李乃振

(92493部隊 遼寧 葫蘆島　114200)

專網(wǎng)組播應(yīng)用設(shè)計與安全策略

李乃振

(92493部隊 遼寧 葫蘆島114200)

摘要：介紹了測通專網(wǎng)主要拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)應(yīng)用情況，分析研究了組播關(guān)鍵技術(shù)、特點及面臨的安全問題，對專網(wǎng)的組播協(xié)議選擇、路由設(shè)計、組播安全策略設(shè)置方面提出了具體的設(shè)計方案和建議。

關(guān)鍵詞：專網(wǎng)；組播設(shè)計；安全策略

相對于單播點到點的傳輸機制，組播以單點發(fā)送多點接收的優(yōu)勢在單位專網(wǎng)中保障數(shù)據(jù)、話音、圖像等業(yè)務(wù)流通信傳輸?shù)玫搅嗽絹碓街匾獞?yīng)用。其優(yōu)點在于：優(yōu)化了網(wǎng)絡(luò)性能，提高網(wǎng)絡(luò)傳輸效率(減少網(wǎng)絡(luò)傳輸開銷，占用更少組播源主機、路由器處理資源、降低網(wǎng)絡(luò)帶寬使用量、無需知道接收者地址，減少接收者觀測到的延遲)；分布式交互、可擴展性好(發(fā)送者將數(shù)據(jù)“一次”發(fā)送給“無限個”接收者)。

1專網(wǎng)概況

1.1　專網(wǎng)組網(wǎng)拓?fù)?/h2>

單位專網(wǎng)網(wǎng)絡(luò)拓?fù)涫且砸?、二級控制中心及外測控站的三層局域網(wǎng)組成的城域網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，局域網(wǎng)一般呈星型結(jié)構(gòu)，如圖1所示。

1.2　專網(wǎng)業(yè)務(wù)應(yīng)用分析及下步需求

單位專網(wǎng)為實現(xiàn)數(shù)據(jù)傳輸實時、可靠傳輸，網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用主要以組播形式進行。主要有：實時語音、實時圖像、指揮顯示、時間統(tǒng)一、實時測量數(shù)據(jù)、實時安全控制數(shù)據(jù)等。

圖1　專網(wǎng)拓?fù)涫疽鈭D

其業(yè)務(wù)應(yīng)用數(shù)據(jù)流特性如下：實時突發(fā)小數(shù)據(jù)流(語音)；實時突發(fā)大數(shù)據(jù)流(安全控制數(shù)據(jù))；穩(wěn)定小數(shù)據(jù)流(指揮顯示、時間統(tǒng)一)；實時穩(wěn)定大數(shù)據(jù)流(圖像、測量數(shù)據(jù))。

數(shù)據(jù)流向為：多個外測控站向二級中心傳輸交互(圖像、測量數(shù)據(jù)、安全控制數(shù)據(jù)等)；二級中心向一級中心、外測控站傳輸(語音、指揮顯示、時間統(tǒng)一等)。

隨著專網(wǎng)網(wǎng)絡(luò)規(guī)模不斷擴大，測量設(shè)備逐年增加，各測量設(shè)備接入IP化建設(shè)改造不斷深入，網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用在向更多、更大的實時穩(wěn)定大數(shù)據(jù)流(測量數(shù)據(jù))保障需求發(fā)展，同時也給專網(wǎng)網(wǎng)絡(luò)性能、組播業(yè)務(wù)組織帶來很大壓力。

2專網(wǎng)應(yīng)用業(yè)務(wù)組播傳輸設(shè)計

2.1　組播傳輸關(guān)鍵技術(shù)

2.1.1關(guān)于組播模型

組播傳輸有任意源(ASM)、指定源(SSM)二種模型，按實現(xiàn)層次可分為網(wǎng)絡(luò)層IP組播和應(yīng)用層組播[1]，本研究中涉及都為網(wǎng)絡(luò)層IP組播。

在ASM組播模型中，任意主機都可以成為組播源，其他接收主機通過加入組播組地址標(biāo)識的主機組，獲得組播信息。該模型中接收主機無法預(yù)先知道組播源的位置，并且可以在任意時間加入或離開該主機組。

