龔文濤,郎穎瑩

1(中國石油大學(華東)信息化建設處,青島 266580)2(中國石油大學(華東)教育發(fā)展中心,青島 266580)

路由協(xié)議是TCP/IP協(xié)議族中重要成員之一[1,2],其選路過程實現(xiàn)的效率高低會直接影響到整個Internet網(wǎng)絡的工作效率.按照路由協(xié)議應用范圍的不同,路由協(xié)議主要分為兩種:內部網(wǎng)絡協(xié)議(interior gateway protocol)和外部網(wǎng)關協(xié)議(exterior gateway protocol).

常見的內部網(wǎng)絡協(xié)議包括:RIP-1,RIP-2,IGRP,ISIS和OSPF.其中前3種路由協(xié)議均是采用距離向量算法,IS-IS和OSPF采用的是鏈路狀態(tài)算法;外部網(wǎng)關協(xié)議是EGP(Exterior Gateway Protocol),是為一個簡單的樹形拓撲結構設計的,適用于樹狀拓撲的網(wǎng)絡[3,4].

路由協(xié)議通過在互聯(lián)網(wǎng)中的路由器之間共享路由信息來支持可路由協(xié)[5,6].路由信息在互聯(lián)網(wǎng)中相鄰的路由器之間傳遞,以此來保證所有路由器知道到其它路由器的路徑信息,依托路由協(xié)議來構建路由表,以路由表描述網(wǎng)絡拓撲結構;路由協(xié)議與路由器協(xié)同工作,執(zhí)行路由選擇和數(shù)據(jù)包轉發(fā)功能.路由協(xié)議主要運行于路由器上,路由協(xié)議是用來確定到達路徑的,常見的路由協(xié)議包括RIP,OSPF,IS-IS,BGP等協(xié)議.

路由協(xié)議主要是為網(wǎng)絡信息節(jié)點上網(wǎng)所用,但是有一種情況是需要主動斷開網(wǎng)絡服務,結合高校的網(wǎng)絡信息安全工作來說,出現(xiàn)下面兩種情況,需要主動斷開網(wǎng)絡信息服務:一是網(wǎng)絡攻擊針對某個IP或者IP段,會引發(fā)一定區(qū)域內的網(wǎng)絡震蕩,導致網(wǎng)絡癱瘓;二是或者個別服務器被黑客攻擊后,需要及時斷開其網(wǎng)絡服務,則需要通過主動干預方法來降低其二次網(wǎng)絡安全事故帶來的不利影響.針對此,需要在路由協(xié)議層面對其進行處理,使得其不夠上網(wǎng),而靜態(tài)路由協(xié)議里面的黑洞路由可以用來處理非常時期的突發(fā)網(wǎng)絡安全事件,本文分析和總結靜態(tài)路由和靜態(tài)黑洞路由相關概念,提出一種基于高校網(wǎng)絡信息安全空間領域下的黑洞路由器配置,給出核心網(wǎng)絡架構及配置流程,最終通過網(wǎng)絡測試黑洞路由配置的有效性.

1 靜態(tài)路由與黑洞路由概述

1.1 靜態(tài)黑洞路由概念及功效分析

靜態(tài)路由是由用戶或者網(wǎng)絡管理員人工配置的路由信息,當網(wǎng)絡局部的拓撲結構或者網(wǎng)絡鏈路狀態(tài)發(fā)生變更之后,網(wǎng)絡管理員則需要人工手動去修改路由表中的相關靜態(tài)路由數(shù)據(jù).靜態(tài)路由比較適應于小規(guī)模、架構簡單的網(wǎng)絡拓中,網(wǎng)絡管理員容易掌握網(wǎng)絡拓撲架構,較方便配置正確的靜態(tài)路由策略.

靜態(tài)黑洞路由是靜態(tài)路由的一種,所謂靜態(tài)黑洞路由,是將所有無關路由吸入其中,使它們有來無回的路由.黑洞路由,其實就是一條特殊的靜態(tài)路由,下一跳指向null0口,一個不存在的口,結果就是將匹配這條路由的數(shù)據(jù)包丟棄.提到黑洞路由就要提一下null0接口.null0口是個永不down的口,一般用于管理,admin建立一個路由條目,將接到的某個源地址轉向null0接口,這樣對系統(tǒng)負載影響非常小.

