靜態(tài)黑洞路由網(wǎng)絡(luò)架構(gòu)在校園網(wǎng)應(yīng)用的配置方案①

龔文濤,郎穎瑩

1(中國石油大學(xué)(華東)信息化建設(shè)處,青島 266580)2(中國石油大學(xué)(華東)教育發(fā)展中心,青島 266580)

路由協(xié)議是TCP/IP協(xié)議族中重要成員之一[1,2],其選路過程實現(xiàn)的效率高低會直接影響到整個Internet網(wǎng)絡(luò)的工作效率.按照路由協(xié)議應(yīng)用范圍的不同,路由協(xié)議主要分為兩種:內(nèi)部網(wǎng)絡(luò)協(xié)議(interior gateway protocol)和外部網(wǎng)關(guān)協(xié)議(exterior gateway protocol).

常見的內(nèi)部網(wǎng)絡(luò)協(xié)議包括:RIP-1,RIP-2,IGRP,ISIS和OSPF.其中前3種路由協(xié)議均是采用距離向量算法,IS-IS和OSPF采用的是鏈路狀態(tài)算法;外部網(wǎng)關(guān)協(xié)議是EGP(Exterior Gateway Protocol),是為一個簡單的樹形拓撲結(jié)構(gòu)設(shè)計的,適用于樹狀拓撲的網(wǎng)絡(luò)[3,4].

路由協(xié)議通過在互聯(lián)網(wǎng)中的路由器之間共享路由信息來支持可路由協(xié)[5,6].路由信息在互聯(lián)網(wǎng)中相鄰的路由器之間傳遞,以此來保證所有路由器知道到其它路由器的路徑信息,依托路由協(xié)議來構(gòu)建路由表,以路由表描述網(wǎng)絡(luò)拓撲結(jié)構(gòu);路由協(xié)議與路由器協(xié)同工作,執(zhí)行路由選擇和數(shù)據(jù)包轉(zhuǎn)發(fā)功能.路由協(xié)議主要運行于路由器上,路由協(xié)議是用來確定到達路徑的,常見的路由協(xié)議包括RIP,OSPF,IS-IS,BGP等協(xié)議.

路由協(xié)議主要是為網(wǎng)絡(luò)信息節(jié)點上網(wǎng)所用,但是有一種情況是需要主動斷開網(wǎng)絡(luò)服務(wù),結(jié)合高校的網(wǎng)絡(luò)信息安全工作來說,出現(xiàn)下面兩種情況,需要主動斷開網(wǎng)絡(luò)信息服務(wù):一是網(wǎng)絡(luò)攻擊針對某個IP或者IP段,會引發(fā)一定區(qū)域內(nèi)的網(wǎng)絡(luò)震蕩,導(dǎo)致網(wǎng)絡(luò)癱瘓;二是或者個別服務(wù)器被黑客攻擊后,需要及時斷開其網(wǎng)絡(luò)服務(wù),則需要通過主動干預(yù)方法來降低其二次網(wǎng)絡(luò)安全事故帶來的不利影響.針對此,需要在路由協(xié)議層面對其進行處理,使得其不夠上網(wǎng),而靜態(tài)路由協(xié)議里面的黑洞路由可以用來處理非常時期的突發(fā)網(wǎng)絡(luò)安全事件,本文分析和總結(jié)靜態(tài)路由和靜態(tài)黑洞路由相關(guān)概念,提出一種基于高校網(wǎng)絡(luò)信息安全空間領(lǐng)域下的黑洞路由器配置,給出核心網(wǎng)絡(luò)架構(gòu)及配置流程,最終通過網(wǎng)絡(luò)測試黑洞路由配置的有效性.

1 靜態(tài)路由與黑洞路由概述

1.1 靜態(tài)黑洞路由概念及功效分析

靜態(tài)路由是由用戶或者網(wǎng)絡(luò)管理員人工配置的路由信息,當網(wǎng)絡(luò)局部的拓撲結(jié)構(gòu)或者網(wǎng)絡(luò)鏈路狀態(tài)發(fā)生變更之后,網(wǎng)絡(luò)管理員則需要人工手動去修改路由表中的相關(guān)靜態(tài)路由數(shù)據(jù).靜態(tài)路由比較適應(yīng)于小規(guī)模、架構(gòu)簡單的網(wǎng)絡(luò)拓中,網(wǎng)絡(luò)管理員容易掌握網(wǎng)絡(luò)拓撲架構(gòu),較方便配置正確的靜態(tài)路由策略.

靜態(tài)黑洞路由是靜態(tài)路由的一種,所謂靜態(tài)黑洞路由,是將所有無關(guān)路由吸入其中,使它們有來無回的路由.黑洞路由,其實就是一條特殊的靜態(tài)路由,下一跳指向null0口,一個不存在的口,結(jié)果就是將匹配這條路由的數(shù)據(jù)包丟棄.提到黑洞路由就要提一下null0接口.null0口是個永不down的口,一般用于管理,admin建立一個路由條目,將接到的某個源地址轉(zhuǎn)向null0接口,這樣對系統(tǒng)負載影響非常小.