SSM組播模型的特點是接收主機已經(jīng)通過預(yù)置信息知道組播源的具體位置，直接在組播源和接收主機間建立最短路徑樹(SPT)，而不是像ASM那樣先建立共享樹(RPT)而后再根據(jù)需要轉(zhuǎn)換到最短路徑樹。SSM組播模型具有非常突出的優(yōu)越性，網(wǎng)絡(luò)中不再需要匯聚點(RP)，也不再需要共享樹或匯聚點的映射，具有極高的分發(fā)樹建立效率，同時網(wǎng)絡(luò)中也不再需要組播源發(fā)現(xiàn)協(xié)議(MSDP)以完成匯聚點與匯聚點之間的源發(fā)現(xiàn)。

2.1.2關(guān)于組播協(xié)議

組播協(xié)議主要有：用于主機注冊的互聯(lián)網(wǎng)組管理協(xié)議(IGMP)和用于組播選路轉(zhuǎn)發(fā)的組播路由協(xié)議，常見的如協(xié)議無關(guān)組播協(xié)議(PIM)、組播源發(fā)現(xiàn)協(xié)議(MSDP)和組播擴展邊界網(wǎng)關(guān)協(xié)議(MP-EBGP)等。其在網(wǎng)絡(luò)中的應(yīng)用位置圖2所示。

圖2　網(wǎng)絡(luò)組播協(xié)議應(yīng)用位置示意圖

IGMP是組播管理的基礎(chǔ)，它運行于主機和主機相連的組播路由器之間，主要用于管理維護組播成員的關(guān)系。它目前有3個版本，IGMPv1中定義了基本的組成員查詢和報告過程，IGMPv2在此基礎(chǔ)上添加了組成員快速離開的機制，IGMPv3中增加的主要功能是成員可以指定接收或指定不接收某些組播源的報文。3個版本都適用于ASM，IGMPv3可以直接應(yīng)用于SSM，IGMPv1和v2需要在相關(guān)特性(SSM-Mapping)的支持下才可以應(yīng)用于SSM。另外，IGMP組播成員管理機制是針對OSI模型第三層設(shè)計的，在第三層路由器可以對組播報文的轉(zhuǎn)發(fā)進行控制，只要進行適當(dāng)?shù)慕涌谂渲煤蛯TL值的檢測就可以了。在二層交換設(shè)備為避免組播報文轉(zhuǎn)發(fā)設(shè)備所有接口，應(yīng)啟用IGMP監(jiān)聽特性(IGMPSnooping)[2]。

組播路由協(xié)議用于建立和維護組播路由，正確、高效地轉(zhuǎn)發(fā)組播數(shù)據(jù)包，主要運行在組播路由器之間。組播路由建立了一個從數(shù)據(jù)源端到多個接收端的無環(huán)數(shù)據(jù)傳輸路徑，即構(gòu)建分發(fā)樹結(jié)構(gòu)。在ASM模型里組播路由分為域內(nèi)和域間二大類，常用的域內(nèi)路由協(xié)議PIM分為密集模型(PIM-DM)、稀疏模型(PIM-SM)二種。常用的域間組播路由協(xié)議有組播源發(fā)現(xiàn)協(xié)議(MSDP)和組播擴展邊界網(wǎng)關(guān)協(xié)議(MP-EBGP)等。SSM模型沒有域內(nèi)和域間的區(qū)分，由于接收主機預(yù)先知道組播源的具體位置，因此只需要借助稀疏PIMSM構(gòu)建的通道即可實現(xiàn)組播信息傳輸。

PIM工作原理是在單播路由協(xié)議基礎(chǔ)上，使用單播路由表實現(xiàn)逆向路徑轉(zhuǎn)發(fā)(RPF)機制，與協(xié)議無關(guān)，沒有獨立的組播路由表，不必發(fā)送組播路由的更新，這樣就節(jié)省系統(tǒng)資源。PIM-DM采用基于源構(gòu)建分發(fā)樹，叫做源樹，原理是在路由器上對每個源和組播組建立最優(yōu)路徑，使用最短路徑的方式(SPF)選擇路徑，優(yōu)點是延時小，但保存的路由信息大，消耗系統(tǒng)資源高，適用于小型網(wǎng)絡(luò)。PIM-SM基于RP構(gòu)建分發(fā)樹，也就是RPT。其原理是在網(wǎng)絡(luò)中會選取一個點作為公共根，所有的組播報文都需要從這個點來進行傳送。它選擇的路徑不一定是網(wǎng)絡(luò)中的最優(yōu)路徑，但占用網(wǎng)絡(luò)資源較少，適用于大型網(wǎng)絡(luò)。

