模板
教程
环境
性能
功能
管理
中兴宽带接入服务器构建安全可靠“运盈”网
BRAS(宽带接入服务器)作为宽带数据网络的运营核心,在宽带数据网络中有着举足轻重的地位。BRAS通常的作用包括:认证管理、计费管理、IP地址管理、带宽控制等用户管理手段,可以说,BRAS天生就是用户控制及安全管理的设备。传统BRAS技术提供安全的控制包括:
1.用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;
2.保证接入侧用户相互隔离,保证接入的安全性,通过PPP方式为用户指定惟一独占IP,防止IP地址被盗用或仿冒,防止用户间的相互攻击;
3.可实现对用户带宽的控制。
以上都是BRAS在用户管理方面提供的基本功能。在宽带网络迅猛发展的今天,作为宽带数据控制网关设备,BRAS需要提供更多的网络安全及用户控制能力才能使运营商从容应对日益复杂的网络应用环境,最大程度地提高运营商的服务水平,提高盈利能力。
一 BRAS设备本身的可靠性是构建安全网络的前提
首先体现在MTBF和MTTR两个指标上,按照通信行业标准《网络接入服务器(NAS)技术规范》(YD/T 1045-2000),对BRAS设备有明确的要求:MTBF>69000小时,MTTR < 30分钟。
中兴ZXE10-UAS产品的稳定性设计分为硬件、软件两个主要方面,研发人员在这两方面分别进行质量控制及可靠性保障,中兴ZXE10-UAS的MTBF达到72400小时,MTTR<20分钟。
其次,对于设备可靠性之外其它因素带来的设备故障,中兴ZXE10-UAS采用冗余、备份方式提高系统可靠性。考虑到高端设备应用环境更加复杂,对网络稳定性要求更高,同时允许用相对较高的建设成本换取核心网络的稳定、可靠,中兴在高端BRAS设备上提供了主控板、交换板的冗余备份,供电系统取消了多电源模块备份方式而采用全分散供电方式,使得系统的稳定性、可靠性进一步加强。
中兴ZXE10-UAS设备本身的可靠性保证为构建可靠网络打下坚实的基础。
二 提供稳定、可靠的组网能力
中兴ZXE10-UAS提供多臂上联方式组网,使得当网络侧一条通道发生故障时,系统可自动切换到另外一条通道上。中兴ZXE10-UAS采用独有的Single IP技术,保证在系统切换时,对用户所有管理信息、数据信息不会中断。
我们知道,BRAS组网环境中最容易出现瓶颈的节点就是BRAS的网络侧端口。中兴ZXE10-UAS提供的多臂上联功能,使得在正常网络状态下,UAS的多上联通道采用负荷分担的方式拓展了网络侧通道带宽,在网络侧通道故障情况下,多上联通道又成为互为备份的冗余链路。
灵活的BRAS组网方式还可提高用户网络应用的可靠性及网络服务的连续性。如ZXE10-UAS采用侧挂以太网交换机方式组网,为用户提供了第二条上网路径,当BRAS在故障状态下无法继续提供服务的情况下,拨号用户可通过配置静态地址采用专线方式继续上网。
三 网络攻击检测及防护
日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为宽带城域网建设和运营所关注的重点。
首先,网络攻击或病毒攻击会消耗网络设备的系统资源,特别是CPU的处理能力,使正常用户报文丢失,造成网络故障。其次,攻击会大量消耗四层资源,如TCP连接资源,对网络服务器和NAT设备的影响很大。
2003年下半年城域网大规模出现的“冲击波”病毒,是一种极大消耗网络设备,尤其是路由器CPU处理能力的一种网络攻击病毒,造成大部分宽带城域网的业务受阻甚至中断。
另外一种网络攻击行为属于用户无意之中造成的。目前宽带上网大多采用DSL方式,而当我们采用内置拨号功能的DSL MODEM时,如果配置了错误的用户名及密码,在发起业务请求时,Modem就会频繁地申请PPP认证,频繁程度可达到一分钟数十次。我们知道,PPP认证请求是一个广播请求,如果同一台BRAS账号信息配置错误的用户数量较多,对BRAS设备无疑会形成广播风暴冲击,将极大影响BRAS对正常用户的服务质量。
