BGP/MPLS VPN安全性分析與仿真實(shí)驗(yàn)

董昊 胡曦明 馬苗

摘要：基于H3C Cloud Lab平臺(tái)對(duì)BGP/MPLS VPN安全性進(jìn)行了深入分析，指出其在數(shù)據(jù)傳輸過(guò)程中存在信息泄露的安全隱患。在此基礎(chǔ)上，提出并實(shí)現(xiàn)了基于IPSec的安全BGP/MPLS VPN設(shè)計(jì)方案。經(jīng)過(guò)仿真實(shí)驗(yàn)表明，該方案在保證BGP/MPLS VPN傳輸可靠性的同時(shí)，通過(guò)引入數(shù)據(jù)加密機(jī)制有效地增強(qiáng)了虛擬專(zhuān)用網(wǎng)數(shù)據(jù)傳輸?shù)陌踩裕瑪U(kuò)展了BGP/MPLS VPN技術(shù)的適用范圍。

關(guān)鍵詞：邊界網(wǎng)關(guān)協(xié)議；多協(xié)議標(biāo)簽交換；虛擬專(zhuān)用網(wǎng)；IP安全協(xié)議；加密

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2018）12-58-4

Analysis on BGP MPLS VPN Security and Simulation Experiment

DONG Hao1， HU Ximing1，2， MA Miao1，2

（1. School of Computer Science， Shaanxi Normal University， Xian Shaanxi 710119， China； 2. Key Laboratory of Modern Teaching Technology， Ministry of Education， Xian Shaanxi 710119， China）

0引言

虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）是一種用于連接企業(yè)或團(tuán)體之間專(zhuān)用網(wǎng)絡(luò)的通信網(wǎng)絡(luò)技術(shù)。多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由地址、轉(zhuǎn)發(fā)和交換等能力。將VPN與MPLS技術(shù)相結(jié)合，便形成了一種主流VPN，即MPLS VPN[1]，它基于運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)，構(gòu)建企業(yè)或團(tuán)體的虛擬專(zhuān)用網(wǎng)絡(luò)，實(shí)現(xiàn)跨地域、可靠、高速的信息傳輸，具有高效率、易擴(kuò)展和易維護(hù)的特點(diǎn)。因此，MPLS VPN現(xiàn)在廣泛應(yīng)用于社會(huì)的各個(gè)領(lǐng)域，例如教育行業(yè)[2]、醫(yī)療機(jī)構(gòu)[3]及企業(yè)[4]等。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，網(wǎng)絡(luò)信息安全逐漸得到了人們的關(guān)注。MPLS VPN作為一種主流的虛擬專(zhuān)用組網(wǎng)方案，其私網(wǎng)傳輸?shù)臄?shù)據(jù)得到安全保障是至關(guān)重要的[5]。為此，討論了基于MPLS VPN組網(wǎng)方案的數(shù)據(jù)傳輸?shù)陌踩詥?wèn)題，并提出了相應(yīng)的改進(jìn)措施[6]。

1 BGP/MPLS VPN安全性

1.1 BGP/MPLS VPN

BGP/MPLS VPN是一種常見(jiàn)的MPLS VPN組網(wǎng)方式，這種組網(wǎng)方式是以MPLS VPN模型為基礎(chǔ)，依靠BGP為信令協(xié)議在骨干網(wǎng)上傳輸私網(wǎng)路由信息，利用MPLS通道傳輸私網(wǎng)流量[7]。MPLS模型中包括用戶(hù)網(wǎng)絡(luò)邊緣設(shè)備（CE）、運(yùn)營(yíng)商邊緣路由器（PE）及運(yùn)營(yíng)商骨干路由器（P）3部分，其中CE和PE被認(rèn)為是運(yùn)營(yíng)商和用戶(hù)的管理范圍邊界。在數(shù)據(jù)傳輸過(guò)程中，MPLS通道是通過(guò)識(shí)別標(biāo)記將數(shù)據(jù)傳送到目的地址。每個(gè)數(shù)據(jù)包的標(biāo)記類(lèi)似于郵編，MPLS的轉(zhuǎn)發(fā)路由也是通過(guò)標(biāo)記來(lái)區(qū)分特定的VPN[8]。這種網(wǎng)絡(luò)模型既實(shí)現(xiàn)了高效轉(zhuǎn)發(fā)，又具有易擴(kuò)展的性能。

1.2安全性探究實(shí)驗(yàn)

