實現(xiàn)IP網(wǎng)絡(luò)安全運(yùn)行的流量策略方案

摘　要　對IP設(shè)備、中繼、路由協(xié)議及應(yīng)用數(shù)據(jù)流進(jìn)行監(jiān)測、分析、分類、整形、控制和擁塞避免，盡早實施流量策略，防范攻擊，抑制異常報文，規(guī)范使用P2P提高傳輸效能，使網(wǎng)絡(luò)輕載運(yùn)行，確保安全。

關(guān)鍵詞　流量策略　深度檢測DPI　不間斷轉(zhuǎn)發(fā)NSF　實時傳輸協(xié)議RTP　對等聯(lián)網(wǎng)P2P

1　引言

IP技術(shù)飛速發(fā)展，基于IP的新業(yè)務(wù)如3G、NGN、全球眼、新視通、IPTV、P2P等層出不窮，低時延、小抖動、高QoS的實時業(yè)務(wù)越來越多，用戶對質(zhì)量要求進(jìn)一步提高；而黑客攻擊、病毒入侵、端口掃描、P2P應(yīng)用等泛濫成災(zāi)，寬帶應(yīng)用要求安全管理帶寬資源，實時監(jiān)控網(wǎng)絡(luò)掌握流量動態(tài)、建立分析系統(tǒng)及時采取有效措施勢在必行。

本文采用三維結(jié)構(gòu)格式，縱向參照互聯(lián)網(wǎng)層次，從低到高逐層描述物理層、鏈路層、IP層、傳輸層、應(yīng)用層的流量特征；豎向以流量分類、檢測和控制等策略對其施加影響；橫向以時間為軸分析以往和當(dāng)前，預(yù)測未來；綜合考慮、系統(tǒng)實現(xiàn)IP網(wǎng)絡(luò)可運(yùn)維、可管理、具有QoS保證的多業(yè)務(wù)承載平臺。

2　物理層：關(guān)注設(shè)備負(fù)載和中繼流量；3G、NGN啟用新平面

分析設(shè)備CPU和內(nèi)存使用率，設(shè)置預(yù)警門限防止負(fù)荷高引起性能劣化服務(wù)質(zhì)量降低；主控、引擎板冗余熱備份，路由處理板增強(qiáng)備份或狀態(tài)轉(zhuǎn)換加快切換速度，增配交換板實現(xiàn)線速轉(zhuǎn)發(fā)，SR做為MPLS PE、專線和多播網(wǎng)關(guān)，BAS實現(xiàn)PPPoE撥號，接入網(wǎng)取消路由功能，網(wǎng)絡(luò)扁平化減少交換機(jī)級連層次；MPLS VPN配置路由反射器減輕匯聚負(fù)擔(dān)；設(shè)備互聯(lián)啟用身份認(rèn)證，使用動態(tài)口令限制非法訪問避免安全隱患。

LAN、ADSL接入限速，光進(jìn)銅退、DSLAM下移、引入ADSL2+減少線路質(zhì)量差導(dǎo)致報文重傳增加開銷。核心、匯聚及接入層中繼雙歸屬、多歸屬或同層迂回保護(hù)，確保至少兩條不同的傳輸通路；分析同向中繼及每條鏈路帶寬，均衡分擔(dān)流量負(fù)荷，超過預(yù)警門限采取網(wǎng)絡(luò)擴(kuò)容、路由調(diào)度、流量切換等措施；雙歸屬中繼利用率達(dá)50%時增加帶寬，保證任一中繼故障時另一電路完全能承載全部流量。

深度分析網(wǎng)絡(luò)結(jié)構(gòu)、性能指標(biāo)及業(yè)務(wù)能力掌握擁塞程度，根據(jù)以往、當(dāng)前流量評估、預(yù)測未來變化趨勢；建立分析系統(tǒng)動態(tài)學(xué)習(xí)歷史數(shù)據(jù)，剔除異常并不斷調(diào)整和逼近使修正數(shù)據(jù)與事實吻合，獲取總體流量水平、波動、跳變等參數(shù)，確定可信區(qū)間作為監(jiān)測基礎(chǔ)為發(fā)現(xiàn)異常提供依據(jù)，利用偏差檢測、實時對比審計突發(fā)蠕蟲、變種病毒或黑客行為，阻擋攻擊蔓延，防止網(wǎng)絡(luò)癱瘓。

