广播电视网络多业务多系统隔离和维护
2017-08-02姜强华
姜强华
摘 要 随着广播电视网络不停的发展,网络内多业务多系统并存的现象越来越普及,为有效保障业务运行,提高安全等级,避免不同业务之间的干扰而造成网络安全故障,广播电视承载网络内使用VPN-INSTANCE做业务隔离。本文介绍VPN-INSTANCE在广播电视网络内的业务隔离与作用。
关键词 广播电视网络;承载网络;安全;业务隔离
中图分类号 G2 文献标识码 A 文章编号 1674-6708(2017)189-0031-01
随着广播电视网络的日益发展,网络内部多业务多系统并存的现象越来越普遍,单纯运用传统路由器很难完成局域网中不同业务的完整隔离。LAN中业务隔离的传统办法有两种:应用VLAN隔离业务,将用户划分在一个独立的VLAN中或者应用CE设备隔离业务,为每个用户部署一个独立的CE路由器。这些业务应用在广电业务中有许多能通过VLAN隔离,一旦涉及到多业务应用就需要多CE路由器就会对广电网络来说大量资金投入,这些投入既需要大量金钱投入,又需求更多的网络管理工作和用户站点部署。如何把钱花在刀刃上成为一个让人头疼的问题,既要减少设备投入,又要业务安全隔离互补干扰。在这里笔者给大家介绍一下VPN-INSTANCE在广电承载网络中的应用与维护。
1 Vpn实例在广电网络中的作用
广电网络近几年发展迅猛,接入网设备从WiFi、cmts、pon、eoc或者ipqam等设备五花八门,终端设备有pc、pad、stb等业务类型复杂多样。相对应的核心网络在对前端接入设备只是分配ipv4的地址,完成设备的互联互通。当核心网络发展到一定程度负责维护网络的人员就会发现,在核心网络层上各个ipv4的地址都是在同一个动态地址路由转发表里面,或ospf发布、或静态路由插入。假设说一个用户从上网终端设备获取到dhcp分配的ipv4地址后,不用pppoe拨号就能ping通自己机顶盒ipv4地址,或者其他人获得的ipv4终端地址。其互联互通的特性必将导致安全方面的问题,如果发生病毒、入侵等安全事件,广电网络就会完全暴露在攻击中。笔者认为广电网络中的用户所使用的大量应用会存在某些不稳定的因素,与其要求客户端的安全,不如在核心设备一侧将业务隔离。
2 Vpn实例极简配置与技术细节
Vpn-instance(vpn实例:俗称虚拟化技术中的一虚多技术穷人版)在bgp\Mpls vpn中,不同的vpn之间路由隔离经过vpn-instance完成。Pe(汇聚层设备)为每个直接的站点树立并维护独立的vpn-instance。Vpn-instance包含独立的路由表和轉发表。使用vpn-instance可以在一台路由器上虚拟出多台独立逻辑的路由器,从而实现广电网络IP三层网络路由隔离。这一功能可以在广电网络环境中得到应用,将不同的业务分配到不同的vpn-instance中直到外网防火墙、bars等终结地址设备。完成从业务终端到核心一整条链路的业务二、三层隔离。
#
ip vpn-instance ipvpn (生成vpn-instance实例)
ipv4-family (生成采用ipv4)
route-distinguisher xxxx:xxx (生成路由标识符)
vpn-target xxxx:xxx export-extcommunity (vpn实例输出标签)
vpn-target xxxx:xxx import-extcommunity (vpn实例输入标签)
#
interface Vlanif xxxx (三层VLAN接口xxxx)
ip binding vpn-instance ipvpn (绑定vpn实例)
ip address xxx.xxx.xxx.xxx 255.255.255.252
ospf xxx vpn-instance ipvpn (vpn实例中发布ospf)
import-route static (允许静态地址插入)
area 0.0.0.0
network xxx.xxx.xxx.xxx xxx.xxx.xxx.0
network xxx.xxx.xxx.xxx 255.255.255.252
ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
(vpn实例中静态路由)
3 Vpn-instance案例
正常情况下数据互不干扰,各自运行。
发生网络攻击时候的数据走向:
图1
由于dhcp分配的地址所属各自业务都在同一张ospf网络内,理论上都是互联互通的,黑客攻击可以通过ddos、arp等方式攻击网络。如图所示:area102许多用户获取不到正确的IP地址,area100网络arp攻击访问不了出口网络。由于网络的联通性,很难查找到攻击源在哪里,只能通过故障现象发现某一区域有用户故障,从而导致业务处理时间延长。
运行vpn-instance后每台逻辑上的路由器都具有自己的路由表与转发表,完成不同vpn-instance间的IP地址通信。绑定在vpn-instance下的端口转发与其一致的报文的对端设备通信,当发生不同接口报文接错时,则该路径被视为故障链路。笔者还认为vpn-instance虚拟化技术能将一台物理路由器虚拟成多台逻辑路由器,从而减少设备数量,简化网络管理,减少运维人员成本。
4 结论
虽然vpn-instance能实现虚拟化技术,网络三层隔离。但并不是所有的设备都支持该功能。并且一个ospf进程只能属于一个vpn-instance,一个vpn-instance下可以存在多个ospf进程,但在多ospf进程下会导致动态路由环路的情况
发生。
参考文献
[1]李涛,胡世欣.有线电视接入网络双向改造技术探讨[J].产业与科技论坛,2011(16).
[2]李卫国,郎坤.NGB内容分发网络技术研究[J].中国有线电视,2013(1).