張先球　李駿仁

[摘要]VPN（虛擬專用網(wǎng)）安全方面必須是地址和路由隔離、骨干網(wǎng)對外界隱蔽和能預(yù)防攻擊?；贛PLS（多協(xié)議標(biāo)簽交換）的VPN與一般第二層VPN的安全方案比較及其加強(qiáng)措施進(jìn)行探討。

[關(guān)鍵詞]MPLS VPN 網(wǎng)絡(luò)安全

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0320052－02

目前，企業(yè)客戶已接受了幀中繼和ATM等第二層VPN提供的安全性，但是，他們對基于MPLS的VPN的安全性還是心存疑慮。無論是從技術(shù)本身，還是從常規(guī)的網(wǎng)絡(luò)應(yīng)用來說，MPLS VPN都可以達(dá)到與ATM、幀中繼同樣的安全程度。

一、MPLS技術(shù)安全性

當(dāng)將基于MPLS-VPN的解決方案與幀中繼和ATM等第二層VPN解決方案進(jìn)行比較時(shí)，必須滿足幾個(gè)關(guān)鍵的安全要求：必須隔離地址和路由；骨干網(wǎng)的內(nèi)部結(jié)構(gòu)必須對外界隱蔽，與幀中繼或ATM網(wǎng)絡(luò)核心一樣，MPLS-VPN核心也必須隱蔽。網(wǎng)絡(luò)必須能預(yù)防攻擊，包括拒絕服務(wù)（DoS）和入侵攻擊。

為了實(shí)現(xiàn)MPLS網(wǎng)的高度安全性，MPLS VPN做到了以下幾點(diǎn)：

1．地址空間和路由獨(dú)立

在MPLS VPN中，不同的VPN之間，地址空間是完全獨(dú)立的。這意味著：

（1）任一VPN必須使用與其他VPN同樣的地址空間；（2）任一VPN必須使用與MPLS核心同樣的地址空間；（3）任意兩個(gè)VPN之間的路由必須相互獨(dú)立；（4）任意VPN和核心網(wǎng)絡(luò)之間的路由必須相互獨(dú)立。

這是為了實(shí)現(xiàn)某一VPN中的數(shù)據(jù)包不至于到達(dá)其他VPN或MPLS核心網(wǎng)中具有同樣地址的主機(jī)。

2．隱藏MPLS核心網(wǎng)

MPLS不會(huì)暴露任何不必要的信息給外界，包括其VPN用戶，這樣將使網(wǎng)絡(luò)攻擊變得十分艱難。圖1示出了VPN可能暴露于外界的地址空間：VPN1看不到P路由器或其他VPN，CE和PE路由器之間的連接屬于VPN的地址空間，而PE路由器上的其他地址則屬于核心網(wǎng)。

3．攻擊防范

由于地址空間和路由的獨(dú)立性，直接實(shí)施對某一VPN的攻擊幾乎不可能，只能通過MPLS核心網(wǎng)實(shí)現(xiàn)。對MPLS核心的攻擊有兩種基本途徑：直接攻擊PE路由器、攻擊MPLS信令機(jī)制（多數(shù)為路由）。

VPN和MPLS核心網(wǎng)之間有兩種路由配置方式：一是靜態(tài)路由，二是動(dòng)態(tài)路由。

為了降低這種被攻擊的風(fēng)險(xiǎn)，在PE路由器上盡可能安全地配置路由協(xié)議，有以下幾種途徑達(dá)到這一目的。

（1）只允許來自CE的路由協(xié)議進(jìn)入PE，而禁止來自任何其他地方的路由；或在CE路由器的接口上綁定ACL，只允許到達(dá)PE路由器的訪問進(jìn)入。

（2）為路由協(xié)議配置MD5鑒權(quán)，BGP、OSPF、RIPv2都可以做到這一點(diǎn)。需要注意的是，這需要SP和用戶就所有CE和PE路由器之間的共享加密達(dá)成一致意見。

（3）配置某些路由協(xié)議參數(shù)。如在BGP協(xié)議中，配置“BGP dampen”及相關(guān)參數(shù)，有效抑制路由震蕩和相互制約。此外，如果可能，對每個(gè)VRF配置可以接受的最大路由數(shù)。

由上可知，從一個(gè)VPN攻擊其他VPN或核心網(wǎng)幾乎不可能，但從理論上講，CE路由器依然可能通過路由協(xié)議對PE路由器實(shí)施DoS攻擊，因此，必須對PE路由器加以很好的保護(hù)，尤其是與CE路由器相連接的PE接口。

4．拒絕標(biāo)記哄騙

在MPLS網(wǎng)絡(luò)中，數(shù)據(jù)包轉(zhuǎn)發(fā)是依據(jù)PE路由器所附加的標(biāo)記來完成的，而非目標(biāo)IP地址。與IP地址哄騙（攻擊者調(diào)換源IP地址和目的IP地址）攻擊相類似，攻擊者也可能對MPLS數(shù)據(jù)包實(shí)施標(biāo)記哄騙。

