地震系统行业骨干网是中国地震局“十五”项目建设信息分项的重要内容之一,主要实现地震系统行业内部各区域中心节点、直属单位与国家中心节点的高速互连互通,为系统内各业务应用提供基础网络平台。各区域中心节点与国家中心节点之间采用SDH光传输网络,通过3X2M信道互联,最终汇聚于国家中心节点行业网主用、备用核心路由器设备上,从而构成一个高速行业骨干网络。

“十五”网络于2007年6月建成后,信道质量和带宽大幅提高,其稳定性和可靠性与“九五”网络相比也有了质的飞跃。链路冗余方面的设计保证了试运行及正式运行期间的连通率达到99.9%,成为承载测震、应急、预报、信息、前兆数据的主要传输信道。2008年初我国南方发生的特大雪灾和5月12日汶川8级地震期间,行业骨干网运行稳定,信道畅通,有效保证了各业务分项数据的传输,尤其是对测震与预报工作的支撑。在离开网络就寸步难行的今天,为防震减灾工作提供了坚实的基础平台,不但经受住了大灾的考验,更为我们应对突发事件提供了宝贵的经验。

非授权地址的路由信息扩散至其他区域,造成访问路径混乱,进而影响到各项业务的正常传输,这种情况在行业骨干网建设中已经多次出现,解决方法是通过路由过滤方法过滤非规划路由信息,排除此问题带来的访问故障。

LSA是Ospf路由协议进行数据交换的基础,也是其根本,对链路状态数据包进行过滤与Ospf路由协议工作原理是相违背的。既然无法对进入链路数据库的信息进行过滤,那么是否可以在路由表中实现对非授权路由的过滤呢?答案是肯定的。目前行业网路由过滤主要在核心网络设备上完成,利用前缀访问列表定义需要过滤的地址段。

前缀访问列表与我们通常使用的访问列表略有不同,更加灵活,语法如下:

ip prefix-list list-name[seq seq-value]deny | permit network/len[ge ge-value][le le-value]

ip prefix-list:定义前缀访问列表。

list-name:定义前缀访问列表名,可根据需要自行设定,如router_filter。

Seq:定义前缀访问列表过滤语句被处理的次序。缺省序号以5递增(5,10,15等等)。

deny|permit:定义当发现一个匹配条目时所要采取的行为,充许或者拒绝。

network/len:定义匹配的网络及子网掩码长度。Network是32位的地址,长度是一个十进制的数。

ge-value 代表比“network/len”更具体的前缀,要进行匹配的前缀长度的范围。如果只规定了“ge”属性,该范围被认为是从“ge-value”到32。

le-vlaue 代表比“network/len”更具体的前缀,要进行匹配的前缀长度的范围。如果只规定了“le-vlaue”属性,该范围被认为是从“len”到“le-value”。

在定义前缀访问列表时最容易让人产生误解的就是network/len、ge-value、le-vlaue。三者基本关系如下:

length < ge-length < le-length <= 32

在命令“ip prefix-list 1 permit 10.0.0.0/8 le 16”中,len等于8,le-value等16,即可以精确匹配前8位,前9位,前11位,…….一直到可以精确匹配前16位。

十五网络规划使用A类IP留地址段,10.0.0.0/8,每个区域中心分配一个B类地址,区域边界路由器已经对路由进行了汇总,路由器无需知道每个区域中心内部的详细路由。因此在路由过滤的具体应用中,我们只充许10.0.0.0/8～10.255.0.0/16的路由信息通过,同时通过的还有网络管理地址,其他路由信息均为非授权信息,应予以过滤。

配置示例

(1)定义前缀访问列表

ip prefix-list 1 seq 5 permit 10.0.0.0/8 le 16 充许行业网汇总路由信息通过

ip prefix-list 1 seq 20 permit 10.110.0.0/24 le 30 充许行业网互连路由信息通过

ip prefix-list 1 seq 30 permit 10.110.1.0/24 le 30 充许行业网互连路由信息通过

ip prefix-list 1 seq 40 permit 10.111.0.0/24 le 30 充许行业网互连路由信息通过

ip prefix-list 1 seq 50 permit 192.200.1.15/32 充许行业网网络管理路由信息通过

在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即在每个访问列表的最后,都隐含有一条“deny any”的语句。

(2)在Ospf进程中应用

router Ospf 101

distribute-list prefix 1 in

路由过滤在应用时既可以在Ospf进程中全局应用,也可以应用至某个具体接口,可根据实际需要确定。

(3)特殊需要

ip prefix-list 1 seq 10 permit 10.37.0.0/16 le 30 或者 ip prefix-list 1 seq 10 permit 10.37.0.0/16 le 32。充许本区域中心需要的路由通过。

(4)故障解决实例

210.72.X.X网络地址段是“九五”网络建设期间分配给各区域中心使用的地址,台网中心使用210.72.96.X网络对外提供众多服务,以地震信息网为例,其域名为http://www.csi.ac.cn,IP地址为:210.72.96.46。

故障描述:山东省地震局局域网无法访问地震信息网评比系统。

故障分析:通过检查发现域名解析地址正确,在路由跟踪时发现对地震信息网地址的访问通过行业网核心路由器到达台网中心核心设备后发生中断。

图2 错误路由跟踪信息
Fig.2 Incorrect traceroute information

上述现象是由台网中心内部与210网段的访问需求所造成的,静态路由在Ospf路由进程中重新发布后扩散至行业网,省局一方经过错误的路径访问地震信息网,自然会出现无法访问的现象。经过路由过滤后,非授权路由从路由表中消失,对地震信息网的访问通过山东省地震局互联网出口进行,网络访问恢复正常。

图3 正常路由跟踪信息
Fig.3 Correct traceroute information

从解决的故障来看,Ospf路由协议在带给我们网络管理的方便和更加强健的网络的同时,在一定程度上也增加了网络管理的难度。基础数据是各业务系统开展工作的基础,基础数据的获取主要通过网络系统来完成。作为地震系统业务系统数据传输的生命线,网络的稳定性、可靠性则成为信息网络工作的首要任务,短暂的中断都可能会造成严重的后果,网络系统如果在稳定性、可靠性上得不到保障,将直接影响地震速报、应急、预报等工作的开展。

路由过滤从技术上解决了非授权路由信息注入行业网的问题,非授权路由信息得到了有效控制,避免了由于路径错误可能造成的业务数据传输的中断,保证了行业网访问的畅通,但还存在一定的隐患。由于内部需求,各区域中心仍不可避免地发布非授权路由信息,非授权路由信息注入的无法监测性更是加大了网络运行管理的难度,当非授权路由信息与行业网地址规划发生冲突时,路由过滤也将失效。

在当前网络结构下,除技术手段外,还需通过管理手段进行一定约束,如涉及网络核心设备的管理行为需履行严格审批手续; 合理规划,避免将与行业网规划相冲突的静态路由引入Ospf路由进程; 与业务运行管理中心相协调,尽到通知义务,使其在过程中给予更多关注,在出现问题时能做到快速定位; 出台相关管理规定,避免过多的非授权路由信息的注入等。

要更好地运行行业骨干网还有很多工作要做,包括网络优化、人才的培养、管理制度的建立等。相信在信息网络人员的不断努力下,随着网络工作的不断深入开展,行业网将会更加稳定和可靠,并在防震减灾工作中发挥更大的作用。