2.1.3關(guān)于PIM-SM協(xié)議中RP的選擇

在PIM-SM部署的網(wǎng)絡(luò)中，RP的選擇、架設(shè)位置非常重要，其選擇主要有3種方式：靜態(tài)RP、BSRRP、AnycastRP。

靜態(tài)RP網(wǎng)絡(luò)中，RP選擇是由配置指定的，需要在網(wǎng)絡(luò)中每臺路由器上指定RP的地址。這種方式配置最簡單，比較適合在小規(guī)模的網(wǎng)絡(luò)中使用。這種方式不支持備份。

一般情況下PIM-SM組網(wǎng)規(guī)模都很大，通過RP轉(zhuǎn)發(fā)的組播信息量巨大，為緩解RP的負(fù)擔(dān)同時優(yōu)化共享樹的拓?fù)浣Y(jié)構(gòu)，不同組播組應(yīng)該對應(yīng)不同的RP，此時就需要自舉機制來動態(tài)選舉RP，此時需要配置自舉路由器BSR(BootStrapRouter)或者AnycastRP。在自動RP方式下，使用多個RP來做備份、負(fù)載分擔(dān)，不過在一個組播組只有一個RP實時起作用。

AnycastRP是對自動RP的全新擴展，它必須與MSDP協(xié)議配合，用虛擬RP地址代替網(wǎng)絡(luò)中多個RP地址，這樣在配置設(shè)備時只需知道虛擬RP地址，就近選擇實際RP。這樣就同時實現(xiàn)負(fù)載分擔(dān)、冗余備份，也增強了網(wǎng)絡(luò)系統(tǒng)的健壯性，易用性，提升了系統(tǒng)性能。3種RP部署方式的對比，如表1所示。

表1　3種RP部署方式的對比

2.1.4關(guān)于AnycastRP的實現(xiàn)機制

AnycastRP的機制概括為：多個RP配置一個相同的AnycastRP地址，這個地址使用RP上的一個接口(通常是邏輯接口，即LoopBack接口)。之后RP使用這個接口地址對外發(fā)布組到RP的映射信息。由于使用的是AnycastRP地址，所以組成員在加入時，會向拓?fù)渚嚯x最近的一個RP發(fā)起。在這些RP之間使用各自不同的地址建立MSDP連接，利用MSDP實現(xiàn)組播源信息在所有RP之間的同步。AnycastRP實際上是MSDP在域內(nèi)的一個特殊應(yīng)用。

如圖3所示，PIM-SM網(wǎng)絡(luò)采用單自舉路由器(BSR)管理域方式，擁有多個組播源和多個接收者。在PIM-SM域內(nèi)配置AnycastRP，當(dāng)新成員加入組播組時，與接收者直接相連的路由器能夠向拓?fù)渚嚯x最近的RP發(fā)起加入。PIM-SM網(wǎng)絡(luò)中運行OSPF提供單播路由。在Rb和Rd的Loopback0(Lo:0)接口上配置MSDP對等體；Loopback1(Lo:1)接口上配置C-BSR；Loopback10(Lo:10)接口上配置C-RP。

圖3　Anycast RP配置組網(wǎng)示意圖

2.1.5關(guān)于PIM-SSM協(xié)議的原理及部署

SSM模型主要解決了ASM模型分發(fā)樹建立過程效率較低的問題。SSM服務(wù)模型是PIM-SM協(xié)議機制的子集，普通IP組播和SSM都可以用PIM-SM協(xié)議實現(xiàn)，它無需RP節(jié)點，無需構(gòu)建RPT樹，無需源注冊過程，同時也無需MSDP來發(fā)現(xiàn)其他PIM域內(nèi)的組播源。