為了探究BGP/MPLS VPN中數(shù)據(jù)傳輸?shù)陌踩詥?wèn)題，利用軟件平臺(tái)搭建網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)該方案下的數(shù)據(jù)傳輸過(guò)程[9]。H3C Cloud Lab是一款基于虛擬機(jī)的網(wǎng)絡(luò)設(shè)備模擬軟件，它以虛擬機(jī)為支撐，實(shí)現(xiàn)模擬現(xiàn)實(shí)的組網(wǎng)方案，常用于企業(yè)初期的組網(wǎng)方案設(shè)計(jì)和網(wǎng)絡(luò)實(shí)驗(yàn)展示。

全局使能MPLS與MPLS LDP，定義VPN實(shí)例，最后配置路由交換協(xié)議，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。其中，P和PE分別表示運(yùn)營(yíng)商骨干路由器和邊緣路由器，在CE1與CE2之間配置VPN實(shí)例，使其之間的通信通過(guò)私網(wǎng)流量，PE與CE之間配置與VPN綁定的OSPF多實(shí)例，PE與PE之間配置與VPN綁定的BGP多實(shí)例，最終將PE中配置的OSPF與BGP相互引入。

當(dāng)CE中OSPF狀態(tài)機(jī)變?yōu)镕ULL，其與鄰居會(huì)達(dá)到完全臨接狀態(tài)，即可在CE路由表中找到通過(guò)BGP協(xié)議學(xué)到的對(duì)端路由信息，CE1路由器的路由表信息如圖2所示。

在CE各自成功學(xué)到對(duì)端的路由后，使用ping命令驗(yàn)證網(wǎng)絡(luò)連通性，測(cè)試結(jié)果如圖3所示。

結(jié)果表明，CE1與CE2之間成功建立VPN，5次ping無(wú)丟包現(xiàn)象，連通良好。

為了探究BGP/MPLS VPN下的網(wǎng)絡(luò)安全性，可在運(yùn)營(yíng)商邊緣路由器（PE）處抓包同時(shí)，模擬VPN中（CE之間）通信過(guò)程，查看抓到的報(bào)文并分析其安全性。在PE1處GE0/1接口處抓包，CE1 ping CE2來(lái)模擬VPN間的通信過(guò)程，抓取報(bào)文如圖4所示。

1.3存在的安全性問(wèn)題

通過(guò)實(shí)驗(yàn)分析抓取的報(bào)文，5次ping抓到了10條ICMP報(bào)文，沒(méi)有丟包現(xiàn)象，且可以詳細(xì)地看到每一條ICMP報(bào)文的請(qǐng)求/回顯序列號(hào)等信息。通過(guò)多次試驗(yàn)表明，BGP/MPLS VPN具有較高的數(shù)據(jù)傳輸可靠性，可以滿(mǎn)足日常的VPN應(yīng)用需求。

但是就安全性而言，BGP/MPLS VPN并沒(méi)有對(duì)信息進(jìn)行加密，它的數(shù)據(jù)是通過(guò)明文傳輸?shù)摹＿@種明文的傳輸方式很容易被攻擊、利用，進(jìn)而導(dǎo)致賬戶(hù)密碼等關(guān)鍵信息在通過(guò)BGP/MPLS VPN傳輸中造成泄露。顯然，BGP/MPLS VPN在具有高效傳輸?shù)耐瑫r(shí)，也存在著由于不對(duì)數(shù)據(jù)進(jìn)行加密而容易造成數(shù)據(jù)傳輸安全漏洞，由此使得BGP/MPLS VPN在金融、安保和政務(wù)等保密性較高的應(yīng)用領(lǐng)域中的應(yīng)用受到極大限制。

2基于IPSec的安全BGP/MPLS VPN

為了增強(qiáng)MPLS VPN的安全性，將MPLS VPN技術(shù)與一些安全協(xié)議相結(jié)合，能夠達(dá)到VPN數(shù)據(jù)傳輸?shù)募用苣康腫10]。IPSec（Internet Protocol Security）是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在IP網(wǎng)絡(luò)上進(jìn)行保密而安全的通信。IPSec主要用于VPN相關(guān)領(lǐng)域，提供端到端或站到站的信息保護(hù)，主要使用AH和ESP兩種安全協(xié)議。IPSec VPN也是目前一種主流的VPN，它提供了一套完整的網(wǎng)絡(luò)體系，通過(guò)對(duì)信息加密、提供驗(yàn)證服務(wù)以保障數(shù)據(jù)的安全[11]。

