MPLS技术安全性研究及加固措施.docVIP

MPLS技术安全性研究及加固措施【 摘 要 】 目前MPLS/VPN技术广泛应用的各种行业，如电力、电信、金融、能源、运输等。本文将对MPLS/VPN安全性做详细阐述，并给出网络安全加固建议。 【 关键词 】 MPLS；VPN ；安全加固 MPLS Technology Security Analysis and Reinforcement Measures Ding Wen-shu （Taizhou Power Supply Company JiangsuTaizhou 225300） 【 Abstract 】 The current MPLS/VPN technology is widely used in various industries，Such as electric power, telecommunications, finance, energy, transportation and other。In this paper, the safety of MPLS/VPN done in detail，And gives the suggestion of strengthening network security. 【 Keywords 】 MPLS; VPN; security reinforcement 1 MPLS技术安全性 目前MPLS/VPN技术广泛应用的各种行业，如电力、电信、金融、能源、运输等。本文将对MPLS/VPN安全性做详细阐述，并给出网络安全加固建议。 1.1 VPN安全性分析 （1）VPN之间数据层与路由层分离。在基于MPLS/VPN网络中，所有业务通过VPN进行隔离，也就是说需要在MPLS的网络核心以及VPN中形成分离的地址空间。这样就不会产生两个不同的VPN用户所用的IT地址空间冲突，MPLS核心以及VPN用户完全可以各自独立的使用IP地址空间；是不允许把一个VPN的数据流流入到另一个VPN中去，所以VPN对小儿数据流必须完全各自独立。另外一个VPN实例中的信息，则就必须和其他任何一个不同的VPN实例以及MPLS网络核心保持各自独立，VPN实例路由信息的分布和收集也需要保持独立原则。 通过在两个相连的PE路由器上的站点使用不同的VPN，而每个VPN都具有独立VRF，这时IP地址才可以实现分离。可以从网络中的CE路由器或者其他不同的VPN路由来开始积累VPN，其中CE路由信息是通过路由协议从VPN中VRF中来获得的；其它不同的VPN(本地或者远程PE路由器)路由信息则是从多协议边界网关协议MPBGP中得到的。VPN路由信息的引入，则要由和与VRF关联的路由且标RT来决定。在MPLS/VPN网络中主要是根据MPBGP为PE路由器之间分配VPN路由。在VPN路由加入RD形成VPNv4地址的做法，确保了从骨干网传输的用户路由的唯一性。当VPN路由是在MPLS网络核心中进行传输的时候，IP地址空间的分离是由RD来保证的。 在MPLS VPN中，不同的VPN之间路由层面的地址空间可以分为以下类型：a.VPN之间地址空间可以相同；b.VPN和MPLS网络核心可以共用一个地址空间；c.两个不同VPN的路由必须要各自独立；d.VPN与MLPN网络核心的路由也必须要各自独立；e.VPN之间互联互通地址空间一定要相互独立。 （2）虚拟路由器。通过MPLS来实现让每一组用户、连接用户都使用各自唯一的一个VPN实例“虚拟路由器”，这是MPLS一个相当重要的概念。虚拟路由器相当于把PE路由器分割成相互独立运行的小路由器VRF，每个VRF拥有自己的路由表、路由协议等。不同VPN用户接入不同VRF中。每个“虚拟路由器”与以下条目关联：虚拟的IP路由表；IP路由表的转发表；转发表的接口；控制VPN路由表导入导出的规则；路由协议以及对等端为VPN路由表提供路由信息； 1.2 VPN路由表的填入和上述路由协议之间有关联的路由器变量 （1）把MPLS网络核心隐藏。MPLS网络核心是不会向外界透漏一些不必要的信息的，其中VPN用户也包括在内。将MPLS核心网络对外隐藏起来，能够增加攻击的难度：如果网络的拓扑结构显示为未知，那么攻击者在进行攻击的时候，只能通过对IP地址进行猜测进行，这样攻击难度也就相应的增加了。将网络核心进行隐藏，那么也就代表着MPLS网络中的元素在外部网络中都是不可见的，如PE路由器、P路由器、拓扑结构以及寻址等，对于Interne用户和任何连接到该网络的VPN用户来说都无法获知网络核心。其中一些两层VPN在隐藏网络核心上相对来说是做的比较好的，例如ATM网络和帧中继等，核心用户与网络之间唯一的共享信息就是用户VC信息，用户网络就可以利用这