潘德伟
摘要:本文从互联网发展对网络技术要求的角度出发,对MPLS VPN技术的进行介绍,重点就该技术在实施部署中安全方面的内容进行探讨,对促进MPLS VPN技术的演讲和应用具有一定的理论和现实意义。
关键词:MPLS;VPN;安全
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9416(2017)07-0202-02
1 研究背景
随着互联网的蓬勃发展,信息网络作为各类IT信息系统的基础设施其规模也在不断扩大,人们对其建设提出了新的需求:跨地域、实时性、安全可靠、接入便捷等方面。目前,MPLS VPN技术已经被许多服务提供商所采用部署到自己的网络环境中,与此同时随着大中型公司规模的扩大以及业务的发展,公司总部与各分支机构之间的办公需求也要求其IT运维部门建立和运营自己的MPLS网络。公共信息基础平台上发展各公司自己的专有网络已是大势所趋,但安全性仍旧是大家普遍但是的一个问题。本文将首先对MPLS VPN技术进行简单介绍,然后就该技术在实施部署过程中涉及到的一些安全问题进行论述。
2 MPLS VPN技术介绍
MPLS VPN是一种基于MPLS技术的VPN,是在路由和交换设备上应用MPLS技术实现的虚拟专用网,其将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起。该技术的出现可以解决传统VPN技术的一些固有缺陷,其中最重要的是地址重叠的问题。MPLS VPN技术可以保证不同的用户VPN可以使用相同的私有地址空間,而且可以在公共的骨干网络上相互不影响地交换数据。图1为典型的MPLS VPN路由模型。
(1)PE(运营商边界设备):骨干网边缘路由器,存储VRF,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者。(2)P(运营商设备):骨干网核心路由器,负责MPLS转发。(3)CE(客户边界设备):用户网边缘路由器,发布用户网络路由。
在MPLS VPN中,服务提供商的PE 设备通过技术手段为每个客户建立专用的虚拟路由转发表,将客户站点A的CE设备发来的路由在本地入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,VPN报文打上这层标签就可以通过骨干网络中的P设备到达远端PE相应的虚拟路由转发表中;第二层(内层)标签,指示了报文应该到达哪个CE,报文到达PE时剥掉外层标签,远端PE根据内层标签就可找到转发接口,并将相关信息发送给客户站点B的CE设备。
3 MPLS VPN安全部署
MPLS体系结构可以分为控制平面、转发平面和管理平面,在实施过程中MPLS网络系统必须保证控制平面设备之间VPN 路由信息传送的准确、可靠,保证数据平面设备之间 VPN 用户数据传送的私密、完整,保证管理平面上网管安全可靠。下面将从以上三个方面就其安全性的部署提出一些探讨。
3.1 控制平面的安全
当CE设备通过动态路由协议将本地的路由信息传送给PE设备时,这有可能导致PE路由器的地址会被MPLS核心外界所知。如果知道PE路由器地址,黑客就可以通过该地址对MPLS核心网络实施攻击,为了避免该问题的出现,可以考虑 PE与CE之间采用静态路由的方式,这样CE设备指向一个接口地址,而不再需要知悉MPLS核心网络中的IP地址。在相关CE和PE路由器中直接配置静态路由,可有效减少有害路由被注入到该环境中的可能性。
虽然静态路由在安全方面考虑是个不错的选择,但是对于大型网络来说管理静态路由的成本还是太大了,通常此处需要做路由汇总。但如果网络环境发生变化,此时就需要技术人员对CE以及PE设备重新调整配置,所以在MPLS VPN技术实施中是否采用静态路由需要视具体情况而定。那么如果必须采用动态路由协议的情况下,PE路由器就可能收到来自本地或者远程CE设备的路由更新,该更新可能是正常的,但也有可能是恶意的,在此种情况下就很容易产生安全问题。过量数目的VRF路由更新到PE设备,可能导致该设备内存溢出,从而引起设备无法正常工作,MPLS VPN功能失效,因此无论采用何种动态路由协议,都需要对更新到VRF路由做控制。通过用户配置来定义从某个邻居所接收路由的最大条目数,可以有效防范过量VRF路由注入导致设备异常的情况发生。CE 通过动态路由协议将本地站点的路由传送给 PE(也可以通过静态路由方式),控制面上首先要保证这些路由信息传送的安全性。此时可以考虑对CE设备进行认证,在经过认证之后才允许进行路由信息的交换。
3.2 数据层面的安全
数据层面的安全性主要考虑在IP数据包在传输过程中被嗅探或篡改,预防的措施主要是对数据进行加密,现阶段MPLS VPN网络中通常采用IPSec的加密技术。IPSec基于端对端的安全模式,在源IP和目标IP地址之间建立信任和安全性,该协议可以为上层协议提供透明的安全保证。
加密技术可以保证设备之间传送信息的私密性和完整性,但数据加密也会带来一些负面的影响。例如加密措施会给完成相关功能的设备增加了额外的计算负担,从而影响设备的业务处理能力;在设备上配置加密业务时,增加了设备的配置内容,也就从一定程度上提高了操作难度,增加了运营成本。
3.3 管理层面的安全
在管理层面,首先需要确保网管系统的安全性,通常网管系统的访问权限都是具备管理功能的,而被管理设备的网管接口需要设置访问控制,需要经过认证才能允许相关的操作。同时为了避免业务数据挤占管理信息的正常传递,可以让网管系统以带外的方式进行访问。
4 结语
本文从MPLS体系结构的角度出发,分析了MPLS VPN技术在部署过程中可能存在的安全隐患,并分别从控制层面、数据层面以及管理层面提出了相关的解决办法。但从中我们可以看到,各种解决办法都相应的会增加设备的额外处理开销。因此在MPLS VPN技术实施的过程中,建设部门应根据网络和业务的实际运行情况,就安全性与设备处理能力方面进行权衡,以便在充分保障业务安全的前提下尽量降低运维成本。endprint