基于高强度安防条件的组播业务实践研究_牛晓.pdf

电子质量2022年第12期（总第429期）基于高强度安防条件的组播业务实践研究牛晓，董云泰，吴兴发，张海（中国电子科技集团公司第二十八研究所，江苏 南京210007）摘要：随着信息技术的快速发展，IP组播技术俨然已成为一种被广泛地应用的计算机通信技术，该技术主要应用在音视频流信息传输、网络教学系统、企业通信软件、音视频会议系统和计算机游戏软件等多种信息系统中。然而在复杂的、大型的、安全防护手段较全面的信息系统中，业务服务基于IP组播技术进行数据通信实现时，会存在节点设备类型多、综合调试难度大等诸多问题。根据多个业务场景的调试经验对IP组播调试进行了梳理总结，为调试IP组播业务提供了可被借鉴的解决方案。关键词：信息系统；信息安全；IP组播；组播路由协议；安全防护中国分类号：TP 915.04文献标识码：A文章编号：1003-0107（2022）12-0098-04Research on the Debugging Practice of Multicast Service Based onHigh-intensity Security ConditionsNIU Xiao，DONG Yuntai，WU Xingfa，ZHANG Hai（The 28th Research Institute of China Electronics Technology Group Corporation，Nanjing 210007，China）Abstract：With the rapid development of information technology，IP multicast technology hasbecome a widely used computer communication technology，and the technology is mainly usedin audio and video stream information transmission，network teaching system，enterprise com-munication software，audio and video conferencing system，computer game software and otherinformation systems.However，in complex，large-scale information systems with comprehen-sive security protection methods，there are many problems，such as multiple types of node de-vices and difficulty in comprehensive debugging，when business services implement data com-munication based on IP multicast technology.According to the debugging experience of multipleservice scenarios，the IP multicast debugging is summarized，which provides a reference solu-tion for the debugging of IP multicast services.Keywords：information system；information security；IP multicast；multicast routing protocol；safety protectionCLC number：TP 915.04Document code：AArticle ID：1003-0107(2022)12-0098-04收稿日期：2022-10-28修回日期：2022-11-21作者简介：牛晓（1988），男，江苏南京人，中国电子科技集团公司第二十八研究所工程师，从事研究方向为信息系统网络安全研究工作。0引言随着企业和组织规模的不断扩大，特别是一些巨型超复杂组织（如政府和军队等）的信息化要求不断提高，以及互联网的普及与发展，信息系统不断地朝着网络化、复杂化、巨型化和智能化的方向发展1，进而延伸大型复杂信息系统部署应用越来越广泛。信息系统作为专门用于处理信息的系统类型，其生产出的信息传输载体主要以文本、图像、98基于高强度安防条件下组播业务实践研究牛晓，等音频、视频和数据等形式存在，相应软件/应用在设计开发过程中，对业务实时性高、终端数量多、数据体量大的应用场景，数据流转上一般采用IP组播技术来实现数据传输。IP组播技术作为一种高效的计算机通信技术，结合信息安全中对信息系统立体综合、纵深防御等要求，信息系统中组播业务的调试较为复杂困难。业务调试过程中，技术人员需针对数据流经的各个节点，进行抓包分析、表项查询、日志检索等操作，才能完成问题定位和故障分析。本文结合多个大型、复杂信息系统组播业务调试实践，对IP组播技术在安全防护条件下的运用进行分析研究，力求在其他类似场景中能够作为借鉴使用。1组播技术1.1通信模式信息的通信模式主要包括单播、广播和点播3种类型。单播传输模式中，通过点对点方式支撑大量客户端作为信宿，会带来信源负载高、延时长、通信效率低和网络拥塞等缺点；广播传输模式中，信源会进行无识别、无差异地数据转发，所有终端均会收到数据包，会带来数据流转不可控，网络设备压力大，终端处理负载高等影响。组播技术的发展及应用解决了单播传输效率低和广播传输安全性等问题。在计算机通信中，基于IP组播技术中组播路由协议建议树型路由。信源仅发送一份数据包，网络设备通过树型路由按需复制并转发数据包，实现组播通信2。结合对信宿加入组播组的认证机制，组播通信既提高了网络转发效率，也保证了通信安全性。