DMVPN融合MPLS VPN的安全方案研究與實現

馬 飛

（中興軟件股份有限公司，江蘇 南京 210000）

0 引 言

常見傳統的網絡通信安全維護方法包括設置防火墻和構建網絡安全通信協議等。隨著網絡攻擊等級的提高，這些安全方法不能完成網絡通信安全的維護，使得部分通信網絡受到攻擊，導致網絡癱瘓或者處于其他危險狀態，嚴重威脅網絡通信安全[1]。為了改善這一局面，本文探討DMVPN、MPLS VPN技術的特點，分別研究各個通信安全協議的優勢和重要機制，最后將MPLS VPN技術融合進DMVPN技術中，設計一個新型的安全方案。

1 DMVPN的應用

1.1 DMVPN的封裝與解封分析

DMVPN技術的核心是GRE隧道技術和IPSEC技術[2]。IPSEC技術的工作原理是對IP協議的分組進行加密處理和認證處理，保障傳輸數據的安全。GRE隧道技術采用三層隧道模式，一方面協助通信協議的轉發運行，另一方面為下一跳協議提供數據運輸的通道[3]。通信數據在隧道中傳輸時自動對數據開啟保護模式，確保數據的完整性。通信數據進入隧道通道時會提取數據封裝產生的基礎報文頭，當數據要脫離隧道通道時，根據報文的目的地址，重新還原數據的封裝報文，還原操作后進行一次校驗，如果校驗成功，則進行下一個數據傳輸任務。DMVPN技術功能實現的基礎是網絡具有封裝和解封功能，以便完成通信網絡的轉發和信息過濾等安全監測操作。DMVPN技術的封裝協議包括GFP映射封裝、LAPS封裝以及PPP封裝3種。本文為了達到DMVPN技術的應用效果，采用PPP封裝協議，其封裝的通信效率高，并且封裝過程與網絡通信的負載強度無關，通過點對點方式的網絡架構實現安全協議的監測，可以在多種類型的通信格式下工作[4]。封裝操作的關鍵是通信數據的標示符，每一個網絡數據標示符都分配一個IP地址，確保網絡通信數據的唯一性。為通信數據分配標識碼這一行為可以達到提高通信數據有效性的目的，解封操作的實質是分解網絡通信數據的標識碼，完成數據的調用。

1.2 下一跳協議

DMVPN安全通信技術下一跳協議將網絡通信中的數據分配到具有訪問權限的分支站點中。用戶在網絡環境下調用任何有效的數據信息時，必須觸發下一跳協議才可以完成信息的訪問，協議在接收到DMVPN的轉發指令后，立即搜尋站內各個分支站點相關的數據信息，查找到信息后建立數據類型相符合的隧道通道，立即將報文傳回網絡通信中心。網絡通信信息的類型會實時增加，在站點的存儲量達到上限時，采用DHCP方式立即重新配置一個站點空間即可[5]。下一跳協議正常工作的基礎不僅是DMVPN運行環境，還需要對網絡通信環境進行NHRP配置，從而保證下一跳協議轉發、過濾以及數據映射等行為的正常執行。DMVPN技術下一跳協議的物理地址由隧道口地址映射完成，映射行為有利于網絡配置的優化。下一跳協議的網絡拓撲如圖1所示。

圖1 一跳協議網絡拓撲結構圖

2 MPLS VPN的應用

2.1 MPLS VPN的網絡架構

MPLS VPN的信號傳輸通過CE路由器完成。其工作原理是將網絡通信數據按照MPLS VPN的轉換規則進行路徑的更改，為MPLS VPN內通信數據的安全校驗提供基礎，路徑更改后對數據進行轉發處理，轉發到客戶端的網絡設備中[6]。路由器的命令執行依據是全局路由表，CE路由器在網絡通信過程中，調用動態路由協議和靜態路由協議可以與其他路由器完成信息交換處理。網絡通信根據路由表中的規則進行，在連接過程中不會對通信數據的內容進行更改[7]。MPLS VPN的路由器不參與VPN協議的維護，其任務只是傳遞網絡通信數據并協助數據的轉發，對網絡通信內容進行安全維護防止出現數據幀丟失的情況。

