在电信运营商网络系统中,汇聚层安全问题是最难解决的,因为其接入的类型多而复杂,有IP网也有非IP网,这就给我们制定相应的安全策略带来相应的挑战。
对于城域网的安全,可分为核心层、汇聚层和接入层,其中汇聚层是最关键的一层,汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键,同时,汇聚层安全问题是最难解决的,因为其接入的类型多而复杂,有IP网也有非IP网,不能简单地应用防火墙、IDS等IP网络安全产品,以下就这方面的安全策略作一个简单的阐述。
● 调整BRAS部署策略
进行BRAS边缘化,访问控制可以在边缘BRAS上进行,如果仍然保持集中方式,可以考虑在BRAS后部署防火墙,可以将原有BRAS访问控制功能转移到防火墙后,这样可以降低BRAS负载,及进行更细粒度的访问控制。
限制每个VLAN下的用户数量,减少PPP建立过程中广播包的广播范围,提高网络性能, BRAS推到边缘后,VLAN ID数目受到的限制问题也得到了缓解。
细粒度的三层访问控制在BRAS或BRAS设备后端三层设备上进行。
● 部署小容量BRAS服务器,PVLAN的划分和端口保护技术,专线用户的VLAN在城域网汇聚层终结
进行接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;充分利用宽带接入服务器BRAS支持802.1q的特性,来实现对不同用户的服务,缩小广播域,提高城域网的整体服务性能。在用户侧部署中小容量的BRAS服务器,可把原来的超大二层网络分成若干个小型的二层网络,降低管理的难度和复杂度。
在若干小型网络中还可以继续划分PVLAN,PVLAN是在802.1Q VLAN的基础之产生的,是在VLAN内进行进一步的VLAN划分,从而可以实现灵活的用户隔离方案,即把同一VLAN里的不同端口进行逻辑的隔离,从而更好的进行同一个VLAN里不同端口出入流的控制。端口保护是对端口进行相应的配置来实现保护端口隔离,各个保护端口只允许与非保护端口进行信息交流,而各个保护端口之间的信息不能互通;一般来讲,PVLAN和端口保护技术结合使用效果会更好。
宽带专线用户的VLAN在城域网汇聚层终结,这样可以防止用户的广播包对骨干交换机的冲击。基于LAN的专线用户,通过专线直接连到网络核心,当用户发起广播时,就会使核心网络路由表产生波动,还会影响核心网络设备的性能,所以建议在汇聚层终结,再把信息上传到网络核心。
