路由层面的控制

NSF不间断转发技术白皮书华为技术有限公司Huawei Technologies Co., Ltd.目录1前言 (1)2技术简介 (1)2.1NSF原理 (1)2.2相关术语 (2)3关键技术 (3)3.1双主控冗余备份 (3)3.2路由协议GR (4)3.2.1GR 原理简介 (4)3.2.2IS-IS (5)3.2.3OSPF (9)3.2.4BGP (10)3.3其他协议GR (13)4典型应用 (15)5结束语 (16)附录A 参考资料 (17)附录B 缩略语 (17)NSF不间断转发技术白皮书摘要：不间断转发技术（NSF）是一项实现网络设备高可靠性（HA）的重要技术。

本篇文档主要介绍了不间断转发技术的基本实现原理和典型的应用。

关键词：主备倒换、NSF、GR、RP、BGP、OSPF、IS-IS、 LDP、 LSDB1 前言随着网络的发展，用户对于网络的可靠性提出了越来越高的要求。

不间断转发NSF（None Stop Forwarding）就是一项重要的高可靠性技术（HA，High Availability），它可以保证路由器控制层面出现故障时，数据转发仍然正常执行，从而保护网络上关键业务不受影响。

目前，不间断转发技术NSF正在得到越来越广泛的应用。

2 技术简介2.1 NSF原理不间断转发是指在路由器控制层面故障的过程中，数据转发不间断地正常执行。

路由器控制层面故障的原因可能有多种，如由于软件或者硬件故障导致的路由器故障或者重启，或者软件升级时通过配置命令导致的主备切换等等。

本文描述的路由器故障专指路由器主控板重启并且伴随主备倒换发生。

通常情况下，路由器故障后，其路由协议层面的邻居会检测到它们之间的邻居关系Down掉，然后过段时间再次Up，这个过程被称之为邻居关系震荡。

这种邻居关系的震荡将最终导致路由震荡的出现，使得重启路由器在一段时间内出现路由黑洞或者导致邻居将数据业务从重启路由器处旁路，从而导致网络的可靠性大大降低。

Cisco 路由器及交换机安全加固法则网络层面的安全主要有两个方面，一是数据层面的安全，使用ACL等技术手段，辅助应用系统增强系统的整体安全；二是控制层面的安全，通过限制对网络设备自身的访问，增强网络设备自身的安全性。

数据层面的安全在拙著《网络层权限访问控制――ACL详解》已经较为系统的讨论。

本文主要集中讨论控制层面即设备自身的安全这部分，仍以最大市场占有率的思科设备为例进行讨论。

一、控制层面主要安全威协与应对原则网络设备的控制层面的实质还是运行的一个操作系统，既然是一个操作系统，那么，其它操作系统可能遇到的安全威胁网络设备都有可能遇到；总结起来有如下几个方面：1、系统自身的缺陷：操作系统作为一个复杂系统，不论在发布之前多么仔细的进行测试，总会有缺陷产生的。

出现缺陷后的唯一办法就是尽快给系统要上补丁。

Cisco IOS/Catos与其它通用操作系统的区别在于，IOS/Catos需要将整个系统更换为打过补丁的系统，可以查询取得cisco最新的安全公告信息与补丁信息。

2、系统缺省服务：与大多数能用操作系统一样，IOS与CatOS缺省情况下也开了一大堆服务，这些服务可能会引起潜在的安全风险，解决的办法是按最小特权原则，关闭这些不需要的服务。

3、弱密码与明文密码：在IOS中，特权密码的加密方式强加密有弱加密两种，而普通存取密码在缺省情况下则是明文；4、非授权用户可以管理设备：既可以通过telnet\snmp通过网络对设备进行带内管理，还可以通过console与aux口对设备进行带外管理。

缺省情况下带外管理是没有密码限制的。

隐含较大的安全风险；5、 CDP协议造成设备信息的泄漏；6、 DDOS攻击导致设备不能正常运行，解决方案，使用控制面策略，限制到控制层面的流量；7、发生安全风险之后，缺省审计功能。

二、 Cisco IOS加固对于(4)T之后的IOS版本，可以通过autosecure命令完成下述大多数功能，考虑到大部分用户还没有条件升级到该IOS版本，这里仍然列出需要使用到的命令行：1、禁用不需要的服务：no ip http server 0.0.055access-list 99 deny any log ntp acess-group peer 98 99 in1.1.1 anyaccess-list 110 deny p 2.2.2 any.....access-list 110 deny p 3.3.3 any限制所有其它流量access-list 110 permit ip any any!class-map control-plane-limitmatch access-group 110!policy-map control-plane-policyclass control-plane-limitpolice 32000 conform transmit exceed drop!control-planeservice-policy input control-plane-policy三、 Cisco CatOS加固1、禁用不需要的服务：set cdp disable //禁用cdpset ip http disable //禁用http server，这玩意儿的安全漏洞很多的2、配置时间及日志参数，便于进行安全审计：set logging timestamp enable //启用log时间戳set logging server //向发送logset logging server //向发送log!set timezone PST-8 //设置时区set ntp authenticate enable //启用NTP认证set ntp key 1 md5 uadsf //设置NTP认证用的密码，使用MD5加密。

