RPL还采用了集合的概念 。它是可以被用于路由属性匹配和设置操作中的类似数据的容器 。有多种不同的集合类型,例如前缀集合、公共集合、as-path集合和扩展公共集合,它们包含了相应的群组 。这些集合分别类似于传统的Cisco IOS软件配置中的前缀列表、公共列表、as-path列表和扩展公共列表,但是两者之间存在一个重要的区别 。集合并不包括Cisco IOS软件配置中的“接受”和“拒绝”的概念 。集合仅仅是数据的容器 。大部分集合还拥有一个内嵌变量,它答应在完全在内部指定的数据值,而不需要引用某个只包含部分数据的特定集合 。
决策——例如接受还是丢弃路由——完全取决于所制定的策略 。RPL让用户可以将匹配的操作符(可能使用集合数据)和传统布尔逻辑操作符(“与”、“或”和“非”)集成到复杂的条件表达式中 。所有匹配操作符都会返回一个“真”或“伪”结果 。这些条件表达式的执行和相关操作都可以由用户所指定的、简单的“if-then,else-if,else”结构控制 。这使得策略的评估路径可以完全由用户设置 。
随着RPL的采用,对等策略预计将会比现有的、基于路由图的对等语句更加模块化和更有效率 。RPL可以提供必要的可扩展性,使得用户能够通过一个多机架路由系统(例如CRS-1)与数千个对等主机进行对等通信 。
数据面板保护
数据面板可以接收、处理和传输网络组件之间的网络数据,控制进出路由器的大量网络流量 。为了防止数据面板流量遭受已知的攻击,CRS-1的转发引擎中内置了一些缺省的完整性检查(基于互联网行业积累的知识) 。此外,CRS-1还提供了多种功能和工具,例如ACL、单播反向路径转发(uRPF)和NetFlow记帐,并在MSC上进行专门的输入和输出处理 。
ACL——ACL(包括IPv4和IPv6)是很多路由器数据面板应用——例如分组分类、速率限制、统计和审核——的一个重要组成部分 。它实际上是一个针对分组的准许-拒绝操作符 。Cisco CRS-1的设计目的是满足最严格的性能和可扩展性要求,因而它能够在网络负载繁重的情况下以线速处理ACL 。例如,在处理200万个路由和500个BGP对等主机的同时,CRS-1可以在不影响性能的情况下处理数千个ACL及其条目 。
uRPF——Cisco CRS-1支持uRPF(严格和松散模式) 。它使得Cisco CRS-1可以通过丢弃缺乏可验证的IP源地址的IP分组,解决因为在网络中引入错误的或者伪装的IP源地址所导致的问题 。当某个接口启用uRPF严格模式时,路由器会检查接收到的所有分组,验证源地址和接口是否出现在路由表中,以及与收到分组的接口是否匹配 。uRPF松散模式是在ISP行业广泛使用的触发式黑洞过滤技术的基础 。在松散模式下,uRPF可以根据源IP地址有效地丢弃DoS和DDoS攻击分组,并在很短的时间内将该方案发送到数百台路由器 。
NetFlow——记帐是网络治理在流量工程、网络监控和计费领域的一个不可或缺的组成部分 。NetFlow最初是一个记帐应用,可以为查看单个分组报头的内部信息、按照不同的流量等级汇总分组,以及搜集每个流量等级的统计数据和具体路由信息提供一个有效的机制 。部署于Cisco IOS XR软件中的NetFlow统计数据构成了一个重要的数据库 。它可以精确地发现流量的细微行为,从而为流量工程和安全分析提供支持 。
静态NetFlow和分组监听——Cisco IOS XR软件还支持功能超过NetFlow的静态NetFlow 。与动态的NetFlow不同,静态NetFlow对待分组流的方式与ACL处理数据的方式很类似,但是它具有一些扩展字段,例如源或者目的地自治系统号和多协议标签交换(MPLS)标签 。利用静态NetFlow,治理员可以定义一个带有扩展ACL的数据流过滤器,以跟踪某个特定数据流的分组或者字节计数器 。大量的NetFlow数据能够与某个扩展ACL关联,从而让操作人员可以过滤其他数据,直接找到他们所感爱好的数据流,从而为防御DoS和DDoS攻击创造了又一个有效的工具 。
推荐阅读
- Cisco 1800、2800 和3800 集成多业务路由器的安全特性
- Cisco 675 路由器Web管理拒绝服务漏洞
- Netopia 650-T ISDN路由器用户名和口令泄露漏洞
- Cisco千兆交换路由器ACL被绕过以及拒绝服务攻击
- 路由器VS防火墙 ROUTER典型防火墙设置
- 路由器“黑洞”威胁互联网络安全
- 配置NetScreen208+C3550VLAN间路由
- 防毒别忘了路由器
- 北电网络安全路由技术
- Cisco路由器安全配置