根据当前的网络拓扑结构与用户情况分析，当前网络中还可能存在以下安全隐患：（1）DHCP服务器被仿冒风险。企业网
络中的终端与网络设备居多，非常依赖DHCP服务器进行IP地址及其它网络参数的分配，但DHCP服务器与DHCP客
户端之间并没有可靠的认证机制，故可能存在DHCP服务器被仿冒的风险。一旦DHCP客户端从仿冒的DHCP服务器获
取到网络参数，将可能造成客户端无法访问网络，甚至引起大规模的网络访问事故。解决方案： 通过在网络设备上配置DH
CP Snooping功能，将与DHCP服务器直接或间接连接的端口设置为信任端口，其它端口设置为非信任端口。这
样当非信任端口收到DHCP Offer之后，将会直接丢弃，从而保障网络的安全，防止DHCP服务器被仿冒的风险。
（2）ARP地址欺骗攻击。企业内网可能存在恶意用户伪造其它用户的IP地址向网关发送ARP请求，造成网关学习到错
误的ARP表项，影响正常用户的网络访问。以及可能伪造网关IP地址向其它用户发送ARP报文，从而造成用户学习到错
误网关的ARP信息，造成网络无法访问，以及可能出现信息泄露等风险。解决方案： 通过在网络设备上配置动态ARP检
测，实现网络设备在转发ARP报文时将报文中的源IP、源MAC、接口、VLAN信息与DHCP Snooping表
项中的信息进行匹配，如果匹配成功将允许该ARP报文转发，否则将丢弃。（3）源IP地址攻击。企业内网可能存在恶意
用户伪造其它合法用户的IP地址接入网络，从而具备访问合法网络资源的权限，以及可能会造成合法用户的信息泄露等风险
。解决方案： 通过在网络设备上配置IPSG功能，使得设备在转发IP报文时将报文中的源IP、源MAC、接口、VL
AN信息与DHCP Snooping表项中的信息进行匹配，如果匹配成功将允许该ARP报文转发，否则将丢弃。（4
）MAC欺骗与MAC泛洪攻击，企业内网可能存在恶意用户使用非法MAC地址接入到网络中并通过大量伪造非法的源MA
C地址向交换机发送信息，造成交换机MAC地址表项过载，从而无法再去处理合法用户的MAC信息，影响正常业务的转发
。解决方案： 通过在终端接入的交换机上配置端口安全特性，实现将终端接入的MAC地址转换成合法的动态安全MAC地
址、安全静态MAC或Sticky MAC。当端口学习的MAC地址数量达到一定的阈值之后，将不再学习其它MAC地
址，从而实现防止非法MAC地址泛洪攻击，以及保护了交换机的MAC地址表项不被攻击的风险。（5）扫描攻击，攻击行
为分为地址扫描攻击与端口扫描攻击。企业内网可能存在被扫描攻击的风险，地址扫描攻击是攻击者运用ICMP报文对网络
中的主机进行探测，通过应答报文判断网络中存活的目标主机。其次通过对存活的目标主机进行端口扫描攻击，了解到目标主
机的高危端口从而实现渗透入侵。端口扫描是攻击者对目标主机的开放端口发起一系列的TCP/UDP连接，同样是通过判
断应答报文从而了解目标主机的开放端口情况。解决方案： 通过在内网交换机、硬件防火墙及软件防火墙上部署诱捕探针，
实现设备具备检测疑似扫描攻击的流量。当网络中出现某个源IP地址访问其它地址或端口超过一定阈值时，将认为中可疑流
量，诱捕探针会将可疑流量引导至探针中进行检测，如果可疑流量与探针中预置的规则匹配，则认为是攻击行为，将向管理员
发出告警信息，由管理员向探针下发动作，实现禁止源IP访问网络，保障网络的安全。（6）畸形报文攻击。企业网络中可
能存在恶意用户通过畸形报文破坏企业中网络设备的正常运行，从而影响网络中的业务转发。一种网络攻击，针对性向目标发
送特意构造的畸形或异常的网络数据报文，以占用其网络带宽、使其系统崩溃。畸形报文攻击可以采用多种方式，例如发送长
度异常数据包，或捆绑多个数据包。攻击者通常并使用自动化工具生成大量的攻击报文使得目标主机瘫痪。解决方案： 通过
在企业内网设备上配置攻击防范，在全局上配置不同报文的接收速率从而缓解被攻击时的压力负担。方案1：虚拟化场景 在
虚拟化场景中，可以将汇聚设备同时设置为认证点和策略执行点，将汇聚设置设置为边缘节点Edge设备，可以实现当终端
认证通过后，学习到对应的UCL组信息，以及该节点下所有终端的IP地址与IPGrou安全组对应信息。 当两台终
端在同一台汇聚设备上进行相互访问时，汇聚设备可以直接根据数据包的源目IP地址查找安全组对应表，匹配出源目IP地
址对应的安全组，再根据安全组策略矩阵实现业务的控制，策略允许互访的安全组流量则放行，不允许的安全组流量则丢弃。
当两台终端不在同一台汇聚设备上需要进行互访时，会因为汇聚设备上只有源终端的IP及对应安全组信息，不存在目的终
