所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-MPLS

本文档介绍了设备支持的MPLS相关配置。主要内容包括静态LSP的基本原理和配置过程、MPLS LDP的基本原理和配置过程、MPLS QoS的基本原理和配置过程、MPLS TE的基本原理和配置过程、MPLS OAM的基本原理和配置过程、Seamless MPLS的基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MPLS TE安全性

MPLS TE安全性

RSVP认证通过验证RSVP协议报文摘要信息的正确性,来防止协议报文被篡改或伪造的恶意攻击,同时提供用于防止回放攻击和报文失序的认证增强机制,从而增强了MPLS TE安全性。

产生原因

RSVP使用RawIP传递协议报文,而RawIP本身不提供安全性,很容易遭受欺骗攻击,RSVP认证可以用来解决此问题。RSVP认证通过密钥验证的方式来防止欺骗攻击,收到过时报文后认证关系终止。

但是这种密钥验证不能防止回放攻击,也无法解决因RSVP报文的失序导致邻居之间认证关系终止的问题,RSVP认证增强功能可以解决该问题。RSVP认证增强是在基于原有认证的基础上增加了认证生存时间、认证握手机制和消息滑窗特性。RSVP认证增强能使得RSVP自身的安全性得到很大的提高,同时加强了在网络阻塞等恶劣网络环境时对邻居关系的合法性进行验证的能力。

相关概念

  • RawIP:与UDP类似,是不可靠的,即没有任何控制能确定RawIP数据报是否已被接收。
  • 欺骗攻击:对端路由器在没有授权的情况下和本路由器建立邻居关系,或通过伪造RSVP报文的方式和本路由器建立RSVP邻居后对路由器进行攻击(比如恶意的预留大量的带宽)。
  • 回放攻击:对端路由器反复给RSVP邻居发送过时的报文(序列号小于当前的保存的序列号),当出现RSVP报文的序列号比当前保存的对方的最大序列号小时,RSVP认证关系会终止,已经建立的CR-LSP会被拆除。

实现原理

  • 密钥验证

    RSVP认证通过对邻居间的报文携带的密钥信息进行匹配来确保报文的安全性,避免受到欺骗攻击。在需要认证的两个节点上,用户需要配置相同的密钥。在发送报文时,节点使用密钥为报文计算得到一个摘要(通过HMAC-MD5算法),摘要信息作为报文的一个对象(Integrity对象),随着报文一起发送到对端节点。对端节点使用相同的密钥、相同的算法重新计算报文摘要,然后比较两个摘要是否相同,如果相同则接收此报文,如果不同则丢弃此报文。

  • 认证生存时间

    认证生存时间用来指定RSVP邻居关系能够持续存在的时间,主要有以下功能:
    • 当RSVP邻居之间不存在CR-LSP时可以保持RSVP邻居关系,直到RSVP认证生存时间超时。RSVP认证时间不影响已存在的CR-LSP的状态。

    • 可以防止RSVP认证无法终止。例如,设备RTA和RTB建立好了RSVP认证关系后,如果RTA发给RTB的RSVP报文因为受篡改而导致密钥被破坏,RTB收到报文后发现密钥不正确会将报文丢弃,这样就导致RTA不断地给RTB发送被损坏的RSVP消息而该消息不断的被RTB丢弃。但邻居之间的认证关系无法拆除。这种情况下,需要配置认证生存时间,如果邻居之间在生存时间内收到合法的RSVP报文,则重置RSVP认证生存时间,否则认证时间超时后删除RSVP邻居的认证关系。

  • 认证握手机制

    握手机制用来在收到过时报文的情况下维持RSVP认证状态。

    在两个RSVP邻居之间认证成功后,双方互发握手机制的报文,如果握手成功,双方会把对方发过来的握手报文记录在本端,作为一种状态,标志双方已经握手成功。当本端收到过时报文时,就有如下几种处理方式:
    • 如果过时报文表明发送方未使能握手机制,则直接丢弃该报文。
    • 如果过时报文表明发送方也使能了握手机制,且在本端存有与其握手成功过的状态,则也直接丢弃该报文;如果本端没有保存与其握手成功的状态,则说明是第一次收到发送方的报文,需要与其进行握手。
  • 消息滑窗