因此，為了增強(qiáng)BGP/MPLS VPN的安全性，將MPLS技術(shù)與IPSec相結(jié)合，提出一種基于IPSec的安全BGP/MPLS VPN設(shè)計(jì)方案。組建IPSec over MPLS VPN網(wǎng)絡(luò)環(huán)境，分析驗(yàn)證在該混合組網(wǎng)方案下數(shù)據(jù)傳輸在安全性方面的表現(xiàn)情況。

2.1方案設(shè)計(jì)

將IPSec與MPLS技術(shù)相結(jié)合，即IPSec over MPLS，可以使得私網(wǎng)流量加密后再進(jìn)行傳輸。以BGP/MPLS VPN為基礎(chǔ)，在CE間配置IPSec隧道[12]，分析數(shù)據(jù)在該混合組網(wǎng)方案下的加密情況，拓?fù)鋱D如圖5所示。

2.2方案的實(shí)現(xiàn)

針對(duì)上述方案，分別采用手工方式和IKE協(xié)商方式實(shí)現(xiàn)IPSec安全策略，進(jìn)而搭建基于IPSec的安全BGP/MPLS VPN。

2.2.1手工方式配置IPsec安全策略

部分配置命令如表1所示（以CE1設(shè)備為例，CE2與CE1同理）。

手工方式指定了路由器的入口SPI和出口SPI與入口密鑰和出口密鑰，其可以不依賴(lài)IKE而單獨(dú)實(shí)現(xiàn)IPsec功能，且這種方式建立的SA永不老化。配置成功后，查看CE路由器IPSec SA，如圖6所示。

手工配置的SPI（inbound與outbound SPI）分別為54321和12345。查看CE1路由表，如圖7所示。

這里沒(méi)有顯示對(duì)端的路由信息，為了驗(yàn)證VPN連通性，CE1 ping CE2測(cè)試連接狀態(tài)，如圖8所示。

可以通信，說(shuō)明CE1并不用通過(guò)PE1尋找路由，即PE1并未感知CE1與CE2間IPSec通道的真實(shí)存在，提高了網(wǎng)絡(luò)安全性。查看在PE1處GE0/1接口抓到的報(bào)文，如圖9所示。

捕獲到了10條ESP報(bào)文，這些報(bào)文即為5次ping的通信過(guò)程，但無(wú)法查看通信過(guò)程中的序列號(hào)、TTL等信息，說(shuō)明IPSec隧道對(duì)私網(wǎng)信息進(jìn)行了加密處理。

2.2.2 IKE協(xié)商方式的IPsec安全策略

部分配置命令如表2所示（以CE1設(shè)備為例，CE2與CE1同理）。

使用IKE協(xié)商方式配置時(shí)，SPI將隨機(jī)生成且建立的SA具有生存期，其只需要配置好IKE協(xié)商安全策略的信息，由IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)SA，是大型動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中慣用的配置方式。

安全策略配置成功后，查看CE1路由表，如圖10所示。

該路由表與手工配置時(shí)的路由表類(lèi)似，也沒(méi)有對(duì)端的路由信息。這里仍然利用CE1 ping CE2測(cè)試連接狀態(tài)，如圖11所示。

可以通信，IKE協(xié)商方式與手工方式相似，CE1不需要獲取PE1的路由信息便可與CE2成功通信。

圖11中的第一次ping回顯Request time out即為IKE協(xié)商。抓取報(bào)文可以看到IKE的協(xié)商過(guò)程與ping的請(qǐng)求/回顯，如圖12所示。

其中，報(bào)文段中的第一部分表示IKE的主模式，完成協(xié)商策略、Diffie-Hellman交換與驗(yàn)證交換；第二部分表示快速模式，它在主模式基礎(chǔ)上完成IPSec SA協(xié)商；第三部分即為ping報(bào)文加密后的ESP數(shù)據(jù)包。

