基于MPLS VPN的電信級(jí)IP承載網(wǎng)安全解決方案研究

王曉賀

（中國(guó)移動(dòng)通信集團(tuán) 河北有限公司 石家莊分公司，河北 石家莊 050021）

基于MPLS VPN的電信級(jí)IP承載網(wǎng)安全解決方案研究

王曉賀

（中國(guó)移動(dòng)通信集團(tuán) 河北有限公司 石家莊分公司，河北 石家莊 050021）

IP承載網(wǎng)已作為電信全業(yè)務(wù)的承載方式，在電信系統(tǒng)得到廣泛應(yīng)用。MPLS VPN作為構(gòu)建IP承載網(wǎng)的關(guān)鍵技術(shù)，能夠有效實(shí)現(xiàn)不同業(yè)務(wù)隔離及采用不同接入方式用戶的無(wú)障礙通信。文章基于電信運(yùn)營(yíng)商角度，給出了基于MPLS VPN的電信級(jí)IP承載網(wǎng)絡(luò)架構(gòu)方案，并對(duì)其安全解決方案做出研究探討。

MPLS VPN；IP承載網(wǎng)；安全策略；安全區(qū)域

從近年電信業(yè)務(wù)發(fā)展來(lái)看，IP承載網(wǎng)已經(jīng)逐步發(fā)展為電信全業(yè)務(wù)的承載方式。用戶的各種需求，如視頻點(diǎn)播、語(yǔ)音通話、數(shù)據(jù)下載等移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)都可用IP承載網(wǎng)實(shí)現(xiàn)承載。MPLS VPN是構(gòu)建IP承載網(wǎng)的核心技術(shù)，可以實(shí)現(xiàn)用戶間采用不同接入方式的無(wú)障礙通信，以及將各類不同業(yè)務(wù)隔離，另外可以實(shí)現(xiàn)VPN數(shù)據(jù)的公網(wǎng)傳輸。基于MPLS VPN的IP承載網(wǎng)的廣泛應(yīng)用，使得其網(wǎng)絡(luò)安全性的研究變得尤為重要。本文從安全策略部署方面提出IP承載網(wǎng)安全解決方案的研究。

1　MPLS VPN簡(jiǎn)介

（1）MPLS VPN是指基于多標(biāo)簽轉(zhuǎn)發(fā)技術(shù)的虛擬專用網(wǎng)。VPN利用MPLS技術(shù)，在骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的透明傳輸。它使用BGP在服務(wù)提供商骨干網(wǎng)上發(fā)布VPN路由，并利用MPLS轉(zhuǎn)發(fā)VPN報(bào)文。MPLS VPN基本組網(wǎng)如圖1所示。

圖1　MPLS VPN基本組網(wǎng)

其中，CE指用戶邊緣設(shè)備（路由器或者交換機(jī)），PE是服務(wù)商邊緣路由器，P是服務(wù)提供商網(wǎng)絡(luò)中的骨干路由器，不與CE直接相連。

（2）基于MPLS VPN的電信級(jí)IP承載網(wǎng)需要對(duì)不同類型的業(yè)務(wù)進(jìn)行網(wǎng)絡(luò)隔離，并需要滿足網(wǎng)絡(luò)扁平化、安全性及可靠性等多種要求。網(wǎng)絡(luò)規(guī)劃階段，現(xiàn)網(wǎng)將不同承載業(yè)務(wù)劃分，并利用MPLS L2VPN，MPLS L3VPN等不同技術(shù)將這些業(yè)務(wù)進(jìn)行隔離。

某移動(dòng)公司IP承載網(wǎng)組網(wǎng)如圖2所示。

圖2　某移動(dòng)公司IP承載網(wǎng)組網(wǎng)

2　基于MPLS VPN電信級(jí)IP承載網(wǎng)安全解決研究

作為IP承載網(wǎng)業(yè)務(wù)安全保障，確保網(wǎng)絡(luò)安全是研究重點(diǎn)。基于MPLS VPN電信級(jí)IP承載網(wǎng)安全解決方案進(jìn)行如下分析。

