專網組播應用設計與安全策略

李乃振

(92493部隊 遼寧 葫蘆島　114200)

專網組播應用設計與安全策略

李乃振

(92493部隊 遼寧 葫蘆島114200)

摘要：介紹了測通專網主要拓撲結構、業務應用情況，分析研究了組播關鍵技術、特點及面臨的安全問題，對專網的組播協議選擇、路由設計、組播安全策略設置方面提出了具體的設計方案和建議。

關鍵詞：專網；組播設計；安全策略

相對于單播點到點的傳輸機制，組播以單點發送多點接收的優勢在單位專網中保障數據、話音、圖像等業務流通信傳輸得到了越來越重要應用。其優點在于：優化了網絡性能，提高網絡傳輸效率(減少網絡傳輸開銷，占用更少組播源主機、路由器處理資源、降低網絡帶寬使用量、無需知道接收者地址，減少接收者觀測到的延遲)；分布式交互、可擴展性好(發送者將數據“一次”發送給“無限個”接收者)。

1專網概況

1.1　專網組網拓撲

單位專網網絡拓撲是以一、二級控制中心及外測控站的三層局域網組成的城域網網絡拓撲結構，局域網一般呈星型結構，如圖1所示。

1.2　專網業務應用分析及下步需求

單位專網為實現數據傳輸實時、可靠傳輸，網絡業務應用主要以組播形式進行。主要有：實時語音、實時圖像、指揮顯示、時間統一、實時測量數據、實時安全控制數據等。

圖1　專網拓撲示意圖

其業務應用數據流特性如下：實時突發小數據流(語音)；實時突發大數據流(安全控制數據)；穩定小數據流(指揮顯示、時間統一)；實時穩定大數據流(圖像、測量數據)。

數據流向為：多個外測控站向二級中心傳輸交互(圖像、測量數據、安全控制數據等)；二級中心向一級中心、外測控站傳輸(語音、指揮顯示、時間統一等)。

隨著專網網絡規模不斷擴大，測量設備逐年增加，各測量設備接入IP化建設改造不斷深入，網絡業務應用在向更多、更大的實時穩定大數據流(測量數據)保障需求發展，同時也給專網網絡性能、組播業務組織帶來很大壓力。

2專網應用業務組播傳輸設計

2.1　組播傳輸關鍵技術

2.1.1關于組播模型

組播傳輸有任意源(ASM)、指定源(SSM)二種模型，按實現層次可分為網絡層IP組播和應用層組播[1]，本研究中涉及都為網絡層IP組播。

在ASM組播模型中，任意主機都可以成為組播源，其他接收主機通過加入組播組地址標識的主機組，獲得組播信息。該模型中接收主機無法預先知道組播源的位置，并且可以在任意時間加入或離開該主機組。

SSM組播模型的特點是接收主機已經通過預置信息知道組播源的具體位置，直接在組播源和接收主機間建立最短路徑樹(SPT)，而不是像ASM那樣先建立共享樹(RPT)而后再根據需要轉換到最短路徑樹。SSM組播模型具有非常突出的優越性，網絡中不再需要匯聚點(RP)，也不再需要共享樹或匯聚點的映射，具有極高的分發樹建立效率，同時網絡中也不再需要組播源發現協議(MSDP)以完成匯聚點與匯聚點之間的源發現。

2.1.2關于組播協議

組播協議主要有：用于主機注冊的互聯網組管理協議(IGMP)和用于組播選路轉發的組播路由協議，常見的如協議無關組播協議(PIM)、組播源發現協議(MSDP)和組播擴展邊界網關協議(MP-EBGP)等。其在網絡中的應用位置圖2所示。

圖2　網絡組播協議應用位置示意圖

IGMP是組播管理的基礎，它運行于主機和主機相連的組播路由器之間，主要用于管理維護組播成員的關系。它目前有3個版本，IGMPv1中定義了基本的組成員查詢和報告過程，IGMPv2在此基礎上添加了組成員快速離開的機制，IGMPv3中增加的主要功能是成員可以指定接收或指定不接收某些組播源的報文。3個版本都適用于ASM，IGMPv3可以直接應用于SSM，IGMPv1和v2需要在相關特性(SSM-Mapping)的支持下才可以應用于SSM。另外，IGMP組播成員管理機制是針對OSI模型第三層設計的，在第三層路由器可以對組播報文的轉發進行控制，只要進行適當的接口配置和對TTL值的檢測就可以了。在二層交換設備為避免組播報文轉發設備所有接口，應啟用IGMP監聽特性(IGMPSnooping)[2]。

