張先球　李駿仁

[摘要]VPN（虛擬專用網(wǎng)）安全方面必須是地址和路由隔離、骨干網(wǎng)對外界隱蔽和能預防攻擊。基于MPLS（多協(xié)議標簽交換）的VPN與一般第二層VPN的安全方案比較及其加強措施進行探討。

[關(guān)鍵詞]MPLS VPN 網(wǎng)絡安全

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0320052－02

目前，企業(yè)客戶已接受了幀中繼和ATM等第二層VPN提供的安全性，但是，他們對基于MPLS的VPN的安全性還是心存疑慮。無論是從技術(shù)本身，還是從常規(guī)的網(wǎng)絡應用來說，MPLS VPN都可以達到與ATM、幀中繼同樣的安全程度。

一、MPLS技術(shù)安全性

當將基于MPLS-VPN的解決方案與幀中繼和ATM等第二層VPN解決方案進行比較時，必須滿足幾個關(guān)鍵的安全要求：必須隔離地址和路由；骨干網(wǎng)的內(nèi)部結(jié)構(gòu)必須對外界隱蔽，與幀中繼或ATM網(wǎng)絡核心一樣，MPLS-VPN核心也必須隱蔽。網(wǎng)絡必須能預防攻擊，包括拒絕服務（DoS）和入侵攻擊。

為了實現(xiàn)MPLS網(wǎng)的高度安全性，MPLS VPN做到了以下幾點：

1．地址空間和路由獨立

在MPLS VPN中，不同的VPN之間，地址空間是完全獨立的。這意味著：

（1）任一VPN必須使用與其他VPN同樣的地址空間；（2）任一VPN必須使用與MPLS核心同樣的地址空間；（3）任意兩個VPN之間的路由必須相互獨立；（4）任意VPN和核心網(wǎng)絡之間的路由必須相互獨立。

這是為了實現(xiàn)某一VPN中的數(shù)據(jù)包不至于到達其他VPN或MPLS核心網(wǎng)中具有同樣地址的主機。

2．隱藏MPLS核心網(wǎng)

MPLS不會暴露任何不必要的信息給外界，包括其VPN用戶，這樣將使網(wǎng)絡攻擊變得十分艱難。圖1示出了VPN可能暴露于外界的地址空間：VPN1看不到P路由器或其他VPN，CE和PE路由器之間的連接屬于VPN的地址空間，而PE路由器上的其他地址則屬于核心網(wǎng)。

3．攻擊防范

由于地址空間和路由的獨立性，直接實施對某一VPN的攻擊幾乎不可能，只能通過MPLS核心網(wǎng)實現(xiàn)。對MPLS核心的攻擊有兩種基本途徑：直接攻擊PE路由器、攻擊MPLS信令機制（多數(shù)為路由）。

VPN和MPLS核心網(wǎng)之間有兩種路由配置方式：一是靜態(tài)路由，二是動態(tài)路由。

為了降低這種被攻擊的風險，在PE路由器上盡可能安全地配置路由協(xié)議，有以下幾種途徑達到這一目的。

（1）只允許來自CE的路由協(xié)議進入PE，而禁止來自任何其他地方的路由；或在CE路由器的接口上綁定ACL，只允許到達PE路由器的訪問進入。

（2）為路由協(xié)議配置MD5鑒權(quán)，BGP、OSPF、RIPv2都可以做到這一點。需要注意的是，這需要SP和用戶就所有CE和PE路由器之間的共享加密達成一致意見。

（3）配置某些路由協(xié)議參數(shù)。如在BGP協(xié)議中，配置“BGP dampen”及相關(guān)參數(shù)，有效抑制路由震蕩和相互制約。此外，如果可能，對每個VRF配置可以接受的最大路由數(shù)。

由上可知，從一個VPN攻擊其他VPN或核心網(wǎng)幾乎不可能，但從理論上講，CE路由器依然可能通過路由協(xié)議對PE路由器實施DoS攻擊，因此，必須對PE路由器加以很好的保護，尤其是與CE路由器相連接的PE接口。

4．拒絕標記哄騙

在MPLS網(wǎng)絡中，數(shù)據(jù)包轉(zhuǎn)發(fā)是依據(jù)PE路由器所附加的標記來完成的，而非目標IP地址。與IP地址哄騙（攻擊者調(diào)換源IP地址和目的IP地址）攻擊相類似，攻擊者也可能對MPLS數(shù)據(jù)包實施標記哄騙。

