互联网蠕虫的泛滥在最近几年造成了巨大的损失,本文将介绍Cisco Catalyst交换机上的一个独特解决方案,以一种非常经济、有效和可扩展的方式来防范蠕虫病毒的危害。
首先我们要了解蠕虫的异常行为,并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源,即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断,如果确是蠕虫病毒,就要及时做出响应的动作,例如关闭端口,对被感染机器进行处理。
但是我们知道,接入交换机遍布于每个配线间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理海量的数据,所以不加选择地对所有流量都进行监控是不实际的。
怎么能找到一种有的放矢、行之有效而又经济扩展的解决方案呢?利用Catalyst交换机所集成的安全特性和Netflow,就可以做到!
了解流量模式的基线非常重要。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。
有了上面的分析,下面我们就看如何利用Catalyst的功能来满足这些需要!
在通知email里,报告了有不正常网络活动的用户CITG,所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10,物理接口是FastEthernet4/1,另外还有客户端IP地址和MAC地址,以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。
掌握了这些信息后,网管员就可以马上采取以下行动了:
整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位!
我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802.1x,到DHCP监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst上的IOS中的功能特性,也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案!
4 CTM的HA系统的组成模块
Cisco Transport Manager(CTM)做为Cisco公司光传输网络的电信级网元管理和子网管理系统,运行在标准的开放式Unix系统平台:Sun Solaris8,具有非常高的单系统可靠性。管理系统包含的所有软件模块,如CTM服务器模块,CTM客户机模块,后台Oracle8i数据库模块,集成接口CTM Gateway/CORBA模块互相独立工作,多个模块既可以安装在一台服务器上,也可以分布式地安装在多台服务器上,模块间通过标准的通信接口进行互联。这种分布式的模块化体系结构确保了CTM管理系统本身的强壮性和易维护性。
做为电信运营商最有价值的网络基础设施之一,光传输网络规模巨大且系统复杂,所以非常依赖于网元管理系统和子网管理系统对网络进行控管。Cisco公司在规划设计其光传输网络整体方案时,非常重视网络管理子系统的开发,专门为CTM管理系统设计开发了一套多系统容余备份的高可用方案。使CTM在确保单系统高可靠性的基础上还支持本地双机备份工作模式和异地双机备份工作模式,避免了由不可预测原因造成的单一硬/软件故障可能导致的管理系统失效,在最大程度上保证了CTM管理系统具有最高等级的高可用性,非常适合在电信运营商环境下采用。
CTM多系统容余备份的高可用(HA)方案是Cisco公司联合多个处于业界领先地位的硬/软件合作伙伴--Sun公司,Oracle公司和VERITAS公司,共同开发完成的。可以实现在全系统中不存在任何一个单点失败点,使全系统在出现一个软件或硬件故障时能实现网元管理和子网管理的连续可用。
Cisco公司CTM HA方案的特点为:
- 支持本地系统备份和异地系统备份功能
- 系统配置极为强壮
- 使宕机时间最小化,符合电信级高可靠性要求
- 降低管理系统数据库信息被破坏的风险
- 容余系统模块预防单点硬/软件故障
- 低拥有成本
- 保护任务关键型光传输网络管理系统平台的正常运行
- 出现故障时通过CTM 智能HA代理自动恢复
- 降低故障造成的营业损失,减少对业务造成的破坏
- CTM HA解决方案由业界最出色厂家的产品组成:VERITAS, Oracle和Sun
下面对CTM HA本地和异地系统备份方案分别进行详细介绍。
4.1 CTM HA本地系统备份方案
4.1.1 本地HA方案的系统配置
