董昊 胡曦明 馬苗

摘要：基于H3C Cloud Lab平臺對BGP/MPLS VPN安全性進行了深入分析，指出其在數(shù)據(jù)傳輸過程中存在信息泄露的安全隱患。在此基礎上，提出并實現(xiàn)了基于IPSec的安全BGP/MPLS VPN設計方案。經(jīng)過仿真實驗表明，該方案在保證BGP/MPLS VPN傳輸可靠性的同時，通過引入數(shù)據(jù)加密機制有效地增強了虛擬專用網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?，擴展了BGP/MPLS VPN技術的適用范圍。

關鍵詞：邊界網(wǎng)關協(xié)議；多協(xié)議標簽交換；虛擬專用網(wǎng)；IP安全協(xié)議；加密

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2018）12-58-4

Analysis on BGP MPLS VPN Security and Simulation Experiment

DONG Hao1， HU Ximing1，2， MA Miao1，2

（1. School of Computer Science， Shaanxi Normal University， Xian Shaanxi 710119， China； 2. Key Laboratory of Modern Teaching Technology， Ministry of Education， Xian Shaanxi 710119， China）

0引言

虛擬專用網(wǎng)（Virtual Private Network，VPN）是一種用于連接企業(yè)或團體之間專用網(wǎng)絡的通信網(wǎng)絡技術。多協(xié)議標簽交換（Multi-Protocol Label Switching，MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡數(shù)據(jù)流量提供了目標、路由地址、轉(zhuǎn)發(fā)和交換等能力。將VPN與MPLS技術相結(jié)合，便形成了一種主流VPN，即MPLS VPN[1]，它基于運營商的骨干網(wǎng)絡，構(gòu)建企業(yè)或團體的虛擬專用網(wǎng)絡，實現(xiàn)跨地域、可靠、高速的信息傳輸，具有高效率、易擴展和易維護的特點。因此，MPLS VPN現(xiàn)在廣泛應用于社會的各個領域，例如教育行業(yè)[2]、醫(yī)療機構(gòu)[3]及企業(yè)[4]等。

隨著網(wǎng)絡技術的發(fā)展，網(wǎng)絡安全問題日益嚴重，網(wǎng)絡信息安全逐漸得到了人們的關注。MPLS VPN作為一種主流的虛擬專用組網(wǎng)方案，其私網(wǎng)傳輸?shù)臄?shù)據(jù)得到安全保障是至關重要的[5]。為此，討論了基于MPLS VPN組網(wǎng)方案的數(shù)據(jù)傳輸?shù)陌踩詥栴}，并提出了相應的改進措施[6]。

1 BGP/MPLS VPN安全性

1.1 BGP/MPLS VPN

BGP/MPLS VPN是一種常見的MPLS VPN組網(wǎng)方式，這種組網(wǎng)方式是以MPLS VPN模型為基礎，依靠BGP為信令協(xié)議在骨干網(wǎng)上傳輸私網(wǎng)路由信息，利用MPLS通道傳輸私網(wǎng)流量[7]。MPLS模型中包括用戶網(wǎng)絡邊緣設備（CE）、運營商邊緣路由器（PE）及運營商骨干路由器（P）3部分，其中CE和PE被認為是運營商和用戶的管理范圍邊界。在數(shù)據(jù)傳輸過程中，MPLS通道是通過識別標記將數(shù)據(jù)傳送到目的地址。每個數(shù)據(jù)包的標記類似于郵編，MPLS的轉(zhuǎn)發(fā)路由也是通過標記來區(qū)分特定的VPN[8]。這種網(wǎng)絡模型既實現(xiàn)了高效轉(zhuǎn)發(fā)，又具有易擴展的性能。

1.2安全性探究實驗

為了探究BGP/MPLS VPN中數(shù)據(jù)傳輸?shù)陌踩詥栴}，利用軟件平臺搭建網(wǎng)絡環(huán)境，實現(xiàn)該方案下的數(shù)據(jù)傳輸過程[9]。H3C Cloud Lab是一款基于虛擬機的網(wǎng)絡設備模擬軟件，它以虛擬機為支撐，實現(xiàn)模擬現(xiàn)實的組網(wǎng)方案，常用于企業(yè)初期的組網(wǎng)方案設計和網(wǎng)絡實驗展示。

全局使能MPLS與MPLS LDP，定義VPN實例，最后配置路由交換協(xié)議，網(wǎng)絡拓撲如圖1所示。其中，P和PE分別表示運營商骨干路由器和邊緣路由器，在CE1與CE2之間配置VPN實例，使其之間的通信通過私網(wǎng)流量，PE與CE之間配置與VPN綁定的OSPF多實例，PE與PE之間配置與VPN綁定的BGP多實例，最終將PE中配置的OSPF與BGP相互引入。

當CE中OSPF狀態(tài)機變?yōu)镕ULL，其與鄰居會達到完全臨接狀態(tài)，即可在CE路由表中找到通過BGP協(xié)議學到的對端路由信息，CE1路由器的路由表信息如圖2所示。