黑洞路由功效:如果同樣的功能用ACL(地址訪問控制列表)實現(xiàn),則流量增大時CPU利用率會明顯增加.所以,設置黑洞路由一直是解決固定DOS攻擊的最好辦法.相當于洪水來臨時,在洪水途經(jīng)的路上附近挖一個不見底的巨大深坑,然后將洪水引入其中.黑洞路由最大的好處是充分利用了路由器的包轉發(fā)能力,對系統(tǒng)負載影響非常小.

1.2 常見路由協(xié)議優(yōu)先級分析

常見的路由協(xié)議以H3C公司研發(fā)的網(wǎng)絡架構下的路由優(yōu)先級來說:Direct直連路由的優(yōu)先級是0,級別最高;ospf路由的優(yōu)先級是10;is-is路由的優(yōu)先級是15;static靜態(tài)路由優(yōu)先級是60;rip路由優(yōu)先級是100,需要對靜態(tài)路由進行配置,如果黑洞路由器上面的黑洞靜態(tài)路由優(yōu)先級是60.

默認前提下,如果是OSPF路由,則其優(yōu)先級靜態(tài)路由要高,則默認配置優(yōu)先級別為60即可;但是如果該目標ip地址在他區(qū)域也是配置的靜態(tài)路,則在黑洞路由器上配置的靜態(tài)黑洞路由優(yōu)先級要高于該ip地址的靜態(tài)路由優(yōu)先級,否則其發(fā)布路由后,會導致黑洞路由配置無效.在靜態(tài)黑洞路由配置完成后,需要對其路由信息進行測試,以確保黑洞路由確實起作用.

1.3 網(wǎng)絡安全管理引入黑洞路由的意義和作用

伴隨網(wǎng)絡安全局勢日益嚴峻,國內外黑客對高校的攻擊呈現(xiàn)出攻擊范圍廣、攻擊頻率高的趨勢,如何有效阻隔和及時處理被黑客攻擊成功之后的網(wǎng)絡故障點對提升網(wǎng)絡安全管理工作水平有著重要意義和作用.

當高校的網(wǎng)絡安全事件發(fā)生或者要主動查封安全故障點的時,通過黑洞路由的配置,能夠快速將故障點查封,并減少對整個網(wǎng)絡的負面影響,當黑洞路由配置完畢之后,當去往某一目的地的靜態(tài)路由具有“blackhole”屬性時,無論配置的下一跳地址是什么,該路由的出接口均為NULL 0接口,任何去往該目的地的IP報文都將被丟棄,并且不通知源主機.

綜上所述,從校園網(wǎng)絡安全管理角度來看,配置黑洞路由是一種非常有效的網(wǎng)絡安全防御策略,當網(wǎng)絡管理員獲悉網(wǎng)絡遭受內外攻擊之后,查明攻擊目的地址,則可以通過配置黑洞路由的方法來丟棄去往目的地址的報文數(shù)據(jù),使得被配置黑洞路由的網(wǎng)絡主機無法上網(wǎng),無法主動訪問外網(wǎng)或者被動被外網(wǎng)訪問,達到一種網(wǎng)絡安全防護目的.

2 靜態(tài)黑洞路由校園網(wǎng)應用架構方案設計

2.1 基于靜態(tài)黑洞路由的網(wǎng)絡架構設計

基于靜態(tài)黑洞路由的網(wǎng)絡架構如圖1所示,在核心架構中,主要包括學校核心路由器和黑洞路由器,配置的核心流程需要對其Vlan來配置端口綁定,配置接口IP地址,配置對接的OSPF協(xié)議,配置路由信息等.

圖1 黑洞路由器架構圖

基于靜態(tài)路由網(wǎng)絡架構需要配置黑洞路由器一臺,單模前兆光纖兩對,單模前兆模塊2對.需要配置的路由協(xié)議:學校核心路由器配置路由協(xié)議是OSPF,而黑洞路由器,則需要在接口Vlan配置OSPF協(xié)議基礎上,還需要配置其默認靜態(tài)路由指向學校核心路由器.

2.2 靜態(tài)核心路由器中校園網(wǎng)絡核心配置計

學校核心路由器網(wǎng)絡配置要點,是要將核心路由器的網(wǎng)絡與黑洞路由器網(wǎng)絡互聯(lián)互通,并且能夠及時將黑洞路由器上面的路由及時學習并且發(fā)布,這樣達到黑洞路由查封網(wǎng)絡服務目的.學校核心路由器與黑洞路由器接口地址要用自動學習能力性強,不需要人工干預的OSPF路由,并且將其添加到核心的OSPF域里,接口鏈路要求捆綁,達到鏈路冗余備份的要求.