但PE路由器不可以接受來自CE路由器帶有標記的數(shù)據(jù)包，任何此類數(shù)據(jù)包都將會被丟棄，因此，在MPLS網(wǎng)絡，通過標記哄騙來實施攻擊是不可能的。但發(fā)送到MPLS核心網(wǎng)的數(shù)據(jù)包，其IP地址仍然有可能被哄騙，然而由于PE路由器有嚴格的地址獨立性，每個VPN都有自己的VRF，因此，這種攻擊只能影響產(chǎn)生地址哄騙的VPN，而對MPLS并沒有增加任何風險。

二、MPLS的安全加強措施

僅靠MPLS的自身技術(shù)安全性還不足以讓人放心。對SP來說，采取附加措施保護MPLS核心網(wǎng)安全非常重要。首先要考慮以下因素：

（1）可信任設(shè)備：PE及P路由器、遠程訪問服務器、AAA服務器等，都必須被看作可信任的系統(tǒng)，這需要非常強大的安全管理，包括物理安全系統(tǒng)及訪問控制列表、安全配置管理等等。而CE路由器不屬于SP的管理范圍，被視作不可信任系統(tǒng)。

（2）CE/PE接口：PE和CE路由器之間的接口對于MPLS網(wǎng)絡的安全來說至關(guān)重要，PE路由器的配置應盡可能嚴密。從安全角度講，最好將CE路由器配置為非指定IP地址，并使用靜態(tài)路由。

1．網(wǎng)絡核心的保護

包過濾器的配置非常重要，它可以只允許來自CE路由器的某些特定路由到達PE路由器對等接口，而其他流量將被拒絕。這可有效防止針對P及PE路由器的攻擊，而PE路由器上的對等接口，由于其特殊地位，需要專門的保護措施。

（1）路由鑒權(quán)：路由是PE和CE路由設(shè)備之間的信令機制，路由協(xié)議有可能將虛假的信息引入核心網(wǎng)，這是最顯而易見的攻擊點。因此，所有的路由協(xié)議（尤其BGP、OSPF等）都應該針對不同的CE和Internet連接，配置有相應的安全鑒定選項，所有的對等關(guān)系都應該采用相應的方法加以安全防護：CE/PE（BGP：MD5鑒權(quán)）、PE/P（標記分配協(xié)議LDP的MD5鑒權(quán)）以及P/P等。

（2）CE/PE連接獨立：如果有多個CE設(shè)備共享某二層設(shè)備接入同一PE路由器（如VLAN），其中一個VPN的CE設(shè)備就有可能哄騙其他VPN的數(shù)據(jù)包，這時采用上述的路由協(xié)議就不能產(chǎn)生安全效果，可在CE和PE之間盡可能采用獨立的物理連接。在PE和多個CE路由器之間采用交換機也并非不可以，但一定要將不同的CE/PE連接劃歸不同的VLAN，使各自的流量相互獨立。

（3）LDP鑒權(quán)：標記分配協(xié)議LDP也可以在MPLS網(wǎng)絡采用MD5鑒權(quán)，可以防止黑客引入虛假路由器參加標記的分配。

2．VPN連接及Internet接入

MPLS不僅提供了VPN的獨立性，同樣也允許VPN的融合和Internet訪問。

為了實現(xiàn)VPN間的互連，PE路由器必須維護多種不同的列表：針對每個CE路由器的路由關(guān)聯(lián)表專用于存儲VPN路由，從這里發(fā)布到VPN路由轉(zhuǎn)發(fā)表VRF的路由表中，并進而得出VRF轉(zhuǎn)發(fā)表。對于每個獨立的VPN，VRF路由表僅包含來自一個路由關(guān)聯(lián)表的路由，為了實現(xiàn)不同VPN的融合，不同路由關(guān)聯(lián)表（來自不同的VPN）被置入同一VRF路由表中。需要說明的是，這時，多個被合并的VPN的地址空間就有了相關(guān)性，必須是排他性的。同樣，也可以通過ACL來控制VRF表中的路由。

