信息高速公路已经布满全球
当前,席卷全球的信息技术革命方兴未艾,正在给人类的经济社会生活带来革命性影响。信息化与数字化、网络化、知识化相互融合、相互促进,正使人类进入一个新经济时代。美国麻省理工学院的尼葛洛庞帝教授将未来的时代称之为“比特的时代”。比尔·盖茨指出,信息高速公路将越过国界,把信息和机会播入发展中国家,价格低廉的全球通信能把各地的人们卷入世界经济的主流。
在纷繁复杂的信息高速公路上,路由器是高速路上不可或缺的重要一环,而路由器是否足够可靠、足够安全,已经成为衡量整个网络质量的关键指标。按照一条10G的以太链路计算,如果链路中断10秒钟,轻载链路会造成1.2G Byte的流量损失,重载链路的损失将会高达5G Byte左右。对于一条10M的专线业务来说,5G相当于4096秒(1.14小时)的流量丢失!网络在为我们提供便利的同时,也成为了不少黑客的“游乐场”,他们很乐意随时尝试去通过非法手段获取到各种信息,或炫耀或牟利,对网络安全造成了极大的威胁。
我们需要什么样的路由器?
那么,怎样才能打造出一台安全可靠的路由器?笔者认为,路由器自身首先必须是安全可靠的。这涉及到关键部件的冗余设计,业务平面的逻辑隔离以及足够的网络防攻击特性。
关键部件冗余设计的路由器
关键部件冗余设计,路由器正常工作需要可靠的电力输入,路由器不能像电视机那样一根电源线输入,否则会因为这一路电源的故障导致整台设备断电,这台设备上的所有业务将会中断,所以电源备份时必不可少的。
业务平面逻辑隔离的路由器
众所周知,路由器是非常复杂的产品,设备上电后如何与其他设备建立通信联系、如何正确识别转发业务流量以及如何监控设备自身状态,这些都是需要进行很精细设计的。归纳起来应该存在控制平面、转发平面和监控平面三种平面。这三种平面各司其职,控制平面负责路由计算、转发平面负责数据转发、监控平面负责设备状态监控。用户不会希望某一个平面繁忙会影响到其他的平面正常工作,所以三个平面应该是逻辑隔离的,这样才能保证路由器能够工作在最佳状态。
丰富防攻击特性的路由器
软件安全特性,“软硬兼施”的安全措施才是全面的,对于软件层面经常遇到的ARP攻击、溢出攻击等,也应该有对应的对策。主流厂商一般会部署控制平面的ARP防攻击、协议认证;转发平面的URPF、端口镜像;管理平面的CPU/内存阈值、SSHv2安全登录方式等。
能端到端保护业务的路由器
此外,对于网络上端到端的业务转发,路由器也应该有故障检测、快速业务倒换特性支持。比如,行业业务中经常遇到的VPN业务,路由器作为PE/P节 点要把不同企业的业务,或者企业里面不同属性的业务隔离开,并且进入到MPLS标签转发网络中进行快速转发。这样的场景会面临如下两个可靠性问题:
如何进行故障检测。如果只依靠路由协议的定时器超时来检测故障,秒级的故障检测应该不会是首选。主流设备商一般会选择 BFD(Bidirectional Forwarding Detection,双向转发检测)进行链路故障检测。它检测周期短(毫秒级)、占用带宽小(60k左右)、可以检测非直连链路而且能与主流路由协议联 动。实现方式可以分为硬件BFD和软件BFD两种,硬件BFD依靠硬件实现,不会影响业务性能;软件BFD依靠软件编程实现,业务量很大时会对业务有一定 影响。
如何进行业务切换。FRR(Fast ReRoute,快速重路由)特性也许是合适的选择,不过由于FRR有专利所以并不是所有厂商都会选择去支持的。其实现原理为:在PE节点上同时计算出本 地到远端主备PE节点的两个转发路径,并且把转发表项提前下载到接口板上,这样,当主路径出现故障时,流量就会像被拨开关一样,直接切换到备用路径上进行 正常转发,省去了重新路由计算以及表项生成的时间。
这样,作为端到端的业务保护,使用BFD技术检测端口、链路和协议状态并与FRR技术进行联动,能够实现端到端业务的毫秒级故障收敛,从而降低因为业务中断而导致的企业损失。
坚若磐石的华为NE40E-X路由器
业界主流设备厂商中,能够提供冗余硬件设计和BFD技术的有很多,但是,在支持通用的可靠性技术的同时,还能提供独有的VPN FRR快速倒换、静态BFD和组播BFD方式的则是华为公司的于2009年推出的NE40E-X系列高端路由器,它最快能够单节点50毫秒、端到端200毫秒完成故障切换。
电力生产数据网按照“统一规划设计、统一技术体制、统一路由策略、统一组织实施”的原则建设,网络覆盖全国,承载着电力资源的生产控制,要求实时性 强、可靠性高。自建成后,稳定运行,随着特高压电网的快速发展和智能电网建设工作的全面推进,电网调度在正常运行和应急状态下对生产控制数据的安全可靠传 输提出了越来越高的要求。网络中采用华为NE40E-X系列高可靠路由器作为核心转发节点,通过MPLS、三级RR以及BFD、FRR等技术使网络的可靠 性大幅提高。采用的双平面分层PE设计方案,在降低网络中单一节点承受的性能压力同时还保护了电力设备投资,其中的静态/动态BFD + FRR技术更是将端到端的网络故障收敛时间减少到200毫秒。
作为一款全业务路由器,无论是对数据安全十分看重的电力行业还是对数据传输可靠性要求苛刻的金融业,NE40E在行业市场中广受赞誉。如何为用户提供更加安全,更加可靠的IP承载网络,将会是NE40E前进路上的重要方向。