許明　陳劍清

摘要：通過對MPLS-VPN網(wǎng)絡(luò)環(huán)境進行分析，得出MPLS VPN環(huán)境中數(shù)據(jù)傳輸存在的安全隱患，針對安全隱患分析提出路由間認證、安全審計、Ipsec數(shù)據(jù)加密、冗余鏈路解決方案和措施。對網(wǎng)絡(luò)環(huán)境防護前后進行對比得出MPLS-VPN的應(yīng)用特點。

關(guān)鍵詞：MPLS VPN；IPSEC加密；安全隱患；措施

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2015）28-0056-03

企業(yè)信息化和規(guī)模的擴大使得不同地區(qū)之間數(shù)據(jù)實時互訪需求越發(fā)強烈，如何為企業(yè)提供高效、靈活、安全的網(wǎng)絡(luò)訪問技術(shù)，MPLS （多協(xié)議標簽交換）VPN應(yīng)運而生。MPLS VPN通過結(jié)合數(shù)據(jù)鏈路層和三層路由技術(shù)的優(yōu)勢，在現(xiàn)代快速網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，尤其是電信運營商、大型企業(yè)及政府單位，但在MPLS VPN的環(huán)境中數(shù)據(jù)傳輸存在的隱患卻值得思考。

1 基本理論

1.1 MPLS簡介

多協(xié)議標簽交換（Multiprotocol Label Switching）起源于IPv4，是一種用于數(shù)據(jù)包快速交換和路由的體系。LSR（Label Switching Router）是MPLS網(wǎng)絡(luò)的基本構(gòu)成單元，由LSR構(gòu)成的網(wǎng)絡(luò)稱為MPLS域。位于MPLS域邊緣、連接其他用戶網(wǎng)絡(luò)的LSR稱為LER（Label Edge Router，邊緣LSR），區(qū)域內(nèi)部的LSR稱為核心LSR。

1.2 VPN簡介

VPN是一個可靠的，在公用網(wǎng)絡(luò)上搭建的臨時連接，它通過邏輯隧道連接地理上分散的網(wǎng)絡(luò)。VPN技術(shù)通常用于擴大企業(yè)網(wǎng)絡(luò)，通過VPN可以將遠程接入的用戶、企業(yè)分支機構(gòu)和合作伙伴與企業(yè)內(nèi)部之間建立安全連接，并能保證可靠的數(shù)據(jù)傳輸。VPN主要采用安全隧道技術(shù)，用戶認證技術(shù)，訪問控制技術(shù)和加解密技術(shù)。

1.3 MPLS VPN原理

MPLS VPN是一種基于MPLS技術(shù)的IP虛擬專用網(wǎng)絡(luò)，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)[1]。它融合了傳統(tǒng)路由技術(shù)，使用標簽交換，簡化運營商網(wǎng)絡(luò)的路由選擇方式，可用來構(gòu)造寬帶的企業(yè)內(nèi)部網(wǎng)絡(luò)和外網(wǎng)，滿足多種靈活的業(yè)務(wù)需求[2]。

1.3.1 MPLS VPN的設(shè)備角色

組成MPLS VPN網(wǎng)絡(luò)的路由器共有三個類別：用戶邊緣路由器（CE），運營商邊緣標簽轉(zhuǎn)發(fā)路由器（PE LSR）和運營商骨干標簽轉(zhuǎn)發(fā)路由器（P LSR）：

CE是用戶端邊緣路由器，VPN用戶的網(wǎng)絡(luò)終端直接與服務(wù)提供商相連的設(shè)備，為用戶提供到達PE路由器的連接。

PE LSR是運營商的邊緣標簽轉(zhuǎn)發(fā)路由器。它與用戶的邊緣路由器直接相連，對進入MPLS網(wǎng)絡(luò)的流量進行劃分，把相同的流量歸于同一個FEC然后分配相應(yīng)的標簽，進行流量的劃分，標簽的壓入和彈出功能，并且負責(zé)和其他PE路由器進行交換路由信息，充當(dāng)數(shù)據(jù)轉(zhuǎn)發(fā)的載體，把來自CE路由器的信息通過標簽交換傳遞給另一端的CE端[3]。

P LSR是運營商網(wǎng)絡(luò)除了邊緣路由器的核心設(shè)備，提供標簽分發(fā)和標簽交換功能，在數(shù)據(jù)包的傳輸過程中使用添加外層標簽來代替?zhèn)鹘y(tǒng)路由的繁雜查找。

