中国移动IP承载网技术交流——ASB_部分2.ppt
《中国移动IP承载网技术交流——ASB_部分2.ppt》由会员分享,可在线阅读,更多相关《中国移动IP承载网技术交流——ASB_部分2.ppt(78页珍藏版)》请在三一文库上搜索。
1、主用),备用),在线升级 ISSU (In-Service Software Upgrade) ISSU 允许用户在不中断业务的情况下升级软件(利用NSR机制); 需要配置两块SF/CPM管理模块; 在线升级ISSU的过程 升级备用 CPM至新版本 备用CPM于主用CPM执行同步 通过CLI或者EMS执行强制转换 重启原旧版本的此时是备用的CPM,更新为新的OS 系统工作在新的OS系统下,整个升级过程不影响路由,不影响业务 控制平面,控制模块 (主用 路由处理,路由进程同步,控制模块 (备用 路由处理,1 先升级备用CPM模块,2 利用NSR作切换后升级原主用 CPM,切换期间支持业务不中断;
2、,ASB 80,All rights reserved 2008, Alcatel Shanghai Bell,业务可靠性保障OAM工具包 无以伦比的业务层OAM Service Ping,IP-VPN VPWS,(Is the service provisioned accurately?),IES VPLS,VPRN Traceroute (How do the packets get to the destination?),Internet,SDP Ping (Is the service tunnel reachable end-to-end?),OAM Test Flow VPRN
3、 Ping (Can I reach this specific destination?),7750 SR,Multiprotocol Status Signaling (What is the status of the Ethernet, Frame relay and ATM PWs?),VPLS MAC Ping (Can I reach this specific destination?),7750 SR,7750 SR,7750 SR Remote Test-head,Service Mirroring (How can I remotely examine the packe
4、ts of the service?),VPLS MAC Traceroute,ASB 81,(How do the packets get to the destination?),VPLS MAC Populate (Can this MAC address be learned?) All rights reserved 2008, Alcatel Shanghai Bell,VPLS MAC Purge (How do I flush these MAC addresses?),具有业务感知的OAM工具包 业务可靠性保障OAM工具包 领先的网络层OAM,OAM Test Flow,BE
5、RT (How can I test the quality of the equipment or line?),LSP Ping (Is the MPLS LSP tunnel working in each direction?),Multicast Troubleshooting Tools (MRTrace, MStat, MRInfo) (How can I troubleshoot the distribution of IP multicast traffic?),7750 SR,LSP Traceroute (How do the packets get to their d
6、estination?),ICMP Ping (Can I reach the destination?),7750 SR,7750 SR,Path MTU Discovery (What is the size of the largest packet being,ASB 82,Bidirectional Forwarding Detection (How can I detect failures between two routers?),7750 SR CPE Ping (How can I identify a host? Has an IP address been duplic
7、ated on a VPLS?) All rights reserved 2008, Alcatel Shanghai Bell,transmitted?),通知,工具和业务保障代理(,5620业务网管 业务保障机制,包含测试策略的综 合管理维护工具集 规划业务质量测试包,5620 SAM 管理界面 通知,SLA计算/性能度量 测试业务延迟/抖动 /丢包和响应时间,基于故障报告的自动测试,OSS,5620 SAM,SLA域值监测与警告,管理维护及业务保障测试MIB库 业务保障测试(PE-PE) OAM测试 IP/MPLS 7750 SR 使用OAM工具和业务保障代理(SAA)来服务最终用户体验
8、及SLA监测,ASB 83,All rights reserved 2008, Alcatel Shanghai Bell,MPLS网络测量技术 方式一:基于LSP 的测试测量技术。 在7750 的SDP 上可以基于VC进行 流量统计。 每个VPN 业务可以用不同的VC Label来标识,类似于不同的VLAN技术 可以通过SNMP MIB 去采集测量数据。 用于统计VPN的流量。 方式二 :基于用户接入点(SAP)的计费。 可以在SAP 上开启Accounting 功能。 针对每一个队列,每一个FC进行计费。 结果存放在CF卡中。 设计了16个计费模板,针对网络侧和业务侧分别计费。 方式三:
9、NetFlow 方式 IOM 硬件缺省支持 支持V5/V8/V9格式 方式四:Service Assurance Agent (SAA) OAM LSP Ping, LSP trace OAM Service Ping OAM Vprn ping, Vprn trace 可以测量不同转发等级的的丢包,时延和抖动特性。,ASB 84,All rights reserved 2008, Alcatel Shanghai Bell,它,可以用来为不同服务等级,VPN业务的SLA管理 7750业务保证代理(SAA)可以收集丢包、抖动、时延和响应时间等信息。 扩充了7750 OAM工具LSP-Ping,
10、 LSP-Trace, MAC-Ping, MAC-Trace, VPRN- Ping, VPRN-Trace, SDP-Ping的功能。 不同服务等级的数据提供最基本的SLA数据。 能够将QoS映射到TOS, EXP或者L-LSP的Label中 NETWORK ANALYSER,ASB 85,All rights reserved 2008, Alcatel Shanghai Bell,切片),Alcatel 7750 SR OA&M 工具减少了操作地点 节省了技术资源,7750SR支持远程镜像 每个业务的进出流量镜像 真正的在线镜像,镜像对象:物理端口,SAP,MAC/IP filter,
11、 入口label, ,本地或远程镜像流输出点 允许集中放置 sniffer 集群 全部或部分数据包内容镜像 (切片 如只镜像包头不镜像用户数据 节省网络核心带宽 精确镜像内容 Ethernet / POS /ATM帧格式翻译,用户流量,网络分析仪,双向映射 不再需要昂贵的带外监控和分析开销 顺从政府/法律部门的一些强制性需求,ASB 86,All rights reserved 2008, Alcatel Shanghai Bell,硬件,提供的主备LSP,小结:7750SR可靠性保障机制 全面的系统和业务可靠性保障,高可靠性保障 链路层保护 路由/业务保护 MPLS 安全 在线升级(ISSU
12、) OAM工具 业务网管(5620 SAM for ASB 87,service Provisioning),Key Features/Functions 冗余系统单元:风扇,电源,交换矩阵,控制模块 ,模块化处理处理架构; LAG, Multi Chassis LAG, APS, BFD NSR/NSS/Graceful Restart/ECMP/VRRP/SR-OS 通过FRR CPMQ NSR基础上的软件升级 基于业务的 OAM toolset complete carrier class FCAPs solution All rights reserved 2008, Alcatel
13、Shanghai Bell,7750软件技术指标 多业务边缘(MSE); 路由扩展能力; 业务扩展能力; 高性能处理能力; 可靠性保障机制; 安全保护机制; 业务接入能力; 流量管理机制; 网络管理机制;,ASB 88,All rights reserved 2008, Alcatel Shanghai Bell,如何保证IP网的安全 主要考虑的因素:,1.,网络设备保护,2. 合法用户流量的保护 承载网的安全设计要求: 保护承载网的设备 2. 具备抗非法攻击的能力 3. 免受垃圾流量的攻击 7750 SR 基于RFC3871标准,从 承载网的控制、转发和管理平面 进行全面的安 全保护设计,主
14、要包括:,1. 2. 3. 4. 5. ASB 89,协议保护 访问控制 防非法攻击 反垃圾流量 安全审计,All rights reserved 2008, Alcatel Shanghai Bell,1,2,3,4,ASB 90,2,1,1,2,5,4,27,27,IP网的各种安全风险 (本表来源于Vodafone CPN ) Detection,D i fficulty,Ease of use,Frequency,Impact,Overall threat rating,Attack Element Management/User Plane Specific items,(level
15、o f concern),Router compromise due to weak password Identity Spoofing Direct Access Remote Control Software Application Flooding Web Application Mis-configuration,2 4 2 4 3 3 4,5 3 5 4 5 3 4,5 4 5 3 5 4 3,5 5 3 4 2 3 3,47 42 39 37 36 33 33,All Plane Items,Buffer Overflow Probe / Scan Sniffer UDP Spo
16、ofing Rogue Devices IP Options modification TCP Spoofing ARP redirection / spoofing TCP SYN Flood IP Spoofing TCP amplification/reflection attacks Packet Floods Receive Path Saturation TTL Expiry attacks IP Redirection Transport Re-direction MAC Flooding MAC Spoofing STP Redirection,4 4 5 5 3 2 5 3