NSF（None Stop Forwarding，不间断转发）是一种重要的高可靠性技术，用于保证路由器控制层面出现故障时，数据转发仍然正常执行，从而保护网络上关键业务不受影响。

其工作原理如下：
1.路由器在正常运行时，会不断发送路由协议报文，以维护路由信息。

当相
邻路由器之间通信正常时，它们会相互交换这些报文。

2.如果某个路由器检测到与相邻路由器之间的通信故障，它会停止发送该路
由的路由协议报文。

3.为了让其他路由器知道该路由不可达，该路由器会启动一个定时器，在定
时器超时后，它会发送一个特殊的路由协议报文，以通知其他路由器该路由不可达。

4.其他路由器在收到该报文后，会更新路由表，将该路由标记为不可达。

5.NSF技术可以保证即使某个路由器的控制层面出现故障，相邻路由器也可
以继续转发数据，从而保证网络的高可靠性。

总的来说，NSF技术通过不断检测路由器的状态和路由协议报文的传输情况，能够及时发现并处理故障，保证网络的可靠性。

（1）核心层：由核心节点和相关中继链路构成，实现全网省际业务的转接功能。

通常核心节点CR（Core Router，核心路由器）设置在业务量大且具备完善省际传输汇接条件的枢纽城市，比如广州、成都、武汉。

（2）汇聚层：由汇聚节点和相关中继链路构成，实现各省业务向核心层网络的汇聚。

一般汇聚节点BR（Border Router，边界路由器）设置在各个省会城市，比如南宁、长沙。

（3）接入层：由接入节点和相关中继链路构成，实现各地市业务向汇聚层网络的汇聚，接入节点AR设置在具有业务接入需求的各个省内地市。

1.1 网络拓扑规划每个层级的网络节点设备成对互联，接入层和汇聚层的网络节点成对上联到上一层级设备，形成“口”字型的互联模式。

这样规划的目的是提高承载网络的安全性，如果单边设备出现故障，成对设备中的另一个设备可以承载故障侧的业务，使业务不受影响。

核心层的CR设备采用的是“双星”型结构，进一步提高了核心节点之间的鲁棒性。

在汇聚层和接入层，考虑到降低链路成本和网络复杂性，以及遵循最少链路、高速链路设置原则，因此并不设置成对设备之间的互联。

1.2 链路轻载要求在“口”字型网络结构中，虽然单边设备可以作为冗余保护业务，但是也会带来另一个隐患问题。

如果单边设备所承载业务流量过大，就会导致流量拥塞，因此需要保证单边链路的流量在正常情况下始终处于轻载状态，即单边链路峰值带宽利用率一般设置为<40%。

如果某一边设备出现故障，业务就会叠加到成对设备中的另一边上，总的链路峰值带宽利用率会低于2×40%=80%，从而保证业务不受影响。

2 路由规划部署IP承载网在IGP（Interior Gateway Protocol，内部网关协议）层面上使用ISIS（Intermediate System to Intermediate System，中间系统到中间系统）路由协议，在level-2路由域上运行，而转发层面使用的是MPLS多协议标签交换体系中的LDP（Label Distribution Protocol，标签分发协议），以VPN 的形式承载不同业务，可运行MPLS-VPN和MPLS-BGP（Border Gateway Protocol，边界网关协议）这两个协议。

中国电信综合业务接入网（IP RAN）业务承载与维护指引中国电信团体有限公司二○一一年六月目录前言 (3)一、名词解释 (4)二、业务承载需求 (5)(一)基站回传等自营业务大概系统的承载需求 (5)(二)政企业务的承载需求 (5)三、总体原则 (6)四、组网要求 (7)(一)依托城域主干网搭建综合业务接入网（IP RAN） (7)(二)A类与B类设备的互连要求 (7)(三)B与B设备间的互联方法 (8)(四)B设备与城域主干网的互联方法 (8)(五)RAN CE设置以及与城域网主干网的互联方法 (8)五、业务承载方案 (10)(一)方案一：PW+L3VPN (10)(二)方案二：CE+L3VPN (15)(三)推荐方案 (16)六、VPN摆设要求 (17)(一)RAN VPN的摆设要求 (17)(二)CTVPN193摆设要求 (18)(三)CTVPN194VPN摆设要求 (19)七、QOS摆设要求 (21)(一)基站回传等自营业务的QOS摆设战略 (21)(二)政企客户业务的QOS摆设战略 (23)八、网络治理 (25)(一)网管组网 (25)(二)A类设备的即插即治理 (26)(三)网管系统的摆设要求 (27)九、逻辑资源的分派 (28)(一)IP地点的筹划 (28)(二)VLAN资源的分派 (31)十、网络维护要求 (32)前言为满足大带宽、高品质、多点化的要害业务接入需求，团体公司自2009 年开始组织研究综合业务接入网技能标准和建立方案，在部分区域组织开展试点事情，采取IP RAN 和PTN 两种技能方案实现对移动基站回传、政企客户专线等多业务的融合承载。

