测VLANIF与检测VLANIF成员口的BFD会话相互相独立,可同时检测。
2.8BFD检测在软交换网络中的典型应用
如图,MGW的1框4槽(HRB板组号0接口0)、4框4槽的G10接口(HRB板组号1接口0)分别与CE1的GE2/0/1、GE3/0/1接口相连,1框5槽(HRB板组号0接口1)、4框5槽的G10接口(HRB板组号1接口1)分别与CE2的GE2/0/1、GE3/0/1接口相连。
在媒体网关与归属CE互联接口配置BFD单跳检测,采用异步模式,BFD控制报文的最小发送间隔为10、最小接收间隔为10、本地检测倍数为5。
MGW相关配置:
ADDIFVLAN:
BT=HRB,BN=0,IFT=GE,IFN=0,VID=1020,VBEARBW=512000;
ADDIFVLAN:
BT=HRB,BN=0,IFT=GE,IFN=1,VID=1025,VBEARBW=512000;
ADDIFVLAN:
BT=HRB,BN=1,IFT=GE,IFN=0,VID=1020,VBEARBW=512000;
ADDIFVLAN:
BT=HRB,BN=1,IFT=GE,IFN=1,VID=1025,VBEARBW=512000;
ADDIPADDR:
BT=HRB,BN=0,IFT=GE,IFN=0,IPADDR="192.168.0.2",MASK="255.255.255.252",FLAG=SLAVE,DSTIP="255.255.255.255";
ADDIPADDR:
BT=HRB,BN=0,IFT=GE,IFN=1,IPADDR="192.168.0.130",MASK="255.255.255.252",FLAG=SLAVE,DSTIP="255.255.255.255";
ADDIPADDR:
BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="192.168.0.6",MASK="255.255.255.252",FLAG=SLAVE,DSTIP="255.255.255.255";
ADDIPADDR:
BT=HRB,BN=1,IFT=GE,IFN=1,IPADDR="192.168.0.134",MASK="255.255.255.252",FLAG=SLAVE,DSTIP="255.255.255.255";
ADDRSVPORT:
BT=HRB,BN=0,IPADDR="192.168.0.2",SPORT=0,EPORT=65535;
ADDRSVPORT:
BT=HRB,BN=0,IPADDR="192.168.0.130",SPORT=0,EPORT=65535;
ADDRSVPORT:
BT=HRB,BN=1,IPADDR="192.168.0.6",SPORT=0,EPORT=65535;
ADDRSVPORT:
BT=HRB,BN=1,IPADDR="192.168.0.134",SPORT=0,EPORT=65535;
ADDBFD:
BT=HRB,BN=0,IFT=GE,IFN=0,BFDNM="TO-LYGCE1_0",TYPE=IF,SRCIP="192.168.0.2",DSTIP="192.168.0.1",DISCLO=8003,DISCRE=8002,TXINT=10,RXINT=10,MUL=5;
ADDBFD:
BT=HRB,BN=0,IFT=GE,IFN=1,BFDNM="TO-LYGCE2_0",TYPE=IF,SRCIP="192.168.0.130",DSTIP="192.168.0.129",DISCLO=8004,DISCRE=8005,TXINT=10,RXINT=10,MUL=5;
ADDBFD:
BT=HRB,BN=1,IFT=GE,IFN=0,BFDNM="TO-LYGCE1_1",TYPE=IF,SRCIP="192.168.0.6",DSTIP="192.168.0.5",DISCLO=7999,DISCRE=7998,TXINT=10,RXINT=10,MUL=5;
ADDBFD:
BT=HRB,BN=1,IFT=GE,IFN=1,BFDNM="TO-LYGCE2_1",TYPE=IF,SRCIP="192.168.0.134",DSTIP="192.168.0.133",DISCLO=8000,DISCRE=8001,TXINT=10,RXINT=10,MUL=5;
CE相关配置:
配置思路:
Ø在CE1上配置BFDSession,检测CE1到MGW的直连链路。
Ø在CE2上配置BFDSession,检测CE2到MGW的直连链路。
数据准备:
ØBFD检测的对端IP地址
Ø发送和接收BFD控制报文的本端接口
ØBFDSession的本地标志符和远端标识符
ØBFD控制报文的最小发送间隔、最小接收间隔、本地检测倍数等。
配置步骤:
步骤1配置CE1和CE2与MGW直连接口IP地址
#配置CE1的接口IP地址。
[LYG-KAIFQ-HUW-RJH-RT01]interfaceGE2/0/1
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet2/0/1]ipaddress192.168.0.130
