骨干网路由反射器cluster-id的合理规划确保网络安全 不指定

一、现象描述
现网RR部署:
纵观中国几大运营商的骨干网络,都在网内部署了多对路由反射器RR;而且很多骨干网中,都部署了二级RR;同时为了确保路由RR的可靠性,通常一个cluster内一般都部署2台RR,设置为相同的cluster-id,现网几大运营商骨干网RR的cluster-id都采用同一cluster中某台RR的loopback地址。
现网安全故障:
2009年6月G省电信internet骨干网遭受DDOS***导致internet业务大范围受到重大影响;之所以本次DDOS***大范围严重影响业务,是因为本次本***的设备为骨干网的1级RR从下面的分析中可以看出和RR的cluster-id合理规划能够在一定程度上确保网络安全。

二、告警信息
现网情况:
在骨干网的边缘路由器上,通过查看一条国外的BGP路由
dis bgp routing-table 1.1.1.1 32
BGP routing table entry information of 1.1.1.1/32:
From: X.X.X.1 (X.X.X.1)
Relay Nexthop: X.X.X.129
Original nexthop: Y.Y.Y.Y
Community:no-export
Convergence Priority: 0
AS-path 3869, origin incomplete, MED 0, localpref 100, pref-val 200, valid, internal, best, pre 200
Originator:  Z.Z.Z.Z
Cluster list: X.X.X.1, X.X.X.12, X.X.X.77

三、原因分析
网络安全隐患分析:
1、运营商的骨干网络,被最多单位最大人员频繁操作都是边缘设备;因为设备量多,接入业务频繁,涉及多厂商设备。
2、虽然熟悉骨干核心网络和1级RR设备情况的人员较少,在管理体制上具备一定的安全性;但可以从边缘PE设备通过BGP路由属性间接推导出1级RR情况。
3、从上面PE上BGP路由属性中Cluster list可以看出现网该大区的1级RR为
X.X.X.12,2级RR为X.X.X.1 。
4、虽然都是***某一台设备,但DDOS***某台P或PE、2级RR、1级RR设备,影响的范围和危害程度是越来越大。

四、解决办法
cluster-id规划:
1、不使用loopback地址作为cluster-id,而使用数字(区号)表示;例如广州大区的1级RR的cluster-id使用020,2级的RRcluster-id使用020020;或者为了直接省去开头的数字"0",广州大区的1级RR的cluster-id使用20,2级的RR的cluster-id使用2020(目前国内8个大区的区号都是3位数字)。
此时显示Cluster list:0.0.0.2020,0.0.0.20,0.0.0.10,0.0.0.1010
2、全网单独分配1/4个C地址给RR的cluster-id,这些地址在设备上可以不配置或者配置后不在IGP中发布(但为了防止DDOS***时在网间出口产生环路,建议在有缺省路由的出口针对1/4C配置黑洞路由)。
此时显示Cluster list同上面现网的情况,但是***无法利用Cluster list中的信息来***RR路由器。

五、建议
建议:
采用第一种数字(大区区号)标识的方式来规划AS域内RR反射器的Cluster id,进一步确保网络安全


原作者:Tony Liu(admin#myccie.net)
地址:http://myccie.net/read.php?234