關于MPLS VPN技術的網絡安全性探討

潘德偉

摘要：本文從互聯網發展對網絡技術要求的角度出發，對MPLS VPN技術的進行介紹，重點就該技術在實施部署中安全方面的內容進行探討，對促進MPLS VPN技術的演講和應用具有一定的理論和現實意義。

關鍵詞：MPLS；VPN；安全

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1007-9416（2017）07-0202-02

1 研究背景

隨著互聯網的蓬勃發展，信息網絡作為各類IT信息系統的基礎設施其規模也在不斷擴大，人們對其建設提出了新的需求：跨地域、實時性、安全可靠、接入便捷等方面。目前，MPLS VPN技術已經被許多服務提供商所采用部署到自己的網絡環境中，與此同時隨著大中型公司規模的擴大以及業務的發展，公司總部與各分支機構之間的辦公需求也要求其IT運維部門建立和運營自己的MPLS網絡。公共信息基礎平臺上發展各公司自己的專有網絡已是大勢所趨，但安全性仍舊是大家普遍但是的一個問題。本文將首先對MPLS VPN技術進行簡單介紹，然后就該技術在實施部署過程中涉及到的一些安全問題進行論述。

2 MPLS VPN技術介紹

MPLS VPN是一種基于MPLS技術的VPN，是在路由和交換設備上應用MPLS技術實現的虛擬專用網，其將公眾網可靠的性能、良好的擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起。該技術的出現可以解決傳統VPN技術的一些固有缺陷，其中最重要的是地址重疊的問題。MPLS VPN技術可以保證不同的用戶VPN可以使用相同的私有地址空間，而且可以在公共的骨干網絡上相互不影響地交換數據。圖1為典型的MPLS VPN路由模型。

（1）PE（運營商邊界設備）：骨干網邊緣路由器，存儲VRF，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者。（2）P（運營商設備）：骨干網核心路由器，負責MPLS轉發。（3）CE（客戶邊界設備）：用戶網邊緣路由器，發布用戶網絡路由。

在MPLS VPN中，服務提供商的PE 設備通過技術手段為每個客戶建立專用的虛擬路由轉發表，將客戶站點A的CE設備發來的路由在本地入口PE上為報文打上兩層標簽，第一層（外層）標簽在骨干網內部進行交換，VPN報文打上這層標簽就可以通過骨干網絡中的P設備到達遠端PE相應的虛擬路由轉發表中；第二層（內層）標簽，指示了報文應該到達哪個CE，報文到達PE時剝掉外層標簽，遠端PE根據內層標簽就可找到轉發接口，并將相關信息發送給客戶站點B的CE設備。

3 MPLS VPN安全部署

MPLS體系結構可以分為控制平面、轉發平面和管理平面，在實施過程中MPLS網絡系統必須保證控制平面設備之間VPN 路由信息傳送的準確、可靠，保證數據平面設備之間 VPN 用戶數據傳送的私密、完整，保證管理平面上網管安全可靠。下面將從以上三個方面就其安全性的部署提出一些探討。

3.1 控制平面的安全

當CE設備通過動態路由協議將本地的路由信息傳送給PE設備時，這有可能導致PE路由器的地址會被MPLS核心外界所知。如果知道PE路由器地址，黑客就可以通過該地址對MPLS核心網絡實施攻擊，為了避免該問題的出現，可以考慮 PE與CE之間采用靜態路由的方式，這樣CE設備指向一個接口地址，而不再需要知悉MPLS核心網絡中的IP地址。在相關CE和PE路由器中直接配置靜態路由，可有效減少有害路由被注入到該環境中的可能性。

雖然靜態路由在安全方面考慮是個不錯的選擇，但是對于大型網絡來說管理靜態路由的成本還是太大了，通常此處需要做路由匯總。但如果網絡環境發生變化，此時就需要技術人員對CE以及PE設備重新調整配置，所以在MPLS VPN技術實施中是否采用靜態路由需要視具體情況而定。那么如果必須采用動態路由協議的情況下，PE路由器就可能收到來自本地或者遠程CE設備的路由更新，該更新可能是正常的，但也有可能是惡意的，在此種情況下就很容易產生安全問題。過量數目的VRF路由更新到PE設備，可能導致該設備內存溢出，從而引起設備無法正常工作，MPLS VPN功能失效，因此無論采用何種動態路由協議，都需要對更新到VRF路由做控制。通過用戶配置來定義從某個鄰居所接收路由的最大條目數，可以有效防范過量VRF路由注入導致設備異常的情況發生。CE 通過動態路由協議將本地站點的路由傳送給 PE（也可以通過靜態路由方式），控制面上首先要保證這些路由信息傳送的安全性。此時可以考慮對CE設備進行認證，在經過認證之后才允許進行路由信息的交換。

3.2 數據層面的安全

數據層面的安全性主要考慮在IP數據包在傳輸過程中被嗅探或篡改，預防的措施主要是對數據進行加密，現階段MPLS VPN網絡中通常采用IPSec的加密技術。IPSec基于端對端的安全模式，在源IP和目標IP地址之間建立信任和安全性，該協議可以為上層協議提供透明的安全保證。

加密技術可以保證設備之間傳送信息的私密性和完整性，但數據加密也會帶來一些負面的影響。例如加密措施會給完成相關功能的設備增加了額外的計算負擔，從而影響設備的業務處理能力；在設備上配置加密業務時，增加了設備的配置內容，也就從一定程度上提高了操作難度，增加了運營成本。

3.3 管理層面的安全

在管理層面，首先需要確保網管系統的安全性，通常網管系統的訪問權限都是具備管理功能的，而被管理設備的網管接口需要設置訪問控制，需要經過認證才能允許相關的操作。同時為了避免業務數據擠占管理信息的正常傳遞，可以讓網管系統以帶外的方式進行訪問。

4 結語

本文從MPLS體系結構的角度出發，分析了MPLS VPN技術在部署過程中可能存在的安全隱患，并分別從控制層面、數據層面以及管理層面提出了相關的解決辦法。但從中我們可以看到，各種解決辦法都相應的會增加設備的額外處理開銷。因此在MPLS VPN技術實施的過程中，建設部門應根據網絡和業務的實際運行情況，就安全性與設備處理能力方面進行權衡，以便在充分保障業務安全的前提下盡量降低運維成本。endprint