關(guān)于MPLS VPN技術(shù)的網(wǎng)絡(luò)安全性探討

潘德偉

摘要：本文從互聯(lián)網(wǎng)發(fā)展對(duì)網(wǎng)絡(luò)技術(shù)要求的角度出發(fā)，對(duì)MPLS VPN技術(shù)的進(jìn)行介紹，重點(diǎn)就該技術(shù)在實(shí)施部署中安全方面的內(nèi)容進(jìn)行探討，對(duì)促進(jìn)MPLS VPN技術(shù)的演講和應(yīng)用具有一定的理論和現(xiàn)實(shí)意義。

關(guān)鍵詞：MPLS；VPN；安全

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）07-0202-02

1 研究背景

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，信息網(wǎng)絡(luò)作為各類IT信息系統(tǒng)的基礎(chǔ)設(shè)施其規(guī)模也在不斷擴(kuò)大，人們對(duì)其建設(shè)提出了新的需求：跨地域、實(shí)時(shí)性、安全可靠、接入便捷等方面。目前，MPLS VPN技術(shù)已經(jīng)被許多服務(wù)提供商所采用部署到自己的網(wǎng)絡(luò)環(huán)境中，與此同時(shí)隨著大中型公司規(guī)模的擴(kuò)大以及業(yè)務(wù)的發(fā)展，公司總部與各分支機(jī)構(gòu)之間的辦公需求也要求其IT運(yùn)維部門建立和運(yùn)營(yíng)自己的MPLS網(wǎng)絡(luò)。公共信息基礎(chǔ)平臺(tái)上發(fā)展各公司自己的專有網(wǎng)絡(luò)已是大勢(shì)所趨，但安全性仍舊是大家普遍但是的一個(gè)問題。本文將首先對(duì)MPLS VPN技術(shù)進(jìn)行簡(jiǎn)單介紹，然后就該技術(shù)在實(shí)施部署過程中涉及到的一些安全問題進(jìn)行論述。

2 MPLS VPN技術(shù)介紹

MPLS VPN是一種基于MPLS技術(shù)的VPN，是在路由和交換設(shè)備上應(yīng)用MPLS技術(shù)實(shí)現(xiàn)的虛擬專用網(wǎng)，其將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。該技術(shù)的出現(xiàn)可以解決傳統(tǒng)VPN技術(shù)的一些固有缺陷，其中最重要的是地址重疊的問題。MPLS VPN技術(shù)可以保證不同的用戶VPN可以使用相同的私有地址空間，而且可以在公共的骨干網(wǎng)絡(luò)上相互不影響地交換數(shù)據(jù)。圖1為典型的MPLS VPN路由模型。

（1）PE（運(yùn)營(yíng)商邊界設(shè)備）：骨干網(wǎng)邊緣路由器，存儲(chǔ)VRF，處理VPN-IPv4路由，是MPLS三層VPN的主要實(shí)現(xiàn)者。（2）P（運(yùn)營(yíng)商設(shè)備）：骨干網(wǎng)核心路由器，負(fù)責(zé)MPLS轉(zhuǎn)發(fā)。（3）CE（客戶邊界設(shè)備）：用戶網(wǎng)邊緣路由器，發(fā)布用戶網(wǎng)絡(luò)路由。

在MPLS VPN中，服務(wù)提供商的PE 設(shè)備通過技術(shù)手段為每個(gè)客戶建立專用的虛擬路由轉(zhuǎn)發(fā)表，將客戶站點(diǎn)A的CE設(shè)備發(fā)來的路由在本地入口PE上為報(bào)文打上兩層標(biāo)簽，第一層（外層）標(biāo)簽在骨干網(wǎng)內(nèi)部進(jìn)行交換，VPN報(bào)文打上這層標(biāo)簽就可以通過骨干網(wǎng)絡(luò)中的P設(shè)備到達(dá)遠(yuǎn)端PE相應(yīng)的虛擬路由轉(zhuǎn)發(fā)表中；第二層（內(nèi)層）標(biāo)簽，指示了報(bào)文應(yīng)該到達(dá)哪個(gè)CE，報(bào)文到達(dá)PE時(shí)剝掉外層標(biāo)簽，遠(yuǎn)端PE根據(jù)內(nèi)層標(biāo)簽就可找到轉(zhuǎn)發(fā)接口，并將相關(guān)信息發(fā)送給客戶站點(diǎn)B的CE設(shè)備。

3 MPLS VPN安全部署

MPLS體系結(jié)構(gòu)可以分為控制平面、轉(zhuǎn)發(fā)平面和管理平面，在實(shí)施過程中MPLS網(wǎng)絡(luò)系統(tǒng)必須保證控制平面設(shè)備之間VPN 路由信息傳送的準(zhǔn)確、可靠，保證數(shù)據(jù)平面設(shè)備之間 VPN 用戶數(shù)據(jù)傳送的私密、完整，保證管理平面上網(wǎng)管安全可靠。下面將從以上三個(gè)方面就其安全性的部署提出一些探討。