CTM HA本地系统备份方案由安装在同一个网管中心的一组两台1:1互为备份,可自动切换工作的CTM管理系统组成。每台CTM管理系统除安装标准的CTM服务器软件、Oracle8i后台数据库等软件外还需要安装CTM智能HA代理软件和VERITAS公司开发的双机系统/数据库备份软件。具体需新增的软件清单如下:
- CTM HA Agent 2.1
- VERITAS Foundation Suite HA, Solaris, V3.5
- VERITAS Cluster Server Oracle8i Agent V2.0.1
注:由于一套CTM HA系统中同时只有一台CTM管理服务器为主用系统,所以每套HA系统只需配置一份CTM软件和一份CTM HA Agent 2.0软件;但其它第三方软件,如Oracle8i数据库软件和VERITAS双机备份软件,每台服务器都需要配置一份,并需要保证软件版本和配置的完全相。
为配合CTM HA系统的正常工作,每套系统中安装CTM软件的两台Sun服务器的硬件和操作系统配置需要保持完全相同。为实现服务器间工作状态的相互检测,还需要在两台Sun服务器间配置两条容余备份工作的交叉直连100BASE-T以太网“心跳”检测线,两条“心跳”检测线分别连接到Sun服务器中加配的两块以太网卡,并分别配置独立的IP地址。为提高安装CTM系统的Sun服务器本身的可用性,还可以考虑采取为Sun服务器配置镜像工作的操作系统硬盘、支持RAID5保护的外置磁盘阵列、N+1保护的电源、容余备份的网卡等措施。
#p#下图为CTM本地HA方案的系统结构图:
4.1.2 本地HA方案的工作方式
当CTM智能HA代理检测到一个软件故障出现时,它会对出现故障的软件进程进行三次修复,如果故障还不能恢复,CTM的智能HA代理会控制主用管理系统自动切换到备份管理系统服务器;当CTM智能HA代理检测到一个严重的硬件故障时,它不会对故障采取任何修复操作,将直接启动系统切换。在CTM管理系统切换到备用管理服务器之前,智能HA代理将关闭主用服务器中的所有的激活进程,并按顺序启动备用服务器中所有需要的服务进程,整个过程大致需要5分钟时间。
在CTM管理系统出现自动切换后,新的主用CTM管理系统会自动与网络中的Cisco ONS 15000系列光传输设备进行连接,同步网元设备中的管理数据和告警信息,确保在系统切换过程中出现的告警信息不丢失。同时CTM客户机软件和上层OSS系统也可以与新的主用CTM管理服务器进行连接,恢复所有网元管理和子网管理相关的操作。
4.1.3 虚拟IP地址
在安装/配置CTM HA方案时,需要为两台主备用的CTM管理服务器配置一个虚拟的IP地址。网络中所有CTM客户机,上层OSS系统和光传输网元设备都通过这个虚拟IP地址与主用的CTM管理服务器进行通信,而各CTM管理服务器上的真实IP地址将被隐藏。当出现主用CTM管理服务器切换到备用CTM管理服务器的情况时,备用管理服务器不但能接管主用服务器的所有职能,还将接管这个虚拟IP地址用于与被管理网元设备和其它管理模块进行通信且切换发生后所有通信连接都将自动恢复。
4.2 CTM HA异地系统备份方案
4.2.1 异地HA方案的系统配置
CTM异地HA方案是在本地HA方案的基础上发展起来的,除保留原有本地HA方案中的所有硬软件要求外,通过增加配置VERITAS公司开发的异地系统/数据库备份模块实现不同管理中心的CTM管理系统间1:1的容余备份。在不同管理中心的CTM管理系统既可以是单机系统,也可以是已经实现了本地HA方案的容余系统。
为实现CTM管理系统异地HA方案,需要在异地间互为容余备份的每台CTM管理服务器中配置下列相关控制软件:
- CTM HA Agent 2.1
- VERITAS Global Cluster Manager, Solaris, Disaster Recovery Option V3.5
- VERITAS Volume Replicator, Solaris, V3.5
- VERITAS Foundation Suite HA, Solaris, V3.5
- VERITAS Cluster Server Oracle8i Agent V2.0.1
注:由于一套CTM 异地HA系统中同时只有一台CTM管理服务器为主用系统,所以每套HA系统只需配置一份CTM软件和一份CTM HA Agent 2.0软件;但其它第三方软件,如Oracle8i数据库软件和VERITAS双机备份软件,每台服务器都需要配置一份,并需要保证软件版本和配置的完全相同。
