由于违反规定的行为(例如入侵者转移或者分析网络流量)所导致的未经授权的或者恶意的路由更新可能会威胁网络安全。部署基于报文摘要算法5(MD5)的相邻路由器身份验证是避免伪装的一种常用方法,它实际上确保了路由器从某个可靠的来源获得可靠的信息——但是这仅仅是第一步。如果伪装的BGP分组开始涌向路由器,接收路径访问控制列表(ACL)和模块化QoS CLI(MQC)速率限制能够准确地控制这些分组的传输。但是,ACL和MQC控制并不是自动进行的。如果BGP对等主机关机或者重启,第四层端口编号就会随着每个进程的重新建立而改变。因此,网络设计人员一直在寻找一种自动、动态的方式来准许经过设置的BGP对等进程和丢弃未经设置的进程。
为此,CRS-1为线卡分组处理提供了一个DCPP方法。利用DCPP,经过正确设置的BGP对等进程会自动获得足够的资源,而未经设置的进程则会被丢弃或者获得最低限度的处理。这种准许-拒绝模式建立在静态设置的IP地址和动态的第四层端口号之间的关联关系的基础上。在身份验证和建立最大限度的准入控制之前,需要为初始连接设置不同的资源策略。控制面板分组必须经过是一个多层次的事先筛选流程,直到得到一个内部搜索表的授权之后,它们才会获得足够的资源。这种自动化的流程可以节约网络管理员为了其他关键任务进行手动设置所需要的时间。
自动控制面板拥塞页码:[1] [2] [3] [4] [5] [6] [7] [8] 第4页、共8页 |