黑洞路由功效:如果同樣的功能用ACL(地址訪問控制列表)實現(xiàn),則流量增大時CPU利用率會明顯增加.所以,設(shè)置黑洞路由一直是解決固定DOS攻擊的最好辦法.相當于洪水來臨時,在洪水途經(jīng)的路上附近挖一個不見底的巨大深坑,然后將洪水引入其中.黑洞路由最大的好處是充分利用了路由器的包轉(zhuǎn)發(fā)能力,對系統(tǒng)負載影響非常小.

1.2 常見路由協(xié)議優(yōu)先級分析

常見的路由協(xié)議以H3C公司研發(fā)的網(wǎng)絡(luò)架構(gòu)下的路由優(yōu)先級來說:Direct直連路由的優(yōu)先級是0,級別最高;ospf路由的優(yōu)先級是10;is-is路由的優(yōu)先級是15;static靜態(tài)路由優(yōu)先級是60;rip路由優(yōu)先級是100,需要對靜態(tài)路由進行配置,如果黑洞路由器上面的黑洞靜態(tài)路由優(yōu)先級是60.

默認前提下,如果是OSPF路由,則其優(yōu)先級靜態(tài)路由要高,則默認配置優(yōu)先級別為60即可;但是如果該目標ip地址在他區(qū)域也是配置的靜態(tài)路,則在黑洞路由器上配置的靜態(tài)黑洞路由優(yōu)先級要高于該ip地址的靜態(tài)路由優(yōu)先級,否則其發(fā)布路由后,會導(dǎo)致黑洞路由配置無效.在靜態(tài)黑洞路由配置完成后,需要對其路由信息進行測試,以確保黑洞路由確實起作用.

1.3 網(wǎng)絡(luò)安全管理引入黑洞路由的意義和作用

伴隨網(wǎng)絡(luò)安全局勢日益嚴峻,國內(nèi)外黑客對高校的攻擊呈現(xiàn)出攻擊范圍廣、攻擊頻率高的趨勢,如何有效阻隔和及時處理被黑客攻擊成功之后的網(wǎng)絡(luò)故障點對提升網(wǎng)絡(luò)安全管理工作水平有著重要意義和作用.

當高校的網(wǎng)絡(luò)安全事件發(fā)生或者要主動查封安全故障點的時,通過黑洞路由的配置,能夠快速將故障點查封,并減少對整個網(wǎng)絡(luò)的負面影響,當黑洞路由配置完畢之后,當去往某一目的地的靜態(tài)路由具有“blackhole”屬性時,無論配置的下一跳地址是什么,該路由的出接口均為NULL 0接口,任何去往該目的地的IP報文都將被丟棄,并且不通知源主機.

綜上所述,從校園網(wǎng)絡(luò)安全管理角度來看,配置黑洞路由是一種非常有效的網(wǎng)絡(luò)安全防御策略,當網(wǎng)絡(luò)管理員獲悉網(wǎng)絡(luò)遭受內(nèi)外攻擊之后,查明攻擊目的地址,則可以通過配置黑洞路由的方法來丟棄去往目的地址的報文數(shù)據(jù),使得被配置黑洞路由的網(wǎng)絡(luò)主機無法上網(wǎng),無法主動訪問外網(wǎng)或者被動被外網(wǎng)訪問,達到一種網(wǎng)絡(luò)安全防護目的.

2 靜態(tài)黑洞路由校園網(wǎng)應(yīng)用架構(gòu)方案設(shè)計

2.1 基于靜態(tài)黑洞路由的網(wǎng)絡(luò)架構(gòu)設(shè)計

基于靜態(tài)黑洞路由的網(wǎng)絡(luò)架構(gòu)如圖1所示,在核心架構(gòu)中,主要包括學(xué)校核心路由器和黑洞路由器,配置的核心流程需要對其Vlan來配置端口綁定,配置接口IP地址,配置對接的OSPF協(xié)議,配置路由信息等.

圖1 黑洞路由器架構(gòu)圖

基于靜態(tài)路由網(wǎng)絡(luò)架構(gòu)需要配置黑洞路由器一臺,單模前兆光纖兩對,單模前兆模塊2對.需要配置的路由協(xié)議:學(xué)校核心路由器配置路由協(xié)議是OSPF,而黑洞路由器,則需要在接口Vlan配置OSPF協(xié)議基礎(chǔ)上,還需要配置其默認靜態(tài)路由指向?qū)W校核心路由器.