但PE路由器不可以接受來自CE路由器帶有標(biāo)記的數(shù)據(jù)包，任何此類數(shù)據(jù)包都將會(huì)被丟棄，因此，在MPLS網(wǎng)絡(luò)，通過標(biāo)記哄騙來實(shí)施攻擊是不可能的。但發(fā)送到MPLS核心網(wǎng)的數(shù)據(jù)包，其IP地址仍然有可能被哄騙，然而由于PE路由器有嚴(yán)格的地址獨(dú)立性，每個(gè)VPN都有自己的VRF，因此，這種攻擊只能影響產(chǎn)生地址哄騙的VPN，而對MPLS并沒有增加任何風(fēng)險(xiǎn)。

二、MPLS的安全加強(qiáng)措施

僅靠MPLS的自身技術(shù)安全性還不足以讓人放心。對SP來說，采取附加措施保護(hù)MPLS核心網(wǎng)安全非常重要。首先要考慮以下因素：

（1）可信任設(shè)備：PE及P路由器、遠(yuǎn)程訪問服務(wù)器、AAA服務(wù)器等，都必須被看作可信任的系統(tǒng)，這需要非常強(qiáng)大的安全管理，包括物理安全系統(tǒng)及訪問控制列表、安全配置管理等等。而CE路由器不屬于SP的管理范圍，被視作不可信任系統(tǒng)。

（2）CE/PE接口：PE和CE路由器之間的接口對于MPLS網(wǎng)絡(luò)的安全來說至關(guān)重要，PE路由器的配置應(yīng)盡可能嚴(yán)密。從安全角度講，最好將CE路由器配置為非指定IP地址，并使用靜態(tài)路由。

1．網(wǎng)絡(luò)核心的保護(hù)

包過濾器的配置非常重要，它可以只允許來自CE路由器的某些特定路由到達(dá)PE路由器對等接口，而其他流量將被拒絕。這可有效防止針對P及PE路由器的攻擊，而PE路由器上的對等接口，由于其特殊地位，需要專門的保護(hù)措施。

（1）路由鑒權(quán)：路由是PE和CE路由設(shè)備之間的信令機(jī)制，路由協(xié)議有可能將虛假的信息引入核心網(wǎng)，這是最顯而易見的攻擊點(diǎn)。因此，所有的路由協(xié)議（尤其BGP、OSPF等）都應(yīng)該針對不同的CE和Internet連接，配置有相應(yīng)的安全鑒定選項(xiàng)，所有的對等關(guān)系都應(yīng)該采用相應(yīng)的方法加以安全防護(hù)：CE/PE（BGP：MD5鑒權(quán)）、PE/P（標(biāo)記分配協(xié)議LDP的MD5鑒權(quán)）以及P/P等。

（2）CE/PE連接獨(dú)立：如果有多個(gè)CE設(shè)備共享某二層設(shè)備接入同一PE路由器（如VLAN），其中一個(gè)VPN的CE設(shè)備就有可能哄騙其他VPN的數(shù)據(jù)包，這時(shí)采用上述的路由協(xié)議就不能產(chǎn)生安全效果，可在CE和PE之間盡可能采用獨(dú)立的物理連接。在PE和多個(gè)CE路由器之間采用交換機(jī)也并非不可以，但一定要將不同的CE/PE連接劃歸不同的VLAN，使各自的流量相互獨(dú)立。

（3）LDP鑒權(quán)：標(biāo)記分配協(xié)議LDP也可以在MPLS網(wǎng)絡(luò)采用MD5鑒權(quán)，可以防止黑客引入虛假路由器參加標(biāo)記的分配。

2．VPN連接及Internet接入

MPLS不僅提供了VPN的獨(dú)立性，同樣也允許VPN的融合和Internet訪問。

為了實(shí)現(xiàn)VPN間的互連，PE路由器必須維護(hù)多種不同的列表：針對每個(gè)CE路由器的路由關(guān)聯(lián)表專用于存儲(chǔ)VPN路由，從這里發(fā)布到VPN路由轉(zhuǎn)發(fā)表VRF的路由表中，并進(jìn)而得出VRF轉(zhuǎn)發(fā)表。對于每個(gè)獨(dú)立的VPN，VRF路由表僅包含來自一個(gè)路由關(guān)聯(lián)表的路由，為了實(shí)現(xiàn)不同VPN的融合，不同路由關(guān)聯(lián)表（來自不同的VPN）被置入同一VRF路由表中。需要說明的是，這時(shí)，多個(gè)被合并的VPN的地址空間就有了相關(guān)性，必須是排他性的。同樣，也可以通過ACL來控制VRF表中的路由。