    消息滑窗用来保存RSVP邻居发送的RSVP报文的序列号。当滑窗大小为1时保存邻居RSVP报文的最大序列号,其他情况则可保存多个邻居RSVP报文的序列号。比如当滑窗大小为10,而邻居RSVP报文的最大序列号为80时,如果没有发生报文乱序,则滑窗保存的内容为[71,80]之间的共10个序列号。如果已经发生报文乱序,则将报文重新排序后,记录其中10个由大到小依次排序的值。

    当消息滑窗不为1时,当接收到RSVP邻居发送的RSVP报文之后,如果发现该报文序列号比消息滑窗中保存的最大序列号还大或者是以前的一个序列号但是比消息滑窗中最小序列号大并且没有保存在消息滑窗中时,该报文即为合法报文。接收该报文后,该报文的序列号将被添加到消息滑窗中,然后处理该报文,如果该报文序列号大于消息滑窗中的最大序列号,还将同时删除消息滑窗中最小的那个序列号。序列号比消息滑窗中最小序列号还小或者已经存在于消息滑窗中的报文将被丢弃。

    说明:
    默认情况下,滑窗大小为1,认证握手机制中讨论的处理方式基于滑窗大小为1的情况。当消息滑窗大小不为1时,该机制的处理方式将受到影响,认证握手机制接收到过时报文时,在判断发送方是否使能握手机制前:
    • 如果发现该报文序列号比消息滑窗中最小序列号大并且没有保存在消息滑窗中,仍然会正常处理该报文。

    • 如果该序列号已经存在于消息滑窗中,则直接丢弃该报文。

    • 如果发现该报文的序列号比消息滑窗中的最小序列号还小,则会判断双方是否使能了握手机制,如果任意一方没使能握手机制,则丢弃该报文。如果双方都使能了握手机制,本端将与发送方重新进行握手,同时丢弃该报文。

    例如,滑窗大小为10时,消息滑窗保存有序列号71,75和80。如果接收到序列号为72的报文,此时会将该序列号添加到消息滑窗中并正常处理该报文。如果接收到序列号为75的报文,则直接丢弃。如果接收到序列号为70的报文,会判断双方是否使能握手机制,只有在双方都使能的情况下,才重新进行握手。

RSVP密钥管理方式

RSVP密钥管理包括以下两种方式:
  • MD5密钥

    用户可以使用明文或者密文的方式输入密钥,密钥算法为MD5。这种密钥管理方式的特点是:
    • 每个协议特性都需要配置自己的密钥,密钥不能共享。

    • 每个接口、邻居只能配置一个密钥,要更换密钥必须重新配置。

  • Keychain密钥

    Keychain是一种增强型加密算法,允许用户定义一组密码,形成一个密码串,并且分别为每个密码指定加解密算法及密码使用的有效时间。在收发报文时,系统会按照用户的配置选出一个当前有效的密码,并按照与此密码相匹配的加密解密算法,进行发送时加密和接收时解密报文。此外,系统可以依据密码使用的有效时间,自动完成有效密码的切换,避免了长时间不更改密码导致的密码易破解问题。

    这种密钥管理方式的特点是:
    • Keychain的密码、所使用的加解密算法以及密码使用的有效时间可以单独配置,形成一个Keychain配置节点,每个Keychain配置节点至少需要配置一个密码,并指定加解密算法。

    • Keychain可以被各个协议特性引用,实现密钥集中管理、多特性共享。

    RSVP支持在接口、邻居下引用Keychain,并仅支持HMAC-MD5算法。

MD5密钥属于不安全密钥,建议使用Keychain密钥。

RSVP的认证级别

RSVP的认证级别分为两种:

  • 面向邻居的认证

    该级别的认证是指用户可以根据不同的邻居地址配置认证密钥等信息,RSVP会针对每个邻居进行单独的认证。

    有两种配置方式:
    • 以邻居设备的某接口的IP地址作为邻居地址进行配置。

    • 以邻居设备的LSR ID作为邻居地址进行配置。

  • 面向接口的认证

    用户在接口上配置认证,RSVP会根据消息的入接口进行认证处理。

面向邻居的认证优先级高于面向接口的认证。只有在高优先级的认证没有使能的情况下才会进行低优先级的认证处理,一旦高优先级认证没有通过,则丢弃该报文。

翻译
下载文档
更新时间:2019-08-20

文档编号:EDOC1000141521

浏览量:8169

下载量:343

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页