1.3.2 標簽轉(zhuǎn)發(fā)原理

當(dāng)數(shù)據(jù)包到達PE 路由器時，找到到達目的地的下一跳所給的標簽，通過CEF轉(zhuǎn)發(fā)給下一跳標簽轉(zhuǎn)發(fā)路由器，下一跳路由器接收到數(shù)據(jù)包時，執(zhí)行標簽轉(zhuǎn)發(fā)表，并為數(shù)據(jù)包交換標簽，再發(fā)給下一跳路由器。倒數(shù)第二跳標簽轉(zhuǎn)發(fā)路由器執(zhí)行標簽查找時，將數(shù)據(jù)包的標簽彈出，即倒數(shù)第二跳標簽機制，數(shù)據(jù)包傳輸?shù)娇拷种У腜E路由器，通過三層路由查找到達分支用戶端，實現(xiàn)MPLS VPN的這個傳輸過程[4]。

2 基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析

為了對基于MPLS VPN網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)碾[患分析，本文使用GN3搭建網(wǎng)絡(luò)仿真，網(wǎng)絡(luò)拓撲圖如圖1所示，總部HQ網(wǎng)絡(luò)與分部Branch網(wǎng)絡(luò)通過由ISP構(gòu)建的MPLS VPN網(wǎng)絡(luò)互聯(lián)。通過對總部網(wǎng)絡(luò)到達分部網(wǎng)絡(luò)的數(shù)據(jù)傳輸為基礎(chǔ)尋找安全隱患路徑。

2.1 PE-CE間的入侵

當(dāng)總部的網(wǎng)絡(luò)鎖傳輸?shù)臄?shù)據(jù)到達邊緣時，MPLS VPN在PE和CE間只是簡單地使用IGP協(xié)議完成連接，而且企業(yè)邊緣設(shè)備和運營商邊緣設(shè)備的連接不屬于內(nèi)部網(wǎng)絡(luò)，中間長距離的部署連接中間可能存在入侵問題，如圖2所示。

在PE和CE間只要插入一臺交換機，入侵者配置與CE和PE間相同網(wǎng)段的路由，就可以實現(xiàn)入侵，無論是數(shù)據(jù)的監(jiān)聽，還是偽裝成第三方與VPN內(nèi)部進行通信，都是可行的。

2.2 運用商內(nèi)部的配置失誤

當(dāng)數(shù)據(jù)傳輸?shù)竭\營商內(nèi)部時，如果沒有實施必要的安全措施，可能存在內(nèi)部人員的配置失誤導(dǎo)致不同用戶之間的數(shù)據(jù)傳輸混亂。如新PE端與連接分部網(wǎng)絡(luò)的邊緣路由器配置一致時，就可以造成分部網(wǎng)絡(luò)與總部之間的信息間斷，而且總部在沒有得到故障報告時，無法正確地感知失去分部的聯(lián)系，這樣可能造成數(shù)據(jù)的泄漏和第三方的惡意訪問和身份隱藏，如圖3所示。

2.3 MPLS VPN本身的不加密

在總部的CE端到分部的CE端之間使用wireshark抓包工具進行抓包分析，觀察數(shù)據(jù)以明文形式傳輸，可以直接截獲或者篡改。數(shù)據(jù)在MPLS VPN的環(huán)境中是以明文形式傳輸?shù)?，說明了MPLS VPN本身的不加密性。

2.4 單鏈路問題

用戶VPN依靠因特網(wǎng)服務(wù)提供商來進行不同地域之間的網(wǎng)絡(luò)互連，這就需要用戶支付專門的服務(wù)費用，因此一般的用戶只通過單鏈路來維持通信，這樣容易造成鏈路故障，對于某些實時的企業(yè)或政府來說有時損失時巨大的。

3 防護措施

MPLS VPN的安全性問題使得它無法單一的為一些對數(shù)據(jù)傳輸?shù)陌踩杂刑厥庖蟮目蛻舴?wù)如電子商務(wù)應(yīng)用、金融行業(yè)的應(yīng)用等，單純依靠網(wǎng)絡(luò)服務(wù)提供商提供的網(wǎng)絡(luò)服務(wù)存在一定的安全漏洞。因此用戶需要在自己管理的網(wǎng)絡(luò)范圍內(nèi)以及對于提供商的鏈路配置采取一定的安全措施，雖然會增加用戶管理和配置網(wǎng)絡(luò)的復(fù)雜性，但可以增加額外的安全可靠[5]。

3.1 路由間認證

消息摘要算法（MD5）在CE-PE間是用OSPF協(xié)議的，OSPF協(xié)議對路由器之間的所有數(shù)據(jù)包都具有認證的能力。認證有簡單口令認證和MD5加密校驗和認證。簡單口令認證雖然可以起到一定的作用，但是它是明文傳輸，沒有經(jīng)過加密，很容易被中間網(wǎng)絡(luò)截獲并竊取。所以建議使用MD5認證來解決路由認證問題[6]。

配置完MD5認證后通過對比可以發(fā)現(xiàn)CE-PE間的入侵者已經(jīng)斷開鄰居關(guān)系。如圖4所示.

