城域网规划中的网络安全设计考虑

城域网规划中的网络安全设计考虑

邵郁 1 汪东 2

1. 国网六安供电公司 安徽 六安 237000 2. 国网六安供电公司 安徽 六安 237000

摘要：本文首先简介了DNS，接下来详细阐述了DNS篡改，最后对城域网优化改造方案进行具体论述，希望通过本文的分析研究，给行业内人士以借鉴和启发。

关键词：城域网规划；网络安全；设计；考虑

引言

网络科技发展日新月异，互联网已发展成为国家基础设施，承担推动信息技术产业跨越发展、拓展网络经济新空间、实施网络强国战略的重任。网络攻击、网络黑客层出不穷，网络环境中面临各种挑战，网络安全是保证国家安全的关键。

1 DNS简介

DNS（DomainNameSystem，域名系统）是一个结构化分层去中心系统，主要用于实现域名和实际IP地址之间的映射，是互联网中不可或缺的重要基础网元。DNS使互联网访问更加便捷，不用记住IPv4地址，只需关注域名即可，尤其是IPv6时代，128位IP地址更加冗长，DNS系统的重要性愈发突出。正常情况下，用户访问Web页面或者网络服务向公用DNS服务器发送域名查询信息获取对端的服务IP地址。如果DNS服务器缓存中有用户查询域名对应的IP地址信息，则直接发送DNS应答消息响应用户；如果没有用户查询的域名信息，则通过递归查询获取结果缓存，并发送DNS应答消息响应用户。

2 DNS篡改

2.1城域网防护方案

在无需用户端修改的前提下，最有效的防护方案是拦截用户发出的恶意DNS请求包，并用合法域名解析结果响应用户请求，即采用透明DNS代理技术。DNS透明代理采用黑名单方式，只干预非法恶意DNS的用户请求，不干预运营商DNS、互联网企业公共DNS（114DNS114.114.114.114、阿里云DNS223.5.5.5、谷歌8.8.8.8、Cloudflare1.1.1.1和IBM9.9.9.9等）请求。针对互联网客户，强烈建议使用运营商提供的DNS基础服务，尤其在IPv6场景下，公共DNS会收集IPv6的地址空间，一旦泄露，会面临被黑客扫描的风险，从而造成巨大损失。为高效部署DNS透明代理系统，可以在城域网出口侧集中部署维护，便于节省建设及运维成本。DNS透明代理部署可以采用串接或并接城域网至骨干网中继链路的方式。城域网至骨干网中继较多，全部覆盖将加大建设成本，且不利于后期城域网至骨干网中继扩容。常见城域网拓扑主要分为接入层、业务接入控制层、核心层三部分。通过在接入控制层将DNS流量打标，在核心层根据流量标记将DNS查询流量重定向到一条或多条至骨干网的中继，只监控重定向流量所关联的中继，从而有效节省系统建设成本。城域网出口路由器CR配置策略参考如下，并在CR至MSE下行口引用。DNS流量牵引代码如下：

aclnumber3000#DNSacl

配置

descriptionForDNSrule5permitudpdestination-porteqdns

#匹配NS请求包

returntrafficclassifiertcForDNSoperatoror

#DNS流分类配置

if-matchacl3000returntrafficbehaviortbRedirectToTransparentProxy

#DNS流动作行为配置

redirectip-nexthopxxx.xxx.xxx.xxxrouting-filterdefault-routingblackhole-routingreturntrafficpolicytp

DNS#流策略配置，增加DNS引流部分

share-mode、lassifiertcForDNSbehaviortbRedirectToTransparentProxyprecedence700

interfaceGigabitEthernetx/x/x/x

traffic-policytpDNSinbound

#CR下行接口入方向调用流量策略

Return

2.2家用路由器默认配置及固件漏洞

老式路由器默认用户名和密码为admin，默认管理地址是192.168.0.1。如果用户访问含有恶意代码的网页，在路由器默认用户名和密码没有修改的情况下，路由器的DNS设置会被修改。D-link、TP-link等路由器固件漏洞，会引发路由器DNS配置被远程修改。针对路由器的安全防护一直是传统安全软件的空白点，用户路由器一旦遭受攻击，往往无法避免。

3城域网优化改造方案

3.1路由优化

在IP城域网中应用独立高端CR出口路由器开启IPv4/IPv6双栈功能，并与China169及CNCNET网进行连接，IP城域网中尽可能应用独立AS号。IP城域网内的网络汇聚设备与CR出口路由器采用IBGP协议交换路由信息开启BGPV4/V6双栈功能，IGP路由器协议在业务接入控制点设备采用ISISV4/V6同时开启并顺利运行。IP城域网为高质量用户及普通用户提供不同的IPv4/IPv6地址，进行不同QOS等级标记，为业务分流提供便利。为高质量用户分配的IP地址应具有连续性方便地址收敛，按照国家要求IPv6地址要有明确的区域性，所以一定要事先做好IPv6地址区域划分。IP城域网CR路由器和骨干网路由器主要通过EBGP开启IPv4/IPv6双栈功能实现路由信息交换，应用CR出口路由器汇总IP城域网内的IPv4/IPv6路由，将信息发布到CNCNET及China169网中。

3.2内部设计的优化

目前，人们对互联网应用方面的要求逐渐提高，许多基础的网络服务已经不能满足互联网用户对其的个性化需求，因此运营商应对用户的需求加强重视。如借助QOS、组播及VPN等服务功能，来加强网络服务的多样化功能。IP城域网的网路内部设计是根据IGP路由规划方面开始，结合用户的需求匹配路由。即在IP城域网中部署性能较高的路由器，应用路由器内部设置，向基源地址网络传送路由。如商业用户对于网络服务的功能及质量有较高的要求，因此应将城域网路由器与骨干网相连，提升网络效率。只有满足用户需求，才能真正的优化改造IP城域网。

3.3络结构改造

IP城域网虽然分层方式简单，但网络结构却相对不清晰，因此应细化优化网络结构，IP城域网在细化后主要组成部分为骨干网及宽带接入网。城域骨干网是由业务接入控制点以及其他核心路由器所组成的三层网络，将其划分为核心层及控制层。宽带接入网主要为二层接入网，划分为接入层及汇聚层。

4无线网系统设计应用

城域网无线网络技术的应用要注意结合城市已有的网络光缆布局，连接最近的部门局域网和用网单位或个人。实际应用过程中，注意结合室外桥接的三种主要设计方式：点对点、点对多、混合型。要根据用户及其所处位置的具体情况作出合适的选择。在连接局域网时要有意识地将整个区域的安装情况结合起来，使之成为一个统一整体，这样可以在扩大网络服务范围的基础上方便管理。

结语

网络安全攻防是一个长期过程，是一场持久战，需要不断关注各类变化并提出应对策略，践行运营商应有的职责，守卫网络空间的蓝天。

参考文献:

[1]左宏亮.基于IPv6的IP城域网优化改造方案[J].中国新通信,2018,20(12):35-36.

[2]郭赵强,郎丰凯.河南移动IPv6升级改造方案设计与实施[J].中国新通信,2016,18(22):53-55.

[3]李翠芳,梅毅超.IP城域网网络优化改造[J].中国新通信,2018,20(12):75.