如何暴露控制平面在设备位置和可达性上大大取决于大大取决于。例如,服务提供商(SP)网络边缘上的路由器比SP核心内的那些简单地更为暴露,因为它们直接与不受控制的客户和替换网络相邻。企业路由器在互联网边缘也具有相似的风险点。某些第2层漏洞也存在。这些问题和其他问题将在第2章中介绍。另外,第5章“控制平面安全性”提供了用于保护控制平面的最佳最佳实践的详细描述。
管理飞机
管理平面是描述访问、管理和监控所有网元的流量的逻辑实体。管理平面支持网络的所有发放、维护和监控功能。与其他IP流量平面一样,管理平面的流量与所有其他IP流量一起在带内处理。大多数服务提供商和许多大型企业还构建单独的带外(OOB)管理网络,以在主带内IP路径不可达时提供备用可达性。这些基本的管理平面概念在图1-8。
管理平面的例子
管理平面始终包括接收数据包。接收数据包由路由器上运行的各种管理进程生成和消耗。正如您可能想象的那样,SSH(请不要使用Telnet!),FTP,TFTP,SNMP,Syslog,Tacacs +和RADIUS,DNS,Netflow,Rommon等管理协议,包括NoC工作人员和监控应用程序的使用在管理平面。此外,从某些路由器的角度来看,传输数据包也将成为管理平面的一部分。根据管理服务器和网络运营人员所在的位置,前面的所有管理协议都显示为中间设备的传输数据包,并且作为目标设备的接收数据包。但是,管理平面流量通常保持完全“内部”到网络,并且应该仅交叉路由器的某些接口。关于第8章和第9章中提出的案例研究涵盖了有关此主题的进一步详细信息。管理平面应该很少包括IP异常数据包(使用路由器警报IP选项的MPLS OAM是一个例外)。但是,它可以包括非IP异常数据包。CDP是一种基于第2层的协议,允许Cisco路由器和交换机彼此动态发现。
对于正确的路由器和网络操作来说,确保管理平面的安全与确保控制平面的安全同样重要。一个被破坏的管理平面不可避免地会导致未经授权的访问,可能会允许攻击者通过添加路由、修改流量或简单地过滤经过的数据包来进一步破坏IP流量平面。攻击者一再证明,当使用弱密码、非加密管理访问(例如Telnet)或其他弱管理平面安全机制时,他们有能力破坏路由器。记住,访问路由器就像获得“通往王国的钥匙!”关于管理平面面临的一些威胁的其他讨论在第2章中提供,第6章“管理平面安全”提供了关于确保管理平面安全的当前最佳实践的详细描述。
服务飞机
网络融合导致多个服务在普通的IP网络核心上运行的不同特性。在这种情况下,可以在“服务平面”中处理这些,以便可以在整个网络中一致地应用适当的处理。服务平面是逻辑实体,包括客户流量接收基于网络的基于网络的服务,例如VPN隧道(MPLS,IPSec和Secure Sockets [SSL]),私有到公共接口(网络地址转换[NAT],防火墙,以及入侵检测和预防系统[IDS / IPS]),QoS(语音和视频),以及许多其他系统。这些基本服务平面概念如图所示图1-9。
服务平面交通基本上是“客户”流量,如数据平面交通,但具有一个主要区别。服务平面包括旨在具有应用专门的基于网络的功能的流量,并具有一致的处理申请端到端。另一方面,数据平面流量通常仅接收本机IP传送支持。因为可以表示不同类型的服务,所以在使用服务平面时,可能需要在与服务平面一起时创建和强制执行不同的策略。
服务平面例子
服务平面流量通常是“中转”流量。但是路由器和其他转发设备通常使用特殊处理来为各种服务类型应用或执行预期的策略。也就是说,处理业务平面流量的方式可能与处理常规数据平面流量的方式截然不同。以下例子有助于说明这一点:
使用SSL或IPsec加密隧道。内部重定向到专门的加密硬件,可能需要支持SSL或IPsec vpn。这通常会为某些设备造成额外的CPU和切换开销。隧道中的服务封装通常会改变流量从传输到接收的性质,因为数据包现在在网络设备上终止,以便解封装。这也会影响某些设备的处理操作。
使用MPLS VPN实现路由分离。参与MPLS VPN业务的路由器必须为每个客户维护VRF (virtual routing and forwarding)实例。这需要额外的内存,并且由于封装可能导致碎片,可能会产生额外的包开销。
基于网络的安全性通过防火墙,入侵保护系统(IP)和类似系统。基于网络的安全服务的应用影响了网络的流量流量特性。防火墙和IP通常需要对称的流量流(随着入口流量的相同路径之后的出口流量)。对称流量流不是IP所固有的,并且必须人工强制执行。
基于QoS的SLA (network -based service-level agreement): QoS通过单个物理网络提供QoS (virtual class of service)网络。由于延迟和抖动预算的强制实施,数据包转发机制的修改导致QoS策略的应用影响其他非QoS流量。