中兴UAS具有内置入侵检测系统(IDS)功能,入侵检测系统用于对正在入侵的行为进行探测和告警,自动启动防入侵策略或采取相关手段引起系统管理员的注意,使之能及时采取措施。入侵检测的原理是对网络中异常的数据流量和用户上网行为进行跟踪和鉴别,如端口扫描探测、TCP半连接建立频率、ICMP传输速率、远程登录系统次数、密码输入次数、异常调用数据、异常系统操作等。一旦某个行为的频率超过预先设定的阈值,入侵检测系统可立即根据预设的防攻击手段进行处理如屏蔽用户,限制用户发起ARP请求次数等抑制措施,同时采用声光告警和系统日志等多种手段及时通知系统管理员,使入侵带来的损失降到最小。
目前中兴ZXE10-UAS的IDS已经预设了对冲击波病毒、PPP攻击、DHCP地址攻击、ICMP攻击、端口扫描攻击等各类网络攻击行为的预防策略,并提供方便的升级手段以支持对未来衍生攻击行为的防护措施。
四 用户数据安全
BRAS作为所有宽带数据必须经过的网关设备,除了对网络攻击行为进行甄别、抑制、过滤之外,还应该能充分保证用户数据本身的安全性,即正常使用的用户数据有序、可控、用户之间不会互相影响。
从用户类别来看,分为个人用户及大客户两种,个人用户的上网方式基本上采用PPP拨号上网,成熟可靠的PPP协议是用户数据安全管理的有效手段,可保证用户IP可控,避免用户之间仿冒,即保证用户Inte.net业务的安全性,在组网中只要考虑避免用户互访造成信息泄漏即可,这可以通过PVC或VLAN隔离来保证。
大客户用户网络应用方式分为两种,一种是专线上网,另一种是专线互联。对于专线上网应用,通常是不用PPP拨号方式的,因此必须采用其它机制保证用户数据安全,中兴ZXE10-UAS采用用户IP与上网逻辑端口绑定的方式保证大客户数据惟一性,即IP与VLAN ID或PVC绑定方式实现,同时将其IP设为“预留”状态并启动“安全ARP”,使其他用户无法仿冒大客户IP。中兴ZXE10-UAS保证大客户Internet业务安全的其它手段包括“IDS防攻击过滤”、“带宽保证及流量抑制”等,通过这些方式,中兴ZXE10-UAS为大客户提供了Internet业务安全通道。
对于专线互联,就是VPN业务,中兴ZXE10-UAS可向用户提供灵活的VPN业务。
● 拨号VPN业务(VPDN)
比较适合移动用户与公司总部建立临时性VPN的场合。中兴通讯的宽带接入服务器通过L2TP技术来支持VPDN,可以作为LAC、LNS、TUNNEL SWITCH设备,同时支持隧道保护和冗余等功能。
例如当中兴ZXE10-UAS作为LAC时,用户通过PPP拨号方式接入UAS,建立虚拟拨号专线,UAS根据用户账号信息判断如果是一项VPN联结请求,则与LNS之间建立L2TP隧道,由LNS对用户作进一步的认证、授权和计费功能。
利用中兴ZXE10-UAS的QoS特性很容易实现L2TP隧道的流量管理功能,对于有安全性能要求的用户在L2TP隧道的两个端点可采用IPSEC加密技术来增强数据传输的安全性。
● 虚拟租用线(VLL)
对于某些区域网络采用ATM或帧中继网络架构进行多点互通的情况,如果运营商骨干网络采用IP技术而用户希望提供类似ATM或帧中继方式构建与其它城域网节点的专线联结,VLL技术是一个很好的选择。中兴UAS提供了通过IP骨干网络实现类似ATM或帧中继的专线网络服务,用IP网络对租用线进行模拟。除了ATM和FRAME RELAY之外还可以支持HDLC、PPP、VLAN等区域网络架构。
● 虚拟专用路由网(VPRN)业务
不同于VPDN的主从专线联结业务,当城域网多网络节点,如同一集团的不同分支机构希望建立平等网状专线联结时,VPRN是值得考虑的业务模式。VPRN向用户提供一种基于IP公网的虚拟专用路由网络。这是一个多点的广域网结构,在众多的网络接入设备之间形成隧道网。