3．防火墻

（1）VPN間防火墻

企業(yè)之間往來密切時，它們之間需要進行VPN之間的通信，這時就有了VPN連接。但在多數(shù)情況下，企業(yè)仍有可能希望保持與互連企業(yè)間邏輯上的獨立性。為了實現(xiàn)這一目的，可以在兩個VPN之間配置防火墻，此時的防火墻在SP處管理，而不在企業(yè)內(nèi)。

要通過防火墻連接兩個VPN，必須在PE路由器上為每個VPN增加一個接口，用于連接防火墻。這樣，從VPN A路由器到VPN B的數(shù)據(jù)包到達PE路由器后，由于PE到VPN B的路由指向與防火墻相連的接口，因此，數(shù)據(jù)包將穿過防火墻，并通過另一個接口（屬于VPN B的接口）回到PE路由器。

由于交換機不提供流量的獨立性，因此，如果防火墻的兩個接口要連接交換機，則最好使用兩臺交換機分別連接防火墻的兩個接口；如果只能連接在同一個交換機上，必須在防火墻的兩邊使用不同的VLAN。

（2）Internet防火墻

連接到其他SP的PE路由器必須通過防火墻實現(xiàn)與其他SP的互聯(lián)互通。如果一個防火墻可能用于所有VPN（共享防火墻），則PE路由器通過這一道防火墻完成與其他SP的互連，PE路由器在缺省VRF路由表中維護Internet路由，Internet路由被發(fā)布到需要Internet接入的VPN VRF表中，而各VPN的路由則被發(fā)布到PE路由器的缺省VRF表中，并進而通過防火墻發(fā)布到Internet中。需要接入Internet的VPN必須使用經(jīng)過注冊的IP地址。

如果所有VPN必須通過同一個防火墻，其安全策略必須完全相同。如果要為每個VPN配置個性化的安全策略，則必須為每個VPN配置獨立的防火墻，PE路由器也要為每個VPN增加一個接口，在防火墻之外，這些連接又可以匯總到一個路由器中，再通過同一臺路由器連接其他SP。

（3）CE防火墻

對于龐大的網(wǎng)絡，安全管理較難，這時，可對網(wǎng)絡加以分割。越來越多的企業(yè)正在用防火墻來分割不同的分支機構(gòu)，以保證內(nèi)部網(wǎng)絡的安全性。

在分割企業(yè)網(wǎng)并在MPLS網(wǎng)絡中作為一個VPN時，在每個CE路由器上放置一道防火墻可以使整個網(wǎng)絡更易于管理。這時，辦公室以外的所有設(shè)備都被視為不可信任，即使來自本公司其他部門的流量也同樣需要進行安全檢查。

4．IPSec與MPLS結(jié)合

在MPLS網(wǎng)上運行IPSec，通過數(shù)據(jù)加密和頭部鑒權(quán)（AH），可提供額外的系統(tǒng)安全，即使來自MPLS網(wǎng)絡內(nèi)部的攻擊也無法破壞VPN的安全性。

IPSec可以運行在CE路由器或遠離核心網(wǎng)的設(shè)備上，如果CE路由器在用戶的控制之中，IPSec將是非常好的選擇；如果CE屬于SP的管理范圍，那么用戶就必須確定是否信任SP，決定IPSec是運行在CE上還是在SP的范圍之外增加其他IPSec設(shè)備。

三、總結(jié)

結(jié)果表明，基于MPLS的VPN網(wǎng)絡已經(jīng)能夠滿足或超過幀中繼或ATM等第二層VPN的安全特性要求。因此，我們認為MPLS-VPN可以為企業(yè)客戶和服務提供商提供與幀中繼或ATM相同的安全性。

參考文獻：

[1]Behringer,Michael H./Morrow,Monique J.Mpls Vpn Security.Macmillan Technical Pub,2005年7月.

[2]（美）IVAN PEPELNJAK，JIM GUICHARD，JEFF APCAR，譯者：盧澤新、朱培棟、齊寧，MPLS和VPN體系結(jié)構(gòu)（第2卷），2004年3月.

[3]王柱，基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津：天津大學，2006年3月.

作者簡介：

張先球，男，甘肅蘭州人，助理工程師，主要研究方向：系統(tǒng)管理；李駿仁，男，甘肅蘭州人，助理工程師，主要研究方向：軟件開發(fā)。