阿凡达

发生什么了

互联网对日常生活变得至关重要 当它下降时 我们真正感受到它的影响网络原创-即所谓的ARPANET建为恢复和冗余性-有一些隐式漏洞可能破坏网络稳定性关键点是它建基于信任元素-引导用户端端端路径表准确性并可信地与其他网络元素分享视之为机场飞行指南-你指望它精度到达你的门、飞行和最终目的地想象一下,如果机场飞行指南突然乱套-或未能更新-会发生什么数周前互联网上发生这种情况 是因为关键协议中的漏洞 但有了正确的解析和自动化 这些问题可以更快地解析

2019年6月24日星期一边界网关内发生一系列事件问题从世界协调时10点34分26分开始并导致服务中断近2小时连串多事件放大问题引出故障时, 根由归结为路径漏出由错误前缀广告(使用前缀类比.IETF RFC 7908定义BGP路径漏水为“超出预期范围传播路由公告即自主系统宣布学通BGP通向另一AS违反接收者、发件人和/或前方AS的预想策略。BGP是一个“学习分发协议 ”, 缺乏强健保障防止传播不准确信息因此很容易快速传播错误信息自治系统实践只广告IP拥有或授权广告然而,BGP本身没有搭建保障措施验证这一点运算符必须配置过滤器以防止错误广告被接受并分发到他人

为何如此重要

根部原因似乎非恶意,而是运算符错误的结果路径泄漏源出BGP优化BGP优化器特征将IP前缀拆分成小块在本案中,104.20.0.0/20转换为104.20.0.0/21和104.20.8.02拆分IP小块的目的是提供机制引导网络内部流量离散本不该外部宣布小转口提供商DQE被发现为路线泄漏源DQE错误发布从内部网络到客户路线漏洞通过另一个ISP传播更多整列事件传播路线漏水 连网际服务商都出故障多ISP网络突然充斥网络流量,并不只是压倒网络, 通向许多其他网络与服务路由被送入错误路径死路路由泄漏影响全球估计2 400个网络,

BGP事件影响难以量化,受冲击二级服务提供方及其经验丰富的网络操作团队花了大量时间和资源来确定问题的根本原因。复杂提取根端结果 事件持续短短两小时假设这些团队使用自动化识别路线漏洞、评估冲击并解决错误路线公告,事件持续时间可能只持续分钟
除路线泄漏外,网络运营商还面临许多其他原因,导致网络性能退化、故障和交通误向事件前缀广告有误外,其他常见原因包括APN错误广告试图窃取网络和来自非授权源发布单比RKPI数据库

增长趋势

BGP路由事件撞击网络运算符频率增加网络协会表示2017年有14000条路由中断、泄漏和劫机中断互联网BGP事件报告表示事件原因与可配置的BGP属性相似BGP核心挑战之一(加福利)是它提供的灵活性协议在25年中适应并进化业务需求的能力也随之需要不断学习和主题知识和许多协议一样,即使是经验丰富的网络运算符也无法预测撞击变化将存在于自身设备上和超出自身控制范围设备上由于BGP的复杂性,防止恶意活动的措施要么没有得到实施,要么被忽视。恶意努力和复杂BGP管理、可见度和遵章性是网络所有者维护安全实用BGP环境的关键要求antamount是解决常时知识问题和中时检索问题的工具

网络运算符能做什么

网络运营商为何仍定期与这些问题抗争?简言之,网络运算符缺乏工具并缺乏可见度来确定BGP网络内外路由发生何事负作用BGP事件无法完全预防,运算符可用工具将MTTK和MTTR从数分解Cisco跨作业网络自动化套房显示如下

挑战:哪条路引起问题

Cisco跨工作网络自动化套件基础Cisco跨工作网络透视.跨工作网络透视提供所有BGP路由数据法剖析,对网络运算符快速查看数以百计源路由器全局BGP'LookingGlass'至关重要用户可查看个人BGP路径更新记录3个月窗口能力会减少理解BGP安全事件的范围和影响所需的时间和复杂性BGP安全事件有多种不同形式,工具能力使运算符可见度减少理解问题所需时间跨工作网络透视减少MTTK并举SaaS服务为例识别路由泄漏事件窗口2 646单列BGP安全事件从这些事件中,我们还观察到20 297条个人BGP线路因几条不同的BGP安全条件而受到影响

挑战:哪些问题真实性

网络操作员知道网络BGP事件是一个良好的开始,但目标为闭路自动化,以便检测到事件可以补救Cisco交叉作业Cisco跨作业状况管理器设计目的是帮助IT和网络操作团队快速理解其所负责系统可用性与性能跨工作状况管理员使用算法和机器学习技术实时记录跨工作网络透视事件性能影响事件,同时帮助智能工作流程跨技术跨组织边界解决问题

挑战:你如何编译操作工作流

协同情境管理员Cisco跨工作变换自动化自动解决BGP网络问题进程,允许运算符匹配跨工作网络透出警钟其结果是从金融和客户经验角度大大减少MTTR并节省费用

下一步能做什么

深入了解网络中发生的事情 联系思科账号团队或授权伙伴



作者类

阿凡达

马克奥斯汀

产品管理主管

服务提供者