組播路由協議用于建立和維護組播路由，正確、高效地轉發組播數據包，主要運行在組播路由器之間。組播路由建立了一個從數據源端到多個接收端的無環數據傳輸路徑，即構建分發樹結構。在ASM模型里組播路由分為域內和域間二大類，常用的域內路由協議PIM分為密集模型(PIM-DM)、稀疏模型(PIM-SM)二種。常用的域間組播路由協議有組播源發現協議(MSDP)和組播擴展邊界網關協議(MP-EBGP)等。SSM模型沒有域內和域間的區分，由于接收主機預先知道組播源的具體位置，因此只需要借助稀疏PIMSM構建的通道即可實現組播信息傳輸。

PIM工作原理是在單播路由協議基礎上，使用單播路由表實現逆向路徑轉發(RPF)機制，與協議無關，沒有獨立的組播路由表，不必發送組播路由的更新，這樣就節省系統資源。PIM-DM采用基于源構建分發樹，叫做源樹，原理是在路由器上對每個源和組播組建立最優路徑，使用最短路徑的方式(SPF)選擇路徑，優點是延時小，但保存的路由信息大，消耗系統資源高，適用于小型網絡。PIM-SM基于RP構建分發樹，也就是RPT。其原理是在網絡中會選取一個點作為公共根，所有的組播報文都需要從這個點來進行傳送。它選擇的路徑不一定是網絡中的最優路徑，但占用網絡資源較少，適用于大型網絡。

2.1.3關于PIM-SM協議中RP的選擇

在PIM-SM部署的網絡中，RP的選擇、架設位置非常重要，其選擇主要有3種方式：靜態RP、BSRRP、AnycastRP。

靜態RP網絡中，RP選擇是由配置指定的，需要在網絡中每臺路由器上指定RP的地址。這種方式配置最簡單，比較適合在小規模的網絡中使用。這種方式不支持備份。

一般情況下PIM-SM組網規模都很大，通過RP轉發的組播信息量巨大，為緩解RP的負擔同時優化共享樹的拓撲結構，不同組播組應該對應不同的RP，此時就需要自舉機制來動態選舉RP，此時需要配置自舉路由器BSR(BootStrapRouter)或者AnycastRP。在自動RP方式下，使用多個RP來做備份、負載分擔，不過在一個組播組只有一個RP實時起作用。

AnycastRP是對自動RP的全新擴展，它必須與MSDP協議配合，用虛擬RP地址代替網絡中多個RP地址，這樣在配置設備時只需知道虛擬RP地址，就近選擇實際RP。這樣就同時實現負載分擔、冗余備份，也增強了網絡系統的健壯性，易用性，提升了系統性能。3種RP部署方式的對比，如表1所示。

表1　3種RP部署方式的對比

2.1.4關于AnycastRP的實現機制

AnycastRP的機制概括為：多個RP配置一個相同的AnycastRP地址，這個地址使用RP上的一個接口(通常是邏輯接口，即LoopBack接口)。之后RP使用這個接口地址對外發布組到RP的映射信息。由于使用的是AnycastRP地址，所以組成員在加入時，會向拓撲距離最近的一個RP發起。在這些RP之間使用各自不同的地址建立MSDP連接，利用MSDP實現組播源信息在所有RP之間的同步。AnycastRP實際上是MSDP在域內的一個特殊應用。

如圖3所示，PIM-SM網絡采用單自舉路由器(BSR)管理域方式，擁有多個組播源和多個接收者。在PIM-SM域內配置AnycastRP，當新成員加入組播組時，與接收者直接相連的路由器能夠向拓撲距離最近的RP發起加入。PIM-SM網絡中運行OSPF提供單播路由。在Rb和Rd的Loopback0(Lo:0)接口上配置MSDP對等體；Loopback1(Lo:1)接口上配置C-BSR；Loopback10(Lo:10)接口上配置C-RP。

圖3　Anycast RP配置組網示意圖

2.1.5關于PIM-SSM協議的原理及部署

SSM模型主要解決了ASM模型分發樹建立過程效率較低的問題。SSM服務模型是PIM-SM協議機制的子集，普通IP組播和SSM都可以用PIM-SM協議實現，它無需RP節點，無需構建RPT樹，無需源注冊過程，同時也無需MSDP來發現其他PIM域內的組播源。