需要配置核心的直連Vlan,配置接口IP地址,并且將其添加到核心的OSPF域里,為其Vlan配置專用的鏈路和接口,在接口上面配置Vlan信息,有時候,需要配置強制前兆,如果是對應的接口類型不一致,需要通過強制千兆將光纖鏈路打通.

具體的配置如下所示,構建編號為2034的專用Vlan,并且配置其接口地址.

學校核心路由器Vlan及ip地址配置如下:

學校核心路由器鏈路一號端口配置如下:

2.3 黑洞路由器網(wǎng)絡設計思路分析

在黑洞路由器配置核心流程是配置專用的Vlan,編號為2034,對應于核心路由器的專用Vlan,并且與之配置同一個網(wǎng)段的IP接口地址,配置其專用的端口、專用鏈路,配置默認靜態(tài)路由,指向學校核心路由器,其他需要配置的則是將其IP地址、端口Vlan及鏈路信息進行配置,對其黑洞路由進行配置,出于網(wǎng)絡安全管理需求,還需要配置訪問控制列表以確定其網(wǎng)絡管理人員的登錄管理,黑洞路由器Vlan及IP地址配置如下:

黑洞路由器訪問控制列表配置:

黑洞路由器路由接口配置:

黑洞路由器一號及二號端口配置如下:

黑洞路由器OSPF路由信息配置如下:

黑洞路由器默認靜態(tài)路由配置:

ip route-static 0.0.0.0 0.0.0.0 192.168.10.129

以需要配置黑洞路由的IP地址172.19.253.197為例,配置靜態(tài)路由腳本如下:

ip route-static 172.19.253.197 32 null0

2.4 黑洞路由處理網(wǎng)絡事故案例

黑洞路由測試案例:在正常情況下,網(wǎng)絡可達某臺主機,其IP地址為172.19.253.197,配置黑洞路由之前,tracert測試如下:

此時,假設172.19.253.197被人攻擊并產(chǎn)生極壞影響,需要第一時間查封其網(wǎng)絡,則需要登錄黑洞路由器里并配置黑洞路由策略如下:

通過測試案例說明,在黑洞路由查看路由信息,已經(jīng)指向null0接口,并且無法訪問到有網(wǎng)絡安全隱患的IP地址,說明黑洞路由已經(jīng)起作用.這也是驗證了當有校園網(wǎng)絡安全事故發(fā)生之后,通過本文提出的靜態(tài)黑洞路由網(wǎng)絡架構黑洞路由及時處理,第一時間能夠查封故障點,進而有效降低網(wǎng)絡安全事故的二次危害.

3 總結

本文分析靜態(tài)路由概念、重點就作為靜態(tài)路由之一的黑洞路由的概念及作用做了研究與總結,分析黑洞路由的起源和黑洞路由的配置運行機理,分析和總結常見路由協(xié)議的優(yōu)先級,并且從網(wǎng)絡安全管理角度分析高校網(wǎng)絡管理中引入黑洞路由的意義和作用,總結黑洞路由架構與學校核心路由器的架構設計,給出核心路由器與黑洞路由器的核心流程與配置,最終給出解決黑洞路由器與學校核心路由器的具體配置方案,進行黑洞路由配置測試.

1 Park J,Sandhu R.The UCONABC usage control model.ACM Transactions on Information and System Security,2004,7(1):128–174.[doi:10.1145/984334]

2 趙冶東,張東亮,李淵,等.路由交換技術.北京:清華大學出版社,2012:51–55.

3 唐偉,郭偉.無線傳感器網(wǎng)絡中的最大生命期基因路由算法.軟件學報,2010,21(7):1646–1656.

4 Hill B.Cisco完全手冊.肖國尊,賈蕾,譯.北京:電子工業(yè)出版社,2002:33–37.

5 李誠,李華偉.網(wǎng)絡處理器中處理單元的設計與實現(xiàn).計算機工程,2007,33(2):252–254.

6 Comer DE.網(wǎng)絡處理器與網(wǎng)絡系統(tǒng)設計.張建忠,陶智華譯.北京:機械工業(yè)出版社,2004:5–15.