2.2 靜態(tài)核心路由器中校園網(wǎng)絡(luò)核心配置計

學(xué)校核心路由器網(wǎng)絡(luò)配置要點,是要將核心路由器的網(wǎng)絡(luò)與黑洞路由器網(wǎng)絡(luò)互聯(lián)互通,并且能夠及時將黑洞路由器上面的路由及時學(xué)習(xí)并且發(fā)布,這樣達到黑洞路由查封網(wǎng)絡(luò)服務(wù)目的.學(xué)校核心路由器與黑洞路由器接口地址要用自動學(xué)習(xí)能力性強,不需要人工干預(yù)的OSPF路由,并且將其添加到核心的OSPF域里,接口鏈路要求捆綁,達到鏈路冗余備份的要求.

需要配置核心的直連Vlan,配置接口IP地址,并且將其添加到核心的OSPF域里,為其Vlan配置專用的鏈路和接口,在接口上面配置Vlan信息,有時候,需要配置強制前兆,如果是對應(yīng)的接口類型不一致,需要通過強制千兆將光纖鏈路打通.

具體的配置如下所示,構(gòu)建編號為2034的專用Vlan,并且配置其接口地址.

學(xué)校核心路由器Vlan及ip地址配置如下:

學(xué)校核心路由器鏈路一號端口配置如下:

2.3 黑洞路由器網(wǎng)絡(luò)設(shè)計思路分析

在黑洞路由器配置核心流程是配置專用的Vlan,編號為2034,對應(yīng)于核心路由器的專用Vlan,并且與之配置同一個網(wǎng)段的IP接口地址,配置其專用的端口、專用鏈路,配置默認靜態(tài)路由,指向?qū)W校核心路由器,其他需要配置的則是將其IP地址、端口Vlan及鏈路信息進行配置,對其黑洞路由進行配置,出于網(wǎng)絡(luò)安全管理需求,還需要配置訪問控制列表以確定其網(wǎng)絡(luò)管理人員的登錄管理,黑洞路由器Vlan及IP地址配置如下:

黑洞路由器訪問控制列表配置:

黑洞路由器路由接口配置:

黑洞路由器一號及二號端口配置如下:

黑洞路由器OSPF路由信息配置如下:

黑洞路由器默認靜態(tài)路由配置:

ip route-static 0.0.0.0 0.0.0.0 192.168.10.129

以需要配置黑洞路由的IP地址172.19.253.197為例,配置靜態(tài)路由腳本如下:

ip route-static 172.19.253.197 32 null0

2.4 黑洞路由處理網(wǎng)絡(luò)事故案例

黑洞路由測試案例:在正常情況下,網(wǎng)絡(luò)可達某臺主機,其IP地址為172.19.253.197,配置黑洞路由之前,tracert測試如下:

此時,假設(shè)172.19.253.197被人攻擊并產(chǎn)生極壞影響,需要第一時間查封其網(wǎng)絡(luò),則需要登錄黑洞路由器里并配置黑洞路由策略如下:

通過測試案例說明,在黑洞路由查看路由信息,已經(jīng)指向null0接口,并且無法訪問到有網(wǎng)絡(luò)安全隱患的IP地址,說明黑洞路由已經(jīng)起作用.這也是驗證了當有校園網(wǎng)絡(luò)安全事故發(fā)生之后,通過本文提出的靜態(tài)黑洞路由網(wǎng)絡(luò)架構(gòu)黑洞路由及時處理,第一時間能夠查封故障點,進而有效降低網(wǎng)絡(luò)安全事故的二次危害.

3 總結(jié)

本文分析靜態(tài)路由概念、重點就作為靜態(tài)路由之一的黑洞路由的概念及作用做了研究與總結(jié),分析黑洞路由的起源和黑洞路由的配置運行機理,分析和總結(jié)常見路由協(xié)議的優(yōu)先級,并且從網(wǎng)絡(luò)安全管理角度分析高校網(wǎng)絡(luò)管理中引入黑洞路由的意義和作用,總結(jié)黑洞路由架構(gòu)與學(xué)校核心路由器的架構(gòu)設(shè)計,給出核心路由器與黑洞路由器的核心流程與配置,最終給出解決黑洞路由器與學(xué)校核心路由器的具體配置方案,進行黑洞路由配置測試.

1 Park J,Sandhu R.The UCONABC usage control model.ACM Transactions on Information and System Security,2004,7(1):128–174.[doi:10.1145/984334]

2 趙冶東,張東亮,李淵,等.路由交換技術(shù).北京:清華大學(xué)出版社,2012:51–55.

3 唐偉,郭偉.無線傳感器網(wǎng)絡(luò)中的最大生命期基因路由算法.軟件學(xué)報,2010,21(7):1646–1656.

4 Hill B.Cisco完全手冊.肖國尊,賈蕾,譯.北京:電子工業(yè)出版社,2002:33–37.

5 李誠,李華偉.網(wǎng)絡(luò)處理器中處理單元的設(shè)計與實現(xiàn).計算機工程,2007,33(2):252–254.

6 Comer DE.網(wǎng)絡(luò)處理器與網(wǎng)絡(luò)系統(tǒng)設(shè)計.張建忠,陶智華譯.北京:機械工業(yè)出版社,2004:5–15.