在异地的两套主备用CTM管理系统间进行的管理信息同步和数据库复制是通过VERITAS Volume Replicator软件建立的一个TCP通道(RLINK)实现的。
下图为CTM异地HA方案的系统结构图,其中每个异地节点均为一套实施了本地HA保护的双机系统:
2.2 参考原则
(1)在IPv4业务和IPv6业务互不影响的前提下,支持IPv4业务与IPv6业务的互通
在综合组网初期要实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,这些业务可以单独运营,互相不互通,在综合组网的后期要实现IPv4业务与IPv6业务的业务层面的互通。
(2)应着重考虑从边缘到骨干的逐步演进策略(同时关注从骨干到边缘的策略)
网络演进的策略(从边缘到骨干还是从骨干到边缘)一直是IPv4/v6综合组网技术研究中有较多争论的问题。一般认为,IPv6技术在网络中的引入主要是为解决IP地址空间不足的问题,而大量消耗IP地址的是网络的边缘,因为网络的终端、接入设备、汇集设备数量远远多于城域核心网络或骨干网络的网元数目,因此在网络边缘采用IPv6技术可以有效地解决IP地址空间不足的问题。另一方面,骨干网络和城域核心网络的设计原则是简单、高效,而就目前的实际情况来讲,IPv6路由器的路由转发性能低于IPv4路由器的性能,因此在城域核心网和骨干网应该采用IPv4协议,目前还没有对这部分网络进行IPv6协议升级的迫切需求。保证核心网和骨干网的长期相对稳定有利于网络的持续稳定发展,因此从边缘到骨干的网络逐步演进策略得到了大多数研究人员的认同。
(3)综合组网后网络管理功能应该较原有网络有所加强
在电信网络中引入IP技术以后,网络的管理模式和运营模式都不能再按照互联网的相关模式进行,这一点已经得到了越来越多的研究人员的支持。原有IPv4网络所存在的技术、管理方面的问题已经逐步暴露出来,在IPv4/v6综合组网技术的研究中,要同时考虑这两方面的内容,提高网络的可管理性和可维护性。
(4)应考虑综合组网对用户认证和计费方式的影响
IP网络的计费和认证问题一直是一个重点研究的热点,这个问题在电信网络中尤为突出,目前在IPv4网络中的计费认证问题已经有了一些解决办法,并且这些办法在实际网络中也得到了一定程度的应用,取得了一些成果。但是,IPv6技术在网络中的引入使得问题变得更为复杂,有时会出现重复计费和认证的现象。
(5)应考虑对IPv4地址资源的使用效率
在进行IPv4/v6综合组网时,不同的综合组网技术对于IPv4地址的需求也不相同,有些组网技术依然需要大量的IPv4地址,因此IPv4地址的需求量也是综合组网技术研究中应该注意的一个问题。
(6)应考虑为终端用户所能带来的好处(业务、兴趣点等)
在IPv4网络中引入IPv6技术,可以解决运营商的IP地址空间不足的问题。但是,网络的这种升级究竟能为终端用户带来什么好处,或者说,终端用户有什么理由要支持这种升级是一个需要考虑的问题。网络升级以后能够提供更好的服务或者可以增加新的业务种类,并形成新的业务兴趣点是刺激终端用户积极跟进的重要因素。网络升级以后,只有用户的增加、用户对网络满意度的提高、业务收入的增长才能够真正推动运营商对网络升级改造的进程。
(7)各电信运营商应该有明确的网络过渡计划
网络的升级是一个牵涉到网络各个层面的重要问题,因此运营商应该有一个长远的规划和具体的实施计划,这种规划和计划应该和企业的技术路线和网络发展方向相一致,避免网络升级过渡的盲目性以及由此带来的诸多混乱。
(8)综合组网时应统筹考虑到对现有IPv4网络中存在的一些问题的改进(NAT,地址规划等)
在IPv4/v6综合组网技术研究时要充分分析和研究现有IPv4网络中所存在的问题,以期在综合组网方案中能够解决或者避免这些问题。
(9) 网络的各个部分之间的技术选择应该具有独立性,如城域核心网、接入网、驻地网应该可以选择不同的技术。
3.现有综合组网技术
3.1 双栈策略
双栈策略是指在网元中同时具有IPv4和IPv6两个协议栈,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。对于主机(终端)来讲,“双栈”是指其可以根据需要来对业务产生的数据进行IPv4封装或者IPv6封装。对于路由器来讲,“双栈”是指在一个路由器设备中维护IPv6和IPv4两套路由协议栈,使得路由器既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv6和IPv4路由协议,IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。IPv6数据报按照IPv6路由协议得到的路由表转发,IPv4数据报按照IPv4路由协议得到的路由表转发。