3安全性分析

通過(guò)上述3個(gè)實(shí)驗(yàn)可以發(fā)現(xiàn)，在BGP/MPLS VPN方案中，CE發(fā)出的數(shù)據(jù)報(bào)文沒(méi)有經(jīng)過(guò)加密，是以明文方式直接傳輸，且在CE1中可以找到對(duì)端網(wǎng)段的路由信息；而在BGP/MPLS VPN基礎(chǔ)上成功建立IPSec隧道后的安全VPN下，不僅在CE中找不到對(duì)端的路由信息，而且在抓到的數(shù)據(jù)包里找不到明文傳送的信息。CE傳輸私網(wǎng)信息時(shí)會(huì)通過(guò)IPSec加密后再進(jìn)行傳輸，其傳輸路由也不再通過(guò)BGP協(xié)議獲取，同時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)商也不會(huì)感知私網(wǎng)之間的隧道存在，因此后者比前者在安全性上更勝一籌。

4結(jié)束語(yǔ)

本文利用HCL平臺(tái)搭建了MPLS VPN，模擬私網(wǎng)間的數(shù)據(jù)傳輸，抓包分析發(fā)現(xiàn)BGP/MPLS VPN下的數(shù)據(jù)傳輸采用明文方式，容易造成數(shù)據(jù)傳輸過(guò)程中的信息泄露，給用戶(hù)帶來(lái)安全隱患，也限制了BGP/MPLS VPN的應(yīng)用場(chǎng)合。為了增強(qiáng)其安全性，提出了基于IPSec的安全BGP/MPLS VPN設(shè)計(jì)方案并進(jìn)行了實(shí)現(xiàn)。MPLS與IPSec相結(jié)合后，通過(guò)實(shí)驗(yàn)的對(duì)比可以發(fā)現(xiàn)，IPSec隧道在信息傳輸過(guò)程中對(duì)信息進(jìn)行了加密處理，真正為私網(wǎng)信息提供了安全保障，實(shí)現(xiàn)在保證BGP/MPLS VPN傳輸可靠性的同時(shí)增強(qiáng)了網(wǎng)絡(luò)安全性，且擴(kuò)展了BGP/MPLS VPN技術(shù)的適用范圍。該方案可應(yīng)用于對(duì)保密性要求較高的企業(yè)組網(wǎng)方案，在現(xiàn)有虛擬專(zhuān)用網(wǎng)基礎(chǔ)上建立IPSec隧道，極大地提高了VPN數(shù)據(jù)的安全性，配置簡(jiǎn)易靈活，而且易擴(kuò)展、易管理、易維護(hù)，更加安全高效地保護(hù)站點(diǎn)到站點(diǎn)之間的私網(wǎng)數(shù)據(jù)傳輸。

參考文獻(xiàn)

[1]何璐茜.MPLS VPN技術(shù)研究及應(yīng)用[J].現(xiàn)代電子技術(shù)， 2011，34（15）：127-130.

[2]王廣澤，汪鵬，羅智勇，等.一種MPLS VPN的分散校區(qū)圖書(shū)館教育網(wǎng)組建模型[J].哈爾濱理工大學(xué)學(xué)報(bào)，2017，22（3）： 31-35.

[3]何東，鄭建剛，馮涌，等.基于MPLS/VPN技術(shù)的集團(tuán)化醫(yī)院廣域網(wǎng)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2012，8（29）： 7136-7138.

[4]李大習(xí).基于SDN的MPLS企業(yè)VPN技術(shù)實(shí)現(xiàn)[J].電子技術(shù)，2017，46（12）：42-44.

[5]周健.云計(jì)算背景下的信息安全問(wèn)題研究[J].現(xiàn)代電子技術(shù)， 2017，40（11）：84-87.

[6]李忠武，陳麗清.計(jì)算機(jī)網(wǎng)絡(luò)路由器的應(yīng)用研究[J].現(xiàn)代電子技術(shù)，2014，37（8）：113-115.

[7]韓海雯，張瀟元.基于BGP協(xié)議的MPLSVPN構(gòu)建機(jī)制分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2008（5）：1104-1107.

[8]王文娟，李緒凱，張?zhí)燧x，等.MPLS/BGP-VPN技術(shù)應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2015，41（1）：60-63.

[9]杭州華三通信技術(shù)有限公司.H3C路由器典型配置指導(dǎo)[M].北京：清華大學(xué)出版社，2013.

[10]王建明. IPSec協(xié)議在VPN中的應(yīng)用探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（5）：67.

[11]蹇成剛.IP分組網(wǎng)絡(luò)安全分析及IPSec技術(shù)[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2010，36（17）：42-44.

[12]廖悅欣.IPSec協(xié)議實(shí)現(xiàn)技術(shù)研究[D].廣州：華南理工大學(xué)， 2013.