近日，中國移動河北分公司（以下簡稱“河北移動”）聯合華為在河北省省干核心路由器NetEngine 5000E-20上成功部署了智能路由安全解決方案。該解決方案憑借實時感知域內/跨域節點千萬級路由信息的多維智能分析、智能防御和歷史路由變化一鍵回溯等核心能力，實現了路由安全風險精準識別、主動防御，有效提升網絡韌性，將助力河北移動重塑安全的智能IP網絡邊界。

BGP作為業界應用最廣的域間路由協議，一直以來都是各大ISP互通路由信息的橋梁。由于BGP協議的設計是基于信任機制的，使得虛假或錯誤的路由信息也會在網絡間傳播，從而給互聯網帶來不安全和不穩定的因素，路由泄露、路由劫持等安全事故頻發，導致網絡中斷、業務中斷、客戶投訴、經濟損失等問題，影響面可達到全球級別。

隨著5G和云時代的到來，河北移動網絡應用與流量規模持續保持高速發展，對IP承載網的基礎設施安全提出了更高的挑戰。河北移動IP承載網承載了家寬、集客、IDC、4G/5G等重要業務，亟需提升網絡出口的路由安全能力，打造安全邊界，保證互聯網業務的平穩運營。因此，河北移動在省干出口核心路由器部署了華為智能路由安全方案，轉發層面為華為NetEngine 5000E-20核心路由器，控制層面通過標準的BGP監控協議BMP（BGP Monitoring Protocol）動態獲取網絡路由信息，由華為融合管控析平臺iMaster NCE（以下簡稱“NCE”）進行IGP/BGP路由信息的采集、分析、呈現及歷史信息記錄。從而提供異常路由識別更全、問題定位更準、安全性更高的解決方案，主動識別并防御異常路由帶來的風險，保障網絡安全可靠的運行。

華為智能路由安全解決方案，是華為智能IP骨干網絡智能運維能力的一個關鍵支撐，主要具有以下能力：

>>>>

路由實時采集，多維可視

傳統方案單純采集分析IPv4單播路由，無法獲得設備上BGP全量路由信息，呈現信息有限。華為智能路由安全解決方案，通過BMP協議機制拓展了BGP路由監控的能力，保證了針對不同BGP PEER路由收發分析的全面性和準確性，結合NCE的智能管控能力，實現路由變化實時采集及可視化呈現，并且具備千萬級的路由處理能力，充分滿足大型網絡的應用場景。

>>>>

智能路由分析，主動防御

實現BMP之前，通常要通過人工查詢方式來獲得設備的BGP運行狀態，效率較低。NCE可智能、全面的分析路由異常波動、明細路由突現等異常路由，支持按需設置告警類別及閾值，路由告警結合網絡拓撲可視化呈現。異常路由定位迅速、準確，極大提升了網絡邊界的安全性。此外，華為NetEngine 5000E-20核心路由器支持基于ROA（Route Origin Authentication）校驗路由前綴與AS號的合法性，在轉發層面也具備主動防御路由劫持的能力，從而實現控制層面與轉發層面的雙重防護。

>>>>

多維歷史回溯，一鍵查詢

在省干和城域網絡出口，每天路由更新量大，路由變化頻繁，而且許多攻擊是短暫的，由此引發的業務質量問題都難于回溯和定位。華為智能路由安全解決方案可根據BGP路由屬性、路由前綴特征等多維信息組合查詢，并且數據實時刷新，可隨時查看歷史數據，顯著提升路由故障定位效率的同時，還可長期監控及回溯。

河北移動致力于通過不斷的創新提高產品與業務的品質，網絡安全是第一道屏障。本次現網部署，是與華為在智能IP網絡領域創新又一成功實踐，前期現網實際情況的驗證結果表明，本次路由安全方案的部署可全面識別異常路由，主動防御異常路由帶來的風險，高效保障網絡安全可靠的運行。 河北移動網絡運維專家王立欣

本次智能路由安全解決方案的商用部署對于IP承載網絡的安全具有重大意義，尤其在5G和云計算蓬勃發展的大背景下，能夠為各種層出不窮的新業務提供全面智能化的路由安全防護，實現路由安全風險的最小化。未來，雙方將通力合作，繼續在智能IP網絡的安全能力加大創新投入，以智能化為網絡安全邊界注入新動力，攜手打造高效安全的新型ICT基礎設施。

責任編輯：lq