在CE各自成功學到對端的路由后，使用ping命令驗證網(wǎng)絡連通性，測試結(jié)果如圖3所示。

結(jié)果表明，CE1與CE2之間成功建立VPN，5次ping無丟包現(xiàn)象，連通良好。

為了探究BGP/MPLS VPN下的網(wǎng)絡安全性，可在運營商邊緣路由器（PE）處抓包同時，模擬VPN中（CE之間）通信過程，查看抓到的報文并分析其安全性。在PE1處GE0/1接口處抓包，CE1 ping CE2來模擬VPN間的通信過程，抓取報文如圖4所示。

1.3存在的安全性問題

通過實驗分析抓取的報文，5次ping抓到了10條ICMP報文，沒有丟包現(xiàn)象，且可以詳細地看到每一條ICMP報文的請求/回顯序列號等信息。通過多次試驗表明，BGP/MPLS VPN具有較高的數(shù)據(jù)傳輸可靠性，可以滿足日常的VPN應用需求。

但是就安全性而言，BGP/MPLS VPN并沒有對信息進行加密，它的數(shù)據(jù)是通過明文傳輸?shù)?。這種明文的傳輸方式很容易被攻擊、利用，進而導致賬戶密碼等關鍵信息在通過BGP/MPLS VPN傳輸中造成泄露。顯然，BGP/MPLS VPN在具有高效傳輸?shù)耐瑫r，也存在著由于不對數(shù)據(jù)進行加密而容易造成數(shù)據(jù)傳輸安全漏洞，由此使得BGP/MPLS VPN在金融、安保和政務等保密性較高的應用領域中的應用受到極大限制。

2基于IPSec的安全BGP/MPLS VPN

為了增強MPLS VPN的安全性，將MPLS VPN技術與一些安全協(xié)議相結(jié)合，能夠達到VPN數(shù)據(jù)傳輸?shù)募用苣康腫10]。IPSec（Internet Protocol Security）是一種開放標準的框架結(jié)構(gòu)，通過使用加密的安全服務以確保在IP網(wǎng)絡上進行保密而安全的通信。IPSec主要用于VPN相關領域，提供端到端或站到站的信息保護，主要使用AH和ESP兩種安全協(xié)議。IPSec VPN也是目前一種主流的VPN，它提供了一套完整的網(wǎng)絡體系，通過對信息加密、提供驗證服務以保障數(shù)據(jù)的安全[11]。

因此，為了增強BGP/MPLS VPN的安全性，將MPLS技術與IPSec相結(jié)合，提出一種基于IPSec的安全BGP/MPLS VPN設計方案。組建IPSec over MPLS VPN網(wǎng)絡環(huán)境，分析驗證在該混合組網(wǎng)方案下數(shù)據(jù)傳輸在安全性方面的表現(xiàn)情況。

2.1方案設計

將IPSec與MPLS技術相結(jié)合，即IPSec over MPLS，可以使得私網(wǎng)流量加密后再進行傳輸。以BGP/MPLS VPN為基礎，在CE間配置IPSec隧道[12]，分析數(shù)據(jù)在該混合組網(wǎng)方案下的加密情況，拓撲圖如圖5所示。

2.2方案的實現(xiàn)

針對上述方案，分別采用手工方式和IKE協(xié)商方式實現(xiàn)IPSec安全策略，進而搭建基于IPSec的安全BGP/MPLS VPN。

2.2.1手工方式配置IPsec安全策略

部分配置命令如表1所示（以CE1設備為例，CE2與CE1同理）。

手工方式指定了路由器的入口SPI和出口SPI與入口密鑰和出口密鑰，其可以不依賴IKE而單獨實現(xiàn)IPsec功能，且這種方式建立的SA永不老化。配置成功后，查看CE路由器IPSec SA，如圖6所示。

手工配置的SPI（inbound與outbound SPI）分別為54321和12345。查看CE1路由表，如圖7所示。

這里沒有顯示對端的路由信息，為了驗證VPN連通性，CE1 ping CE2測試連接狀態(tài)，如圖8所示。

可以通信，說明CE1并不用通過PE1尋找路由，即PE1并未感知CE1與CE2間IPSec通道的真實存在，提高了網(wǎng)絡安全性。查看在PE1處GE0/1接口抓到的報文，如圖9所示。

捕獲到了10條ESP報文，這些報文即為5次ping的通信過程，但無法查看通信過程中的序列號、TTL等信息，說明IPSec隧道對私網(wǎng)信息進行了加密處理。

2.2.2 IKE協(xié)商方式的IPsec安全策略

部分配置命令如表2所示（以CE1設備為例，CE2與CE1同理）。

使用IKE協(xié)商方式配置時，SPI將隨機生成且建立的SA具有生存期，其只需要配置好IKE協(xié)商安全策略的信息，由IKE自動協(xié)商來創(chuàng)建和維護SA，是大型動態(tài)網(wǎng)絡環(huán)境中慣用的配置方式。