1.2组播地址在开放式系统互联通信教参模式（OST：OpenSystem Interconnect Reference Model）模型中，IP协议属于第三层网络层协议。IP地址是一组32位的数字，一 般 采 用 点 分 十 进 制 格 式 表 示 为0.0.0.0-255.255.255.255，类别上划分A、B、C、D、E 5类，各类网段划分如表1所示。从表1中可知，IP地址划分中D类地址即为组播IP地址，其范围是224.0.0.0239.255.255.255。1.3组播协议IP组播协议运行在OSI模型的物理层、数据链层和网络层，各协议间协同作用保证组播通信的实现及 信 息 的 传 输，主 要 包 括Internet组 管 理 协 议（IGMP）、Internet组成员探测协议（IGMP Snoop-ing）、DVMRP、PIM-DM、PIM-SM MOSPF等。a）IGMPIGMP运行在路由器和客户机上，共包括IGM-Pv1、IGMPv2和IGMPv3这3个版本。通过该协议可实现客户端与路由间组成员查询、加入/退出组播组。b）IGMP SnoopingIGMP Snooping运行在交换机上，主要用于交换机动态探测发现互联设备上流转的IGMP数据包及组播信息。IGMP Snooping的作用机理主要是监听MAC地址首标为01-00-5E的数据包，通过其自身动态维护的交换地址表（CAM）管理组播信息。c）组播路由协议组播路由协议主要实现网络设备间组播数据包转发，具体包括密集模式（DVMRP、PIM-DM）、稀疏模式（PIM-SM、CBT）和链路状态（MOSPF）3类协议。密集模式协议的实现是将信息直接发送给所有路由器；稀疏模式协议的实现是通过建立一个所有路由器均能访问的中央数据库来进行组播信息共享；链路状态协议作为OSPF协议的组播扩展协议，其实现是通过Dijkstra算法计算的最短路径树及链路状态数据库来维护组播路由信息。在本文所述的实践中，涉及的组播协议主要包括IGMP、IGMP Snooping和PIM-SM。序号类别IP地址范围主要用途1A类1.0.0.0127.255.255.255适用于大型网络规划使用2B类128.0.0.0191.255.255.255适用于中型网络规划使用3C类192.0.0.0223.255.255.255适用于小型局域网规划使用4D类224.0.0.0239.255.255.255主要用于多播（组播）应用场景5E类240.0.0.0255.255.255.255规划用作试验备用表1 IP地址划分范围与用途99电子质量2022年第12期（总第429期）图1组播业务数据流转拓扑图图2组播数据流转逻辑关系2安全防护信息系统离不开安全防护，在信息安全领域，结合网络安全等级保护2.0相关标准要求，针对复杂的、大型信息系统的防护加固，安全防护措施需从物理安全、网络安全、系统安全、数据安全、应用安全、用户安全和安全管理等方面开展，形成立体综合、纵深防御的防护效果。只有通过人防和技防多层立体措施的综合运用，才能使信息系统整体形成全方位防护能力3。对于安全防护等级要求较高的信息系统，其环境构建中所架设的安全防护软硬件设备尤为全面。在信息系统安全技术防护手段较为全面、策略配置较为严密的环境中，典型的设备设施包括主机防护构件、信道加密设施、网络防火墙、WEB防火墙、虚拟化防护系统和用户认证管理系统等。组播业务在安全防护手段较为全面的环境中，需结合网络传输中的各节点运行特点，有针对性地进行特殊配置。在下文中将结合典型业务场景，介绍IP组播数据在安全防护条件下调试实践4。3运行环境在大型复杂信息系统构建过程中，云计算中提供的平台服务模式（PaaS）得到了广泛应用，通过云计算相关技术可将大量网络连接的计算、存储、网络和信息等资源进行统一管理和调度，构成一个资源池向用户提供按需服务5。业务应用实体的物理部署，按照“建网、构云、连端”思路来构建6。业务应用中组播数据的流转主要涉及服务器/PC、二/三层网络设备、安全防护设备，典型运行环境拓扑如图1所示。IP组播数据从后台的云计算存储管理平台中的虚拟服务器发出，其中虚拟化防护系统需允许组播数据透传。业务设计上组播源服务器A和组播源服务器B均会往组播组中发送业务数据。组播数据在后台，从云平台中发出后主要流经数据中心接入交换机（A/B）、数据中心核心交换机、WEB防火墙和路由器B，经信道加密设备到达前台路由器A，路由器A基于路由协议，经防火墙、核心交换机、接入交换机（A/B）到达PC终端（A/B）。4业务调试业务服务部署后，组播数据从后台服务器发送至组播组中，流向前后台各型各类通信网络和安全防护设备，前台PC终端加入组播组，通过组播协议即可接收组播组数据。组播数据流转逻辑关系如图2所示。a）虚拟化防护系统虚拟化防护系统主要用于保护部署在云平台上的虚拟服务器，通过控制服务器的进出流量先通过虚拟化防护系统实现安全管控，也能对组播源数据100基于高强度安防条件下组播业务实践研究牛晓，等进行安全管控。在该防护系统中需添加源地址为源服务器地址、目的地址为组播地址、端口为业务端口的策略。b）（数据中心）接入交换机（A/B）数据中心接入交换机（A/B）主要用于接收通过Trunk口发送来的组播数据，并建立二层组播转发表项7。在该类设备中相关业务VLAN接口下配置激活IGMP Snooping。c）（数据中心）核心交换机数据中心核心交换机的主要作用是转发组播注册包，建立三层IGMP组播表项，并与上连设备建立PIM邻居关系，动态维护相关表项。在该设备上需全局启用组播路由协议（multi-cast-routing）多播路由，并在业务VLAN接口上配置IGMP和PIM-SM。另外，在与其上连设备的互联接口上也需配置PIM-SM。d）万兆（WEB）防火墙环境中部署的WEB防火墙主要用于对应用层WEB业务进行安全管控，万兆防火墙主要用于对网络层数据防护能力，因此，需尤其关注该设备配置