PIM安全性
组播业务除了实现PIM协议的基本功能外,还实现了PIM安全性的管理功能,提供了限制、过滤、检查等手段,确保组播业务在网络中的正常运行。
PIM安全特性 |
适用协议 |
目的 |
原理 |
适用设备 |
保护设备 |
|---|---|---|---|---|---|
BSR地址范围限制 |
IPv4 PIM-SM IPv6 PIM-SM |
在应用BSR(BootStrap Router)机制的PIM-SM网络中,任何一台组播路由器都可以被配置为C-BSR(Candidate-BootStrap Router),从而参与BSR竞选。一旦竞选获胜,就会掌管网络中RP信息的发布权。 此功能用来防止BSR欺骗,避免恶意主机取代网络中合法的BSR,确保BSR的安全性。 |
通过配置ACL并定义过滤规则,可限定合法的BSR地址范围,使设备丢弃来自该地址范围之外的BSR报文。 |
网络中的所有组播设备 |
BSR |
C-RP地址范围限制 |
IPv4 PIM-SM IPv6 PIM-SM |
在应用BSR机制的PIM-SM网络中,任何一台组播路由器都可以被配置为C-RP(Candidate-Rendezvous Point),为该地址范围内的组播组服务。C-RP通过单播发送C-RP Advertisement消息到BSR,BSR将收集到的所有C-RP信息汇总为RP-Set,使用Bootstrap消息在全网内扩散。之后,由本地组播路由器根据RP-Set计算出特定组地址范围对应的RP。 此功能用来防止C-RP欺骗,避免恶意主机取代网络中合法的C-RP,确保C-RP的安全性,从而保证正确选举出网络中的RP。 |
通过配置ACL并定义过滤规则,可限定合法的C-RP地址范围及其服务的组播组范围,使BSR丢弃来自该地址范围之外的C-RP Advertisement消息。 |
C-BSR |
RP |
PIM表项的数量限制 |
IPv4 PIM-SM IPv4 PIM-SSM |
此功能用来对PIM-SM和PIM-SSM表项数量进行限制,避免由于组播数据或者组播IGMP/PIM协议报文的攻击导致组播路由表项过多,使路由器内存占用过多或CPU使用率过高,从而确保组播业务在网络中的安全性。 |
通过配置全局PIM表项数量限制,可以控制PIM表项建立的数量。如果超过PIM表项数量限制,将不能再建立PIM表项。 PIM (*, G)和(S, G)表项是分别进行限制的,即:
|
网络中的所有PIM设备 |
网络中的所有PIM设备 |
Register消息过滤 |
IPv4 PIM-SM IPv6 PIM-SM |
在PIM-SM网络中,任何一个新出现的组播源都必须首先在RP处“注册”,即由组播源DR(Designated Router)向RP发送Register消息,继而才能将组播数据传输到组成员。 此功能用来避免由于恶意设备发送非法Register消息攻击网络,进而导致组播转发树无法正常建立,组播数据不能正确到达接收者。 |
通过配置ACL并定义过滤规则,可实现RP过滤由组播源DR发送的Register消息,根据报文过滤规则接收或拒绝和规则匹配的Register消息。 |
RP |
RP |
PIM邻居过滤 |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
网络中,可能会有某些未知设备运行PIM协议,阻止组播路由器成为DR。 此功能用来防止网络中的组播路由器与其它未知设备建立PIM邻居关系或未知设备成为DR。 |
通过配置ACL并定义过滤规则,可实现接口只与符合过滤规则的地址建立邻居关系,删除不符合过滤规则的邻居。 |
网络中的所有组播设备 |
网络中的所有组播设备 |
Join信息过滤 |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
接口上接收的Join/Prune消息中包含Join信息和Prune信息。 此功能用来过滤Join信息,从而防止非法用户加入。 |
通过配置ACL并定义过滤规则,可用来过滤Join信息,设备根据符合过滤规则的Join信息建立PIM表项。 |
网络中的所有组播设备 |
网络中的所有组播设备 |
源地址过滤 |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
此功能用来实现设备根据源或源组对接收的组播数据报文进行过滤,从而确保网络中组播数据报文的安全性。 |
通过配置ACL并定义过滤规则,设备只转发源地址属于过滤规则范围内的组播报文,或转发源地址和组地址都属于过滤规则范围内的组播报文。 |
网络中的所有组播设备 |
网络中的所有组播设备 |
PIM邻居检查 |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
此功能用来保证设备接收或发送的Join/Prune消息和Assert消息的安全性。 |
接收或发送Join/Prune消息和Assert消息时,检查该消息是否来自PIM邻居或发送给PIM邻居,如果是则处理,否则丢弃。 |
网络中的所有组播设备 |
网络中的所有组播设备 |
PIM Silent |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
若在设备直连用户主机的接口上使能了PIM-SM,就可以在该接口上建立PIM邻居,处理各类PIM协议报文。但此配置同时存在着安全隐患:当恶意主机模拟发送PIM Hello消息时,有可能导致设备瘫痪。 此功能用来避免配置了PIM-SM的设备的接口受到模拟的PIM邻居的攻击。 |
禁止接口接收和转发任何PIM协议报文,删除该接口上的所有PIM邻居。 |
与用户主机网段直连的接口,且该网段上只能连接一台PIM设备 |
与用户主机网段直连的PIM设备 |
PIM IPSec(IP Security) |
IPv4 PIM-SM IPv6 PIM-SM IPv4 PIM-SSM IPv6 PIM-SSM |
此功能用来对IPv4或IPv6 PIM协议报文进行认证处理,防止伪造的IPv4或IPv6 PIM协议报文攻击或DOS(Deny of Service)攻击,从而确保组播业务在网络中的安全性。 |
PIM IPSec是通过指定安全联盟SA(Security Association)对接口发送和接收的IPv4或IPv6
PIM协议报文进行认证处理。处理过程为:
可以认证的IPv4或IPv6 PIM协议报文主要分为:
说明:
关于IPSec的特性描述,请参见IPSec。 |
网络中的所有PIM设备 |
网络中的所有PIM设备 |