現(xiàn)有IP網(wǎng)絡(luò)承載3G和NGN，服務(wù)會受到普通業(yè)務(wù)的影響，QoS和策略路由的部署一定程度解決質(zhì)量問題，但過多使用將影響設(shè)備性能；3G、NGN極高的通信品質(zhì)要求建設(shè)第二核心IP平面，在沒有傳統(tǒng)業(yè)務(wù)的網(wǎng)絡(luò)上有效保證質(zhì)量；NGN和3G對帶寬要求并不高，第二平面不需頻繁擴(kuò)容，可長期滿足業(yè)務(wù)發(fā)展。

3　鏈路層：抑制廣播報文

VLAN將單廣播域局域網(wǎng)邏輯分為多廣播域，VLAN劃分可基于端口，VLAN內(nèi)的機(jī)器無需位于同一物理位置，VLAN內(nèi)的流量如廣播、多播或單播不會被發(fā)送到另一VLAN中，實現(xiàn)不同VLAN間的流量隔離，VLAN有效提升通信性能、實現(xiàn)虛擬工作組、基于VLAN的訪問控制，提高網(wǎng)絡(luò)安全，采用QinQ技術(shù)使VLAN嵌套以擴(kuò)展VLAN；用戶端交換機(jī)多是共享式，為限制廣播流量提高感知，局域網(wǎng)核心交換機(jī)采用具有VLAN功能的設(shè)備。鏈路層啟用生成樹協(xié)議SPT避免產(chǎn)生環(huán)路。

4　IP層：保證動態(tài)路由協(xié)議產(chǎn)生的路由表穩(wěn)定

采用動態(tài)協(xié)議的路由器更新路由表，在接受消息前核實發(fā)送方，BGP、OSPF等啟用MD5認(rèn)證，確保收到合法信息；OSPF設(shè)置NSSA減小路由振蕩范圍降低收斂時間；部署不間斷轉(zhuǎn)發(fā)實現(xiàn)路由快速切換，在處理板倒換時轉(zhuǎn)發(fā)表保持不變，數(shù)據(jù)包持續(xù)轉(zhuǎn)發(fā)，有效抑制路由表動蕩，減少動態(tài)路由協(xié)議頻繁更新產(chǎn)生大量的系統(tǒng)報文開銷，使路由協(xié)議平穩(wěn)運(yùn)行；合理分配、使用并匯聚IP地址，優(yōu)化聚合路由，避免環(huán)路產(chǎn)生保證網(wǎng)絡(luò)穩(wěn)定。

結(jié)合RPF源地址校驗、訪問控制列表過濾Ping掃描、ICMP超長報文，防范DoS攻擊，抑制異常流量。將IP報頭分類處理，ACL可用IP源/目的地址、ICMP、IGMP及協(xié)議域等字段實現(xiàn)包過濾，防火墻可根據(jù)IP報頭通過ACL實現(xiàn)訪問控制；部署基于DiffServ的QoS策略區(qū)分用戶業(yè)務(wù)，網(wǎng)絡(luò)邊緣實現(xiàn)分類、標(biāo)記和帶寬控制，網(wǎng)絡(luò)內(nèi)按優(yōu)先順序轉(zhuǎn)發(fā)IP包，通過流量監(jiān)測、擁塞管理和隊列調(diào)度等QoS機(jī)制保障不同等級IP數(shù)據(jù)包的質(zhì)量，提高傳輸性能。

5　TCP/UDP：QoS策略保障端到端的傳輸質(zhì)量

IP網(wǎng)絡(luò)開展實時應(yīng)用，分別從業(yè)務(wù)和承載網(wǎng)絡(luò)實施QoS：業(yè)務(wù)設(shè)備對丟包、時延、抖動、包錯序等恢復(fù)和補(bǔ)償，調(diào)整數(shù)據(jù)流量適應(yīng)帶寬變化；承載網(wǎng)絡(luò)對端到端的QoS提供保障。實時業(yè)務(wù)的QoS要求IP網(wǎng)絡(luò)在承載端到端碼流時，丟包少、延遲小、抖動低，見表1。

丟包率表明數(shù)據(jù)鏈路的擁塞狀況，對QoS影響最嚴(yán)重。時延由傳輸、排隊等待、路由器處理時間構(gòu)成。在單播或多播網(wǎng)絡(luò)中實時傳輸協(xié)議、實時傳輸控制協(xié)議實現(xiàn)流媒體數(shù)據(jù)的按序傳輸數(shù)據(jù)包、流量控制和降低擁塞提供可靠保證。

