網(wǎng)絡(luò)出口設(shè)備緊急更換記

7月26日學(xué)校的辦公區(qū)網(wǎng)絡(luò)總是斷，將出口設(shè)備NPE60重啟30分鐘左右就死了，console口無法登錄，前一天已經(jīng)出現(xiàn)死機(jī)現(xiàn)象，重啟后還能運(yùn)行一段時間，現(xiàn)在重啟后最多只能運(yùn)行30分鐘。

判斷是設(shè)備有問題了，出口一直不斷受到攻擊，但感覺這次較重。廠家遠(yuǎn)程分析要換CPU，且這種產(chǎn)品早已停產(chǎn)。因在假期無法走手續(xù)必須另想辦法，如果更換出口設(shè)備得要先有預(yù)算才能采購，手續(xù)就得走好長時間，網(wǎng)絡(luò)出口中斷一天就影響很大了，中斷兩天以上無法想象，只能用其他設(shè)備先代替。網(wǎng)絡(luò)拓樸如圖1所示。

因位置關(guān)系，準(zhǔn)備借用移動學(xué)生宿舍的RSR7716。辦公出口是“2+1”條線路，一條是電信600M，一條是聯(lián)通300M，另一條是虛擬電信隧道的教育網(wǎng)。把接口、路由配置好，映射復(fù)制過來，限速配置好，辦公網(wǎng)基本可以使用了，但出現(xiàn)一些問題。

圖1 網(wǎng)絡(luò)拓樸圖

問題一：學(xué)生宿舍用戶無法訪問學(xué)校的主頁及其他網(wǎng)站

因移動RSR7716默認(rèn)路由是走辦公出口的，策略路由是走學(xué)生的三家運(yùn)營商出口，電信、聯(lián)通RSR7716默認(rèn)路由是移動RSR7716，用戶登錄后根據(jù)SAM分組，不同的分組用戶從不同出口按不同限速出去。從核心交換機(jī)18014上面到三 臺RSR7716是負(fù)載均衡隨機(jī)的，在三臺RSR7716是 根據(jù)用戶分組，大的分辦公、電信、聯(lián)通、移動分組，電信、聯(lián)通、移動再分成8M、12M、20M、30M、50M 等小分組。

以學(xué)生用戶登錄后無法打開學(xué)校主頁，路由跟蹤學(xué)校主頁，路由不到，不停在核心18014與RSR7716之間，但只有學(xué)生的電信、聯(lián)通用戶。這樣，移動用戶可正常打開。筆者分析是在ACL的DX、LT上面出問題了，于是在 DX、LT的 ACL上面加上禁止對主頁內(nèi)網(wǎng)的訪問，禁止每個分組訪問映射的內(nèi)網(wǎng)地址，因地址較多就按地址段做的，deny ip usergroup unicom4m 172.16.0.0 0.0.255.255，如圖 2。加上禁止訪問內(nèi)網(wǎng)地址段后，就可以打開學(xué)校主頁了，加上其他網(wǎng)站的禁止，這些網(wǎng)站也可打開。

這種配置復(fù)雜，后期優(yōu)化時簡化了，將 DX、LT、YD 的 ACL的最前面加上了deny ip 172.16.0.0 0.1 5.2 5 5.2 5 5 1 7 2.1 6.0.0 0.15.255.255”，如圖 3。

問題二：新出口運(yùn)行2天后學(xué)生移動RSR7716也死掉了

在辦公出口臨時遷移學(xué)到學(xué)生移動的RSR7716上面沒到兩天，就有人反應(yīng)網(wǎng)絡(luò)有中斷且慢，馬上到機(jī)房查看。三臺RSR7716早做了一些保護(hù)措施，如CPU資源保護(hù)、ACL等，且電信、聯(lián)通RSR7716正常。通過檢查RSR7716發(fā)現(xiàn)下面一些問題并整改：

圖2 聯(lián)通ACL上面禁止各用戶組訪問映射的內(nèi)網(wǎng)地址

圖3 電信ACL的部分內(nèi)容

1.移動RSR7716上面不停顯示有Telnet登錄的，基本沒法查看，重啟后仍舊如此。正好借的一臺綠盟防火墻到位（學(xué)校辦公區(qū)有防火墻，但只有2個光口，如果加出口前得光電轉(zhuǎn)換進(jìn)再電光轉(zhuǎn)換出），立即加到移動RSR7716前面，即辦公的電信、聯(lián)通線路上2進(jìn)2出，先通過借用的防火墻再進(jìn)RSR7716，在借用防火墻開基本DDoS防護(hù)。其實原來在電信、聯(lián)通線路進(jìn)出NPE60的前面有個流量清冼設(shè)備，禁止一些Telnet 出口IP地址，但太多了，手工添加不過來。這次用借用防火墻直接禁止任何Telnet訪問，再上移動RSR7716，基本可以查看，沒哪些不停的Telnet訪問了。