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet2/0/1]quit
[LYG-KAIFQ-HUW-RJH-RT01]interfaceGE3/0/1
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet3/0/1]ipaddress192.168.0.530
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet3/0/1]quit
#配置CE2的接口IP地址。
略。
步骤2配置BFD单跳检测
#在CE1上使能BFD,并配置与MGW之间的BFDSession。
需要在接口使能BFD能力,并在BFDSession中绑定接口。
#使能全局BFD能力
[LYG-KAIFQ-HUW-RJH-RT01]bfd
[LYG-KAIFQ-HUW-RJH-RT01-bfd]quit
#接口使能BFD能力
[LYG-KAIFQ-HUW-RJH-RT01]interfaceGigabitEthernet2/0/1
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet2/0/1]bfd
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet2/0/1]quit
[LYG-KAIFQ-HUW-RJH-RT01]interfaceGigabitEthernet3/0/1
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet3/0/1]bfd
[LYG-KAIFQ-HUW-RJH-RT01-GigabitEthernet3/0/1]quit
#建立BFD会话,BFD会话两端设备的本地标识符和远端标识符需要分别对应
#执行命令bfdcfg-namebindpeer-ipip-addressinterfaceinterface-typeinterface-number[source-ipip-address],创建BFD绑定。
[LYG-KAIFQ-HUW-RJH-RT01]bfdLYGDM01-1bindpeer-ip192.168.0.2interfaceGigabitEthernet2/0/1
#配置本地标识符
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]discriminatorlocal8000
#配置远端标识符
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]discriminatorremote8001
#配置本地检测倍数
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]detect-multiplier5
#配置最小发送间隔
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]min-tx-interval10
#配置最小接收间隔
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]min-rx-interval10
#执行命令process-pst,允许BFD修改端口状态表PST(PortStateTable)
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]process-pst
#执行命令commit,提交配置
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]commit
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-1]quit
[LYG-KAIFQ-HUW-RJH-RT01]bfdLYGDM01-2bindpeer-ip192.168.0.6interfaceGigabitEthernet2/0/1
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]discriminatorlocal8002
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]discriminatorremote8003
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]detect-multiplier5
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]min-tx-interval10[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]min-rx-interval10