端的安全组对应信息，故无法将对应的安全组策略应用到数据转发中实现用户的相互访问。 然而，在虚拟化场景中，汇聚设
备作为边缘节点，在转发数据包时会将源终端安全组对应信息封装在VXLAN报文中转发给目的汇聚设备，然后在目的汇聚
设备上执行安全组策略矩阵，策略允许互访的安全组流量则放行，不允许的安全组流量则丢弃。方案2：非虚拟化场景 在虚
拟化场景中，可以将汇聚设备同时设置为认证点和策略执行点，将汇聚设置设置为边缘节点Edge设备，可以实现当终端认
证通过后，学习到对应的UCL组信息，以及该节点下所有终端的IP地址与IPGrou安全组对应信息。 当两台终端
在同一台汇聚设备上进行相互访问时，汇聚设备可以直接根据数据包的源目IP地址查找安全组对应表，匹配出源目IP地址
对应的安全组，再根据安全组策略矩阵实现业务的控制，策略允许互访的安全组流量则放行，不允许的安全组流量则丢弃。
当两台终端不在同一台汇聚设备上需要进行互访时，会因为汇聚设备上只有源终端的IP及对应安全组信息，不存在目的终端
的安全组对应信息，故无法将对应的安全组策略应用到数据转发中实现用户的相互访问。 在非虚拟化场景下，由于数据转发
时并不能携带终端的安全组信息，故需要实现两台终端互访，就需要在NCE-Compus设备上配置IP-Group订
阅。订阅之后，控制器会将目的终端的IP地址及安全组对应信息推送组其它汇聚设备，其它汇聚设备通过推送而来的目的安
全组对应信息，实现基于源目IP与安全组根据安全组策略矩阵进行业务的控制。相比SR部署MPLS LDP可能存在以
下问题：（1）MPLS LDP动态生成LSP需要基于目的前缀的FEC分类和FEC标签信息管理与维护，以及需要I
GP协议的支持。故MPLS LDP在控制层面上需要同时IGP与LDP协议。（2）IGP与LDP协议的同步问题，
由于IGP协议具有较快的收敛能力，故在新路径切换之后，在新的链路上LDP协议可能还末建立会话，从而造成MPLS
VPN业务的中断。为了解决IGP和LDP同步问题，增加了运维难度。（3）IGP与LDP协议的LSP均是基于最
短路径转发报文，当网络中出现链路利用率不均的情况时，通过修改链路开销并不能满足业务的需求。（4）以设备为中心的
网络模型，每个网元均是独立计算拓扑，故只能实现局部的最优，缺乏全局视角。以及基于最短路径转发的目的路由机制，无
法实现基于源节点路径规划的源路由机制，从而无法实现路径规划和流量工程。（5）每个网元建立的邻居关系，以及维护邻
居关系与状态，均在一定程度上消耗链路带宽与设备资源。相比SR部署RSVP-TE可能存在以下问题：（1）实现RS
VP-TE的机制比较复杂，其控制层面上需要运行IGP、LDP、RSVP协议，以及IGP协议还需要去处理RSVP
-TE的泛洪及其链路状态信息，通过约束的配置、传递、收敛，最后通过约束的CSPF算法去计算拓扑。（2）RSVP
-TE虽然已经实现了基于源节点规划能力，但仍采用分布式架构，因此需要通过RSVP协议进行确认。RSVP-TE的
机制类似于SDH管道，但不支持ECMP，因此为了实现负载均衡，需要建立多个隧道。（3）RSVP-TE的配置和维
护较为困难，其中隧道引流机制通过引导业务流量进行转发，但当网络中存在N个节点互联时，需要配置N*（N-1）个隧
道，造成了相当复杂的管理工作。同中间的P节点需要维护所有通过它的隧道状态，增大了设备的工作压力，因此无法大量部
署。当IGP网络拓扑变化时，IGP首先把拓扑变化的链路状态信息发布给其它网络节点，新的链路状态通知在网络中泛洪
，然后网络中的每个节点都独立使用相同的路由算法更新自身的转发表。但在这个时间段内每个网络节点的转发表其实是不一
样的，因为网络中存在着诸多的因素影响着每个节点的路由同步与转发表更新速度。比如：（1）在网络中传播拓扑变化引入
了时延，拓扑变化通知到节点的时间取决于节点距离拓扑变化节点处的距离，如果距离远，那么相对的收到更新报文的时间也
会越长，距离近的先收敛并更新转发表。（2）每个节点更新转发表中的路由前缀顺序不能保证是相同的，当路由条目过多时
，更新路由条目的顺序是有所不同的，可能部分路由优先更新，部分路由后继都会更新。（3）控制平面与转发平面更新速度
有差异，与设备的CPU、ASIC、平台架构等相关。假设一个场景： 路由器A去往网络X发生故障之后，由于启用了F
RR，故会在故障发生的50ms内切换到新的转发路径转发流量，设切换后的下一跳为路由器B（假设路由器B去往网络X
最优的下一跳为路由器A），那么在此时可能就会因为路由器B没有及时收敛去往网络X的最优路径，从而造成环路的产生。