當(dāng)共存于同一臺路由器的時候，SSM只處理組地址為232/8的組播數(shù)據(jù)和協(xié)議。它可以和PIM-SM共存于同一臺路由器，根據(jù)數(shù)據(jù)和協(xié)議報文中的組播地址來決定使用SSM還是PIM-SM。IANA為SSM分配了地址段232/8，此地址段的組播組不會加入共享樹，而是由SSM處理。SSM同樣需要通過周期性地發(fā)送HELLO報文來實現(xiàn)鄰居發(fā)現(xiàn)和DR選舉。

SSM組播路由器和主機之間相互作用是通過IGMPv3實現(xiàn)的。當(dāng)路由器相關(guān)接口接收到所連接網(wǎng)絡(luò)有主機的加入組播組G(來自源S)數(shù)據(jù)報后，根據(jù)單播路由向連接組播源的路由器逐跳朝源的方向發(fā)送PIM(S,G)源組加入報文，從而在組播源和連接接收者的最后一跳路由器之間建立起最短路徑樹。當(dāng)組播源發(fā)送組播數(shù)據(jù)的時候，這些數(shù)據(jù)就沿著最短路徑樹直接到達(dá)接收者。在僅支持IGMPv1/IGMPv2主機的網(wǎng)絡(luò)中，可以采用SSM-Mapping技術(shù)，通過在主機連接的路由器上配置SSM-Mapping，將IGMPv1/IGMPv2發(fā)送的組加入報文映射為源組加入，從而應(yīng)用SSM技術(shù)。

SSM具體部署實例如圖4所示，接收者通過組播方式接收組播信息，來自不同方向的一個或多個接收者主機組成末梢網(wǎng)絡(luò)。

圖4　PIM-SSM典型配置組網(wǎng)示意圖

2.2　專網(wǎng)組播傳輸設(shè)計

通過上述分析，結(jié)合專網(wǎng)實際網(wǎng)絡(luò)拓?fù)?、主機規(guī)模、業(yè)務(wù)數(shù)據(jù)流大小及流向，建議實施組播傳輸設(shè)計如圖5所示。

圖5　專網(wǎng)組播應(yīng)用設(shè)計示意圖

根據(jù)組播主機分布廣泛，地域較廣，但是設(shè)備實際可控，所以只設(shè)一個組播域，一、二級中心、測通站都在域內(nèi)。

組播模型采用ASM、SSM混合組網(wǎng)，組播路由協(xié)議采用PIM-SM、PIM-SSM路由協(xié)議混合實施。

在ASM模型，實施有備份的環(huán)境里采用AnycastRP技術(shù)，結(jié)合應(yīng)用MSDP協(xié)議，實現(xiàn)RP的負(fù)載分擔(dān)，其他路由器實施指定靜態(tài)RP。

對于部分已知大部分應(yīng)用業(yè)務(wù)，采用SSM模型，如：指顯數(shù)據(jù)，組播地址232/8按不同2級節(jié)點進行劃分。在不支持IGMPv3的路由器采用SSM-Mapping技術(shù)

用戶端主機盡量采用組播管理協(xié)議IGMPv3版本，在2層交換機端采用IGMPSnooping技術(shù)。

3專網(wǎng)組播應(yīng)用安全策略

3.1　組播問題分析

在前期專網(wǎng)建設(shè)，組播傳輸保障中，發(fā)現(xiàn)專網(wǎng)組播應(yīng)用存在問題如下：

1) 組播特性方面：由于實時測量遙測數(shù)據(jù)傳輸基于UDP，以盡力方式(best-effort)轉(zhuǎn)發(fā)[3]，而無重傳機制，所以存在因未送達(dá)、亂序、重復(fù)包等可靠性差問題。由于采用ASM模式，存在開放的組成員關(guān)系：即任何一個人都可以查看組中的數(shù)據(jù)或者向組中插入數(shù)據(jù)；每個人收到的都是相同的數(shù)據(jù)包：不具備個性化，不可定制；發(fā)送者不必具有成員資格：不能對流入組中的信息進行控制，存在訪問控制缺乏、RP單點瓶頸風(fēng)險、組播轉(zhuǎn)發(fā)不經(jīng)濟安全性差缺點。