3.1 控制平面的安全

當(dāng)CE設(shè)備通過動(dòng)態(tài)路由協(xié)議將本地的路由信息傳送給PE設(shè)備時(shí)，這有可能導(dǎo)致PE路由器的地址會(huì)被MPLS核心外界所知。如果知道PE路由器地址，黑客就可以通過該地址對(duì)MPLS核心網(wǎng)絡(luò)實(shí)施攻擊，為了避免該問題的出現(xiàn)，可以考慮 PE與CE之間采用靜態(tài)路由的方式，這樣CE設(shè)備指向一個(gè)接口地址，而不再需要知悉MPLS核心網(wǎng)絡(luò)中的IP地址。在相關(guān)CE和PE路由器中直接配置靜態(tài)路由，可有效減少有害路由被注入到該環(huán)境中的可能性。

雖然靜態(tài)路由在安全方面考慮是個(gè)不錯(cuò)的選擇，但是對(duì)于大型網(wǎng)絡(luò)來說管理靜態(tài)路由的成本還是太大了，通常此處需要做路由匯總。但如果網(wǎng)絡(luò)環(huán)境發(fā)生變化，此時(shí)就需要技術(shù)人員對(duì)CE以及PE設(shè)備重新調(diào)整配置，所以在MPLS VPN技術(shù)實(shí)施中是否采用靜態(tài)路由需要視具體情況而定。那么如果必須采用動(dòng)態(tài)路由協(xié)議的情況下，PE路由器就可能收到來自本地或者遠(yuǎn)程CE設(shè)備的路由更新，該更新可能是正常的，但也有可能是惡意的，在此種情況下就很容易產(chǎn)生安全問題。過量數(shù)目的VRF路由更新到PE設(shè)備，可能導(dǎo)致該設(shè)備內(nèi)存溢出，從而引起設(shè)備無法正常工作，MPLS VPN功能失效，因此無論采用何種動(dòng)態(tài)路由協(xié)議，都需要對(duì)更新到VRF路由做控制。通過用戶配置來定義從某個(gè)鄰居所接收路由的最大條目數(shù)，可以有效防范過量VRF路由注入導(dǎo)致設(shè)備異常的情況發(fā)生。CE 通過動(dòng)態(tài)路由協(xié)議將本地站點(diǎn)的路由傳送給 PE（也可以通過靜態(tài)路由方式），控制面上首先要保證這些路由信息傳送的安全性。此時(shí)可以考慮對(duì)CE設(shè)備進(jìn)行認(rèn)證，在經(jīng)過認(rèn)證之后才允許進(jìn)行路由信息的交換。

3.2 數(shù)據(jù)層面的安全

數(shù)據(jù)層面的安全性主要考慮在IP數(shù)據(jù)包在傳輸過程中被嗅探或篡改，預(yù)防的措施主要是對(duì)數(shù)據(jù)進(jìn)行加密，現(xiàn)階段MPLS VPN網(wǎng)絡(luò)中通常采用IPSec的加密技術(shù)。IPSec基于端對(duì)端的安全模式，在源IP和目標(biāo)IP地址之間建立信任和安全性，該協(xié)議可以為上層協(xié)議提供透明的安全保證。

加密技術(shù)可以保證設(shè)備之間傳送信息的私密性和完整性，但數(shù)據(jù)加密也會(huì)帶來一些負(fù)面的影響。例如加密措施會(huì)給完成相關(guān)功能的設(shè)備增加了額外的計(jì)算負(fù)擔(dān)，從而影響設(shè)備的業(yè)務(wù)處理能力；在設(shè)備上配置加密業(yè)務(wù)時(shí)，增加了設(shè)備的配置內(nèi)容，也就從一定程度上提高了操作難度，增加了運(yùn)營(yíng)成本。

3.3 管理層面的安全

在管理層面，首先需要確保網(wǎng)管系統(tǒng)的安全性，通常網(wǎng)管系統(tǒng)的訪問權(quán)限都是具備管理功能的，而被管理設(shè)備的網(wǎng)管接口需要設(shè)置訪問控制，需要經(jīng)過認(rèn)證才能允許相關(guān)的操作。同時(shí)為了避免業(yè)務(wù)數(shù)據(jù)擠占管理信息的正常傳遞，可以讓網(wǎng)管系統(tǒng)以帶外的方式進(jìn)行訪問。

4 結(jié)語

本文從MPLS體系結(jié)構(gòu)的角度出發(fā)，分析了MPLS VPN技術(shù)在部署過程中可能存在的安全隱患，并分別從控制層面、數(shù)據(jù)層面以及管理層面提出了相關(guān)的解決辦法。但從中我們可以看到，各種解決辦法都相應(yīng)的會(huì)增加設(shè)備的額外處理開銷。因此在MPLS VPN技術(shù)實(shí)施的過程中，建設(shè)部門應(yīng)根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)的實(shí)際運(yùn)行情況，就安全性與設(shè)備處理能力方面進(jìn)行權(quán)衡，以便在充分保障業(yè)務(wù)安全的前提下盡量降低運(yùn)維成本。endprint