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]process-pst
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]commit
[LYG-KAIFQ-HUW-RJH-RT01-bfd-session-LYGDM01-2]quit
#在CE2上使能BFD,并配置与MGW之间的BFDSession。
需要在接口使能BFD能力,并在BFDSession中绑定接口。
略。
步骤3验证配置结果
配置完成后,在CE1和CE2上执行displaybfdsessionallverbose命令,可以看到建立了一个单跳(onehop)的BFDSession,且状态为UP。
第三节FRR技术
3.1IPReRoute
Ø一种最自然的FRR方式(等价路由);
Ø链路没有故障时进行负载分担转发;
Ø某条等价路径发生故障时流量从其他没有故障的ECMP转发出去;
Ø支持IP等价路由和LSP负载分担方式。
3.2IPFRR
Ø通过设置策略建立到目的网络的备份路径
Ø主路径上启动故障检测协议
Ø设置备份路径时需要避免路由环路。
IPFRR工作原理:
Ø主路径没有故障时,流量从主路径发送出去,如果计算出备份路径,则下发备份路径到转发表项
Ø当主路径故障时,流量从预先下发的备份路径转发出去
Ø当主路径恢复,转发表项被更新时,流量从新的主路径发送,FRR使命结束
Ø只对IP转发有效
3.3LDPFRR
Ø传统的IPFRR无法有效保护MPLS网络中的流量;
Ø和IPFRR类似,通过设置策略将处于Liberal的LSP与主LSP绑定形成主备关系;
Ø转发引擎在主LSP不可用时,根据备份使能标志及FIB和ILM表中的备份信息切换到备份LSP上
Ø备份LSP的优先级大于负载分担项需要LDP使用下游自主标签分发、有序标签控制以及自由标签保持方式
Ø相应的路由的收敛会将原来的LSP表项删除(此时备份LSP也被删除)并生成新的LSP表项。
可以采取MakeBeforeBreak的方式---在新的主LSP建立之后,再将原来的LSP删除
LDPFRR工作原理:
LDPFRRvsMPLSTEFRR
ØTEFRR依赖于复杂的MPLSTE技术,设备开销大;
ØTEFRR备份LSP需手工显式的指定,配置工作量大;
ØTEFRR为进行链路、节点和路径保护,需要分别建立备份LSP,带来不必要的开销;
ØTEFRR的备份LSP也存在故障可能,没有保护机制,当它失效时不能进行快速重路由;
ØTEFRR要求备份LSP不能经过被保护的链路、节点,要求过于严格,有时候即使目的地可达,仍不能建立备份LSP
ØLDPFRR没有TE的QoS机制
ØLDPFRR不能确保端到端的保护
ØLDPFRR有可能引入环路
3.4VPNFRR
Ø一项旨在解决CE双归属网络中当PE设备故障时业务快速收敛的技术
Ø对于VPN的隧道增加隧道状态表
Ø和VPN等价路由的区别:
路径是非等价的(可能由于部署、租用价格等原因)
Ø目前没有实现监测PE和CE之间的链路故障
VPNFRR工作原理:
ØVPNFRR技术面向内层标签的快速倒换
Ø和LDPFRR/TEFRR等组合使用时,VPNFRR处于高层
3.5FRR技术特点比较
名称
应用范围
优点
缺点
接口备份
适用于IP转发;最老的技术,现已没落
配置、使用简单
现不能用于MPLS转发
IPReRoute
IP、MPLS转发都适用
没有特殊配置
可控性差
IPFRR
IP转发
可以控制备份路径
需要全网统一配置以防环路
LDPFRR
MPLS转发
比TEFRR简单
需要全网统一配置以防环路
VPNFRR
MPLS转发
面向内层标签,可搞定CE双归的情况
目前只适用于CE双归情况
3.6FRR技术组合应用
Ø优先级关系(从高到低):
接口备份IPRerouteIP/LDP/VPNFRR
Ø在PE节点,IPFRR和LDPFRR冲突
ØVPNFRR可和LDPFRR组合使用
3.7IPFRR在软交换网络中的典型应用
如图所示,在CE1上配置备份出接口和备份下一跳,使链路B为链路A的备份。
当链路A出现故障时,业务可以快速切换到链路B上,备份出接口为与CE2互联接口,备份下一跳为CE2;同样,在CE2配置备份出接口和备份下一跳分别为与CE1互联接口、CE1;在MGW上配置IP地址的路由备份关系,HRB板组号0接口0与HRB板组号0接口1互为备份,HRB板组号1接口0与HRB板组号1接口1互为备份。
MGW相关配置:
ADDRTBAK:
BT=HRB,BN=0,IFT=GE,IFN=0,IPADDR="10.40.177.2",IPADDRBAK="10.40.177.130";
ADDRTBAK:
BT=HRB,BN=0,IFT=GE,IFN=1,IPADDR="10.40.177.130",IPADDRBAK="10.40.177.2";
ADDRTBAK:
BT=HRB,BN=1,IFT=GE,IFN=0,IPADDR="10.40.177.6",IPADDRBAK="10.40.177.134";
ADD
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换 网络安全 保护 机制 研究