打造堅若磐石的現(xiàn)代企業(yè)網(wǎng)絡(luò)

信息高速公路已經(jīng)布滿全球

當(dāng)前，席卷全球的信息技術(shù)革命方興未艾，正在給人類的經(jīng)濟社會生活帶來革命性影響。信息化與數(shù)字化、網(wǎng)絡(luò)化、知識化相互融合、相互促進，正使人類進入一個新經(jīng)濟時代。美國麻省理工學(xué)院的尼葛洛龐帝教授將未來的時代稱之為“比特的時代”。比爾•蓋茨指出，信息高速公路將越過國界，把信息和機會播入發(fā)展中國家，價格低廉的全球通信能把各地的人們卷入世界經(jīng)濟的主流。

在紛繁復(fù)雜的信息高速公路上，路由器是高速路上不可或缺的重要一環(huán)，而路由器是否足夠可靠、足夠安全，已經(jīng)成為衡量整個網(wǎng)絡(luò)質(zhì)量的關(guān)鍵指標(biāo)。按照一條10G的以太鏈路計算，如果鏈路中斷10秒鐘，輕載鏈路會造成1.2G Byte的流量損失，重載鏈路的損失將會高達(dá)5G Byte左右。對于一條10M的專線業(yè)務(wù)來說，5G相當(dāng)于4096秒（1.14小時）的流量丟失！網(wǎng)絡(luò)在為我們提供便利的同時，也成為了不少黑客的“游樂場”，他們很樂意隨時嘗試去通過非法手段獲取到各種信息，或炫耀或牟利，對網(wǎng)絡(luò)安全造成了極大的威脅。

我們需要什么樣的路由器？

那么，怎樣才能打造出一臺安全可靠的路由器？筆者認(rèn)為，路由器自身首先必須是安全可靠的。這涉及到關(guān)鍵部件的冗余設(shè)計，業(yè)務(wù)平面的邏輯隔離以及足夠的網(wǎng)絡(luò)防攻擊特性。

關(guān)鍵部件冗余設(shè)計的路由器

關(guān)鍵部件冗余設(shè)計，路由器正常工作需要可靠的電力輸入，路由器不能像電視機那樣一根電源線輸入，否則會因為這一路電源的故障導(dǎo)致整臺設(shè)備斷電，這臺設(shè)備上的所有業(yè)務(wù)將會中斷，所以電源備份時必不可少的。

業(yè)務(wù)平面邏輯隔離的路由器

眾所周知，路由器是非常復(fù)雜的產(chǎn)品，設(shè)備上電后如何與其他設(shè)備建立通信聯(lián)系、如何正確識別轉(zhuǎn)發(fā)業(yè)務(wù)流量以及如何監(jiān)控設(shè)備自身狀態(tài)，這些都是需要進行很精細(xì)設(shè)計的。歸納起來應(yīng)該存在控制平面、轉(zhuǎn)發(fā)平面和監(jiān)控平面三種平面。這三種平面各司其職，控制平面負(fù)責(zé)路由計算、轉(zhuǎn)發(fā)平面負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)、監(jiān)控平面負(fù)責(zé)設(shè)備狀態(tài)監(jiān)控。用戶不會希望某一個平面繁忙會影響到其他的平面正常工作，所以三個平面應(yīng)該是邏輯隔離的，這樣才能保證路由器能夠工作在最佳狀態(tài)。

豐富防攻擊特性的路由器

軟件安全特性，“軟硬兼施”的安全措施才是全面的，對于軟件層面經(jīng)常遇到的ARP攻擊、溢出攻擊等，也應(yīng)該有對應(yīng)的對策。主流廠商一般會部署控制平面的ARP防攻擊、協(xié)議認(rèn)證；轉(zhuǎn)發(fā)平面的URPF、端口鏡像；管理平面的CPU/內(nèi)存閾值、SSHv2安全登錄方式等。

能端到端保護業(yè)務(wù)的路由器

此外，對于網(wǎng)絡(luò)上端到端的業(yè)務(wù)轉(zhuǎn)發(fā)，路由器也應(yīng)該有故障檢測、快速業(yè)務(wù)倒換特性支持。比如，行業(yè)業(yè)務(wù)中經(jīng)常遇到的VPN業(yè)務(wù)，路由器作為PE/P節(jié)點要把不同企業(yè)的業(yè)務(wù)，或者企業(yè)里面不同屬性的業(yè)務(wù)隔離開，并且進入到MPLS標(biāo)簽轉(zhuǎn)發(fā)網(wǎng)絡(luò)中進行快速轉(zhuǎn)發(fā)。這樣的場景會面臨如下兩個可靠性問題：