3.2 安全審計

無論是內(nèi)部人員的誤操作還是外部入侵者的惡意訪問，都可能導(dǎo)致網(wǎng)絡(luò)的癱瘓，如何清晰的了解網(wǎng)絡(luò)資源的使用情況和訪問者的實施操作動作，是提高系統(tǒng)安全性的重要舉措。采用日志審計，把系統(tǒng)資源的使用情況和訪問者的操作記錄下，在追究責(zé)任和排查問題時也有據(jù)可查。

3.3 Ipsec數(shù)據(jù)加密

IPSEC（因特網(wǎng)安全協(xié)議）是專門針對TCP/IP路由協(xié)議沒有安全機制而制定的，它工作在IP層，為IP層及其以上協(xié)議提供保護。Ipsec通過加密隧道傳送信息，提供訪問控制機制、信息的源認證、數(shù)據(jù)的私密性、完整性、防重放保護、自動密鑰管理等安全服務(wù)[7]。

ISP所提供的MPLS VPN骨干網(wǎng)服務(wù)中，所提供的安全措施基本為一般的認證、數(shù)據(jù)完整性和機密性方法，滿足不了用戶的數(shù)據(jù)安全性需求，因此用戶可通過在邊緣設(shè)備CE上進行Ipsec數(shù)據(jù)加密，保障用戶數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?。在總部的CE端到分部的CE端之間使用wireshark抓包，分析經(jīng)過Ipsec加密后的數(shù)據(jù)如圖5所示。

3.4 冗余鏈路

在骨干網(wǎng)設(shè)備連接中，單一鏈路連接較容易實現(xiàn)，但一個簡單的故障都會造成網(wǎng)絡(luò)的中斷.因此為了保持網(wǎng)絡(luò)的穩(wěn)定性，在實際組網(wǎng)過程中通常都使用備份連接，以提高網(wǎng)絡(luò)的穩(wěn)定性、健壯性。同時為了使線路利用最大化，可在線路上應(yīng)用負載均衡技術(shù)。

4 總結(jié)

本文分析了MPLS VPN環(huán)境中數(shù)據(jù)傳輸?shù)陌踩[患，分析了中間網(wǎng)絡(luò)侵入問題、第三方隱藏、明文傳輸、單鏈路故障等常見問題，提出了相應(yīng)的保護措施保證了路由間的認證、數(shù)據(jù)的私密性、完整性和不間斷性。對網(wǎng)絡(luò)拓撲防護前后進行配置分析，發(fā)現(xiàn)各有優(yōu)缺點。對于簡單的MPLS VPN，它支持高速聯(lián)網(wǎng)服務(wù)，且可伸縮性強，但數(shù)據(jù)安全性低，適用于MPLS VPN的兩端位置固定不變、對網(wǎng)絡(luò)的服務(wù)質(zhì)量、實時性和可管理性要求較高的客戶，例如辦公地點固定的超市、連鎖遠程辦公點；而對于IPSec加密的MPLS VPN適用于位置分部廣泛，比如各街道辦事處、連鎖店等、移動站點多、對線路的保密性和可用性要求比較苛刻的但對實時性要求不高的用戶，例如教育行業(yè)、設(shè)計公司高度機密的企業(yè)等。

參考文獻：

[1] 吳榮生， 郭聯(lián)志. MPLS VPN的探究與應(yīng)用[J]. 重慶科技學(xué)院學(xué)報， 2009， 2（11）： 132-133.

[2] 姚昕凡. 基于MPLS技術(shù)的企業(yè)VPN網(wǎng)絡(luò)研究與設(shè)計[D]. 南昌大學(xué)， 2007.

[3] Ivan Pepelnjak & Jim Guichard. Cisco Press MPLS and VPN Architectures， 2001.

[4] Jeff Doyle， Jennifer Carroll. Routing TCP/IP， Volume I， Second Edition[M]. Cisco Press， 2005.

[5] 王俊. 基于MPLS的跨域VPN研究[D]. 南京郵電大學(xué)， 2011.

[6] 單紅， 陳永艷. MPLS VPN安全強度分析及其在電子政務(wù)網(wǎng)中的應(yīng)用[J]. 安徽大學(xué)學(xué)報（自然科學(xué)版）， 2005， 29（5）： 21-23.

[7] 羅恒洋. IPSec在MPLS VPN中的應(yīng)用[J]. 計算機技術(shù)與發(fā)展， 2009， 19（3）： 168-171.