中兴ZXE10-UAS支持基于IP的公共网络和基于MPLS的公网的VPRN。UAS可以逻辑地划分为若干虚拟路由器(VR),每个VR可出租给一个大客户,城域网上不同UAS的VR之间可通过相应的封装和加密(如GRE、IPSEC、MPLS等方式),实现局域网之间的互联。这样,多个UAS把地域上分散的企业各分支机构组成了一个企业内部网(Intranet)。由此可以想见,把UAS放在一个工商企业比较密集的地区,比如工业园区、开发区或者写字楼密集的地区,多个企业都可以通过一个UAS建立各自专线VPN,既节省了费用,又减少了企业的维护量,企业内部的路由器只要实现最简单的功能就可以了。
● 虚拟专用局域网段(VPLS)
利用公共IP资源建立一个虚拟局域网,支持多种网络传输协议,使得具有多种二层标识的数据流可以在BRAS上实现二层互通,这就是VPLS业务。中兴UAS能够支持完善的VPLS业务,包括两种业务模型:纯透明桥接、集成路由桥接。
纯透明桥接:针对专业的集团用户,可以实现位于不同物理地点的机构网络二层互联,互相能访问,可禁止机构外的主机访问内部网络,也不会主动访问外部网络资源。中兴UAS可以将ATM PVC、802.1Q、以太网端口等几种电路都接入。同时中兴UAS可根据网络侧连接的网络特性,在网络侧接口实现MPLS/L2TP/GRE等隧道联结。
集成路由桥接:本应用主要适用于中小集团用户不同物理地点机构互联且需要访问外部的场合。
五 构建有序、可控的网络业务环境
互联网络的应用纷繁复杂,面对不同类别用户,运营商应可以提供差异化分级服务,同时应具有封闭不良信息站点的功能,呈现给公众一个健康、有序、可控的应用环境。同时,宽带用户的日益成熟,使得过去那种简单的资费套餐如时长/流量计费方式的选择、节假日优惠等经营策略,已经不足以满足用户需求;更多的用户提出了诸如按业务种类计费、自助上网等新的需求。比如对企业集团用户而言,一方面公司必须提供良好的网络应用环境,另一方面公司又不得不投入人力物力来限制员工利用网络资源做诸如网络聊天、网络游戏、登陆娱乐网站等与工作无关的事情。同样,作为宽带数据业务重点集团用户之一的教育类集团用户,也面临着需要限制学生访问黄色、游戏等网站的困扰。 而对于很多普通的家庭用户来说,虽然他们希望尽快享受现代信息技术的成果,但又担心子女利用网络从事一些不利于成长的活动,而这些家长往往又没有进行控制的方法和能力。
因此,进一步细分用户并满足不同用户的个性化需求,已成为宽带运营商增强竞争优势的重要手段。中兴“绿色上网”业务正是基于这些需求提出的解决方案。
中兴“绿色上网”的特点在于:可以根据客户需求的不同特点提供丰富的接入业务选择,并针对不同的用户群提供不同的访问策略,开放或屏蔽一些业务或网站等;同时也可以对申请不同业务的用户或用户群采取不同的资费策略及资费套餐组合包。
中兴BRAS系列产品UAS提供的“绿色上网”业务目前可以支持19类用户群,即将用户按照年龄、爱好、权限等分为19个级别,提供差异化业务群,并基于不同业务群实现业务计费。
宽带城域网的网络安全是一项非常艰巨和持久的任务。对网络安全问题必须通盘考虑,进行体系化的整体安全设计和实施。既要充分考虑网络的安全性能,考虑设备防攻击的健壮性,有效实施设备相关安全特性,又要结合BRAS产品,在应用、业务、即用户数据管理等各层次加强安全防护,才能提供一个安全、高速、易用、智能化的网络,保证运营商宽带数据业务的正常经营。
摘要:分析了BRAS(宽带接入服务器)设备在网络安全建设中的重要作用,并结合中兴ZXE10-UAS宽带接入服务器产品,针对BRAS组建安全、可靠运营网络的各个方面进行了简要探讨及分析。
关键词:BRAS/宽带接入服务器/UAS/安全可靠
