潘德偉

摘要：本文從互聯(lián)網(wǎng)發(fā)展對網(wǎng)絡(luò)技術(shù)要求的角度出發(fā)，對MPLS VPN技術(shù)的進行介紹，重點就該技術(shù)在實施部署中安全方面的內(nèi)容進行探討，對促進MPLS VPN技術(shù)的演講和應(yīng)用具有一定的理論和現(xiàn)實意義。

關(guān)鍵詞：MPLS；VPN；安全

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1007-9416（2017）07-0202-02

1 研究背景

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，信息網(wǎng)絡(luò)作為各類IT信息系統(tǒng)的基礎(chǔ)設(shè)施其規(guī)模也在不斷擴大，人們對其建設(shè)提出了新的需求：跨地域、實時性、安全可靠、接入便捷等方面。目前，MPLS VPN技術(shù)已經(jīng)被許多服務(wù)提供商所采用部署到自己的網(wǎng)絡(luò)環(huán)境中，與此同時隨著大中型公司規(guī)模的擴大以及業(yè)務(wù)的發(fā)展，公司總部與各分支機構(gòu)之間的辦公需求也要求其IT運維部門建立和運營自己的MPLS網(wǎng)絡(luò)。公共信息基礎(chǔ)平臺上發(fā)展各公司自己的專有網(wǎng)絡(luò)已是大勢所趨，但安全性仍舊是大家普遍但是的一個問題。本文將首先對MPLS VPN技術(shù)進行簡單介紹，然后就該技術(shù)在實施部署過程中涉及到的一些安全問題進行論述。

2 MPLS VPN技術(shù)介紹

MPLS VPN是一種基于MPLS技術(shù)的VPN，是在路由和交換設(shè)備上應(yīng)用MPLS技術(shù)實現(xiàn)的虛擬專用網(wǎng)，其將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。該技術(shù)的出現(xiàn)可以解決傳統(tǒng)VPN技術(shù)的一些固有缺陷，其中最重要的是地址重疊的問題。MPLS VPN技術(shù)可以保證不同的用戶VPN可以使用相同的私有地址空間，而且可以在公共的骨干網(wǎng)絡(luò)上相互不影響地交換數(shù)據(jù)。圖1為典型的MPLS VPN路由模型。

（1）PE（運營商邊界設(shè)備）：骨干網(wǎng)邊緣路由器，存儲VRF，處理VPN-IPv4路由，是MPLS三層VPN的主要實現(xiàn)者。（2）P（運營商設(shè)備）：骨干網(wǎng)核心路由器，負責MPLS轉(zhuǎn)發(fā)。（3）CE（客戶邊界設(shè)備）：用戶網(wǎng)邊緣路由器，發(fā)布用戶網(wǎng)絡(luò)路由。

在MPLS VPN中，服務(wù)提供商的PE 設(shè)備通過技術(shù)手段為每個客戶建立專用的虛擬路由轉(zhuǎn)發(fā)表，將客戶站點A的CE設(shè)備發(fā)來的路由在本地入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網(wǎng)內(nèi)部進行交換，VPN報文打上這層標簽就可以通過骨干網(wǎng)絡(luò)中的P設(shè)備到達遠端PE相應(yīng)的虛擬路由轉(zhuǎn)發(fā)表中；第二層（內(nèi)層）標簽，指示了報文應(yīng)該到達哪個CE，報文到達PE時剝掉外層標簽，遠端PE根據(jù)內(nèi)層標簽就可找到轉(zhuǎn)發(fā)接口，并將相關(guān)信息發(fā)送給客戶站點B的CE設(shè)備。

3 MPLS VPN安全部署

MPLS體系結(jié)構(gòu)可以分為控制平面、轉(zhuǎn)發(fā)平面和管理平面，在實施過程中MPLS網(wǎng)絡(luò)系統(tǒng)必須保證控制平面設(shè)備之間VPN 路由信息傳送的準確、可靠，保證數(shù)據(jù)平面設(shè)備之間 VPN 用戶數(shù)據(jù)傳送的私密、完整，保證管理平面上網(wǎng)管安全可靠。下面將從以上三個方面就其安全性的部署提出一些探討。