 如何進行故障檢測。如果只依靠路由協(xié)議的定時器超時來檢測故障，秒級的故障檢測應(yīng)該不會是首選。主流設(shè)備商一般會選擇BFD（Bidirectional Forwarding Detection，雙向轉(zhuǎn)發(fā)檢測）進行鏈路故障檢測。它檢測周期短（毫秒級）、占用帶寬�。�60k左右）、可以檢測非直連鏈路而且能與主流路由協(xié)議聯(lián)動。實現(xiàn)方式可以分為硬件BFD和軟件BFD兩種，硬件BFD依靠硬件實現(xiàn)，不會影響業(yè)務(wù)性能；軟件BFD依靠軟件編程實現(xiàn)，業(yè)務(wù)量很大時會對業(yè)務(wù)有一定影響。

 如何進行業(yè)務(wù)切換。FRR（Fast ReRoute，快速重路由）特性也許是合適的選擇，不過由于FRR有專利所以并不是所有廠商都會選擇去支持的。其實現(xiàn)原理為：在PE節(jié)點上同時計算出本地到遠(yuǎn)端主備PE節(jié)點的兩個轉(zhuǎn)發(fā)路徑，并且把轉(zhuǎn)發(fā)表項提前下載到接口板上，這樣，當(dāng)主路徑出現(xiàn)故障時，流量就會像被撥開關(guān)一樣，直接切換到備用路徑上進行正常轉(zhuǎn)發(fā)，省去了重新路由計算以及表項生成的時間。

這樣，作為端到端的業(yè)務(wù)保護，使用BFD技術(shù)檢測端口、鏈路和協(xié)議狀態(tài)并與FRR技術(shù)進行聯(lián)動，能夠?qū)崿F(xiàn)端到端業(yè)務(wù)的毫秒級故障收斂，從而降低因為業(yè)務(wù)中斷而導(dǎo)致的企業(yè)損失。

堅若磐石的華為NE40E-X路由器

業(yè)界主流設(shè)備廠商中，能夠提供冗余硬件設(shè)計和BFD技術(shù)的有很多，但是，在支持通用的可靠性技術(shù)的同時，還能提供獨有的VPN FRR快速倒換、靜態(tài)BFD和組播BFD方式的則是華為公司的于2009年推出的NE40E-X系列高端路由器，它最快能夠單節(jié)點50毫秒、端到端200毫秒完成故障切換。

電力生產(chǎn)數(shù)據(jù)網(wǎng)按照“統(tǒng)一規(guī)劃設(shè)計、統(tǒng)一技術(shù)體制、統(tǒng)一路由策略、統(tǒng)一組織實施”的原則建設(shè)，網(wǎng)絡(luò)覆蓋全國，承載著電力資源的生產(chǎn)控制，要求實時性強、可靠性高。自建成后，穩(wěn)定運行，隨著特高壓電網(wǎng)的快速發(fā)展和智能電網(wǎng)建設(shè)工作的全面推進，電網(wǎng)調(diào)度在正常運行和應(yīng)急狀態(tài)下對生產(chǎn)控制數(shù)據(jù)的安全可靠傳輸提出了越來越高的要求。網(wǎng)絡(luò)中采用華為NE40E-X系列高可靠路由器作為核心轉(zhuǎn)發(fā)節(jié)點，通過MPLS、三級RR以及BFD、FRR等技術(shù)使網(wǎng)絡(luò)的可靠性大幅提高。采用的雙平面分層PE設(shè)計方案，在降低網(wǎng)絡(luò)中單一節(jié)點承受的性能壓力同時還保護了電力設(shè)備投資，其中的靜態(tài)/動態(tài)BFD + FRR技術(shù)更是將端到端的網(wǎng)絡(luò)故障收斂時間減少到200毫秒。

作為一款全業(yè)務(wù)路由器，無論是對數(shù)據(jù)安全十分看重的電力行業(yè)還是對數(shù)據(jù)傳輸可靠性要求苛刻的金融業(yè)，NE40E在行業(yè)市場中廣受贊譽。如何為用戶提供更加安全，更加可靠的IP承載網(wǎng)絡(luò)，將會是NE40E前進路上的重要方向。