安全策略配置成功后，查看CE1路由表，如圖10所示。

該路由表與手工配置時的路由表類似，也沒有對端的路由信息。這里仍然利用CE1 ping CE2測試連接狀態(tài)，如圖11所示。

可以通信，IKE協(xié)商方式與手工方式相似，CE1不需要獲取PE1的路由信息便可與CE2成功通信。

圖11中的第一次ping回顯Request time out即為IKE協(xié)商。抓取報文可以看到IKE的協(xié)商過程與ping的請求/回顯，如圖12所示。

其中，報文段中的第一部分表示IKE的主模式，完成協(xié)商策略、Diffie-Hellman交換與驗證交換；第二部分表示快速模式，它在主模式基礎上完成IPSec SA協(xié)商；第三部分即為ping報文加密后的ESP數(shù)據(jù)包。

3安全性分析

通過上述3個實驗可以發(fā)現(xiàn)，在BGP/MPLS VPN方案中，CE發(fā)出的數(shù)據(jù)報文沒有經(jīng)過加密，是以明文方式直接傳輸，且在CE1中可以找到對端網(wǎng)段的路由信息；而在BGP/MPLS VPN基礎上成功建立IPSec隧道后的安全VPN下，不僅在CE中找不到對端的路由信息，而且在抓到的數(shù)據(jù)包里找不到明文傳送的信息。CE傳輸私網(wǎng)信息時會通過IPSec加密后再進行傳輸，其傳輸路由也不再通過BGP協(xié)議獲取，同時網(wǎng)絡運營商也不會感知私網(wǎng)之間的隧道存在，因此后者比前者在安全性上更勝一籌。

4結(jié)束語

本文利用HCL平臺搭建了MPLS VPN，模擬私網(wǎng)間的數(shù)據(jù)傳輸，抓包分析發(fā)現(xiàn)BGP/MPLS VPN下的數(shù)據(jù)傳輸采用明文方式，容易造成數(shù)據(jù)傳輸過程中的信息泄露，給用戶帶來安全隱患，也限制了BGP/MPLS VPN的應用場合。為了增強其安全性，提出了基于IPSec的安全BGP/MPLS VPN設計方案并進行了實現(xiàn)。MPLS與IPSec相結(jié)合后，通過實驗的對比可以發(fā)現(xiàn)，IPSec隧道在信息傳輸過程中對信息進行了加密處理，真正為私網(wǎng)信息提供了安全保障，實現(xiàn)在保證BGP/MPLS VPN傳輸可靠性的同時增強了網(wǎng)絡安全性，且擴展了BGP/MPLS VPN技術的適用范圍。該方案可應用于對保密性要求較高的企業(yè)組網(wǎng)方案，在現(xiàn)有虛擬專用網(wǎng)基礎上建立IPSec隧道，極大地提高了VPN數(shù)據(jù)的安全性，配置簡易靈活，而且易擴展、易管理、易維護，更加安全高效地保護站點到站點之間的私網(wǎng)數(shù)據(jù)傳輸。

參考文獻

[1]何璐茜.MPLS VPN技術研究及應用[J].現(xiàn)代電子技術， 2011，34（15）：127-130.

[2]王廣澤，汪鵬，羅智勇，等.一種MPLS VPN的分散校區(qū)圖書館教育網(wǎng)組建模型[J].哈爾濱理工大學學報，2017，22（3）： 31-35.

[3]何東，鄭建剛，馮涌，等.基于MPLS/VPN技術的集團化醫(yī)院廣域網(wǎng)平臺的設計與實現(xiàn)[J].電腦知識與技術，2012，8（29）： 7136-7138.

[4]李大習.基于SDN的MPLS企業(yè)VPN技術實現(xiàn)[J].電子技術，2017，46（12）：42-44.

[5]周健.云計算背景下的信息安全問題研究[J].現(xiàn)代電子技術， 2017，40（11）：84-87.

[6]李忠武，陳麗清.計算機網(wǎng)絡路由器的應用研究[J].現(xiàn)代電子技術，2014，37（8）：113-115.

[7]韓海雯，張瀟元.基于BGP協(xié)議的MPLSVPN構(gòu)建機制分析[J].計算機工程與設計，2008（5）：1104-1107.

[8]王文娟，李緒凱，張?zhí)燧x，等.MPLS/BGP-VPN技術應用[J].計算機與網(wǎng)絡，2015，41（1）：60-63.

[9]杭州華三通信技術有限公司.H3C路由器典型配置指導[M].北京：清華大學出版社，2013.

[10]王建明. IPSec協(xié)議在VPN中的應用探討[J].網(wǎng)絡安全技術與應用，2015（5）：67.

[11]蹇成剛.IP分組網(wǎng)絡安全分析及IPSec技術[J].計算機與網(wǎng)絡，2010，36（17）：42-44.

[12]廖悅欣.IPSec協(xié)議實現(xiàn)技術研究[D].廣州：華南理工大學， 2013.