3.1 控制平面的安全

當CE設(shè)備通過動態(tài)路由協(xié)議將本地的路由信息傳送給PE設(shè)備時，這有可能導(dǎo)致PE路由器的地址會被MPLS核心外界所知。如果知道PE路由器地址，黑客就可以通過該地址對MPLS核心網(wǎng)絡(luò)實施攻擊，為了避免該問題的出現(xiàn)，可以考慮 PE與CE之間采用靜態(tài)路由的方式，這樣CE設(shè)備指向一個接口地址，而不再需要知悉MPLS核心網(wǎng)絡(luò)中的IP地址。在相關(guān)CE和PE路由器中直接配置靜態(tài)路由，可有效減少有害路由被注入到該環(huán)境中的可能性。

雖然靜態(tài)路由在安全方面考慮是個不錯的選擇，但是對于大型網(wǎng)絡(luò)來說管理靜態(tài)路由的成本還是太大了，通常此處需要做路由匯總。但如果網(wǎng)絡(luò)環(huán)境發(fā)生變化，此時就需要技術(shù)人員對CE以及PE設(shè)備重新調(diào)整配置，所以在MPLS VPN技術(shù)實施中是否采用靜態(tài)路由需要視具體情況而定。那么如果必須采用動態(tài)路由協(xié)議的情況下，PE路由器就可能收到來自本地或者遠程CE設(shè)備的路由更新，該更新可能是正常的，但也有可能是惡意的，在此種情況下就很容易產(chǎn)生安全問題。過量數(shù)目的VRF路由更新到PE設(shè)備，可能導(dǎo)致該設(shè)備內(nèi)存溢出，從而引起設(shè)備無法正常工作，MPLS VPN功能失效，因此無論采用何種動態(tài)路由協(xié)議，都需要對更新到VRF路由做控制。通過用戶配置來定義從某個鄰居所接收路由的最大條目數(shù)，可以有效防范過量VRF路由注入導(dǎo)致設(shè)備異常的情況發(fā)生。CE 通過動態(tài)路由協(xié)議將本地站點的路由傳送給 PE（也可以通過靜態(tài)路由方式），控制面上首先要保證這些路由信息傳送的安全性。此時可以考慮對CE設(shè)備進行認證，在經(jīng)過認證之后才允許進行路由信息的交換。

3.2 數(shù)據(jù)層面的安全

數(shù)據(jù)層面的安全性主要考慮在IP數(shù)據(jù)包在傳輸過程中被嗅探或篡改，預(yù)防的措施主要是對數(shù)據(jù)進行加密，現(xiàn)階段MPLS VPN網(wǎng)絡(luò)中通常采用IPSec的加密技術(shù)。IPSec基于端對端的安全模式，在源IP和目標IP地址之間建立信任和安全性，該協(xié)議可以為上層協(xié)議提供透明的安全保證。

加密技術(shù)可以保證設(shè)備之間傳送信息的私密性和完整性，但數(shù)據(jù)加密也會帶來一些負面的影響。例如加密措施會給完成相關(guān)功能的設(shè)備增加了額外的計算負擔，從而影響設(shè)備的業(yè)務(wù)處理能力；在設(shè)備上配置加密業(yè)務(wù)時，增加了設(shè)備的配置內(nèi)容，也就從一定程度上提高了操作難度，增加了運營成本。

3.3 管理層面的安全

在管理層面，首先需要確保網(wǎng)管系統(tǒng)的安全性，通常網(wǎng)管系統(tǒng)的訪問權(quán)限都是具備管理功能的，而被管理設(shè)備的網(wǎng)管接口需要設(shè)置訪問控制，需要經(jīng)過認證才能允許相關(guān)的操作。同時為了避免業(yè)務(wù)數(shù)據(jù)擠占管理信息的正常傳遞，可以讓網(wǎng)管系統(tǒng)以帶外的方式進行訪問。

4 結(jié)語

本文從MPLS體系結(jié)構(gòu)的角度出發(fā)，分析了MPLS VPN技術(shù)在部署過程中可能存在的安全隱患，并分別從控制層面、數(shù)據(jù)層面以及管理層面提出了相關(guān)的解決辦法。但從中我們可以看到，各種解決辦法都相應(yīng)的會增加設(shè)備的額外處理開銷。因此在MPLS VPN技術(shù)實施的過程中，建設(shè)部門應(yīng)根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)的實際運行情況，就安全性與設(shè)備處理能力方面進行權(quán)衡，以便在充分保障業(yè)務(wù)安全的前提下盡量降低運維成本。endprint