思科運(yùn)營商路由系統(tǒng)和它的分布式、模塊化Cisco IOS XR軟件微內(nèi)核架構(gòu)可以通過跨越治理、控制和數(shù)據(jù)面板的內(nèi)嵌檢測(cè)、訪問控制和流程隔離技術(shù)，支持高度安全、持續(xù)的系統(tǒng)運(yùn)營 。
服務(wù)供給商利潤面臨的威脅
對(duì)于服務(wù)供給商而言，網(wǎng)絡(luò)安全與業(yè)務(wù)發(fā)展息息相關(guān) 。由于病毒、入侵、操作錯(cuò)誤和軟件配置錯(cuò)誤所導(dǎo)致的安全事件可能會(huì)導(dǎo)致廣泛的相關(guān)成本提高和一系列后果，例如服務(wù)中斷、經(jīng)濟(jì)損失、客戶不滿、生產(chǎn)率降低，甚至媒體關(guān)注 。為了保護(hù)收入和利潤，服務(wù)供給商必須保護(hù)他們的基礎(chǔ)設(shè)施，為安全連接、威脅防范和終端保護(hù)提供可治理的服務(wù) 。
為了在一個(gè)安全威脅（例如拒絕服務(wù)[DDoS]攻擊）層出不窮和策略日益復(fù)雜的環(huán)境中保持很高的可用性，服務(wù)供給商希望采用新的路由和交換解決方案 。這些解決方案應(yīng)當(dāng)可以提供有效、內(nèi)嵌、基于硬件的安全檢測(cè)，從而建立自我防御網(wǎng)絡(luò) 。這些新的不間斷系統(tǒng)運(yùn)營解決方案必須支持：
訪問隔離、故障隔離和內(nèi)存保護(hù)
無縫的軟件和硬件恢復(fù)
配置和治理保護(hù)
主動(dòng)、迅速的響應(yīng)
思科運(yùn)營商路由系統(tǒng)
思科運(yùn)營商路由系統(tǒng)（CRS-1）是一個(gè)多機(jī)架路由平臺(tái)，采用了一個(gè)模塊化、分布式的微內(nèi)核操作系統(tǒng)——Cisco IOS XR 。
在設(shè)計(jì)CRS-1時(shí)，思科的開發(fā)人員利用了Cisco IOS軟件的互聯(lián)網(wǎng)安全經(jīng)驗(yàn) 。Cisco IOS XR軟件的模塊化架構(gòu)在邏輯上和物理上都具有分布式的特性（如圖1所示），因而可以在創(chuàng)建一個(gè)高度可用的、安全的路由平臺(tái)和網(wǎng)絡(luò)方面提供巨大的優(yōu)勢(shì) 。分散的軟件組件（子系統(tǒng)）被部署為獨(dú)立的軟件流程，運(yùn)行在它們自己的受保護(hù)的內(nèi)存地址空間中 。這可以在發(fā)生安全事件時(shí)實(shí)現(xiàn)真正的故障隔離和分區(qū)，防止一個(gè)子系統(tǒng)中發(fā)生的故障對(duì)其他的子系統(tǒng)造成不利影響 。
與像FreeBSD UNIX這樣的單內(nèi)核架構(gòu)不同，網(wǎng)絡(luò)堆棧（例如TCP）作為一個(gè)單獨(dú)的進(jìn)程，在微內(nèi)核之外運(yùn)行 。因此，即使TCP堆棧受到安全威脅，系統(tǒng)仍然可以正常運(yùn)行 。在需要恢復(fù)服務(wù)時(shí)，相關(guān)流程會(huì)自動(dòng)重啟，不需要人為干預(yù) 。此外，模塊化軟件架構(gòu)和服務(wù)中軟件升級(jí)（ISSU）支持讓用戶可以在不關(guān)閉整個(gè)系統(tǒng)的情況下，迅速地安裝一個(gè)補(bǔ)丁 。
在Cisco IOS XR軟件中保持深入的故障隔離和實(shí)現(xiàn)安全檢測(cè)的要害是，它在三個(gè)面板之間對(duì)流程進(jìn)行了邏輯分配 。每個(gè)面板都采用了自己的訪問控制機(jī)制，以實(shí)現(xiàn)網(wǎng)絡(luò)的安全運(yùn)行 。這三個(gè)面板分別是：
控制面板
數(shù)據(jù)面板
治理面板控制面板保護(hù)
所有路由控制信息都在控制面板進(jìn)行交換，這使得控制面板及其組件成為了一個(gè)攻擊目標(biāo) 。因?yàn)榭刂泼姘宓挠览m(xù)性取決于CPU的處理能力和可擴(kuò)展性，所以針對(duì)CPU的“資源耗盡式”攻擊并不少見 。
為了支持可擴(kuò)展性和性能，CRS-1控制面板采用了分布式、冗余的路由處理器——對(duì)稱式多處理器（SMP）CPU 。在正常情況下，CRS-1所傳輸?shù)牧髁坑伤木€卡以線速進(jìn)行處理 。但是，在發(fā)生意外情況時(shí)，分組被轉(zhuǎn)發(fā)到路由器本身 。這些包括路由協(xié)議、互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）和網(wǎng)絡(luò)治理分組在內(nèi)的“轉(zhuǎn)移分組”將從線卡分組處理器發(fā)送到線卡CPU或者路由處理器CPU 。
為了防止控制面板在一個(gè)開放的環(huán)境中遭受DoS攻擊，CRS-1在線卡和它的分組處理器中分配了多種層次化的安全功能 。這些功能包括：
動(dòng)態(tài)控制面板保護(hù)（DCPP）
自動(dòng)控制面板擁塞過濾器
控制面板生存時(shí)間（TTL）完整性檢查（RFC 3682，通用TTL安全機(jī)制（GTSM））
邊界網(wǎng)關(guān)協(xié)議（BGP）路由協(xié)議過濾和路由策略語言（RPL）