（1）網(wǎng)絡(luò)架構(gòu)的安全：移動(dòng)公司現(xiàn)網(wǎng)使用的路由器NE5000E/80E/40E等采用雙平面結(jié)構(gòu)，如圖3所示，并對(duì)鏈路、設(shè)備進(jìn)行冗余備份。嚴(yán)格控制不同平面之間的流量安全，確保設(shè)備安全。

圖3　IP承載網(wǎng)的雙平面結(jié)構(gòu)

（2）通過(guò)MPLS VPN實(shí)現(xiàn)業(yè)務(wù)的隔離，并針對(duì)不同業(yè)務(wù)劃分安全區(qū)域，實(shí)施一定的安全策略。

根據(jù)業(yè)務(wù)接入的不同，劃分為2/3G軟交換語(yǔ)音VPN，PS域VPN，4G IMS VPN，大客戶VPN等不同VPN。并根據(jù)業(yè)務(wù)接入特征、不同的安全特性和需求，劃分為不同的安全區(qū)域，采用不同的安全措施。安全區(qū)域劃分如圖4所示。

（1）2/3G：軟交換語(yǔ)音VPNIMS域，VPN：CS域及IMS域內(nèi)部都是可信任系統(tǒng)，并且不連接外部網(wǎng)絡(luò)，不存在安全問(wèn)題。

（2）PS域VPN：需要連接到外部網(wǎng)絡(luò)（INTERNET），需要在GGSN上部署防火墻以確保安全。

（3）城域網(wǎng)及IPTV業(yè)務(wù)因其連接終端的不可靠，需針對(duì)業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)內(nèi)部制定安全保護(hù)策略，并在VPN對(duì)接時(shí)實(shí)施安全控制策略。

（4）大客戶專線用戶直接接入業(yè)務(wù)骨干網(wǎng)，可采用增加專用PE設(shè)備，并在PE-CE上實(shí)施嚴(yán)格的安全策略。專用PE設(shè)備提高網(wǎng)絡(luò)安全性能，避免由于頻繁更改AR配置影響業(yè)務(wù)的正常運(yùn)行。

3　結(jié)語(yǔ)

本文從電信運(yùn)營(yíng)商的角度出發(fā)，給出了基于MPLS VPN的電信級(jí)IP承載網(wǎng)組網(wǎng)方案，并從網(wǎng)絡(luò)架構(gòu)、安全策略、部署防火墻等方面給出了基于MPLSVPN的IP承載網(wǎng)的安全解決方案。并根據(jù)架構(gòu)把網(wǎng)絡(luò)劃分為不同的安全區(qū)域，不同區(qū)域采用不同的策略和技術(shù)，實(shí)現(xiàn)整網(wǎng)的業(yè)務(wù)安全。

圖4　安全區(qū)域劃分示意

［1］徐嘯峰.電信級(jí)IP承載網(wǎng)規(guī)劃方法研究［J］.江蘇通信技術(shù)，2006（12）：5-10.

［2］陳凱.IP承載網(wǎng)提升穩(wěn)定性技術(shù)的研究與實(shí)現(xiàn)［D］.濟(jì)南：山東大學(xué)，2010.

［3］李皓.IP承載網(wǎng)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］.北京：北京工業(yè)大學(xué)，2013.

Security Solutions Based on MPLS VPN Carrier-class IP Bearer Network

Wang Xiaohe
（China Mobile Communications Group Co.， Ltd.of Shijiazhuang， Hebei Branch， Shijiazhuang 050021， China）

IP bearer network has a full-service telecommunications bearer in a telecommunications system has been widely used. MPLS VPN as a key technology to build IP bearer network can effectively isolate different services and the use of barrier-free communication between different access users. Based on the perspective of telecom operators， given carrier-class IP bearer network solutions based on MPLS VPN network architecture， and to make a study to explore its security solutions.

MPLS VPN； IP bearer network； security strategy； security zone

王曉賀（1982-），女，內(nèi)蒙古赤峰，碩士，工程師；研究方向：IP網(wǎng)絡(luò)技術(shù)，VOLTE通信技術(shù)。