2.通過檢查RSR7716運(yùn)行情況，通過“show ip fpm statistics”、“show ip fpm counters”命令查看路由器的流表使用情況，發(fā)現(xiàn)流表用滿了，且是有一個學(xué)生的地址大量使用445端口的，所以決定對流表加以控制。RSR7716在默認(rèn)情況下，是先建立會話流表再去匹配置 ACL，即使在接口配置deny ip any any的ACL，這個時候一個數(shù)據(jù)包來到接口后，還會先建立一條會話，再去匹配ACL被丟棄。

那么這種特性就會有一個問題，如果遇到大量的偽源IP攻擊，或者是端口掃描時，雖然有ACL拒絕了這種報文的轉(zhuǎn)發(fā)，但是還是會把流表給占滿，而導(dǎo)致正常的數(shù)據(jù)無法建流而被丟棄。而IP Session Filter的原理就是，在建立流表前去匹配調(diào)用的ACL，如果被ACL拒絕就不會再去建流了。通過ACL 199過濾常見病毒端口如445、139等流量，配置如下：

ip fpm flow maxentries 2097052 \設(shè)置流表總數(shù)

ip fpm session filter 199 \流表過濾ACL 199，過濾常見病毒端口流量

ip fpm session filter 124 session-num 2000 \學(xué)生宿舍用戶流會話數(shù)2000

ip fpm session filter 125 session-num 20000 \辦公教學(xué)區(qū)流會話數(shù)20000

同時也在電信、聯(lián)通學(xué)生RSR7716上面加上流表過濾ip fpm session filter 199，但ACL 199上面未禁止這么多端口。

3.同時立即在學(xué)生核心交換機(jī)18014加上對445、138、139等端口禁止，按銳捷一本通的防火墻ACL做的，把這個ACL做到到學(xué)生宿舍各樓的接口上（以前學(xué)生宿舍各樓接口沒做，辦公區(qū)的各樓做了但沒做這么行），且做了進(jìn)、出2次過濾。在18014上面部分樓的無線網(wǎng)接口也加上端口過濾，因無線網(wǎng)是獨(dú)立運(yùn)維的，還有兩臺無線匯聚因無密碼未添加。一卡網(wǎng)也因是獨(dú)立運(yùn)維的，也未添加。

4.同時在SAM里找到哪個大量使用445端口的學(xué)生IP地址，踢下線并放到黑名單中，暫時不讓其上網(wǎng)。

5.網(wǎng)絡(luò)入口過濾，因為很多的DoS/DDoS攻擊都是采用假冒的源IP地址，網(wǎng)絡(luò)入口過濾的目的就是防御這種攻擊，或者限制其范圍和降低攻擊的機(jī)會。它通過在數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)時，檢查其所聲稱的源IP地址是否滿足路由通告的網(wǎng)絡(luò)前綴，如果不是，將其過濾掉。在網(wǎng)絡(luò)入口處的路由器上實施這種過濾機(jī)制，對于阻止不符合進(jìn)入規(guī)則的假冒IP攻擊非常有效。不過對來自合法IP地址前綴的假冒攻擊則沒有作用。

根據(jù)網(wǎng)絡(luò)入口過濾，在辦公的電信、聯(lián)通出口上加ip ingress-filter log，過 濾假冒IP攻擊，通過查看，一會兒就發(fā)現(xiàn)有過濾出來了，其中辦公電信接口上面有較多過濾。

6.在RSR7716前面的借用防火墻上面做一個規(guī)則禁止任何地址訪問辦公區(qū)電信、聯(lián)通NAT地址池的IP。

7.黑洞路由，在設(shè)備配置NAT后，可能存在外網(wǎng)IP對這個地址池或端口映射的公網(wǎng)地址發(fā)起連接，這些連接會大量占用設(shè)備的CPU資源。因此需要配置黑洞路由，對由外網(wǎng)主動發(fā)起對地址池和端口映射的公網(wǎng)地址連接數(shù)據(jù)（不包含端口映射）進(jìn)行丟棄。

通過檢查發(fā)現(xiàn)辦公區(qū)的NAT地址池IP沒做黑洞路由，馬上配置上去，其實在第6條的借用防火墻已經(jīng)做了相應(yīng)規(guī)則，但這里還是加上了，保險些。