3.2 隧道策略
隧道策略是IPv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。在隧道的入口通常要维护一些与隧道相关的信息,如记录隧道MTU等参数。在隧道的出口通常出于安全性的考虑要对封装的数据进行过滤,以防止来自外部的恶意攻击。
隧道的配置方法分为手工配置隧道和自动隧道,而自动配置隧道又可以分为兼容地址自动隧道,6to4隧道,6over4,ISATAP,MPLS隧道,GRE隧道等,这些隧道的实现原理和技术细节都不相同,相应的其应用场景也就不同。
典型的隧道技术主要包括:
(1)配置隧道
手工配置隧道主要应用在个别IPv6主机或网络需要通过IPv4网络进行通信的场合,这种方式的优点是实现相对简单,缺点是扩展性较差,表现在当需要通信的IPv6主机或网络比较多时,隧道配置和维护的工作量较大。
(2)6to4隧道
6to4隧道是自动隧道的一种,也是IETF较为重视、并得到深入研究、有广阔应用前景的一种网络过渡机制。6to4隧道的主要应用环境是,它可以使连接到纯IPv4网络上的孤立的IPv6子网或IPv6站点与其它同类站点在尚未获得纯IPv6连接时彼此间进行通信。
(3)兼容地址自动隧道
兼容地址自动隧道是自动隧道的一种,在IETF的RFC中进行规定,但是目前已经不推荐使用这种隧道方式。
(4)6over4
6over4机制通常只能应用在网络边缘,例如企业网和接入网。6over4能够将没有直接与IPv6路由器相连的孤立的IPv6主机通过IPv4组播域作为它们的虚拟链路层形成IPv6的互联。通过这种机制,IPv6可以独立于底层的链路,可以跨越支持组播的IPv4子网。6over4机制由于要求在IPv4网络中支持组播功能,而目前大多数网络均没有布置组播功能,因此在实际应用中很少被利用。
(5)隧道代理
隧道代理通常应用于独立的小型的IPv6站点,特别是独立的分布在IPv4互联网中的IPv6主机需要连接到已有的IPv6网的情况。隧道代理(TB)提供一种简化配置隧道的方法,可以减少繁重的隧道配置工作。隧道代理的思想就是通过提供专用的服务器作为隧道代理,自动地管理用户发出的隧道请求。用户通过Tunnel Broker能够方便和IPv6网络建立隧道连接,从而访问外部可用的IPv6资源。隧道代理这种过渡机制对于在IPv6的早期为吸引更多的IPv6使用者能方便快捷地实现IPv6连接有很大的益处,同时也为早期的IPv6提供商提供了一种非常简捷的接入方式。
(6)ISATAP
ISATAP机制(the Intra-site Automatic Tunnel Addressing Protocol,站内自动隧道寻址协议)在IETF的RFC中进行定义,通常应用在网络边缘,如企业网或接入网。ISATAP可以和6to4技术联合使用,可以使IPv4站点内的双栈节点通过自动隧道接入到IPv6路由器,允许与IPv6路由器不共享同一物理链路的双栈节点通过IPv4自动隧道将数据包送达IPv6下一跳。
(7)MPLS隧道
MPLS隧道主要应用于骨干网和城域核心网。MPLS隧道实现IPv6岛屿互联的方式,尤其适合于已经开展了BGP/MPLS VPN业务的运营商。这种过渡方式可以使运营商暂时不必将现有核心网络升级为IPv6网络就可以实现对外提供IPv6业务。
IPv6站点必须通过CE连接到一个或多个运行MP-BGP的双栈PE上,这些PE之间通过MP-BGP来交换IPv6的路由可达信息,通过隧道来传送IPv6数据包。
(8)二层隧道
为了连接分散的IPv6网络,一种可能的方法是利用二层技术(如ATM,PPP,L2TP等)把这些IPv6网络连接在一起。这种方式的优点是概念清晰、易于理解。缺点是实现较为困难,扩展性较差,当需要互联的IPv6网络较多时,不宜采用这种方式。
在网络的过渡时期不可能要求所有的主机或终端都升级支持双栈,在网络中必然存在纯IPv4主机和纯IPv6主机之间进行通信的需求,由于协议栈的不同很自然地需要对这些协议进行翻译转换。对于协议的翻译涉及两个方面,一方面是IPv4与IPv6协议层的翻译,另一个方面是IPv4应用与IPv6应用之间的翻译。翻译策略可以对应多种实现技术,其中NAT-PT和TRT主要应用于网络汇聚层,而BIA,BIS则主要是针对主机终端而提出的。
(1)NAT-PT
NAT-PT网关能够实现IPv4和IPv6协议栈的互相转换,包括网络层协议、传输层协议以及一些应用层协议之间的互相转换,原有的各种协议可以不加改动就能与新的协议互通,但该技术在应用上有一些限制:
