BGP作为业界应用最广的域间路由协议,一直以来都是各大ISP互通路由信息的桥梁。由于BGP协议的设计是基于信任机制的,使得虚假或错误的路由信息也会在网络间传播,从而给互联网带来不安全和不稳定的因素,路由泄露、路由劫持等安全事故频发,导致网络中断、业务中断、客户投诉、经济损失等问题,影响面可达到全球级别。
随着5G和云时代的到来,河北移动网络应用与流量规模持续保持高速发展,对IP承载网的基础设施安全提出了更高的挑战。河北移动IP承载网承载了家宽、集客、IDC、4G/5G等重要业务,亟需提升网络出口的路由安全能力,打造安全边界,保证互联网业务的平稳运营。因此,河北移动在省干出口核心路由器部署了华为智能路由安全方案,转发层面为华为NetEngine 5000E-20核心路由器,控制层面通过标准的BGP监控协议BMP(BGP Monitoring Protocol)动态获取网络路由信息,由华为融合管控析平台iMaster NCE(以下简称“NCE”)进行IGP/BGP路由信息的采集、分析、呈现及历史信息记录。从而提供异常路由识别更全、问题定位更准、安全性更高的解决方案,主动识别并防御异常路由带来的风险,保障网络安全可靠的运行。
华为智能路由安全解决方案,是华为智能IP骨干网络智能运维能力的一个关键支撑,主要具有以下能力:
> > > >路由实时采集,多维可视
传统方案单纯采集分析IPv4单播路由,无法获得设备上BGP全量路由信息,呈现信息有限。华为智能路由安全解决方案,通过BMP协议机制拓展了BGP路由监控的能力,保证了针对不同BGP PEER路由收发分析的全面性和准确性,结合NCE的智能管控能力,实现路由变化实时采集及可视化呈现,并且具备千万级的路由处理能力,充分满足大型网络的应用场景。
> > > >智能路由分析,主动防御
实现BMP之前,通常要通过人工查询方式来获得设备的BGP运行状态,效率较低。NCE可智能、全面的分析路由异常波动、明细路由突现等异常路由,支持按需设置告警类别及阈值,路由告警结合网络拓扑可视化呈现。异常路由定位迅速、准确,极大提升了网络边界的安全性。此外,华为NetEngine 5000E-20核心路由器支持基于ROA(Route Origin Authentication)校验路由前缀与AS号的合法性,在转发层面也具备主动防御路由劫持的能力,从而实现控制层面与转发层面的双重防护。
> > > >多维历史回溯,一键查询
在省干和城域网络出口,每天路由更新量大,路由变化频繁,而且许多攻击是短暂的,由此引发的业务质量问题都难于回溯和定位。华为智能路由安全解决方案可根据BGP路由属性、路由前缀特征等多维信息组合查询,并且数据实时刷新,可随时查看历史数据,显著提升路由故障定位效率的同时,还可长期监控及回溯。
河北移动致力于通过不断的创新提高产品与业务的品质,网络安全是第一道屏障。本次现网部署,是与华为在智能IP网络领域创新又一成功实践,前期现网实际情况的验证结果表明,本次路由安全方案的部署可全面识别异常路由,主动防御异常路由带来的风险,高效保障网络安全可靠的运行。
河北移动网络运维专家王立欣
本次智能路由安全解决方案的商用部署对于IP承载网络的安全具有重大意义,尤其在5G和云计算蓬勃发展的大背景下,能够为各种层出不穷的新业务提供全面智能化的路由安全防护,实现路由安全风险的最小化。未来,双方将通力合作,继续在智能IP网络的安全能力加大创新投入,以智能化为网络安全边界注入新动力,携手打造高效安全的新型ICT基础设施。
5286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