推薦閱讀

• 

  夏天臥室空調(diào)怎么開省電還涼爽?
• 

  天天吃生蠔對(duì)身體好嗎,生蠔一天吃幾個(gè)最好
• 

  167開頭的手機(jī)號(hào)屬于哪個(gè)運(yùn)營商
• 

  新買的胸罩有味道怎么辦
• 

  經(jīng)常梳頭能改善發(fā)質(zhì)嗎
• 

  如何自學(xué)計(jì)算機(jī)基礎(chǔ)知識(shí)
• 

  未來小七平板激活碼是什么
• 

  戴爾筆記本白屏怎么辦
• 

  男生唱歌技巧 男生怎么唱歌好聽
• 

  紅包延遲到賬能收回嗎
• 

  濰坊市未來房價(jià)趨勢(shì),濰坊房價(jià)未來趨勢(shì)如何
• 

  雞蛋雞淖的做法步驟
• 

  倪健哪里人,周琦是哪里人
• 

  西安理工大學(xué)研究生，安徽大學(xué)和西安理工及西安科技哪個(gè)實(shí)力強(qiáng)
• 

  2022山東清明前后冷不冷
• 

  中國第一家免費(fèi)郵箱系統(tǒng),100個(gè)免費(fèi)郵箱

• Cisco 1800、2800 和3800 集成多業(yè)務(wù)路由器的安全特性
• Cisco 675 路由器Web管理拒絕服務(wù)漏洞
• Netopia 650-T ISDN路由器用戶名和口令泄露漏洞
• Cisco千兆交換路由器ACL被繞過以及拒絕服務(wù)攻擊
• 路由器VS防火墻 ROUTER典型防火墻設(shè)置
• 路由器“黑洞”威脅互聯(lián)網(wǎng)絡(luò)安全
• 配置NetScreen208＋C3550VLAN間路由
• 防毒別忘了路由器
• 北電網(wǎng)絡(luò)安全路由技術(shù)
• Cisco路由器安全配置