●在拓扑结构上要求一次会话中双向数据包的转换都在同一个路由器上完成,因此地址/协议转换方法较适用于只有一个路由器出口的网络;
●一些协议字段在转换时不能完全保持原有的含义。
(2)TRT
传输中继转换器简称“TRT”(Transport Relay Translator)适用于纯IPv6网络与纯IPv4网络通信的环境。TRT系统位于纯IPv6主机和纯IPv4主机之间,可以实现(TCP,UDP)/IPv6与(TCP,UDP)/IPv4的数据的对译。传输中继可以分为TCP中继和UDP中继两类。
TRT与NAT-PT的最大区别是,TRT做为中继,在TCP/UDP层面以代理的身份来沟通双方,例如TCP中继分别与TCP通信的双方建立TCP连接,双方的所有TCP通信均由TCP中继来中转,而NAT-PT则只起翻译作用,并不代理通信。
(3)BIS
BIS技术是在双栈主机中添加若干个模块(翻译器、扩展域名解析器、地址映射器),用于监测TCP/IP模块与网卡驱动程序之间的数据流,并进行相应IPv4与IPv6数据包之间的相互翻译。当与其他IPv6主机进行通信时,在这台主机内部给对应IPv6主机分配一些IPv4地址,这些地址只在这台主机内部使用。而且,这种分配过程是通过DNS协议自动来完成的。主机可以使用现有的IPv4应用和其他IPv6主机进行通信,使其成为能够既支持IPv4应用又同时支持IPv6应用的双栈主机,从而扩大了双栈主机的应用领域。此外,BIS机制还可以和其他的转换机制共存。
(4)BIA
BIA技术在双栈主机的Socket API模块与TCP/IP模块之间加入一个API翻译器,它能够在IPv4的Socket API函数和IPv6的Socket API函数间进行互译,这种机制简化了IPv4和IPv6间的转换,无需进行IP头的翻译。
采用BIA的双栈主机假定在本地节点上同时存在TCP/IPv4和TCP/IPv6两种协议栈。当双栈主机上的IPv4应用程序与其他IPv6主机通信时,API翻译器检测到IPv4应用程序中的Socket API函数,并调用IPv6的Socket API函数与IPv6主机通信,反之亦然。 #p#4 综合组网技术的比较分析
在IPv4/v6综合组网具体技术的选择时要重点考虑如下几个重要因素:
(1)扩展性(Scalability)
扩展性一方面是指某种组网技术能否支持网络平滑的升级,扩展性较差的技术虽然会解决目前的问题,但同时也会成为网络升级的障碍。另一方面是指,在网络的各个部分采用的不同技术之间是否存在制约,如某个网络的部分采用了6to4机制,则要求与其通信的其他网络部分也要支持这种机制(采用6to4路由器或6to4中继器)。
(2)安全性(Security)
安全性包括多个方面:首先,组网技术是否会破坏原网络的安全性。其次,组网技术本身是否存在安全漏洞或隐患。
(3)性能(Performance)
组网技术的性能包括其对原有网络的网络性能的影响、其自身的网络性能如何两方面。
(4)主机需求(Requirements of Hosts)
主要需求包括协议栈、IPv4地址(全局还是临时、如何获得和管理)需求、IPv6地址(地址类型、分配策略等)需求等。
(5)路由器需求(Requirements of Routers)
(6)IPv4地址需求(IPv4 Address Requirement)
当在网络中按照某个组网技术组网时,其对IPv4地址的需求量如何,需要全局地址还是临时地址,地址如何管理等。
(7)IPv6地址需求(IPv4 Address Requirement)
(8)易用性(Ease of Use)
组网技术的复杂性直接制约了其应用的范围,一个复杂的、不易理解的组网技术对网络的采用会带来诸多问题(维护与管理、实施成本等)。
(9)易管理性(Ease of Management)
(10)应用场景与应用阶段(Application Scenarios and Phase)
每种网络迁移策略及其相应的组网技术均有其各自的优点和缺点,有着各自的适用环境,这些特性直接影响了在综合组网中组网技术的选择。
(11)其他因素(Other Factors)
IPv6技术增加了一些和网络安全、QoS保证等方面的支持能力,但是在一些综合组网环境中,这些附加的特性可能不能得以体现。各种技术的比较结果见表1。
5 结束语
本文对IPv4/v6综合组网时应遵循的基本原则、涉及的主要策略和相应技术进行了分析,对于了解IPv4/6综合组网技术、设计IPv4/6综合组网方案有一定的帮助。
(作者:曹蓟光 信息产业部电信研究院通信标准研究所IP与多媒体研究部高级工程师,博士)