將TCP/UDP報頭分類，ACL按標(biāo)準(zhǔn)或擴(kuò)展訪問控制規(guī)則過濾數(shù)據(jù)包，用TCP/UDP的源/目的端口、TCP標(biāo)志ACK和RST以及時間屬性實現(xiàn)。TCP/UDP掃描對不同端口請求連接探測服務(wù)類型，記錄對21、23、25、53、80、8000、8080等的連接，當(dāng)收到多個數(shù)據(jù)包對不常用端口請求時通知防火墻阻斷；增強(qiáng)防火墻根據(jù)IP的內(nèi)容防范應(yīng)用層攻擊，如檢測SMTP命令、IDS、SYN Flooding等，基于狀態(tài)的增強(qiáng)型防火墻可實現(xiàn)動態(tài)訪問列表的生成。UDP在多播多個相同媒體時減少同質(zhì)流量，有效節(jié)約帶寬。

6　應(yīng)用層：按應(yīng)用分類，監(jiān)控異常流量，思考ISP如何從P2P的使用中獲益

將IP宏觀業(yè)務(wù)的微觀報文合理細(xì)分，確定各類應(yīng)用對網(wǎng)絡(luò)承載的要求和指標(biāo)，了解用戶主觀認(rèn)知度提高感知，根據(jù)預(yù)定策略實施精細(xì)管理控制流量，見表2。

流量采集有全鏡像、SNMP和Netflow：全鏡像提供豐富的應(yīng)用層信息，按協(xié)議、端口、IP地址、蠕蟲、攻擊報文等模式統(tǒng)計，深度檢測應(yīng)用業(yè)務(wù)區(qū)別異常流量；檢測和控制分離：旁路偵聽、采集、分析和識別數(shù)據(jù)流并制定策略，控制采用串路，由控制設(shè)備基于管理策略對流量安全管控。SNMP提取設(shè)備Agent的管理對象信息庫收集的流量變化信息。

Netflow由設(shè)備提供的機(jī)制實現(xiàn)。

流量控制策略有：限流，即帶寬分配，指定用戶可獲得的流量帶寬；整形，使業(yè)務(wù)流速率符合規(guī)定但增加延遲；重定向，把用戶定向到提示安全的資源站點；標(biāo)記，設(shè)置報文的DS域或IP優(yōu)先級；阻斷，發(fā)TCP RST斷線報文限制接入；丟棄，根據(jù)預(yù)設(shè)規(guī)則丟掉報文。監(jiān)督流量規(guī)模限制在合理范圍，懲罰超出部分，保護(hù)資源和利益。

P2P建立動態(tài)、分散的邏輯網(wǎng)絡(luò)，用于大范圍的文件交換、深度搜索、對等計算、協(xié)同工作，解決互聯(lián)網(wǎng)傳遞的弱鏈接問題，是思想的革命、技術(shù)的飛躍；融和P2P的服務(wù)器不承擔(dān)沉重的數(shù)據(jù)轉(zhuǎn)發(fā)，只管理和引導(dǎo)用戶有效消除內(nèi)容孤島，使信息流動更通暢，避免傳輸瓶頸及阻塞。P2P效應(yīng)和用戶數(shù)平方呈正比，連接的可能性呈幾何級數(shù)遞增，客戶的需要是我們追求的目標(biāo)，短消息、游戲、聊天體現(xiàn)互聯(lián)網(wǎng)本質(zhì)，ICQ、MSN是互聯(lián)網(wǎng)實時工具，電驢和BT是主要下載方式，P2P降低硬件投入和內(nèi)容供應(yīng)成本，對分布式網(wǎng)絡(luò)的邊緣利用開拓新的前景。

但P2P帶來異常的峰值流量，導(dǎo)致網(wǎng)絡(luò)擁塞、性能下降，影響WWW、E-mail的使用；適當(dāng)控制P2P規(guī)模要在應(yīng)用層分析數(shù)據(jù)包識別P2P協(xié)議特征碼，許多P2P使用不同協(xié)議、動態(tài)端口，基于IP和端口分類難以跟蹤和控制。P2P應(yīng)用的普及，70%左右的帶寬資源被其占據(jù)，在寬帶收益上ISP面臨挑戰(zhàn)和機(jī)遇，全面限制P2P不切實際，建立基于應(yīng)用、流量計費的經(jīng)營模式似乎可以兩全其美。

7　總結(jié)

IP網(wǎng)絡(luò)作為多業(yè)務(wù)承載平臺，眾多應(yīng)用穿透其中，必須確保IP流量有條不紊、秩序井然，有效提高通信的可靠性和安全性；P2P使用本質(zhì)和Web一樣，封堵不是好辦法，如何在P2P的應(yīng)用中獲得更多收益是ISP面臨的急需換位思考的問題。

由于本網(wǎng)頁不支持圖片與公式效果，如有需要請參閱雜志。