关于民航通信网中MPLS VPN技术的安全性探讨

周秉胜　佟林　刘鹤　苏倍　刘晔

摘 要：民航通信网现已安装完成，现有空管业务将逐步由现有传输网逐步切割至民航通信网，对其安全性讨论尤为重要。MPLS VPN技术优势明显，在实际应用过程中可以让网络运行更加安全。因此，本文从不同角度入手探讨了基于MPLS VPN技术的网络安全性，灵活、科学运用的同时发挥各方面优势，最大化提升网络运行的安全性以及经济性。

关键词：MPLS VPN技术;网络安全性;探讨

随着空管业务不断增加，业务类型呈现日渐多元化、跨地域性的特点，对业务接入的便捷性、安全稳定、实时性要求日益加强[1]。现有空管核心业务，采用民航TDM网进行传输，如雷达、甚高频、转报、ADS-B等业务，基于MPLS L2VPN技术;视频会议、民航电子政务等IP数据业务，采用民航IP网进行传输，基于MPLS L3VPN技术。如何有效解决网络安全问题至关重要，要在深化探究、分析MPLS VPN技术过程中科学实施、部署，构建、完善专有网络的同时控制安全风险发生，在网络安全运行过程中促使传输的信息数据有着较高的准确度、完整性，实现网络安全稳定运行。

一、MPLS VPN技术分析

MPLS VPN技术就是基于MPLS技术的VPN[2]，将MPLS技术灵活、有效运用到交换设备、路由，构建虚拟专用网，在完善专用网、公众网的基础上将各自多样化功能有机结合，比如，安全性、高效性、扩展性，有效解决传统VPN技术应用中呈现的地址重叠等问题。在MPLS VPN技术作用下，不同用户VPN可以在实践中运用一样的私有地址空间，也可以通过公共骨干网络随时交换一系列信息数据。此外，服务提供商可以在利用MPLS VPN技术过程中完善运营商边界设备，使其在运行中充分发挥多层面功能，以客户需求为导向，设置专用虚拟路由转发表，根据客户边界设备发送的路由，通过本地入口运营商边界设备，将对应的报文打上标签，在骨干网络内部交换外层标签，再通过运营商设备，将VPN报文传送到远端运营商边界设备作用下的虚拟路由转发表。在内层标签作用下，报文达到的客户边界设备明确化，报文在传送到运营商边界设备的时候，报文外层标签被削掉，远端运营商边界设备只需要通过内层标签便可以知道对应的转发接口，及时将相关的信息数据传送到对应客户站点作用下的客户边界设备。

二、基于MPLS VPN技术的网络安全性

控制平面、数据平面、管理平面是当下MPLS体系结构的构成要素[3]，在网络安全性部署过程中，MPLS网络系统高效运行的同时发挥多样化功能，促使控制平面不同设备作用下的一系列VPN路由信息都能得到可靠传送，信息有着较高的精准度，数据平面各类设备作用下繁杂化VPN客户数据都能实现私密传送，各方面数据有着较高的完整度，管理平面上的网管能够安全以及稳定运行，在源头上解决网络运行中呈现的各类安全问题，提高网络运行的整体效果，确保日常各项业务活动有序开展。下面从控制平面、数据平面、管理平面入手，进一步探讨、分析了在应用MPLS VPN技术过程中网络各层面安全性部署。

（一）控制平面安全性

运营商边界设备可以称之为PE设备，存储VRF、骨干网边缘路由器、处理VPN-IPv4路由是其构成部分[3]，直接关系到MPLS三层是否顺利实现。运营商设备可以称之为P设备，MPLS转发是其主要功能，客户边界设备可以称之为CE设备，客户网络路由发布是其主要功能。在控制平面安全性部署中，借助对应的动态路由协议，CE设备可以及时向运行中的PE设备传送繁杂化的本地路由信息，但在信息传送过程中MPLS核心外界知道PE路由器具体地址的可能性特别大，MPLS核心网络运行中极易被黑客攻击。针对这一安全问题，可以在CE设备、PE设备二者间配置适宜的静态路由，提高设备运行环境的安全系数，确保CE设备在运行过程中指向的接口地址只有一个，在各方面信息传送过程中也不需要知道MPLS核心网络运行地址。就大型网络而言，在静态路由管理过程中需要投入较多的资金，需要对路由进行规范化汇总。一旦内部网络环境变化，需要根据各方面实际情况，合理调整、配置运行中的PE设备、CE设备，否则，极易引发安全风险隐患问题。在应用MPLS VPN技术过程中，必须根据网络系统具体情况以及在网络运行方面投入的成本，决定是否将静态路由配置到PE设备、CE设备二者间。此外，还需要考虑是否利用关于动态路由的协议。在该协议作用下，PE路由器接收到本地以及远程CB设备路由更新信息的可能性较大，由于网络运行环境复杂多变，接收的路由更新信息不一定都正常，存在较大的安全风险。一旦作用到PE设备的VRF路由更新特别多，PE设备运行异常，MPLS VPN技术的功能作用也无法顺利发挥。在动态路由协议应用过程中，必须全方位高效控制VRF路由更新，利用MPLS VPN技术实现CE设备安全认证，确保传送、交换的各类路由信息有着较高的安全系数。

（二）数据平面安全性

在数据平面安全性部署过程中，全方位、多层次分析形式多样化的IP数据包传送的时候被嗅探、篡改的具体情况，以MPLS VPN技术为切入点，以网络运行环境变化为基础，提出合理化的预防对策，在高效预防的基础上保证IP数据包传送安全。MPLS是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议，诸如ATM 和IP。它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。在安全性部署过程中，要在综合分析的基础上将多种安全技术应用其中，比如，防火墙技术、入侵检测技术，促使加密技术优势作用更好地发挥，高效预防网络风险隐患的同时保证数据传送安全。

（三）管理平面安全性

在管理平面安全性部署过程中，从不同层面入手了解网管系统运行情况，在优化、完善的基础上高效管理对应的访问权限。根据被管理的各类设备网管接口具体情况，设置针对性访问全新的同时有效控制各类访问，在得到相关认证之后，才能对网络系统进行各方面操作。此外，采用带外形式，确保运行中的网管系统可以实现多样化的访问，确保繁杂化的管理信息、业务数据都能及时被安全传送，避免网管系统运行中安全风险隐患频繁发生。

三、结语

总而言之，基于空管业务的安全性及稳定性的需求，我们应根据网络运行以及业务开展情况，结合网络安全性要求，高效运用MPLS VPN技术的同時优化网络运行全过程，在科学部署的过程中同步提高网络系统设备的安全性以及整体性能，促使传送的信息数据更加私密、精准、完整，在保证业务安全过程中以最小化的运维成本实现最大化的经济效益。

参考文献：

[1]钟文基.无线网络技术分析及其安全性研究[J].无线互联科技，2018，15（17）：163-164.

[2]陆旭，刘文龙，吴雪梅.基于MPLS VPN+VLAN模式的数据通信网安全防护优化实施方案的研究与实现[J].数字技术与应用，2018，36（09）：190-193.

[3]杜平.网络安全技术中VPN技术的应用探究[J].中国新通信，2019，21（18）：107-107.

[4]赵朋.MTU配置对MPLS VPN网络的影响分析及排故思路[J].现代传输，2019（03）：50-51.