2.2 MPLS VPN的安全威脅分析

網絡通信過程中，一些惡意人員為了竊取通信機密會進行惡意攻擊，因此本文提出基于DMVPN技術融合MPLS VPN技術的安全方案。MPLS VPN技術在查找到惡意攻擊時，會對其發出威脅警告和處理，這是MPLS VPN技術的突出優勢。MPLS VPN的安全威脅分析功能的原理是分析網絡通信數據的地址和傳遞經過的路由信息，得出一系列數據的安全性能指標，一旦指標降低，則代表該區域的通信數據受到了惡意威脅攻擊，MPLS VPN技術立即做出維護，分別維護網絡通信控制層和數據管理層的安全，避免發生通信數據被破壞的情況，使控制層和數據管理層不受到黑客攻擊。

控制層內的設備為路由器和交換機，主要的工作任務是處理路由信息和交換機的基本信息，完成通信數據的傳輸。MPLS VPN的安全威脅維護功能遵循的是路由協議，一旦檢測出網絡通信存在攻擊，立刻關閉PE和PC路由器數據轉發和過濾功能，停止一定范圍內的數據運轉，然后啟用MPLS VPN安全威脅維護功能，清除病毒。

MPLS VPN在公共網絡平臺上，不法人員通過篡改原本的路由器地址和校驗密鑰，對網絡通信設備配置進行惡意攻擊。網絡非法入侵人員進入不具有訪問權限的通信網絡端主要通過兩種途徑，一種是堵塞網絡管理人員的管理通道，提取管理員的賬號和密碼，另一種是入侵網絡通信安全等級低的區域，竊取信息[8]。隨著VPN數量的增加，路由器的配置越來越復雜，網絡管理員的一個誤操作，雖然不能造成VPN之間的錯誤連接，但是也要避免出現此類情況，以防信息泄露。

3 DMVPN融合MPLS VPN的安全方案的實現

3.1 DMVPN和MPLS VPN融合過程分析

通過以上分析，明確了DMVPN技術和MPLS VPN技術的原理和優勢。DMVPN技術和MPLS VPN技術的融合原理是提取DMVPN技術安全維護功能和加密功能的優點以及MPLS VPN技術高效通信的優點，將其相互融合，構建一個安全的網絡通信方法。兩種技術在融合的過程中出現網絡通信數據排異的問題，所以本文更改DMVPN技術的通信端口配置類型并插入一個路由信息反射器，按照DMVPN技術的數據通信協議規則進行數據的轉發，既不影響網絡通信數據的交互也可以解決兩種技術的排異問題。路由反射規則節點如圖2所示。

圖2 DMVPN技術的路由反射規則節點圖

另外，MPLS VPN技術可彌補DMVPN技術在網絡通信過程中出現的小概率流量丟包問題。融合成功的安全網絡將負載能力強的數據通信流量通過MPLS VPN通道完成傳輸轉發行為。

3.2 DMVPN融合MPLS VPN的安全方案制定與實現

基于DMVPN融合MPLS VPN的安全方案制定分為兩個階段，第一階段是為客戶端配置3層的MPLS VPN，第二階段是在客戶端的各個站點內部設置DMVPN。第一階段首先將PC、PE兩個路由器相連接，建立網絡運行環境，其次在各個路由器和站點設置數據接口。最后在MPLS VPN路由器運行狀態時分配用戶地址對應的VRF屬性，另外根據用戶地址屬性合理分配路由器的目的地址，然后將所有信息重新進行ping測試，查看DMVPN和MPLS VPN是否成功連接[9]。

基于DMVPN融合MPLS VPN安全方案的第一階段設置成功后，建立通信隧道，斷開不必要的接口。第二階段在客戶各站點DMVPN的路由器上配置MPLS VPN通信方式，建立通信隧道，此時網絡通信中心的DMVPN路由器作為網絡通信服務器，實時管理運行網絡通信任務，完成網絡通信安全維護，提高網絡通信的安全性[10]。

4 結 論

以上完成DMVPN技術的封裝與解封、隧道協議、下一跳原理和MPLS VPN技術基本架框以及網絡安全威脅的分析，合理地將MPLS VPN技術融合到DMVPN技術中，形成一個新型的網絡通信安全方案。通過分析和設計網絡安全方案，完善方案規范性，進一步促進網絡安全通信領域的發展。