當共存于同一臺路由器的時候，SSM只處理組地址為232/8的組播數據和協議。它可以和PIM-SM共存于同一臺路由器，根據數據和協議報文中的組播地址來決定使用SSM還是PIM-SM。IANA為SSM分配了地址段232/8，此地址段的組播組不會加入共享樹，而是由SSM處理。SSM同樣需要通過周期性地發送HELLO報文來實現鄰居發現和DR選舉。

SSM組播路由器和主機之間相互作用是通過IGMPv3實現的。當路由器相關接口接收到所連接網絡有主機的加入組播組G(來自源S)數據報后，根據單播路由向連接組播源的路由器逐跳朝源的方向發送PIM(S,G)源組加入報文，從而在組播源和連接接收者的最后一跳路由器之間建立起最短路徑樹。當組播源發送組播數據的時候，這些數據就沿著最短路徑樹直接到達接收者。在僅支持IGMPv1/IGMPv2主機的網絡中，可以采用SSM-Mapping技術，通過在主機連接的路由器上配置SSM-Mapping，將IGMPv1/IGMPv2發送的組加入報文映射為源組加入，從而應用SSM技術。

SSM具體部署實例如圖4所示，接收者通過組播方式接收組播信息，來自不同方向的一個或多個接收者主機組成末梢網絡。

圖4　PIM-SSM典型配置組網示意圖

2.2　專網組播傳輸設計

通過上述分析，結合專網實際網絡拓撲、主機規模、業務數據流大小及流向，建議實施組播傳輸設計如圖5所示。

圖5　專網組播應用設計示意圖

根據組播主機分布廣泛，地域較廣，但是設備實際可控，所以只設一個組播域，一、二級中心、測通站都在域內。

組播模型采用ASM、SSM混合組網，組播路由協議采用PIM-SM、PIM-SSM路由協議混合實施。

在ASM模型，實施有備份的環境里采用AnycastRP技術，結合應用MSDP協議，實現RP的負載分擔，其他路由器實施指定靜態RP。

對于部分已知大部分應用業務，采用SSM模型，如：指顯數據，組播地址232/8按不同2級節點進行劃分。在不支持IGMPv3的路由器采用SSM-Mapping技術

用戶端主機盡量采用組播管理協議IGMPv3版本，在2層交換機端采用IGMPSnooping技術。

3專網組播應用安全策略

3.1　組播問題分析

在前期專網建設，組播傳輸保障中，發現專網組播應用存在問題如下：

1) 組播特性方面：由于實時測量遙測數據傳輸基于UDP，以盡力方式(best-effort)轉發[3]，而無重傳機制，所以存在因未送達、亂序、重復包等可靠性差問題。由于采用ASM模式，存在開放的組成員關系：即任何一個人都可以查看組中的數據或者向組中插入數據；每個人收到的都是相同的數據包：不具備個性化，不可定制；發送者不必具有成員資格：不能對流入組中的信息進行控制，存在訪問控制缺乏、RP單點瓶頸風險、組播轉發不經濟安全性差缺點。

2) 管理層面：由于專網初期建設，組播應用較少，沒有實施安全策略，存在組播地址、端口不規范，組播服務軟件不規范(經常有大包、突發流量)問題。沒有實施網絡統一規劃，應用多種組播協議技術，用戶業務流使用較亂現象；目前組播接收主機終端越來越多，路由器設備臨近使用年限老化、性能下降嚴重；

因此，建議在專網新一期的建設中，盡量實現可控組播，因此除了進行統一、優化的設計方案外，尤其應配置合適的安全控制策略。

3.2　組播安全策略

1) 組播組管理協議方面

為組播用戶指定組播組，在接入交換機配置組播組過濾策略(IGMPgroup-policy)，只允許收到策略允許的正常IGMPreport報文。在核心匯聚交換機上進行組播組轉發過濾，過濾掉非法組播信息流[4]。

控制組播用戶，通過對2層交換機的端口或VLAN的應用802.1X協議對用戶的組播權限進行驗證。如果驗證通過，則2層設備接收用戶的IGMP加入/離開的信息，并建立相應的轉發表項，允許用戶接收組播流量。否則，丟棄用戶的IGMP報文，禁止用戶接收組播流量。并且認證通過后，通過管理平臺為用戶建立一個組播訪問規則表項，用戶只能訪問授權的組播服務。

在二層交換機啟用IGMPsnooping或私有協議如思科CGMP防止組播報文向所有端口轉發，實現組播抑制，二層機制下只有發送IGMP請求的主機才能接收到組播數據。值得注意的是開啟IGMPsnooping會占用設備一定的CPU資源[5]。

