基于MPLS VPN的電信級IP承載網安全解決方案研究

王曉賀

（中國移動通信集團 河北有限公司 石家莊分公司，河北 石家莊 050021）

基于MPLS VPN的電信級IP承載網安全解決方案研究

王曉賀

（中國移動通信集團 河北有限公司 石家莊分公司，河北 石家莊 050021）

IP承載網已作為電信全業務的承載方式，在電信系統得到廣泛應用。MPLS VPN作為構建IP承載網的關鍵技術，能夠有效實現不同業務隔離及采用不同接入方式用戶的無障礙通信。文章基于電信運營商角度，給出了基于MPLS VPN的電信級IP承載網絡架構方案，并對其安全解決方案做出研究探討。

MPLS VPN；IP承載網；安全策略；安全區域

從近年電信業務發展來看，IP承載網已經逐步發展為電信全業務的承載方式。用戶的各種需求，如視頻點播、語音通話、數據下載等移動互聯網業務都可用IP承載網實現承載。MPLS VPN是構建IP承載網的核心技術，可以實現用戶間采用不同接入方式的無障礙通信，以及將各類不同業務隔離，另外可以實現VPN數據的公網傳輸。基于MPLS VPN的IP承載網的廣泛應用，使得其網絡安全性的研究變得尤為重要。本文從安全策略部署方面提出IP承載網安全解決方案的研究。

1　MPLS VPN簡介

（1）MPLS VPN是指基于多標簽轉發技術的虛擬專用網。VPN利用MPLS技術，在骨干網建立專用數據傳輸通道，實現報文的透明傳輸。它使用BGP在服務提供商骨干網上發布VPN路由，并利用MPLS轉發VPN報文。MPLS VPN基本組網如圖1所示。

圖1　MPLS VPN基本組網

其中，CE指用戶邊緣設備（路由器或者交換機），PE是服務商邊緣路由器，P是服務提供商網絡中的骨干路由器，不與CE直接相連。

（2）基于MPLS VPN的電信級IP承載網需要對不同類型的業務進行網絡隔離，并需要滿足網絡扁平化、安全性及可靠性等多種要求。網絡規劃階段，現網將不同承載業務劃分，并利用MPLS L2VPN，MPLS L3VPN等不同技術將這些業務進行隔離。

某移動公司IP承載網組網如圖2所示。

圖2　某移動公司IP承載網組網

2　基于MPLS VPN電信級IP承載網安全解決研究

作為IP承載網業務安全保障，確保網絡安全是研究重點。基于MPLS VPN電信級IP承載網安全解決方案進行如下分析。

（1）網絡架構的安全：移動公司現網使用的路由器NE5000E/80E/40E等采用雙平面結構，如圖3所示，并對鏈路、設備進行冗余備份。嚴格控制不同平面之間的流量安全，確保設備安全。

圖3　IP承載網的雙平面結構

（2）通過MPLS VPN實現業務的隔離，并針對不同業務劃分安全區域，實施一定的安全策略。

根據業務接入的不同，劃分為2/3G軟交換語音VPN，PS域VPN，4G IMS VPN，大客戶VPN等不同VPN。并根據業務接入特征、不同的安全特性和需求，劃分為不同的安全區域，采用不同的安全措施。安全區域劃分如圖4所示。

（1）2/3G：軟交換語音VPNIMS域，VPN：CS域及IMS域內部都是可信任系統，并且不連接外部網絡，不存在安全問題。

（2）PS域VPN：需要連接到外部網絡（INTERNET），需要在GGSN上部署防火墻以確保安全。

（3）城域網及IPTV業務因其連接終端的不可靠，需針對業務系統在網絡內部制定安全保護策略，并在VPN對接時實施安全控制策略。

（4）大客戶專線用戶直接接入業務骨干網，可采用增加專用PE設備，并在PE-CE上實施嚴格的安全策略。專用PE設備提高網絡安全性能，避免由于頻繁更改AR配置影響業務的正常運行。

3　結語

本文從電信運營商的角度出發，給出了基于MPLS VPN的電信級IP承載網組網方案，并從網絡架構、安全策略、部署防火墻等方面給出了基于MPLSVPN的IP承載網的安全解決方案。并根據架構把網絡劃分為不同的安全區域，不同區域采用不同的策略和技術，實現整網的業務安全。

圖4　安全區域劃分示意

［1］徐嘯峰.電信級IP承載網規劃方法研究［J］.江蘇通信技術，2006（12）：5-10.

［2］陳凱.IP承載網提升穩定性技術的研究與實現［D］.濟南：山東大學，2010.

［3］李皓.IP承載網系統設計與實現［D］.北京：北京工業大學，2013.

Security Solutions Based on MPLS VPN Carrier-class IP Bearer Network

Wang Xiaohe
（China Mobile Communications Group Co.， Ltd.of Shijiazhuang， Hebei Branch， Shijiazhuang 050021， China）

IP bearer network has a full-service telecommunications bearer in a telecommunications system has been widely used. MPLS VPN as a key technology to build IP bearer network can effectively isolate different services and the use of barrier-free communication between different access users. Based on the perspective of telecom operators， given carrier-class IP bearer network solutions based on MPLS VPN network architecture， and to make a study to explore its security solutions.

MPLS VPN； IP bearer network； security strategy； security zone

王曉賀（1982-），女，內蒙古赤峰，碩士，工程師；研究方向：IP網絡技術，VOLTE通信技術。