經(jīng)過以上安全加固后，移動的RSR7716又正常運(yùn)行了。

問題三：RSR7716安全加固后學(xué)校包括主頁在內(nèi)的映射又打不開了

移動RSR7716安全加固后，內(nèi)網(wǎng)訪問外網(wǎng)正常了，在校內(nèi)打開學(xué)校主頁正常，但校外無法打開，分析只是因為移動RSR7716上面做了流表過濾，借用防火墻加了禁止NAT地址池IP的訪問，查看移動RSR7716，在流表過濾的ACL199里，增加學(xué)校主頁公網(wǎng)IP映射允許，包括公網(wǎng)地址及端口，用17CE測試可以打開了，于是增加了120行允許，將學(xué)校的映射都放通了。這樣帶來的一個困難，做一個公網(wǎng)映射，以前只做映射就行了，現(xiàn)在還得要另一個流表ACL里放通公網(wǎng)IP及端口，以前做一次，現(xiàn)在得做兩次，否則這個映射打不開，這樣有些復(fù)雜。

問題四：有人反應(yīng)外網(wǎng)打開學(xué)校主頁以及一些對外服務(wù)慢

對外服務(wù)是這樣一個流程：服務(wù)器-機(jī)柜交換機(jī)過濾-匯聚交換機(jī)過濾-WAF防火墻過濾-辦公核心交換機(jī)過濾-上網(wǎng)行為1過濾-防火墻-入侵檢測-學(xué)生核心交換機(jī)過濾-上網(wǎng)行為2-RSR7716出口過濾-借用防火墻過濾-流量清冼-外網(wǎng)訪問。過濾的地方很多，慢慢查。

1.把在最外面的流量清冼將規(guī)則動作又都改成觀察，發(fā)現(xiàn)規(guī)則動作是限速確定影響下載，因為這臺設(shè)備沒有配套管理軟件，不好觀察日志，先改成觀察并等以后再調(diào)。

2.在借用防火墻上面增加規(guī)則，將幾個主要映射的IP及端口全放通且排在前面。

3.三臺RSR7716優(yōu)化：

（1）將問題一的每個映射的禁止簡化改為“deny ip 172.16.0.0 0.15.255.255 172.16.0.0 0.15.255.255”，并加到三個DX、LT、YD的ACL上面，且在電信、聯(lián)通學(xué)生RSR7716上面也對應(yīng)加上。

（2）優(yōu)化流表過濾的ACL 199，刪除幾個不需要，增加更多的禁止，內(nèi)網(wǎng)IP、設(shè)備IP等禁止到電信RSR7716、聯(lián)通RSR7716互聯(lián)IP以及虛擬隧道IP上去。

（3）優(yōu)化了NAT出口的ACL，因為學(xué)生宿舍區(qū)有辦公用戶，辦公區(qū)可以用學(xué)生帳號，增加學(xué)生帳號用戶分組的禁止。

（4）把三臺RSR7716上面聯(lián)通用戶分組簡化成LT-X（原來是 unicomX），簡單易記。

（5）通過查看流量清冼設(shè)備發(fā)現(xiàn)流量帶寬白天跑到400多兆，由于是假期上班人很少，因為一直有部分學(xué)生使用教師帳號的問題，于是決定把無線網(wǎng)地址段的限速調(diào)低，又建立一個ACL把無線網(wǎng)地址段放入，在電信、聯(lián)通出口上分別做限速2M，最大可跑4M。普通用戶段限速10M，通過上網(wǎng)行為監(jiān)測發(fā)現(xiàn)最高的能跑到20多兆，這樣的話等開學(xué)后上網(wǎng)人數(shù)增加，出口肯定帶不動的，等開學(xué)后再降低。

（6）通過17CE測網(wǎng)站打開速度，發(fā)現(xiàn)網(wǎng)站打開速度比優(yōu)化前快了一點(diǎn)，IP地址比域名的要快些，因為是管網(wǎng)絡(luò)的，更多的優(yōu)化在網(wǎng)絡(luò)方面。雖然也管部分安全設(shè)備，但還有幾個安全設(shè)備、網(wǎng)站服務(wù)器等因放假沒法調(diào)，需要開學(xué)后再協(xié)調(diào)。

（7）準(zhǔn)備以后將流表會話數(shù)管理細(xì)化下，對服務(wù)器流表會話數(shù)的放大，但因為一些服務(wù)器在辦公區(qū)，不在服務(wù)器區(qū)，細(xì)化的話至少要做幾十行。

總結(jié)

7月底網(wǎng)絡(luò)出口設(shè)備NPE60突然有問題，造成斷網(wǎng)，而那幾天正是病毒高發(fā)期，當(dāng)時和過后都認(rèn)為這次出口設(shè)備壞是有受到攻擊的因素。

因為機(jī)房里有別人的路由器RSR7716且有空白板可用，于是緊急更換到RSR7716上，因網(wǎng)絡(luò)結(jié)構(gòu)變化一些策略、規(guī)則需相應(yīng)調(diào)整和優(yōu)化，同時一定要把安全做好并做全，否則問題會很多，安全第一。這需要一個過程，需要發(fā)現(xiàn)問題，找到原因再解決問題，這是一個不斷優(yōu)化改進(jìn)的過程，網(wǎng)絡(luò)優(yōu)化還將繼續(xù)下去。