近日，中國(guó)移動(dòng)河北分公司（以下簡(jiǎn)稱(chēng)“河北移動(dòng)”）聯(lián)合華為在河北省省干核心路由器NetEngine 5000E-20上成功部署了智能路由安全解決方案。該解決方案憑借實(shí)時(shí)感知域內(nèi)/跨域節(jié)點(diǎn)千萬(wàn)級(jí)路由信息的多維智能分析、智能防御和歷史路由變化一鍵回溯等核心能力，實(shí)現(xiàn)了路由安全風(fēng)險(xiǎn)精準(zhǔn)識(shí)別、主動(dòng)防御，有效提升網(wǎng)絡(luò)韌性，將助力河北移動(dòng)重塑安全的智能IP網(wǎng)絡(luò)邊界。

BGP作為業(yè)界應(yīng)用最廣的域間路由協(xié)議，一直以來(lái)都是各大ISP互通路由信息的橋梁。由于BGP協(xié)議的設(shè)計(jì)是基于信任機(jī)制的，使得虛假或錯(cuò)誤的路由信息也會(huì)在網(wǎng)絡(luò)間傳播，從而給互聯(lián)網(wǎng)帶來(lái)不安全和不穩(wěn)定的因素，路由泄露、路由劫持等安全事故頻發(fā)，導(dǎo)致網(wǎng)絡(luò)中斷、業(yè)務(wù)中斷、客戶(hù)投訴、經(jīng)濟(jì)損失等問(wèn)題，影響面可達(dá)到全球級(jí)別。

隨著5G和云時(shí)代的到來(lái)，河北移動(dòng)網(wǎng)絡(luò)應(yīng)用與流量規(guī)模持續(xù)保持高速發(fā)展，對(duì)IP承載網(wǎng)的基礎(chǔ)設(shè)施安全提出了更高的挑戰(zhàn)。河北移動(dòng)IP承載網(wǎng)承載了家寬、集客、IDC、4G/5G等重要業(yè)務(wù)，亟需提升網(wǎng)絡(luò)出口的路由安全能力，打造安全邊界，保證互聯(lián)網(wǎng)業(yè)務(wù)的平穩(wěn)運(yùn)營(yíng)。因此，河北移動(dòng)在省干出口核心路由器部署了華為智能路由安全方案，轉(zhuǎn)發(fā)層面為華為NetEngine 5000E-20核心路由器，控制層面通過(guò)標(biāo)準(zhǔn)的BGP監(jiān)控協(xié)議BMP（BGP Monitoring Protocol）動(dòng)態(tài)獲取網(wǎng)絡(luò)路由信息，由華為融合管控析平臺(tái)iMaster NCE（以下簡(jiǎn)稱(chēng)“NCE”）進(jìn)行IGP/BGP路由信息的采集、分析、呈現(xiàn)及歷史信息記錄。從而提供異常路由識(shí)別更全、問(wèn)題定位更準(zhǔn)、安全性更高的解決方案，主動(dòng)識(shí)別并防御異常路由帶來(lái)的風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)安全可靠的運(yùn)行。

華為智能路由安全解決方案，是華為智能IP骨干網(wǎng)絡(luò)智能運(yùn)維能力的一個(gè)關(guān)鍵支撐，主要具有以下能力：

>>>>

路由實(shí)時(shí)采集，多維可視

傳統(tǒng)方案單純采集分析IPv4單播路由，無(wú)法獲得設(shè)備上BGP全量路由信息，呈現(xiàn)信息有限。華為智能路由安全解決方案，通過(guò)BMP協(xié)議機(jī)制拓展了BGP路由監(jiān)控的能力，保證了針對(duì)不同BGP PEER路由收發(fā)分析的全面性和準(zhǔn)確性，結(jié)合NCE的智能管控能力，實(shí)現(xiàn)路由變化實(shí)時(shí)采集及可視化呈現(xiàn)，并且具備千萬(wàn)級(jí)的路由處理能力，充分滿(mǎn)足大型網(wǎng)絡(luò)的應(yīng)用場(chǎng)景。

>>>>

智能路由分析，主動(dòng)防御

實(shí)現(xiàn)BMP之前，通常要通過(guò)人工查詢(xún)方式來(lái)獲得設(shè)備的BGP運(yùn)行狀態(tài)，效率較低。NCE可智能、全面的分析路由異常波動(dòng)、明細(xì)路由突現(xiàn)等異常路由，支持按需設(shè)置告警類(lèi)別及閾值，路由告警結(jié)合網(wǎng)絡(luò)拓?fù)淇梢暬尸F(xiàn)。異常路由定位迅速、準(zhǔn)確，極大提升了網(wǎng)絡(luò)邊界的安全性。此外，華為NetEngine 5000E-20核心路由器支持基于ROA（Route Origin Authentication）校驗(yàn)路由前綴與AS號(hào)的合法性，在轉(zhuǎn)發(fā)層面也具備主動(dòng)防御路由劫持的能力，從而實(shí)現(xiàn)控制層面與轉(zhuǎn)發(fā)層面的雙重防護(hù)。

>>>>

多維歷史回溯，一鍵查詢(xún)

在省干和城域網(wǎng)絡(luò)出口，每天路由更新量大，路由變化頻繁，而且許多攻擊是短暫的，由此引發(fā)的業(yè)務(wù)質(zhì)量問(wèn)題都難于回溯和定位。華為智能路由安全解決方案可根據(jù)BGP路由屬性、路由前綴特征等多維信息組合查詢(xún)，并且數(shù)據(jù)實(shí)時(shí)刷新，可隨時(shí)查看歷史數(shù)據(jù)，顯著提升路由故障定位效率的同時(shí)，還可長(zhǎng)期監(jiān)控及回溯。

河北移動(dòng)致力于通過(guò)不斷的創(chuàng)新提高產(chǎn)品與業(yè)務(wù)的品質(zhì)，網(wǎng)絡(luò)安全是第一道屏障。本次現(xiàn)網(wǎng)部署，是與華為在智能IP網(wǎng)絡(luò)領(lǐng)域創(chuàng)新又一成功實(shí)踐，前期現(xiàn)網(wǎng)實(shí)際情況的驗(yàn)證結(jié)果表明，本次路由安全方案的部署可全面識(shí)別異常路由，主動(dòng)防御異常路由帶來(lái)的風(fēng)險(xiǎn)，高效保障網(wǎng)絡(luò)安全可靠的運(yùn)行。 河北移動(dòng)網(wǎng)絡(luò)運(yùn)維專(zhuān)家王立欣

本次智能路由安全解決方案的商用部署對(duì)于IP承載網(wǎng)絡(luò)的安全具有重大意義，尤其在5G和云計(jì)算蓬勃發(fā)展的大背景下，能夠?yàn)楦鞣N層出不窮的新業(yè)務(wù)提供全面智能化的路由安全防護(hù)，實(shí)現(xiàn)路由安全風(fēng)險(xiǎn)的最小化。未來(lái)，雙方將通力合作，繼續(xù)在智能IP網(wǎng)絡(luò)的安全能力加大創(chuàng)新投入，以智能化為網(wǎng)絡(luò)安全邊界注入新動(dòng)力，攜手打造高效安全的新型ICT基礎(chǔ)設(shè)施。

責(zé)任編輯：lq