17、3 3 3 3 3 2 2 4 3 3 3,3 5 5 4 2 3 1 4 5 4 5 5 5 3 2 3 5 5 3,5 5 3 3 2 3 1 1 3 5 3 3 3 3 2 2 1 1 1,5 2 3 3 5 4 5 4 2 1 2 2 2 3 4 3 3 3 2,45 37 36 34 33 33 30 30 30 30 30 30 30 29 28 28 28 28 20,Control Plane Specific Items,Distributed Denial of Service (DDoS) BGP large route announcements BGP paramet
18、er modification BGP flap,2 2 3 2,4 4 1 2,3 3 2 3,5 4 5 4,39 35 31 31,BGP route injection ISIS parameter modification,3 1 All rights reserved 2008, Alcatel Shanghai Bell,MPLS labelled traffic injection,2,1,1,4,23,路由器采用的安全实施方案:,方式);,路由器上采用的安全实施方案:,IP承载网的安全实施方案 同时在骨干路由器和PE路由器采用的安全实施方案: 路由协议(BGP、IS-IS、O
19、SPF)和时钟协议NTP进行MD5认证; 采用 TCP Enhanced Authentication (HMAC方式 ; 对设备的接入访问控制实施AAA集中管理; 关闭HTTP、Direct Broadcast、ICMP Redirect、Proxy ARP等不必要的服务 关闭Telnet连接或限制SSH2连接的IP地址,防止DOS攻击 通过QoS部署,保证路由控制消息的传送,压制垃圾流量对IP承载网的攻击 只在PE路由器上采用的安全实施方案: 部署ACL,拒绝来自外部对IP承载网的攻击 基于客户三层VPN网络规模,限制VRF路由表的大小 网络管理的安全实施方案: 建设集中的操作员认证、授权
20、和审计(AAA)系统,实现灵活的权限管理和事 后审计 VRF Aware syslog,ASB 91,All rights reserved 2008, Alcatel Shanghai Bell,攻击。,这些安全特性包括:,7750 SR先进的体系架构保证系统的安全 控制平面的安全问题大部分来源于复杂的网络环境、网络设备 的Bug、过重的网络负载或者对控制平面的DOS攻击。 7750 SR 体系结构的优良设计可以有效的防止由于这些问题而 导致系统的不稳定。这些安全特性包括: 多线程软件架构-关键任务被分配到多个高优先级的线程,确保它们在重网 络负载下获得足够的处理器资源 策略、整形(Shap
21、ing)、协议会话优先权-基于硬件的策略控制器、调度 器、优先队列控制协议数据到7750的中央处理器。这可以确保由于互连设 备bug或非法攻击而导致的非正常协议会话不会影响那些正常的协议会话 。 优先处理网络控制数据流-精确的QoS机制确保即使在数据极其拥塞时,控 制协议仍能正常运行。,ASB 92,All rights reserved 2008, Alcatel Shanghai Bell,?,N,Queue 1,7750 SR管理流量的优选处理机制(CPM Queue) 7750 为主控模块实现了不同的硬件CPM queue CPM 为每个BGP或LDP邻居分配不同的硬件队列,这种机制能
22、够实 现所有邻居对共享CPM资源的公平访问,极大地减轻甚至消除来自伪造的 BGP或 邻居地址的DOS攻击对攻击对CPM稳定和业务质量的影响 对管理流量实现基于硬件的包过滤和每邻居队列:主控模块有一个硬件包 过滤器应用于所有发送给主控模块的流量,并分配专用的硬件队列。,Incoming Packet,Validated Session Y,Default Low Priority Queue Established Established SessionEstablished Session Queue 1 Session Queue 1,ASB 93,All rights reserved 2
23、008, Alcatel Shanghai Bell,SR接口模块基于硬件的,10G线速实现对,层的ACL过滤即可以针对 接口部署,,SR单机支持,线速的ACL保护数据平面的安全 访问控制列表(ACL) 7750 接口模块基于硬件的ACL设计保证在对正常业 务性能没有任何影响的情况下,以 线速实现对MAC 和IP包的安全过滤 基于L2/3/4层的 过滤即可以针对IP接口部署,也可 以针对每个用户业务部署,7750 单机支持64K ACL 条目并保证线速性能 支持Per ACL Counters, 了解攻击源分布。,ASB 94,All rights reserved 2008, Alcatel
24、 Shanghai Bell,内置DOS防范机制,防DDOS攻击 许多ISP的应用已经证明,7750支持的DOS防范机制能够有 效防止众多的DOS攻击,并且同时保持线速的吞吐率 1.源地址验证 2.采用流量策略对控制协议进行限速 3.MD5认证和加密的控制协议会话 4.所有控制数据流的硬件过滤 5.优选处理到主处理器的管理控制数据流 6.多线程架构确保关键任务获得足够处理资源,ASB 95,All rights reserved 2008, Alcatel Shanghai Bell,1.,2.,3.,4.,针对破坏系统安全的尝试,,6.,安全审计 三种用户认证方法:本地口令认证,RADIUS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国移动 IP 承载 技术交流 ASB_ 部分
链接地址:https://www.31doc.com/p-2863144.html