網絡出口設備緊急更換記

7月26日學校的辦公區網絡總是斷，將出口設備NPE60重啟30分鐘左右就死了，console口無法登錄，前一天已經出現死機現象，重啟后還能運行一段時間，現在重啟后最多只能運行30分鐘。

判斷是設備有問題了，出口一直不斷受到攻擊，但感覺這次較重。廠家遠程分析要換CPU，且這種產品早已停產。因在假期無法走手續必須另想辦法，如果更換出口設備得要先有預算才能采購，手續就得走好長時間，網絡出口中斷一天就影響很大了，中斷兩天以上無法想象，只能用其他設備先代替。網絡拓樸如圖1所示。

因位置關系，準備借用移動學生宿舍的RSR7716。辦公出口是“2+1”條線路，一條是電信600M，一條是聯通300M，另一條是虛擬電信隧道的教育網。把接口、路由配置好，映射復制過來，限速配置好，辦公網基本可以使用了，但出現一些問題。

圖1 網絡拓樸圖

問題一：學生宿舍用戶無法訪問學校的主頁及其他網站

因移動RSR7716默認路由是走辦公出口的，策略路由是走學生的三家運營商出口，電信、聯通RSR7716默認路由是移動RSR7716，用戶登錄后根據SAM分組，不同的分組用戶從不同出口按不同限速出去。從核心交換機18014上面到三 臺RSR7716是負載均衡隨機的，在三臺RSR7716是 根據用戶分組，大的分辦公、電信、聯通、移動分組，電信、聯通、移動再分成8M、12M、20M、30M、50M 等小分組。

以學生用戶登錄后無法打開學校主頁，路由跟蹤學校主頁，路由不到，不停在核心18014與RSR7716之間，但只有學生的電信、聯通用戶。這樣，移動用戶可正常打開。筆者分析是在ACL的DX、LT上面出問題了，于是在 DX、LT的 ACL上面加上禁止對主頁內網的訪問，禁止每個分組訪問映射的內網地址，因地址較多就按地址段做的，deny ip usergroup unicom4m 172.16.0.0 0.0.255.255，如圖 2。加上禁止訪問內網地址段后，就可以打開學校主頁了，加上其他網站的禁止，這些網站也可打開。

這種配置復雜，后期優化時簡化了，將 DX、LT、YD 的 ACL的最前面加上了deny ip 172.16.0.0 0.1 5.2 5 5.2 5 5 1 7 2.1 6.0.0 0.15.255.255”，如圖 3。

問題二：新出口運行2天后學生移動RSR7716也死掉了

在辦公出口臨時遷移學到學生移動的RSR7716上面沒到兩天，就有人反應網絡有中斷且慢，馬上到機房查看。三臺RSR7716早做了一些保護措施，如CPU資源保護、ACL等，且電信、聯通RSR7716正常。通過檢查RSR7716發現下面一些問題并整改：

圖2 聯通ACL上面禁止各用戶組訪問映射的內網地址

圖3 電信ACL的部分內容

1.移動RSR7716上面不停顯示有Telnet登錄的，基本沒法查看，重啟后仍舊如此。正好借的一臺綠盟防火墻到位（學校辦公區有防火墻，但只有2個光口，如果加出口前得光電轉換進再電光轉換出），立即加到移動RSR7716前面，即辦公的電信、聯通線路上2進2出，先通過借用的防火墻再進RSR7716，在借用防火墻開基本DDoS防護。其實原來在電信、聯通線路進出NPE60的前面有個流量清冼設備，禁止一些Telnet 出口IP地址，但太多了，手工添加不過來。這次用借用防火墻直接禁止任何Telnet訪問，再上移動RSR7716，基本可以查看，沒哪些不停的Telnet訪問了。

2.通過檢查RSR7716運行情況，通過“show ip fpm statistics”、“show ip fpm counters”命令查看路由器的流表使用情況，發現流表用滿了，且是有一個學生的地址大量使用445端口的，所以決定對流表加以控制。RSR7716在默認情況下，是先建立會話流表再去匹配置 ACL，即使在接口配置deny ip any any的ACL，這個時候一個數據包來到接口后，還會先建立一條會話，再去匹配ACL被丟棄。

那么這種特性就會有一個問題，如果遇到大量的偽源IP攻擊，或者是端口掃描時，雖然有ACL拒絕了這種報文的轉發，但是還是會把流表給占滿，而導致正常的數據無法建流而被丟棄。而IP Session Filter的原理就是，在建立流表前去匹配調用的ACL，如果被ACL拒絕就不會再去建流了。通過ACL 199過濾常見病毒端口如445、139等流量，配置如下：

ip fpm flow maxentries 2097052 \設置流表總數

ip fpm session filter 199 \流表過濾ACL 199，過濾常見病毒端口流量

ip fpm session filter 124 session-num 2000 \學生宿舍用戶流會話數2000

ip fpm session filter 125 session-num 20000 \辦公教學區流會話數20000

同時也在電信、聯通學生RSR7716上面加上流表過濾ip fpm session filter 199，但ACL 199上面未禁止這么多端口。

3.同時立即在學生核心交換機18014加上對445、138、139等端口禁止，按銳捷一本通的防火墻ACL做的，把這個ACL做到到學生宿舍各樓的接口上（以前學生宿舍各樓接口沒做，辦公區的各樓做了但沒做這么行），且做了進、出2次過濾。在18014上面部分樓的無線網接口也加上端口過濾，因無線網是獨立運維的，還有兩臺無線匯聚因無密碼未添加。一卡網也因是獨立運維的，也未添加。

