王晓贺
(中国移动通信集团 河北有限公司 石家庄分公司,河北 石家庄 050021)
基于MPLS VPN的电信级IP承载网安全解决方案研究
王晓贺
(中国移动通信集团 河北有限公司 石家庄分公司,河北 石家庄 050021)
IP承载网已作为电信全业务的承载方式,在电信系统得到广泛应用。MPLS VPN作为构建IP承载网的关键技术,能够有效实现不同业务隔离及采用不同接入方式用户的无障碍通信。文章基于电信运营商角度,给出了基于MPLS VPN的电信级IP承载网络架构方案,并对其安全解决方案做出研究探讨。
MPLS VPN;IP承载网;安全策略;安全区域
从近年电信业务发展来看,IP承载网已经逐步发展为电信全业务的承载方式。用户的各种需求,如视频点播、语音通话、数据下载等移动互联网业务都可用IP承载网实现承载。MPLS VPN是构建IP承载网的核心技术,可以实现用户间采用不同接入方式的无障碍通信,以及将各类不同业务隔离,另外可以实现VPN数据的公网传输。基于MPLS VPN的IP承载网的广泛应用,使得其网络安全性的研究变得尤为重要。本文从安全策略部署方面提出IP承载网安全解决方案的研究。
(1)MPLS VPN是指基于多标签转发技术的虚拟专用网。VPN利用MPLS技术,在骨干网建立专用数据传输通道,实现报文的透明传输。它使用BGP在服务提供商骨干网上发布VPN路由,并利用MPLS转发VPN报文。MPLS VPN基本组网如图1所示。
图1 MPLS VPN基本组网
其中,CE指用户边缘设备(路由器或者交换机),PE是服务商边缘路由器,P是服务提供商网络中的骨干路由器,不与CE直接相连。
(2)基于MPLS VPN的电信级IP承载网需要对不同类型的业务进行网络隔离,并需要满足网络扁平化、安全性及可靠性等多种要求。网络规划阶段,现网将不同承载业务划分,并利用MPLS L2VPN,MPLS L3VPN等不同技术将这些业务进行隔离。
某移动公司IP承载网组网如图2所示。
图2 某移动公司IP承载网组网
作为IP承载网业务安全保障,确保网络安全是研究重点。基于MPLS VPN电信级IP承载网安全解决方案进行如下分析。
(1)网络架构的安全:移动公司现网使用的路由器NE5000E/80E/40E等采用双平面结构,如图3所示,并对链路、设备进行冗余备份。严格控制不同平面之间的流量安全,确保设备安全。
图3 IP承载网的双平面结构
(2)通过MPLS VPN实现业务的隔离,并针对不同业务划分安全区域,实施一定的安全策略。
根据业务接入的不同,划分为2/3G软交换语音VPN,PS域VPN,4G IMS VPN,大客户VPN等不同VPN。并根据业务接入特征、不同的安全特性和需求,划分为不同的安全区域,采用不同的安全措施。安全区域划分如图4所示。
(1)2/3G:软交换语音VPNIMS域,VPN:CS域及IMS域内部都是可信任系统,并且不连接外部网络,不存在安全问题。
(2)PS域VPN:需要连接到外部网络(INTERNET),需要在GGSN上部署防火墙以确保安全。
(3)城域网及IPTV业务因其连接终端的不可靠,需针对业务系统在网络内部制定安全保护策略,并在VPN对接时实施安全控制策略。
(4)大客户专线用户直接接入业务骨干网,可采用增加专用PE设备,并在PE-CE上实施严格的安全策略。专用PE设备提高网络安全性能,避免由于频繁更改AR配置影响业务的正常运行。
本文从电信运营商的角度出发,给出了基于MPLS VPN的电信级IP承载网组网方案,并从网络架构、安全策略、部署防火墙等方面给出了基于MPLSVPN的IP承载网的安全解决方案。并根据架构把网络划分为不同的安全区域,不同区域采用不同的策略和技术,实现整网的业务安全。
图4 安全区域划分示意
[1]徐啸峰.电信级IP承载网规划方法研究[J].江苏通信技术,2006(12):5-10.
[2]陈凯.IP承载网提升稳定性技术的研究与实现[D].济南:山东大学,2010.
[3]李皓.IP承载网系统设计与实现[D].北京:北京工业大学,2013.
Security Solutions Based on MPLS VPN Carrier-class IP Bearer Network
Wang Xiaohe
(China Mobile Communications Group Co., Ltd.of Shijiazhuang, Hebei Branch, Shijiazhuang 050021, China)
IP bearer network has a full-service telecommunications bearer in a telecommunications system has been widely used. MPLS VPN as a key technology to build IP bearer network can effectively isolate different services and the use of barrier-free communication between different access users. Based on the perspective of telecom operators, given carrier-class IP bearer network solutions based on MPLS VPN network architecture, and to make a study to explore its security solutions.
MPLS VPN; IP bearer network; security strategy; security zone
王晓贺(1982-),女,内蒙古赤峰,硕士,工程师;研究方向:IP网络技术,VOLTE通信技术。