盡量安裝使用較新支持IGMPv3協議操作系統的主機，盡量使用指定源組播模型，篩選數據信息。

2) 組播路由協議方面

實施ASM組播模型中應盡量選擇性能較高的靠近核心的網絡設備作為RP，為避免出現多個靜態RP的出現，選用動態競選(C-RP)的配置方法[3]。配置該設備優先級最高，并進行備選。

為防止RP欺騙，BSR(自舉路由器)也應配置C-RP策略，在對接收到的C-RP消息進行匹配時，只有當報文中的C-RP地址與策略規定的地址匹配，并且符合指定的組播地址范圍時，才認為匹配成功。因動態競選機制，需在每個C-BSR上進行相同過濾策略。

3) 另外

對專網業務數據流進行組播傳輸需求分析，點對點通信可以走單播的業務盡量走單播，以減少組播協議占用網絡設備資源開銷，影響系統可靠性。如：測量數據。

對于優先級要求高的實時業務數據流，應限制業務所占帶寬，全局配置QOS。在組播源端，通過流量監控(car)配置承諾訪問速率，以監管入口的組播流量，如果組播實際流量超出，則策略對其整形或丟棄。此外，根據需求，通過流分類規則定義組播報文的優先級，在交換機配置優先隊列PQ調度策略。

針對外部測量信息流匯聚到中心的特點，應重點考慮發送主機至網絡設備之間數據傳輸匹配能力，其次應考慮多個方向大量數據經網絡設備匯至中心接收主機，中心主機是否有能力處理這些匯聚信息。還有注意網絡設備中間不應出現帶寬瓶頸。

尤其注意傳輸中數據的分包大小應適當選擇，最好與網絡設備處理能力、如MTU等參數相適應，分包太小會占用網絡大量CPU資源產生丟包，太大了網絡設備頻繁拆裝數據，時延大也容易產生丟包，影響可靠性[6]。在網絡資源有限的情況下，適當分包小一些。另外注意組播應用中分包參數等設置也應注意，例如TTL設置不應太小[7]。

工程實施中應考慮到組播模式的選擇可能對網絡中安全保密設備的架設及設置有更為復雜的要求。

4結束語

隨著專網IP化逐漸深入建設，IP業務逐漸增多，組播技術已經成為點對多點多媒體IP業務的基礎、重要的IP傳輸保障手段，但組播安全技術尤其是可控組播技術目前還沒有成熟的標準的現實，需要我們進一步進行探索、研究、實驗。

參考文獻：

[1]蔣東星,鄭少仁.IP網絡組播技術的新發展[J].電信科學,2003(9):9-13.

[2]朱加勇,施宇星.組播技術及其在測量船測控網絡的應用[J].載人航天,2009(3):44-47.

[3]劉叢,高仲合.IP組播網絡脆弱性分析與安全策略研究[J].網絡安全技術與應用,2008(5):14-16.

[4]徐俊,陳雪軍.航天測控通信IP網中可控組播的實現[J].遙測遙控,2012,33(4):61-63.

[5]李光明,游苑,劉佳.IP通信網組播安全策略分析[J].重慶通信學院學報,2013,32(3):23-25.

[6]張海江,于昌民.IP組播技術在遙測數據傳輸中的應用分析[J].遙測遙控,2011,32(4):70-72.

[7]李康,陳雪軍.航天通信IP網組播常見故障解決方法[J].遙測遙控,2012,33(2):58-62.

(責任編輯楊繼森)

_______________________

收稿日期：2015-01-16

作者簡介：李乃振(1975—)，男，工程師,主要從事計算機網絡、網絡安全研究。

doi:10.11809/scbgxb2015.07.029

中圖分類號：TP393

文獻標識碼：A

文章編號：1006-0707(2015)07-0113-05

本文引用格式：李乃振.專網組播應用設計與安全策略[J].四川兵工學報，2015(7):113-116.

Citationformat:LINai-zhen.MulticastApplicationDesignandSecurityStrategyinSpecialNetwork[J].JournalofSichuanOrdnance,2015(7):113-116.

MulticastApplicationDesignandSecurityStrategyinSpecialNetwork

LINai-zhen

(TheNo. 92493rdTroopofPLA,Huludao114200,China)

Abstract:This paper mainly introduced special network topology structure and service application, and analyzed and researched on the key technology, characteristic and security multicast. Based on the above analysis, detail design proposal and suggestions of special network, multicast protocol of choice, route design, multicast security policy setting and so on were put forward.

Key words:special network; multicast design; security policy

_______________________

【信息科學與控制工程】