2) 管理層面：由于專網(wǎng)初期建設(shè)，組播應(yīng)用較少，沒有實施安全策略，存在組播地址、端口不規(guī)范，組播服務(wù)軟件不規(guī)范(經(jīng)常有大包、突發(fā)流量)問題。沒有實施網(wǎng)絡(luò)統(tǒng)一規(guī)劃，應(yīng)用多種組播協(xié)議技術(shù)，用戶業(yè)務(wù)流使用較亂現(xiàn)象；目前組播接收主機終端越來越多，路由器設(shè)備臨近使用年限老化、性能下降嚴(yán)重；

因此，建議在專網(wǎng)新一期的建設(shè)中，盡量實現(xiàn)可控組播，因此除了進行統(tǒng)一、優(yōu)化的設(shè)計方案外，尤其應(yīng)配置合適的安全控制策略。

3.2　組播安全策略

1) 組播組管理協(xié)議方面

為組播用戶指定組播組，在接入交換機配置組播組過濾策略(IGMPgroup-policy)，只允許收到策略允許的正常IGMPreport報文。在核心匯聚交換機上進行組播組轉(zhuǎn)發(fā)過濾，過濾掉非法組播信息流[4]。

控制組播用戶，通過對2層交換機的端口或VLAN的應(yīng)用802.1X協(xié)議對用戶的組播權(quán)限進行驗證。如果驗證通過，則2層設(shè)備接收用戶的IGMP加入/離開的信息，并建立相應(yīng)的轉(zhuǎn)發(fā)表項，允許用戶接收組播流量。否則，丟棄用戶的IGMP報文，禁止用戶接收組播流量。并且認(rèn)證通過后，通過管理平臺為用戶建立一個組播訪問規(guī)則表項，用戶只能訪問授權(quán)的組播服務(wù)。

在二層交換機啟用IGMPsnooping或私有協(xié)議如思科CGMP防止組播報文向所有端口轉(zhuǎn)發(fā)，實現(xiàn)組播抑制，二層機制下只有發(fā)送IGMP請求的主機才能接收到組播數(shù)據(jù)。值得注意的是開啟IGMPsnooping會占用設(shè)備一定的CPU資源[5]。

盡量安裝使用較新支持IGMPv3協(xié)議操作系統(tǒng)的主機，盡量使用指定源組播模型，篩選數(shù)據(jù)信息。

2) 組播路由協(xié)議方面

實施ASM組播模型中應(yīng)盡量選擇性能較高的靠近核心的網(wǎng)絡(luò)設(shè)備作為RP，為避免出現(xiàn)多個靜態(tài)RP的出現(xiàn)，選用動態(tài)競選(C-RP)的配置方法[3]。配置該設(shè)備優(yōu)先級最高，并進行備選。

為防止RP欺騙，BSR(自舉路由器)也應(yīng)配置C-RP策略，在對接收到的C-RP消息進行匹配時，只有當(dāng)報文中的C-RP地址與策略規(guī)定的地址匹配，并且符合指定的組播地址范圍時，才認(rèn)為匹配成功。因動態(tài)競選機制，需在每個C-BSR上進行相同過濾策略。

3) 另外

對專網(wǎng)業(yè)務(wù)數(shù)據(jù)流進行組播傳輸需求分析，點對點通信可以走單播的業(yè)務(wù)盡量走單播，以減少組播協(xié)議占用網(wǎng)絡(luò)設(shè)備資源開銷，影響系統(tǒng)可靠性。如：測量數(shù)據(jù)。

對于優(yōu)先級要求高的實時業(yè)務(wù)數(shù)據(jù)流，應(yīng)限制業(yè)務(wù)所占帶寬，全局配置QOS。在組播源端，通過流量監(jiān)控(car)配置承諾訪問速率，以監(jiān)管入口的組播流量，如果組播實際流量超出，則策略對其整形或丟棄。此外，根據(jù)需求，通過流分類規(guī)則定義組播報文的優(yōu)先級，在交換機配置優(yōu)先隊列PQ調(diào)度策略。