4.同時在SAM里找到哪個大量使用445端口的學生IP地址，踢下線并放到黑名單中，暫時不讓其上網。

5.網絡入口過濾，因為很多的DoS/DDoS攻擊都是采用假冒的源IP地址，網絡入口過濾的目的就是防御這種攻擊，或者限制其范圍和降低攻擊的機會。它通過在數據包進入網絡時，檢查其所聲稱的源IP地址是否滿足路由通告的網絡前綴，如果不是，將其過濾掉。在網絡入口處的路由器上實施這種過濾機制，對于阻止不符合進入規則的假冒IP攻擊非常有效。不過對來自合法IP地址前綴的假冒攻擊則沒有作用。

根據網絡入口過濾，在辦公的電信、聯通出口上加ip ingress-filter log，過 濾假冒IP攻擊，通過查看，一會兒就發現有過濾出來了，其中辦公電信接口上面有較多過濾。

6.在RSR7716前面的借用防火墻上面做一個規則禁止任何地址訪問辦公區電信、聯通NAT地址池的IP。

7.黑洞路由，在設備配置NAT后，可能存在外網IP對這個地址池或端口映射的公網地址發起連接，這些連接會大量占用設備的CPU資源。因此需要配置黑洞路由，對由外網主動發起對地址池和端口映射的公網地址連接數據（不包含端口映射）進行丟棄。

通過檢查發現辦公區的NAT地址池IP沒做黑洞路由，馬上配置上去，其實在第6條的借用防火墻已經做了相應規則，但這里還是加上了，保險些。

經過以上安全加固后，移動的RSR7716又正常運行了。

問題三：RSR7716安全加固后學校包括主頁在內的映射又打不開了

移動RSR7716安全加固后，內網訪問外網正常了，在校內打開學校主頁正常，但校外無法打開，分析只是因為移動RSR7716上面做了流表過濾，借用防火墻加了禁止NAT地址池IP的訪問，查看移動RSR7716，在流表過濾的ACL199里，增加學校主頁公網IP映射允許，包括公網地址及端口，用17CE測試可以打開了，于是增加了120行允許，將學校的映射都放通了。這樣帶來的一個困難，做一個公網映射，以前只做映射就行了，現在還得要另一個流表ACL里放通公網IP及端口，以前做一次，現在得做兩次，否則這個映射打不開，這樣有些復雜。

問題四：有人反應外網打開學校主頁以及一些對外服務慢

對外服務是這樣一個流程：服務器-機柜交換機過濾-匯聚交換機過濾-WAF防火墻過濾-辦公核心交換機過濾-上網行為1過濾-防火墻-入侵檢測-學生核心交換機過濾-上網行為2-RSR7716出口過濾-借用防火墻過濾-流量清冼-外網訪問。過濾的地方很多，慢慢查。

1.把在最外面的流量清冼將規則動作又都改成觀察，發現規則動作是限速確定影響下載，因為這臺設備沒有配套管理軟件，不好觀察日志，先改成觀察并等以后再調。

2.在借用防火墻上面增加規則，將幾個主要映射的IP及端口全放通且排在前面。

3.三臺RSR7716優化：

（1）將問題一的每個映射的禁止簡化改為“deny ip 172.16.0.0 0.15.255.255 172.16.0.0 0.15.255.255”，并加到三個DX、LT、YD的ACL上面，且在電信、聯通學生RSR7716上面也對應加上。

（2）優化流表過濾的ACL 199，刪除幾個不需要，增加更多的禁止，內網IP、設備IP等禁止到電信RSR7716、聯通RSR7716互聯IP以及虛擬隧道IP上去。

（3）優化了NAT出口的ACL，因為學生宿舍區有辦公用戶，辦公區可以用學生帳號，增加學生帳號用戶分組的禁止。

（4）把三臺RSR7716上面聯通用戶分組簡化成LT-X（原來是 unicomX），簡單易記。

（5）通過查看流量清冼設備發現流量帶寬白天跑到400多兆，由于是假期上班人很少，因為一直有部分學生使用教師帳號的問題，于是決定把無線網地址段的限速調低，又建立一個ACL把無線網地址段放入，在電信、聯通出口上分別做限速2M，最大可跑4M。普通用戶段限速10M，通過上網行為監測發現最高的能跑到20多兆，這樣的話等開學后上網人數增加，出口肯定帶不動的，等開學后再降低。

（6）通過17CE測網站打開速度，發現網站打開速度比優化前快了一點，IP地址比域名的要快些，因為是管網絡的，更多的優化在網絡方面。雖然也管部分安全設備，但還有幾個安全設備、網站服務器等因放假沒法調，需要開學后再協調。

（7）準備以后將流表會話數管理細化下，對服務器流表會話數的放大，但因為一些服務器在辦公區，不在服務器區，細化的話至少要做幾十行。

總結

7月底網絡出口設備NPE60突然有問題，造成斷網，而那幾天正是病毒高發期，當時和過后都認為這次出口設備壞是有受到攻擊的因素。

因為機房里有別人的路由器RSR7716且有空白板可用，于是緊急更換到RSR7716上，因網絡結構變化一些策略、規則需相應調整和優化，同時一定要把安全做好并做全，否則問題會很多，安全第一。這需要一個過程，需要發現問題，找到原因再解決問題，這是一個不斷優化改進的過程，網絡優化還將繼續下去。