由于业务平面经常在较低层次的基础上“叠加”(第7层)应用流程,业务平面经常增加控制平面和管理平面的负担。例如,MPLS vpn (RFC 4364)通过在BGP中加入控制平面机制实现路由分离,通过LDP和RSVP实现转发路径计算。IPsec vpn在控制平面增加IKE (Internet Key Exchange)机制,用于密钥的生成、隧道的创建和维护。还需要在管理平面提供额外的支持。IPsec vpn的隧道管理需要与服务交付过程中涉及的每个路由器进行接口。同样,端到端的标签交换路径验证也需要MPLS的OAM。其他业务增加了不同的控制平面和管理平面负担。
服务平面的安全保障对于保证专业流量的稳定可靠的流量交付至关重要。在某些情况下,这可能很简单。在公共服务报头中封装用户生成的IP流量可以简化安全方法。策略只需要查找服务的类型,而不是使用服务的单个用户流量(如数据平面的情况)。在某些情况下,这种封装可能会为核心网络增加保护,因为相对“不受信任”的用户流量可以在服务包装器中隔离,并且不能触及网络基础设施。例如,MPLS vpn将每个客户的路由功能和网络基础设施的路由功能分开。业务平面与控制平面和管理平面之间的依赖增加了复杂性,必须仔细考虑。第2章提供了关于服务平面的一些威胁的附加讨论,第7章提供了关于保护服务平面的当前最佳实践的详细描述。
IP路由器包处理概念
在本介绍性章节中讨论的最后一个主题是路由器软件和硬件架构的主题。这将绑在一起所有先前的概念,并说明了为什么IP流量平面分离和控制对IP网络的稳定性,性能和操作都是至关重要的。
路由器是为转发数据包,无论是在数据平面还是服务平面中,尽可能有效。这些相同的路由器还必须通过控制平面和管理平面构建和维护网络。IP交通飞机的概念是一个“逻辑”一个,并提供了一个开发和强制安全要求的框架。如图所示图1-5在本章前面,可以从Internet的角度向下到单个路由器的角度来看待IP流量平面的安全概念。交通的起点在哪里,目的地在哪里?网络边界在哪里,哪些流量应该跨越这些边界?哪些IP地址应该包含在各种路由协议中并发布?这些和更多的问题将在接下来的章节中讨论和回答。
这个过程中最重要的领域之一,以及前面所示的透视图的原因图1-5,各个路由器处理网络中的实际数据包。在一天结束时,这些设备只能以自主方式与其硬件,软件和配置一致。了解单个路由器如何处理到达其接口的每个数据包类型,以及它必须降低处理这些数据包的资源,是IP流量平面安全性的关键概念。
虽然本节专门关注思科路由器,但这些概念绝不是思科平台的专有概念。每个“接触”数据包的网络设备都有一个硬件和软件体系结构,该体系结构被设计用来处理数据包,确定它需要对数据包做什么,然后对数据包应用一些策略。在本文中,术语“策略”指的是应用于数据包的任何操作,通常包括:转发/丢弃、形状/速率限制、重新着色、重复和隧道/封装。
路由器的主要目的是将数据包从一个网络接口转发到另一个网络接口。每个网络接口表示包含主机和服务器的直接连接的段,或者与沿着数据包的最终目标的下游路径的下游路径连接到另一个路由设备。在最基本的意义上,IP路由器的第3层决策过程包括以下步骤:
一个包进入一个接口。
重新计算IP标头校验和并进行比较,以验证数据包完整性。如果它没有比较,则删除数据包。
如果它确实正确比较,则IP报头TTL递减,并且重新计算校验和(因为标题数据随着新的TTL值而变化)。
检查新的TTL值以确保它大于0.如果不是,则丢弃数据包,并生成ICMP类型11消息(超出时间)并将其发送回分组源。
如果TTL值有效(> = 1),则使用目标地址完成转发查找。该目的地可以在路由器(传输数据包)之外或路由器本身(接收数据包)之外的某个位置。如果不存在匹配,则会删除数据包,并生成ICMP目的地无法访问(类型3)。
如果找到匹配项,则准备适当的第2层封装信息,并将数据包转发出适当的接口(传输)。在“接收”目的地的情况下,数据包被锁定到路由器CPU以进行处理。
这个过程是说明的图1-10.。
简单IP转发示例
当然,实际的数据包处理流程可以明显比这更复杂,因为内存,I / O硬件,IP数据包变体,配置的策略以及许多其他因素会影响数据包处理。通常,网络中所有数据包的大多数都与数据平面和服务平面有关。控制平面和管理平面流量构成了整体网络流量的一小部分。存在例外情况,其中数据平面分组可能需要额外的控制平面资源,或者在普通分组转发机制不能处理分组的位置。通常,路由器以不同方式处理传输,接收和异常数据包。您可能想象的是,路由器经过优化,以处理最大效率和速度的传输流量。但是,路由器处理如何接收和异常情况,使您可以完全了解路由器的性能包围(和漏洞或攻击向量)。