3．防火墻

（1）VPN間防火墻

企業(yè)之間往來密切時(shí)，它們之間需要進(jìn)行VPN之間的通信，這時(shí)就有了VPN連接。但在多數(shù)情況下，企業(yè)仍有可能希望保持與互連企業(yè)間邏輯上的獨(dú)立性。為了實(shí)現(xiàn)這一目的，可以在兩個(gè)VPN之間配置防火墻，此時(shí)的防火墻在SP處管理，而不在企業(yè)內(nèi)。

要通過防火墻連接兩個(gè)VPN，必須在PE路由器上為每個(gè)VPN增加一個(gè)接口，用于連接防火墻。這樣，從VPN A路由器到VPN B的數(shù)據(jù)包到達(dá)PE路由器后，由于PE到VPN B的路由指向與防火墻相連的接口，因此，數(shù)據(jù)包將穿過防火墻，并通過另一個(gè)接口（屬于VPN B的接口）回到PE路由器。

由于交換機(jī)不提供流量的獨(dú)立性，因此，如果防火墻的兩個(gè)接口要連接交換機(jī)，則最好使用兩臺(tái)交換機(jī)分別連接防火墻的兩個(gè)接口；如果只能連接在同一個(gè)交換機(jī)上，必須在防火墻的兩邊使用不同的VLAN。

（2）Internet防火墻

連接到其他SP的PE路由器必須通過防火墻實(shí)現(xiàn)與其他SP的互聯(lián)互通。如果一個(gè)防火墻可能用于所有VPN（共享防火墻），則PE路由器通過這一道防火墻完成與其他SP的互連，PE路由器在缺省VRF路由表中維護(hù)Internet路由，Internet路由被發(fā)布到需要Internet接入的VPN VRF表中，而各VPN的路由則被發(fā)布到PE路由器的缺省VRF表中，并進(jìn)而通過防火墻發(fā)布到Internet中。需要接入Internet的VPN必須使用經(jīng)過注冊的IP地址。

如果所有VPN必須通過同一個(gè)防火墻，其安全策略必須完全相同。如果要為每個(gè)VPN配置個(gè)性化的安全策略，則必須為每個(gè)VPN配置獨(dú)立的防火墻，PE路由器也要為每個(gè)VPN增加一個(gè)接口，在防火墻之外，這些連接又可以匯總到一個(gè)路由器中，再通過同一臺(tái)路由器連接其他SP。

（3）CE防火墻

對于龐大的網(wǎng)絡(luò)，安全管理較難，這時(shí)，可對網(wǎng)絡(luò)加以分割。越來越多的企業(yè)正在用防火墻來分割不同的分支機(jī)構(gòu)，以保證內(nèi)部網(wǎng)絡(luò)的安全性。

在分割企業(yè)網(wǎng)并在MPLS網(wǎng)絡(luò)中作為一個(gè)VPN時(shí)，在每個(gè)CE路由器上放置一道防火墻可以使整個(gè)網(wǎng)絡(luò)更易于管理。這時(shí)，辦公室以外的所有設(shè)備都被視為不可信任，即使來自本公司其他部門的流量也同樣需要進(jìn)行安全檢查。

4．IPSec與MPLS結(jié)合

在MPLS網(wǎng)上運(yùn)行IPSec，通過數(shù)據(jù)加密和頭部鑒權(quán)（AH），可提供額外的系統(tǒng)安全，即使來自MPLS網(wǎng)絡(luò)內(nèi)部的攻擊也無法破壞VPN的安全性。

IPSec可以運(yùn)行在CE路由器或遠(yuǎn)離核心網(wǎng)的設(shè)備上，如果CE路由器在用戶的控制之中，IPSec將是非常好的選擇；如果CE屬于SP的管理范圍，那么用戶就必須確定是否信任SP，決定IPSec是運(yùn)行在CE上還是在SP的范圍之外增加其他IPSec設(shè)備。

三、總結(jié)

結(jié)果表明，基于MPLS的VPN網(wǎng)絡(luò)已經(jīng)能夠滿足或超過幀中繼或ATM等第二層VPN的安全特性要求。因此，我們認(rèn)為MPLS-VPN可以為企業(yè)客戶和服務(wù)提供商提供與幀中繼或ATM相同的安全性。

參考文獻(xiàn)：

[1]Behringer,Michael H./Morrow,Monique J.Mpls Vpn Security.Macmillan Technical Pub,2005年7月.

[2]（美）IVAN PEPELNJAK，JIM GUICHARD，JEFF APCAR，譯者：盧澤新、朱培棟、齊寧，MPLS和VPN體系結(jié)構(gòu)（第2卷），2004年3月.

[3]王柱，基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津：天津大學(xué)，2006年3月.

作者簡介：

張先球，男，甘肅蘭州人，助理工程師，主要研究方向：系統(tǒng)管理；李駿仁，男，甘肅蘭州人，助理工程師，主要研究方向：軟件開發(fā)。