探讨MPLS VPN的安全性

摘 要：本文就MPLS VPN的安全性进行分析，并且与ATM/FR网络的安全性相比较。就地址空间和路由信息分离，隐藏骨干网络拓扑与骨干网抵御外来恶意攻击入侵方面提供信息，研究MPLS VPN的安全性。

关键词：虚拟网络；网络安全；多协议标签交换；网络技术

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 06-0073-01

大型企业很长的一段时间，其网络连接主要以ATM/FR技术为基础建立起来。因为ATM/FR技术拥有能提供高品质的QoS保证，以及其安全性高的连接能力，所以尽管这个技术存在着信令过程复杂，宽带资源浪费这些缺陷，广大的网络运营商跟企业用户还是使用了。很多企业在过去的十年当中，把以前基于专线连接的专业网络转移到以ATM/FR为基础的虚拟专用网（VPN）的当中，这样的办法能够减低网络连接的费用。

多协议标签交换（MPLS）技术发展越来越成熟，这门技术拥有着流量工程管理跟QoS保证这些方面优秀的表现，所以凭着它的优点，在骨干网的构架中渐渐有取代ATM的趋势。结合了网络核心高速交换跟网络边缘的灵活路由等有点的MPLS技术，还可以运行多种链路层。MPLS技术有三个主要特点：第一，运用基于数据标签的转发机制，骨干网内可以同一时间的支持多种业务类型；第二，第三层路由跟第第二层路由通过集成交换技术，可以把网络的可扩展性跟QoS保证能力有效的提高；第三，通过显式路由的标签交换路径（LSP）的建立跟支持带有限定条件路由的标签交换信令，对实施全局的流量能产生有效的控制。

在MPLS技术构建VPN，这是对于网络运营商来说看中的一个热点。MPLS VPN能不能跟ATM/FR的VPN提供相当性能的安全保密连接是对前者能不能运行成功的关键。

一、VPN简介

运营商通过公共的骨干网向企业用户提供的虚拟用网络称为VPN，这门技术能够为在双方不在同一个地理位置的时候，为用户VPN成员提供站点连接。在运营商看来，VPN骨干网络是所有用户的公共网络，所以的数据都是流通到同一个骨干；在用户看来，VPN是个专有的网络，凡是属于同个VPN成员，站点之间都可以互相进行数据传输。

VPN目前有基于重叠模式的二层VPN跟基于对等模式的三层VPN。二层VPN是基于运营商使用静态虚电路形成的一个二层VPN骨干网。三层VPN是运营商跟用户一样使用IP协议体系。

二、MPLS VPN技术

MPLS VPN技术也有分二层MPLS VPN跟三层MPLS VPN两个类型。

（一）二层MPLS VPN

这是指运营商的网络跟客户的网络架构在层叠的两个独立的网络模型上，在客户看来只是由运营商提供了个简单的二层链接，使的客户能够在自己网络内部使用ATM/FR技术。并且，IP骨干网络上使用MPLS的LSP提供相类似的虚拟专用连接给客户带来传统的二层链路接口。

（二）三层MPLS VPN

因为发展时间长，所以三层MPLS VPN本身比较完善。它使用边界网管协议的多协议扩展跟共有属性定义VPN连接性，在骨干网的边界设备之间用MPLS技术建立LSP，提供高速输送通道给用户。

三、MPLS VPN安全性

（一）地址空间跟路由信息分离

对于企业网络来讲，地址空间的隐藏是非常重要的，它可以在阻碍外界了解企业内部网络的拓扑的同时实施攻击，并且对地址进行访问控制。因为IP地址的有限，所以企业内部网络范围里都会实行自定地址分配。对VPN实现方案中，灵活的地址管理是占有很重的地位。ATM VPI/VCI或者FR DLCI是决定数据的转发，因此企业网的IP层的地址规划受到内在地支持。MPLS VPN需要根据IP报头的地址信息去找到相对应的LSP，这样就需要使用额外的机制来确保不一样的VPN上面的地址空间分离。路由器标识符被带入到了MPLS VPN中，这是在服务商网络里存在的唯一。经由路由器标识符，可以令每个用户群分配一个VPN-IPv4地址空间，这里面存在的地址是经过路由器标识符跟用户IP地址连接而成。用户设备跟边界设备，如果双方要运行路由协议，那么就需要边界设备上面的独立地址。这个问题可以由两者设备之间的运行静态路由解决。

路由信息中可以知道有关网络的拓扑信息，这样能够确保独立的VPN路由信息不会被另一个或者外接得知，从而威胁到企业网的安全。连接到相同边界设备的VPN用户，边界设备上面的VRF相互不存在直接信息交换的通道，因此可以实现路由信息分离，不给双方带来安全隐患。

（二）隐藏骨干网络拓扑

对于存在着大量用户的业务数据的骨干网，确保网上数据不外漏是一个关键。运营商对骨干网的安全性级别的高低非常看重，所以这里面，隐藏骨干网络拓扑是一个有效办法，没有网络拓扑信息，就能提高网络防御级别。想要攻击或者入侵的人在没有信息的前提下，无法攻击。网络拓扑信息被有效的隐藏，这是因为用户设备跟骨干网边界设备相互只有涉及到虚拟连接信息的交换，没有涉及到三层网络信息。骨干网抵挡恶意攻击侵入，提高骨干网整体抵御能力跟保证一个VPN的攻击不会影响到其他VPN，这样安全性更能提高。

四、结语

MPLS VPN技术是时下的一个热点技术，有很多电信运营商在业务中开展了这技术的试验。多次试验表明，在MPLS技术的VPN的安全性能跟ATM/FR的VPN相当。而且带有网络扩展性，维护管理成本低下，业务新功能等方面的优点。

参考文献：

[1]薛培沛.MPLS VPN关键技术研究及在ACR中的设计与实现[D].信息工程大学，2007，6.

[2]魏斌斌.MPLS在电子政务网络中的应用[J].计算机时代，2006，8.

[3]李旺.MPLS网络自愈技术的研究与应用[D].吉林大学，2006，4.