目前，团体公司确定依托IP城域主干网一平面搭建基于IP RAN 技能的综合业务接入网，在上海、江苏、浙江、广东等省市公司多个城域网进行扩大试点，为在业务承载方案、组网要求、VPN摆设要求、QOS摆设要求、网管系统摆设要求、逻辑资源分派等方面范例并指导综合业务接入网（IP RAN）扩大试点项目的实施摆设，明确综合业务接入网（IP RAN）的维护分工与职责，团体公司特制定本业务承载及维护指引。

网络安全分为多少层面网络安全是指通过采取各种措施保护计算机网络免受未经授权的访问、攻击和破坏的能力。

它涵盖了多个层面，以确保网络系统的完整性、保密性和可用性。

下面将对网络安全分为四个层面进行介绍。

1.物理层面：物理层面是网络安全的基础，它包括保护网络设备和基础设施免受物理攻击的措施。

例如，防火墙和入侵检测系统可以保护网络免受未经授权的访问。

此外，物理层面还涉及控制访问网络设备的人员、保护网络中的电源和硬件设备，以及定期检查和维护网络设备的安全。

2.网络层面：网络层面是保护网络通信和数据传输安全的层面。

这包括保护网络免受入侵者利用网络漏洞进行攻击的措施，如安全路由器和防火墙。

网络层面还涉及实施访问控制策略，例如用户认证和授权，以确保只有授权用户才能访问网络资源。

此外，网络层面还包括加密技术的应用，以保护数据在传输过程中的机密性和完整性。

3.主机层面：主机层面是保护网络服务器和终端设备安全的层面。

这包括及时更新操作系统和应用程序的补丁，以修复已知的漏洞。

主机层面还涉及配置网络设备和服务器的安全设置，例如强密码策略、访问控制列表和安全审计。

此外，主机层面还包括实施防病毒和恶意软件防御措施，以确保系统免受恶意软件和病毒的侵害。

4.应用层面：应用层面是保护应用程序和网络服务安全的层面。

这包括使用安全编码实践来开发和部署应用程序，以减少代码漏洞的风险。

应用层面还涉及控制对应用程序的访问权限，例如用户认证和授权。

此外，应用层面还包括实施Web应用防火墙和安全扫描工具，以识别和防止潜在的安全漏洞。

综上所述，网络安全涵盖了物理、网络、主机和应用四个层面。

保护所有这些层面的安全是确保网络系统能够抵御各种网络攻击和威胁的关键。

无线路由器是我们在生活和工作中常见的一种设备，它能让我们的电脑、手机等无线设备连接到互联网，方便我们的上网和办公。

然而，有时我们会遇到一个令人头疼的问题，那就是无线路由器频繁重置。

这个问题不仅会影响我们的网络体验，还可能导致数据丢失。

那么，我们应该如何解决这个问题呢？1. 定位问题首先，当我们遇到无线路由器频繁重置的问题时，我们应该先查找原因。

频繁重置的原因可能是多方面的，可以从硬件和软件两个层面来考虑。

在硬件层面，我们可以检查电源供应是否稳定。

如果电源供应不稳定，无线路由器可能会频繁重启。

此外，检查网络线路是否连接良好也是很重要的。

不稳定的网络连接可能导致路由器重置。

在软件层面，我们可以检查路由器固件是否需要更新。

路由器固件是控制路由器运行的软件，如果固件过旧，可能会导致路由器出现各种问题，包括频繁重置。

此外，我们还可以检查路由器设置中是否有冲突或错误的配置，例如IP地址冲突等。

2. 解决方案找到了问题的根源后，接下来就是解决方案。

下面是一些常见的解决方案，可以根据具体情况进行尝试。

第一，确保电源供应稳定。

可以尝试更换电源适配器或者使用电源稳压器等设备来改善电源供应问题。

第二，检查网络线路。

确保网络线路连接良好，没有松动或损坏的情况。

第三，及时更新路由器固件。

可以在路由器制造商的官网上查找最新的固件版本，并按照说明进行更新。

第四，重新配置路由器设置。

可以尝试恢复出厂设置，然后重新进行设置。

在重新配置时，需要确保没有冲突的设置，例如重复的IP地址等。

第五，排除其他设备干扰。

有时，其他无线设备或者家电设备可能对无线路由器信号产生干扰，导致频繁重置。

可以尝试关闭其他设备，或者调整无线信号的频道。

3. 预防措施在解决了无线路由器频繁重置的问题后，我们也应该采取一些预防措施，以避免类似问题再次发生。

首先，定期检查设备。

定期检查无线路由器的硬件和软件状态，确保设备运行正常。

