城域網(wǎng)匯聚層安全控制

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 在電信運營商網(wǎng)絡(luò)系統(tǒng)中，匯聚層安全問題是最難解決的，因為其接入的類型多而復(fù)雜，有IP網(wǎng)也有非IP網(wǎng)，這就給我們制定相應(yīng)的安全策略帶來相應(yīng)的挑戰(zhàn)。   對于城域網(wǎng)的安全，可分為核心層、匯聚層和接入層，其中匯聚層是最關(guān)鍵的一層，匯聚層設(shè)備是用戶管理的基本設(shè)備，也是保證城域網(wǎng)承載網(wǎng)和業(yè)務(wù)安全的基本屏障，更是保障城域網(wǎng)安全性能的關(guān)鍵，同時，匯聚層安全問題是最難解決的，因為其接入的類型多而復(fù)雜，有IP網(wǎng)也有非IP網(wǎng)，不能簡單地應(yīng)用防火墻、IDS等IP網(wǎng)絡(luò)安全產(chǎn)品，以下就這方面的安全策略作一個簡單的闡述。   ● 調(diào)整BRAS部署策略   進(jìn)行BRAS邊緣化，訪問控制可以在邊緣BRAS上進(jìn)行，如果仍然保持集中方式，可以考慮在BRAS后部署防火墻，可以將原有BRAS訪問控制功能轉(zhuǎn)移到防火墻后，這樣可以降低BRAS負(fù)載，及進(jìn)行更細(xì)粒度的訪問控制。   限制每個VLAN下的用戶數(shù)量，減少PPP建立過程中廣播包的廣播范圍，提高網(wǎng)絡(luò)性能， BRAS推到邊緣后，VLAN ID數(shù)目受到的限制問題也得到了緩解。   細(xì)粒度的三層訪問控制在BRAS或BRAS設(shè)備后端三層設(shè)備上進(jìn)行。   ● 部署小容量BRAS服務(wù)器，PVLAN的劃分和端口保護(hù)技術(shù)，專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)   進(jìn)行接入側(cè)用戶相互隔離，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；充分利用寬帶接入服務(wù)器BRAS支持802.1q的特性，來實現(xiàn)對不同用戶的服務(wù)，縮小廣播域，提高城域網(wǎng)的整體服務(wù)性能。在用戶側(cè)部署中小容量的BRAS服務(wù)器，可把原來的超大二層網(wǎng)絡(luò)分成若干個小型的二層網(wǎng)絡(luò)，降低管理的難度和復(fù)雜度。   在若干小型網(wǎng)絡(luò)中還可以繼續(xù)劃分PVLAN，PVLAN是在802.1Q  VLAN的基礎(chǔ)之產(chǎn)生的，是在VLAN內(nèi)進(jìn)行進(jìn)一步的VLAN劃分，從而可以實現(xiàn)靈活的用戶隔離方案，即把同一VLAN里的不同端口進(jìn)行邏輯的隔離，從而更好的進(jìn)行同一個VLAN里不同端口出入流的控制。端口保護(hù)是對端口進(jìn)行相應(yīng)的配置來實現(xiàn)保護(hù)端口隔離，各個保護(hù)端口只允許與非保護(hù)端口進(jìn)行信息交流，而各個保護(hù)端口之間的信息不能互通；一般來講，PVLAN和端口保護(hù)技術(shù)結(jié)合使用效果會更好。   寬帶專線用戶的VLAN在城域網(wǎng)匯聚層終結(jié)，這樣可以防止用戶的廣播包對骨干交換機的沖擊?；贚AN的專線用戶，通過專線直接連到網(wǎng)絡(luò)核心，當(dāng)用戶發(fā)起廣播時，就會使核心網(wǎng)絡(luò)路由表產(chǎn)生波動，還會影響核心網(wǎng)絡(luò)設(shè)備的性能，所以建議在匯聚層終結(jié)，再把信息上傳到網(wǎng)絡(luò)核心。   ● 用戶認(rèn)證機制，安全密碼體系   目前常見的用戶認(rèn)證機制主要可以分為兩大類，一種是基于網(wǎng)關(guān)的驗證機制，利用BRAS+AAA驗證服務(wù)器完成對用戶的身份驗證， AAA綁定一般采用的都是靜態(tài)綁定方式，而動態(tài)綁定一般是在接入設(shè)備上實現(xiàn)的，綁定技術(shù)的有效應(yīng)用，主要用于解決賬號盜用，用戶定位等問題。另外一種認(rèn)證機制是將用戶的數(shù)據(jù)流和控制信息分開，認(rèn)證服務(wù)只需對用戶的認(rèn)證信息（控制信息）進(jìn)行驗證，通過驗證后，用戶數(shù)據(jù)包就不再通過認(rèn)證服務(wù)器而直接由交換機處理。   根據(jù)我們實際的情況，對于純的DLSAM匯聚方式那部分網(wǎng)絡(luò)，可以采用第一種基于網(wǎng)關(guān)的驗證機制，利用BRAS+AAA驗證服務(wù)器完成對用戶的身份驗證，所有撥號用戶都首先進(jìn)行撥號與 BRAS進(jìn)行連接，從BRAS獲得動態(tài)分配給的IP地址，并從AAA服務(wù)器獲得用戶名驗證信息，從而完成通信。   對于具有支持IEEE802.1X認(rèn)證機制的二層以太交換機部分，我們采用第二種基于IEEE802.1X的認(rèn)證機制，IEEE802.1X認(rèn)證機制是把用戶的認(rèn)證和交換機端口激活聯(lián)系在一起，交換機要求用戶提供有關(guān)的用戶名和口令信息，通過了認(rèn)證，端口就激活，實現(xiàn)正常訪問，否則斷開。   通過上述認(rèn)證機制可以實現(xiàn)基于用戶的訪問權(quán)限控制、計費和服務(wù)類型控制，而不是基于每個站點內(nèi)的所有用戶計費。   ● IP地址、MAC地址、用戶名及卡號綁定   IP地址、MAC地址、用戶名及卡號綁定能夠準(zhǔn)確定位用戶，并可提供追查惡意用戶的。   對于純DLSAM撥號用戶可實現(xiàn)MAC、端口和用戶名綁定，將不同VLAN內(nèi)對應(yīng)用戶的MAC地址送到BRAS，再由BRAS將其送到AAA服務(wù)器，實現(xiàn)與用戶名和MAC的綁定。進(jìn)而防止個人用戶的帳號、密碼被盜用，也可確定出用戶上網(wǎng)的位置，如果用戶名和密碼被盜，通過這一方式可以確定偷盜者的上網(wǎng)地點和時間，為問題的解決提供重要線索。   ● 流量整形、擁塞控制、隊列調(diào)度及CAR等QoS保障   在網(wǎng)絡(luò)設(shè)備上對用戶接入的業(yè)務(wù)流進(jìn)行匹配，對相應(yīng)用戶業(yè)務(wù)流按照約定的速率進(jìn)行帶寬限制，通過入口或出口的CAR和流量整形進(jìn)行調(diào)整，保證重要業(yè)務(wù)流的帶寬；進(jìn)行擁塞設(shè)置，當(dāng)流量超過緩存值時，路由器入口處就將該流量超過閥值的數(shù)據(jù)包丟棄，同時告訴數(shù)據(jù)源端的TCP應(yīng)用減少窗口尺寸。   對于支持VC Shaping的BRAS設(shè)備來說還可以針接入用戶的發(fā)送數(shù)據(jù)頻率來進(jìn)行控制；對不同的應(yīng)用進(jìn)行不同的隊列優(yōu)先級分配，當(dāng)網(wǎng)絡(luò)擁擠時，保證重要數(shù)據(jù)優(yōu)先通過，從而實現(xiàn)隊列調(diào)度。(CCW)