LFA的工作原理：LFA通过寻找一个非主设备的下一跳的邻居节点，如果这个邻居节点的目的节点最短路径不经过源节点
，则这个邻居节点为无环备份下一跳。本质上LFA有两种保护机制，一种是链路保护机制，另一种是节点保护机制。两种保
护机制均有对应的保护公式：（1）LFA链路保护机制：Distance_opt(N，D) < Distance_
opt(N，S)+Distance_opt(S，D)公式的意思是：从邻居节点N到目的节点D的距离需要比邻居节点
N到源节点S然后再从源节点S到目的节点D的距离短，满足上述公式则保障了源节点S到目的节点D之间最优的一跳出现故
障之后，切换到邻居节点N转发数据时不会出现流量重新迂回源节点S的情况。（2）LFA节点保护机制：节点之间仍需要
通过链路保护机制进行防止环路的出现，故节点保护机制需要满足两种公式。Distance_opt(N，D) < D
istance_opt(N，S)+Distance_opt(S，D)Distance_opt(N，D) < D
istance_opt(N，E)+Distance_opt(E，D)第二个公式的意思是：从邻居节点N到目的节点
D的距离需要比邻居节点N到源节点的下一跳节点E然后从下一跳节点E到目的节点D的距离短。满足上述公式则保障了源节
点S到目的节点D之间最优的一跳出现故障之后，切换到邻居节点N转发数据时不会出现流量重新迂回源节点S的情况。但L
FA的问题在于它不能覆盖所有场景，因为在很多拜年下，LFA并不能计算出合适的下一跳备份。如：整张拓扑的开销无法
满足上述的链路保护公式时，LFA将失效，从而导致无法计算出备份路径，导致最初的微环问题发生。RLFA工作机制：
RLFA是对LFA机制进一步的优化FRR的保护范围。RLFA将LFA节点的计算范围扩大到了远端节点，而不仅限于
邻居节点，从而提高了LFA计算的成功概率。RLFA的基本原理是在远端找到一个PQ节点，这个PQ节点需要满足两个
条件：1、RLFA源节点在 故障收敛前的最短路径可到达PQ节点，且路径不经过受保护链路（即源节点没有发生故障前
的下一跳链路）。2、PQ节点可以通过最短路径到达受保护链路的对端节点（即源节点没有发生故障前的下一跳设备），且
路径不经过受保护链路。以下是RLFA在不同机制下计算出PQ节点的公式：（1）RLFA链路保护机制：Distan
ce_opt(N，P) < Distance_opt(N，S)+Distance_opt(S，P)Distan
ce_opt(Q，D) < Distance_opt(Q，S)+Distance_opt(S，D)（2）RLF
A节点保护机制：Distance_opt(N，P) < Distance_opt(N，E)+Distance_
opt(E，P)Distance_opt(Q，D) < Distance_opt(Q，E)+Distance_
opt(E，D)以上公式中：N为源节点S的邻居节点，D为源节点的目的节点。通过以上的公式计算出PQ节点之后，源
节点S将会与PQ节点设备建立起一条隧道，这条隧道将作为虚拟的RLFA备份路径添加到FIB表中，当源节点的下一跳
故障之后，源节点能够快速的切换到这条RLFA备份路径上。在RLFA中PQ节点的定义是一个去往源和目的都不会产生
环路的设备。但RLFA也是靠开销去进行选路判断的，所以还是会存在开销不符合计算出PQ节点时RLFA失效的问题。
除了无法找到PQ节点导致RLFA失效的问题，RLFA在应用时因为需要建立并维护源节点与PQ节点之间的隧道状态，
故在一定程度上增加了设备的压力。Ti-LFA工作机制：解决上述RLFA的问题，出现了基于SR的TI-LFA技术
。虽然也是继承了RLFA的算法，但Ti-LFA为避免主节点故障导致流量丢失，故不仅会计算出扩展P空间、Q空间，
还会去计算主节点故障收敛后最短路径树，以及备份出接口和Repair-List，最终生成备份路径转发表。故TI-
LFA FRR中即使不存在PQ节点的情况下，也能实现拓扑的保护。TI-LFA继承了RLFA计算扩展P空间与Q空
间的算法，虽然还是会根据RLFA计算出最短的无环备份路径，但在这里不再依靠开销计算路由去转发数据包了，而是通过
Repair-list对数据包进行转发。通过Repair-List进行数据包的封装，设备在转发报文时就不需要去
查找路由表，只需要按照报文中的标签信息进行转发即可，故避免了设备因为路由收敛速度不一致导致无法得知下一跳的情况
。以上就是使用FRR时，不论采用LFA、RLFA、Ti-LFA均会产生微环的可能原因。