針對外部測量信息流匯聚到中心的特點，應(yīng)重點考慮發(fā)送主機至網(wǎng)絡(luò)設(shè)備之間數(shù)據(jù)傳輸匹配能力，其次應(yīng)考慮多個方向大量數(shù)據(jù)經(jīng)網(wǎng)絡(luò)設(shè)備匯至中心接收主機，中心主機是否有能力處理這些匯聚信息。還有注意網(wǎng)絡(luò)設(shè)備中間不應(yīng)出現(xiàn)帶寬瓶頸。

尤其注意傳輸中數(shù)據(jù)的分包大小應(yīng)適當(dāng)選擇，最好與網(wǎng)絡(luò)設(shè)備處理能力、如MTU等參數(shù)相適應(yīng)，分包太小會占用網(wǎng)絡(luò)大量CPU資源產(chǎn)生丟包，太大了網(wǎng)絡(luò)設(shè)備頻繁拆裝數(shù)據(jù)，時延大也容易產(chǎn)生丟包，影響可靠性[6]。在網(wǎng)絡(luò)資源有限的情況下，適當(dāng)分包小一些。另外注意組播應(yīng)用中分包參數(shù)等設(shè)置也應(yīng)注意，例如TTL設(shè)置不應(yīng)太小[7]。

工程實施中應(yīng)考慮到組播模式的選擇可能對網(wǎng)絡(luò)中安全保密設(shè)備的架設(shè)及設(shè)置有更為復(fù)雜的要求。

4結(jié)束語

隨著專網(wǎng)IP化逐漸深入建設(shè)，IP業(yè)務(wù)逐漸增多，組播技術(shù)已經(jīng)成為點對多點多媒體IP業(yè)務(wù)的基礎(chǔ)、重要的IP傳輸保障手段，但組播安全技術(shù)尤其是可控組播技術(shù)目前還沒有成熟的標(biāo)準(zhǔn)的現(xiàn)實，需要我們進一步進行探索、研究、實驗。

參考文獻(xiàn)：

[1]蔣東星,鄭少仁.IP網(wǎng)絡(luò)組播技術(shù)的新發(fā)展[J].電信科學(xué),2003(9):9-13.

[2]朱加勇,施宇星.組播技術(shù)及其在測量船測控網(wǎng)絡(luò)的應(yīng)用[J].載人航天,2009(3):44-47.

[3]劉叢,高仲合.IP組播網(wǎng)絡(luò)脆弱性分析與安全策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(5):14-16.

[4]徐俊,陳雪軍.航天測控通信IP網(wǎng)中可控組播的實現(xiàn)[J].遙測遙控,2012,33(4):61-63.

[5]李光明,游苑,劉佳.IP通信網(wǎng)組播安全策略分析[J].重慶通信學(xué)院學(xué)報,2013,32(3):23-25.

[6]張海江,于昌民.IP組播技術(shù)在遙測數(shù)據(jù)傳輸中的應(yīng)用分析[J].遙測遙控,2011,32(4):70-72.

[7]李康,陳雪軍.航天通信IP網(wǎng)組播常見故障解決方法[J].遙測遙控,2012,33(2):58-62.

(責(zé)任編輯楊繼森)

_______________________

收稿日期：2015-01-16

作者簡介：李乃振(1975—)，男，工程師,主要從事計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)安全研究。

doi:10.11809/scbgxb2015.07.029

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

文章編號：1006-0707(2015)07-0113-05

本文引用格式：李乃振.專網(wǎng)組播應(yīng)用設(shè)計與安全策略[J].四川兵工學(xué)報，2015(7):113-116.

Citationformat:LINai-zhen.MulticastApplicationDesignandSecurityStrategyinSpecialNetwork[J].JournalofSichuanOrdnance,2015(7):113-116.

MulticastApplicationDesignandSecurityStrategyinSpecialNetwork

LINai-zhen

(TheNo. 92493rdTroopofPLA,Huludao114200,China)

Abstract:This paper mainly introduced special network topology structure and service application, and analyzed and researched on the key technology, characteristic and security multicast. Based on the above analysis, detail design proposal and suggestions of special network, multicast protocol of choice, route design, multicast security policy setting and so on were put forward.

Key words:special network; multicast design; security policy

_______________________

【信息科學(xué)與控制工程】