如果发现有损坏或者过旧的部件，及时更换。

ACL访问列表是用来对数据包进行分类的工具，可以用它来帮助控制网络流量。

1、可以允许或拒绝数据包通过路由器2、可以允许或拒绝telnet访问路由器访问列表可根据多种条件来对网络流量进行分类。

例如：源IP地址、目的IP地址、源端口号、目的端口号，协议路由的传递方向和数据的传输方向是相反的。

acl只是匹配工具。

起作用的是调用工具/命令。

访问列表的分类：1、标准访问列表只能基于源IP地址来进行分类可以使用列表号：1-99、1300-1999标准的访问列表通常要求放置在靠近目标的地方2、扩展访问列表可以根据源IP地址、目的IP地址、源端口号、目的端口号，协议来进行分类可以使用列表号：100-199、2000-2699扩展访问列表通常要求放置在靠近源的地方3、命名的访问列表只是将标准访问列表或扩展访问列表取个名字优点：可以对访问列表进行增加、删除操作。

访问列表的比较规则：1、如果一个访问列表有多行语句，通常按顺序从第一条开始比较，然后再往下一条条比较。

2、一个数据包如果与访问列表的一行匹配，则按规定进行操作，不再进行后续的比较。

3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话，将被丢弃。

访问列表的配置规则：1、你在访问列表中可以写多条比较语句，它们是按你输入的顺序来进行放置的。

2、在标准访问列表扩展访问列表中，你不能单独删除其中的一行，只能删除整个列表。

3、每个列表应当至少有一个permit语句，否则将拒绝所有流量。

4、访问列表可以用在接口的出方向，也可以用在入方向，但是要注意，在一个接口在一个方向上只能有一个访问列表。

5、访问列表可以过滤通过路由器的流量，对自已产生的流量不起作用。

6、将标准访问列表要尽可能放置在靠近目的地址的地方7、将扩展访问列表要尽量放置在靠近源地址的地方ACL的运算符：1、eq 等于2、neq 不等于o3、gt 大于4、lt 小于5、range 范围重点：ACL本身只是一个用来匹配的工具，它具体是过滤数据包还是路由，是由调用它的工具来决定的。

路由器的安全DNS过滤技巧随着互联网的发展，网络安全问题也越来越受到人们的关注。

而对于家庭用户来说，路由器的设置不当可能会引发一系列安全隐患。

本文将分享一些路由器的安全DNS过滤技巧，帮助用户更加安全地上网。

一、什么是DNS过滤？DNS（Domain Name System）是互联网上域名和IP地址之间进行转换的协议。

而DNS过滤则是一种通过DNS解析层面来控制用户访问特定网站或屏蔽恶意网站的方法。

二、安全DNS过滤的原理安全DNS过滤通过修改路由器的DNS服务器地址来实现过滤。

例如有些路由器提供了家长控制功能，可以通过设置，让家长们限制孩子们访问的网站。

对于流量较大的用户，可以考虑用路由器实现DNS缓存，提高上网速度的同时，可以过滤掉恶意网站。

三、如何设置路由器的DNS过滤功能（一）修改DNS服务器地址大部分路由器在登录后有“网络设置”选项或者“WAN口配置”选项，进入该选项，修改默认的DNS服务器地址为一个可信的DNS服务器地址即可。

这样一来，就可以通过DNS方式过滤掉恶意网站。

例如经常使用的Google DNS服务器地址：8.8.8.8和8.8.4.4。

（二）更改本地主机文件在Windows操作系统中，可以通过更改本地主机文件实现DNS过滤。

方法是打开C:\Windows\System32\drivers\etc目录下的hosts文件，在文件末尾添加需要过滤的网站域名和对应的IP地址即可。

（三）安装支持DNS过滤的路由器固件有些第三方固件，例如OpenWRT、DD-WRT和Tomato等，都有DNS过滤的功能，可以根据需要自由设置。

四、注意事项设置DNS过滤有一定的风险和局限性。

一些网站为了绕过DNS过滤，会通过多个IP地址来实现网站访问，这样就无法通过DNS过滤来实现屏蔽。

另外，特别是当使用第三方固件的时候，设置不当可能会造成路由器的失效或者网络访问异常等问题。

因此，在设置之前一定要注意备份原本设置，以便出问题时可以恢复。