[摘要]出于企业组网的安全性需要,利用MPLS VPN的基本理论知识,设计与规划了基于IP城域网的MPLS VPN模型,通过网络连通性测试、查看P和PE路由器的路由表、查看PE设备的BGP路由信息等方法和理论分析,证明了基于IP城域网的MPLS VPN具有与ATM/FR VPN相类似的安全性,为企业用户组建高安全性的VPN积累了宝贵的经验。
[关键词]IP城域网;MPLS VPN;网络安全性;ping;路由表
1概述
MPLS(Multi-Protocol Label Switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class,转发等价类FEC)的分类转发技术[1]。在MPLS网络中,通过LDP(Label Distribution Protocol,标签分配协议)动态地在邻居之间发布标签/FEC绑定关系,建立一系列的LSP(Label Switching Path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构[2]。MPLS结合了IP技术的灵活性与ATM技术的安全性等优点,非常适合组建VPN(Virtual Private Network,虚拟专用网)。在VPN中有CE(Custom Edge,用户接入设备)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)三种路由器。
MPLS VPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发[3]。
MPLS VPN路由信息发布过程:PE和CE可以通过静态或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF(VPN Routing/Forwarding Instance,路由转发实例,用于区分不同VPN用户的路由);PE对每一条VPN路由加上RD(Route Distinguisher,路由区分符,用于区分一台PE接收到其他PE发来的不同VRF的相同路由,并形成一条VPNv4路由)和RT(Route Target,路由目标RT,用于实现不同VRF之间的路由互通)属性,然后把路由更新信息发给所有的PE邻居;根据本地VRF的RT属性把VPNv4路由加入到相应的VRF中,再由本地VRF的路由协议引入并转发给相应的CE。
2 规划MPLS VPN实验平台
设计与规划基于IP城域网的MPLS VPN,其拓扑结构模型如图1所示:
图中MPLS骨干网使用华为Quidway S8016路由交换机,其中P路由器的IP地址为198.148.10.0网段,PE路由器的IP地址为204.18.68/78/88.0网段。X、Y公司使用二层交换机作为CE接入MPLS骨干网,组成VPNx和VPNy,其中X公司CEx1、CEx2、CE3…的IP地址为10.1.1/2/3.0网段,VRF为mplsvpn-x,RT、RD均为65500:3,Y公司CEy1、CEy2、CEy3的IP地址为10.2.1/2/3.0网段,VRF为mplsvpn-y,RT、RD均为65500:3。
3 测试网络的安全性[HT5”]
3.1测试VPNx和VPNy的连通性
采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在X或Y公司的各个网段上ping对方的各个网段,利用返回的ICMP包验证VPNx和VPNy的连通性。测试的显示信息均为“Request timed out”,说明VPNx和VPNy之间的数据是隔离的。
3.2测试CE与P的连通性
在X或Y公司的各个网段上ping骨干网路由器P。测试显示信息均为“Request timed out”,说明VPN的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。
3.3查看P的路由信息
显示骨干网路由器P的路由信息,如图2所示:
测试结果说明:在P路由器上只有全局路由信息,用于保证骨干网的通信,而没有VPN私网路由信息,不和CE直接通信。因此,用户数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通P路由器。
显示PE1的全局/VPNv4/BGP路由信息,如图3所示:
图中前两段显示的是PE1的全局/VPNv4路由信息。测试结果说明:在PE路由器上有全局路由信息,用于保证骨干网的通信。还有不同VPN的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户VPN通信的安全。图中第三段显示的是PE1路由器的BGP路由信息。测试结果说明:用户VPN的私网路由信息是使用BGP的扩展属性透明地通过MPLS骨干网传递到对端的PE,保证了VPN的安全。
4 传统专网与MPLS VPN的安全性分析
传统VPN的安全保证主要靠其CUG(Closed User Group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的DoS(Denial of Service,拒绝服务)等攻击。但如果用户VPN的每个CPE都连到Internet,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新配置每个防火墙是非常困难的。
与传统VPN不同,由于MPLS VPN采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证[4]。MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术。一个VPN包括一组CE,以及同其相连的IP MAN中的PE。只有PE理解VPN,CE可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个VPN依靠VPN-instance来识别成员关系。
从上面的测试可以看出,MPLS VPN的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的VPN标记,因此在骨干网上VPN的数据流量是隔离的,保证了用户发送的分组被传送到正确的VPN。
另外,封闭的MPLS VPN本身就具有内在的安全性。如果用户需要访问Internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个VPN提供安全的连接。由于整个VPN只需要维护一种安全策略,管理起来也非常容易[5]。
5结论
通过前文的测试和理论分析,可以得出结论:MPLS VPN的安全性高于传统基于IP技术组建的VPN,具有与ATM/FR VPN相类似的安全性。
[
参考文献
][1] Eric Osborne,Ajay Simha.基于MPLS的流量工程[M].北京:人民邮电出版社,2003:18
[2] 王达,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004:58-59.
[3] Vivek Alwayn.高级MPLS设计与实施[M].北京:人民邮电出版社,2003:41-42.
[4] 薛戈丽.组建基于MPLS VPN的IP城域网网络方案[J].中国科技信息,2005,(15):137.
[5] 王柱.基于IP城域网的MPLS VPN规划与性能分析[D].天津:天津大学,2006:31. 转贴于 免费论文下载中心