城域网方面一点总结（转）

泰克实验室塑造

一.核心层的安全保障
核心交换层由核心交换节点构成，它将多个边缘汇聚层连接起来，提供穿透服务，进行数据的高速转发，同时实现与全国骨干网络的互联，提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络，通过核心网获取所需业务。威胁城域核心网安全的风险主要表现为核心设备遭受攻击或病毒引发网络流量激增，进而对设备性能产生冲击。
建议对核心交换设备应采取的安全措施包括：
    1.无阻塞交换，QOS保障
核心交换机应采用高背板的交换设备，要有足够的带宽来保证大量业务流进行快速数据交换，采用队列，整形等QoS技术来达到重要数据流的无拥塞转发，要避免流Cache模型造成系统崩溃。
   2.设备及链路的冗余备份
系统出现软硬件故障时，可迅速切换到备用模块；采用STP技术进行链路备份，来增强可靠性；核心交换设备是整个城域网的心脏，所以要具有高可靠性，一般都采用多台交换设备互备，并采用双引擎、双电源、双链路的备份方式。原则上要求核心节点间采用网状或半网状连接。
   3.多级安全密码体系，服务和协议安全，审计日志系统
避免采用简单的密码体系，应采用多层的、复杂算法的密码体系。
不必要的服务和协议一定要关掉。以SNMP协议为例，在不用SNMP网管协议时一定要把它关掉，SNMP给我们管理大型网络带来了方便，同时它也是双刃剑，给黑客攻击带来了方便；如果必须用网管协议，则必须用SNMP V3 ，它具有MD5加密的功能。
  4.保证网络设备具备审计信息发送、查询、统计等功能；进行设备日志的配置，记录和观察网络的运行情况，来进行信息跟踪。
  5.路由协议稳定性和冗余性，路由认证和路由过滤
防止城域网用户路由的抖动影响广域骨干网的运行，IP城域网一般以单独AS自治域的形式与广域骨干网相连；路由要进行汇总，来减少路由表的数目，从而减少子区域路由变化对其他区域的影响，提高路由转发的速度和路由的稳定性；要保证路由失效时有多条路径可选择，防止单路由或单节点的失效造成全网中断的情况发生。
  6.用安全的路由和网络协议，选用具有MD5加密功能的路由协议进行加密，各个路由区域之间要进行访问认证，来保证路由协议的安全；不同路由协议之间进行路由策略控制，路由过滤可以控制路由更新只发往特定网络，以及接受从特定路由器接口发来的路由，防止虚假路由进入核心网络。
  7.广播抑制“Broadcast Limit”
利用城域网骨干设备的“Broadcast Limit”特性可以限制每秒通过设备的广播流量，根据需要来对广播包数量进行手工控制，从而将广播风暴的影响降到最低；交换机可以统计其端口每秒收发的字节数，当超过指定的最大速率，则端口丢弃所有后来超过的那部分。
  8.抗DOS攻击防范措施
抗DOS攻击是把攻击流量迁引到抗DOS攻击设备------1000M黑洞，通过黑洞过滤后再把正常访问流量通过专门的TUNNEL返回服务器。关于抗DOS攻击的解决方案我们会在3.4章节里进行详细阐述。

二.汇聚层的安全保障
汇聚层负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为城域网的业务提供层面，它是使城域网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备，也是保证城域网承载网和业务安全的基本屏障，更是保障城域网安全性能的关键。
对汇聚层设备提出的安全建议主要归纳为以下几点：
  1.调整BRAS部署策略
进行BRAS边缘化，访问控制可以在边缘BRAS上进行，如果仍然保持集中方式，可以考虑在BRAS后部署防火墙，可以将原有BRAS访问控制功能转移到防火墙后，这样可以降低BRAS负载，及进行更细粒度的访问控制。
限制每个VLAN下的用户数量，减少PPP建立过程中广播包的广播范围，提高网络性能， BRAS推到边缘后，VLAN ID数目受到的限制问题也得到了缓解。
  2.细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。
  3.部署小容量BRAS服务器，PVLAN的划分和端口保护技术，专线用户V LAN在城域网汇聚层终结
  4.进行接入侧用户相互隔离，防止IP地址被盗用或仿冒，防止用户间的相互攻击；充分利用宽带接入服务器BRAS支持802.1q的特性，来实现对不同用户的服务，缩小广播域，提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器，可把原来的超大二层网络分成若干个小型的二层网络，降低管理的难度和复杂度。
  5.在若干小型网络中还可以继续划分PVLAN，PVLAN是在802.3Q VLAN的基础之产生的，是在VLAN内进行进一步的VLAN划分，从而可以实现灵活的用户隔离方案，即把同一VLAN里的不同端口进行逻辑的隔离，从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是提供对端口进行相应的配置来实现保端口隔离，各个保护端口只允许与非保护端口进行信息交流，而各个保护端口之间的信息不能互通；一般来讲，PVLAN和端口保护技术结合使用效果会更好。
  6.宽带专线用户的VLAN在城域网汇聚层终结，这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户，通过专线直接连到网络核心，当用户发起广播时，就会使核心网络路由表产生波动，还会影响核心网络设备的性能，所以建议在汇聚层终结，再把信息上传到网络核心。

unkleenever

楼主幸苦了

HFDMAX

kaseya

oiiiiiiiiiiiiiiiiiiiiiiiiii

Henry-pc

拿分走人呵呵，楼下继续！

7892929

jeffreypenguin

Thanks.

jimsun

谢谢分享！顶起！