骨干网路由反射器cluster-id的合理规划确保网络安全

骨干网路由反射器cluster-id的合理规划确保网络安全

引用地址：
注意： 该地址仅在今日23:59:59之前有效

一、现象描述
现网RR部署：
纵观中国几大运营商的骨干网络，都在网内部署了多对路由反射器RR；而且很多骨干网中，都部署了二级RR；同时为了确保路由RR的可靠性，通常一个cluster内一般都部署2台RR，设置为相同的cluster-id，现网几大运营商骨干网RR的cluster-id都采用同一cluster中某台RR的loopback地址。
现网安全故障：
2009年6月G省电信internet骨干网遭受DDOS攻击导致internet业务大范围受到重大影响；之所以本次DDOS攻击大范围严重影响业务，是因为本次本攻击的设备为骨干网的1级RR从下面的分析中可以看出和RR的cluster-id合理规划能够在一定程度上确保网络安全。

二、告警信息
现网情况：
在骨干网的边缘路由器上，通过查看一条国外的BGP路由
dis bgp routing-table 1.1.1.1 32
BGP routing table entry information of 1.1.1.1/32:
From: X.X.X.1 (X.X.X.1)
Relay Nexthop: X.X.X.129
Original nexthop: Y.Y.Y.Y
Community:no-export
Convergence Priority: 0
AS-path 3869, origin incomplete, MED 0, localpref 100, pref-val 200, valid, internal, best, pre 200
Originator:  Z.Z.Z.Z
Cluster list: X.X.X.1, X.X.X.12, X.X.X.77

三、原因分析
网络安全隐患分析：
1、运营商的骨干网络，被最多单位最大人员频繁操作都是边缘设备；因为设备量多，接入业务频繁，涉及多厂商设备。
2、虽然熟悉骨干核心网络和1级RR设备情况的人员较少，在管理体制上具备一定的安全性；但可以从边缘PE设备通过BGP路由属性间接推导出1级RR情况。
3、从上面PE上BGP路由属性中Cluster list可以看出现网该大区的1级RR为
X.X.X.12，2级RR为X.X.X.1 。
4、虽然都是攻击某一台设备，但DDOS攻击某台P或PE、2级RR、1级RR设备，影响的范围和危害程度是越来越大。

四、解决办法
cluster-id规划：
1、不使用loopback地址作为cluster-id，而使用数字（区号）表示；例如广州大区的1级RR的cluster-id使用020，2级的RRcluster-id使用020020；或者为了直接省去开头的数字"0"，广州大区的1级RR的cluster-id使用20，2级的RR的cluster-id使用2020（目前国内8个大区的区号都是3位数字）。
此时显示Cluster list:0.0.0.2020，0.0.0.20，0.0.0.10，0.0.0.1010
2、全网单独分配1/4个C地址给RR的cluster-id，这些地址在设备上可以不配置或者配置后不在IGP中发布（但为了防止DDOS攻击时在网间出口产生环路，建议在有缺省路由的出口针对1/4C配置黑洞路由）。
此时显示Cluster list同上面现网的情况，但是黑客无法利用Cluster list中的信息来攻击RR路由器。

五、建议
建议：
采用第一种数字（大区区号）标识的方式来规划AS域内RR反射器的Cluster id，进一步确保网络安全


原作者： Tony Liu(admin#myccie.net)
地址： http://myccie.net/read.php?234