信息高速公路已經(jīng)布滿全球
當(dāng)前,席卷全球的信息技術(shù)革命方興未艾,正在給人類的經(jīng)濟(jì)社會生活帶來革命性影響。信息化與數(shù)字化、網(wǎng)絡(luò)化、知識化相互融合、相互促進(jìn),正使人類進(jìn)入一個新經(jīng)濟(jì)時代。美國麻省理工學(xué)院的尼葛洛龐帝教授將未來的時代稱之為“比特的時代”。比爾•蓋茨指出,信息高速公路將越過國界,把信息和機(jī)會播入發(fā)展中國家,價格低廉的全球通信能把各地的人們卷入世界經(jīng)濟(jì)的主流。
在紛繁復(fù)雜的信息高速公路上,路由器是高速路上不可或缺的重要一環(huán),而路由器是否足夠可靠、足夠安全,已經(jīng)成為衡量整個網(wǎng)絡(luò)質(zhì)量的關(guān)鍵指標(biāo)。按照一條10G的以太鏈路計(jì)算,如果鏈路中斷10秒鐘,輕載鏈路會造成1.2G Byte的流量損失,重載鏈路的損失將會高達(dá)5G Byte左右。對于一條10M的專線業(yè)務(wù)來說,5G相當(dāng)于4096秒(1.14小時)的流量丟失!網(wǎng)絡(luò)在為我們提供便利的同時,也成為了不少黑客的“游樂場”,他們很樂意隨時嘗試去通過非法手段獲取到各種信息,或炫耀或牟利,對網(wǎng)絡(luò)安全造成了極大的威脅。
我們需要什么樣的路由器?
那么,怎樣才能打造出一臺安全可靠的路由器?筆者認(rèn)為,路由器自身首先必須是安全可靠的。這涉及到關(guān)鍵部件的冗余設(shè)計(jì),業(yè)務(wù)平面的邏輯隔離以及足夠的網(wǎng)絡(luò)防攻擊特性。
關(guān)鍵部件冗余設(shè)計(jì)的路由器
關(guān)鍵部件冗余設(shè)計(jì),路由器正常工作需要可靠的電力輸入,路由器不能像電視機(jī)那樣一根電源線輸入,否則會因?yàn)檫@一路電源的故障導(dǎo)致整臺設(shè)備斷電,這臺設(shè)備上的所有業(yè)務(wù)將會中斷,所以電源備份時必不可少的。
業(yè)務(wù)平面邏輯隔離的路由器
眾所周知,路由器是非常復(fù)雜的產(chǎn)品,設(shè)備上電后如何與其他設(shè)備建立通信聯(lián)系、如何正確識別轉(zhuǎn)發(fā)業(yè)務(wù)流量以及如何監(jiān)控設(shè)備自身狀態(tài),這些都是需要進(jìn)行很精細(xì)設(shè)計(jì)的。歸納起來應(yīng)該存在控制平面、轉(zhuǎn)發(fā)平面和監(jiān)控平面三種平面。這三種平面各司其職,控制平面負(fù)責(zé)路由計(jì)算、轉(zhuǎn)發(fā)平面負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)、監(jiān)控平面負(fù)責(zé)設(shè)備狀態(tài)監(jiān)控。用戶不會希望某一個平面繁忙會影響到其他的平面正常工作,所以三個平面應(yīng)該是邏輯隔離的,這樣才能保證路由器能夠工作在最佳狀態(tài)。
豐富防攻擊特性的路由器
軟件安全特性,“軟硬兼施”的安全措施才是全面的,對于軟件層面經(jīng)常遇到的ARP攻擊、溢出攻擊等,也應(yīng)該有對應(yīng)的對策。主流廠商一般會部署控制平面的ARP防攻擊、協(xié)議認(rèn)證;轉(zhuǎn)發(fā)平面的URPF、端口鏡像;管理平面的CPU/內(nèi)存閾值、SSHv2安全登錄方式等。
能端到端保護(hù)業(yè)務(wù)的路由器
此外,對于網(wǎng)絡(luò)上端到端的業(yè)務(wù)轉(zhuǎn)發(fā),路由器也應(yīng)該有故障檢測、快速業(yè)務(wù)倒換特性支持。比如,行業(yè)業(yè)務(wù)中經(jīng)常遇到的VPN業(yè)務(wù),路由器作為PE/P節(jié)點(diǎn)要把不同企業(yè)的業(yè)務(wù),或者企業(yè)里面不同屬性的業(yè)務(wù)隔離開,并且進(jìn)入到MPLS標(biāo)簽轉(zhuǎn)發(fā)網(wǎng)絡(luò)中進(jìn)行快速轉(zhuǎn)發(fā)。這樣的場景會面臨如下兩個可靠性問題:
如何進(jìn)行故障檢測。如果只依靠路由協(xié)議的定時器超時來檢測故障,秒級的故障檢測應(yīng)該不會是首選。主流設(shè)備商一般會選擇BFD(Bidirectional Forwarding Detection,雙向轉(zhuǎn)發(fā)檢測)進(jìn)行鏈路故障檢測。它檢測周期短(毫秒級)、占用帶寬。60k左右)、可以檢測非直連鏈路而且能與主流路由協(xié)議聯(lián)動。實(shí)現(xiàn)方式可以分為硬件BFD和軟件BFD兩種,硬件BFD依靠硬件實(shí)現(xiàn),不會影響業(yè)務(wù)性能;軟件BFD依靠軟件編程實(shí)現(xiàn),業(yè)務(wù)量很大時會對業(yè)務(wù)有一定影響。
如何進(jìn)行業(yè)務(wù)切換。FRR(Fast ReRoute,快速重路由)特性也許是合適的選擇,不過由于FRR有專利所以并不是所有廠商都會選擇去支持的。其實(shí)現(xiàn)原理為:在PE節(jié)點(diǎn)上同時計(jì)算出本地到遠(yuǎn)端主備PE節(jié)點(diǎn)的兩個轉(zhuǎn)發(fā)路徑,并且把轉(zhuǎn)發(fā)表項(xiàng)提前下載到接口板上,這樣,當(dāng)主路徑出現(xiàn)故障時,流量就會像被撥開關(guān)一樣,直接切換到備用路徑上進(jìn)行正常轉(zhuǎn)發(fā),省去了重新路由計(jì)算以及表項(xiàng)生成的時間。
這樣,作為端到端的業(yè)務(wù)保護(hù),使用BFD技術(shù)檢測端口、鏈路和協(xié)議狀態(tài)并與FRR技術(shù)進(jìn)行聯(lián)動,能夠?qū)崿F(xiàn)端到端業(yè)務(wù)的毫秒級故障收斂,從而降低因?yàn)闃I(yè)務(wù)中斷而導(dǎo)致的企業(yè)損失。
堅(jiān)若磐石的華為NE40E-X路由器
業(yè)界主流設(shè)備廠商中,能夠提供冗余硬件設(shè)計(jì)和BFD技術(shù)的有很多,但是,在支持通用的可靠性技術(shù)的同時,還能提供獨(dú)有的VPN FRR快速倒換、靜態(tài)BFD和組播BFD方式的則是華為公司的于2009年推出的NE40E-X系列高端路由器,它最快能夠單節(jié)點(diǎn)50毫秒、端到端200毫秒完成故障切換。
電力生產(chǎn)數(shù)據(jù)網(wǎng)按照“統(tǒng)一規(guī)劃設(shè)計(jì)、統(tǒng)一技術(shù)體制、統(tǒng)一路由策略、統(tǒng)一組織實(shí)施”的原則建設(shè),網(wǎng)絡(luò)覆蓋全國,承載著電力資源的生產(chǎn)控制,要求實(shí)時性強(qiáng)、可靠性高。自建成后,穩(wěn)定運(yùn)行,隨著特高壓電網(wǎng)的快速發(fā)展和智能電網(wǎng)建設(shè)工作的全面推進(jìn),電網(wǎng)調(diào)度在正常運(yùn)行和應(yīng)急狀態(tài)下對生產(chǎn)控制數(shù)據(jù)的安全可靠傳輸提出了越來越高的要求。網(wǎng)絡(luò)中采用華為NE40E-X系列高可靠路由器作為核心轉(zhuǎn)發(fā)節(jié)點(diǎn),通過MPLS、三級RR以及BFD、FRR等技術(shù)使網(wǎng)絡(luò)的可靠性大幅提高。采用的雙平面分層PE設(shè)計(jì)方案,在降低網(wǎng)絡(luò)中單一節(jié)點(diǎn)承受的性能壓力同時還保護(hù)了電力設(shè)備投資,其中的靜態(tài)/動態(tài)BFD + FRR技術(shù)更是將端到端的網(wǎng)絡(luò)故障收斂時間減少到200毫秒。
作為一款全業(yè)務(wù)路由器,無論是對數(shù)據(jù)安全十分看重的電力行業(yè)還是對數(shù)據(jù)傳輸可靠性要求苛刻的金融業(yè),NE40E在行業(yè)市場中廣受贊譽(yù)。如何為用戶提供更加安全,更加可靠的IP承載網(wǎng)絡(luò),將會是NE40E前進(jìn)路上的重要方向。