[摘要]出于企业组网的安全性需要,利用mpls vpn的基本理论知识,设计与规划了基于ip城域网的mpls vpn模型,通过网络连通性测试、查看p和pe路由器的路由表、查看pe设备的bgp路由信息等方法和理论分析,证明了基于ip城域网的mpls vpn具有与atm/fr vpn相类似的安全性,为企业用户组建高安全性的vpn积累了宝贵的经验。
[关键词]ip城域网;mpls vpn;网络安全性;ping;路由表
1概述
mpls(multi-protocol label switching,多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(forwarding equivalent class,转发等价类fec)的分类转发技术[1]。在mpls网络中,通过ldp(label distribution protocol,标签分配协议)动态地在邻居之间发布标签/fec绑定关系,建立一系列的lsp(label switching path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构[2]。mpls结合了ip技术的灵活性与atm技术的安全性等优点,非常适合组建vpn(virtual private network,虚拟专用网)。在vpn中有ce(custom edge,用户接入设备)、pe(provider edge router,骨干网边缘路由器)和p(provider router,骨干网核心路由器)三种路由器。WWW.11665.coM
mpls vpn工作过程:当一个ip分组由源端ce进入pe时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同vpn用户,后者用于实现分组在lsp上的高速转发)到分组头中形成标签分组;标签分组在lsp上高速透明地通过p到达骨干网对端的pe;在被去掉两层标签后,用户分组被转发到目的ce,进行vpn内部的ip转发[3]。
mpls vpn路由信息发布过程:pe和ce可以通过静态或动态路由协议交换路由信息,pe维护一个公网路由表和多个逻辑上分离的vpn私网路由表vrf(vpn routing/forwarding instance,路由转发实例,用于区分不同vpn用户的路由);pe对每一条vpn路由加上rd(route distinguisher,路由区分符,用于区分一台pe接收到其他pe发来的不同vrf的相同路由,并形成一条vpnv4路由)和rt(route target,路由目标rt,用于实现不同vrf之间的路由互通)属性,然后把路由更新信息发给所有的pe邻居;根据本地vrf的rt属性把vpnv4路由加入到相应的vrf中,再由本地vrf的路由协议引入并转发给相应的ce。
2 规划mpls vpn实验平台
设计与规划基于ip城域网的mpls vpn,其拓扑结构模型如图1所示:
图中mpls骨干网使用华为quidway s8016路由交换机,其中p路由器的ip地址为198.148.10.0网段,pe路由器的ip地址为204.18.68/78/88.0网段。x、y公司使用二层交换机作为ce接入mpls骨干网,组成vpnx和vpny,其中x公司cex1、cex2、ce3…的ip地址为10.1.1/2/3.0网段,vrf为mplsvpn-x,rt、rd均为65500:3,y公司cey1、cey2、cey3的ip地址为10.2.1/2/3.0网段,vrf为mplsvpn-y,rt、rd均为65500:3。
3 测试网络的安全性[ht5”]
3.1测试vpnx和vpny的连通性
采用交叉互ping的方法测试。在未禁止icmp流量和防火墙的条件下,轮流地在x或y公司的各个网段上ping对方的各个网段,利用返回的icmp包验证vpnx和vpny的连通性。测试的显示信息均为“request timed out”,说明vpnx和vpny之间的数据是隔离的。
3.2测试ce与p的连通性
在x或y公司的各个网段上ping骨干网路由器p。测试显示信息均为“request timed out”,说明vpn的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。
3.3查看p的路由信息
显示骨干网路由器p的路由信息,如图2所示:
测试结果说明:在p路由器上只有全局路由信息,用于保证骨干网的通信,而没有vpn私网路由信息,不和ce直接通信。因此,用户数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通p路由器。
3.4查看pe的路由信息
显示pe1的全局/vpnv4/bgp路由信息,如图3所示:
图中前两段显示的是pe1的全局/vpnv4路由信息。测试结果说明:在pe路由器上有全局路由信息,用于保证骨干网的通信。还有不同vpn的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户vpn通信的安全。图中第三段显示的是pe1路由器的bgp路由信息。测试结果说明:用户vpn的私网路由信息是使用bgp的扩展属性透明地通过mpls骨干网传递到对端的pe,保证了vpn的安全。
4 传统专网与mpls vpn的安全性分析
传统vpn的安全保证主要靠其cug(closed user group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的dos(denial of service,拒绝服务)等攻击。但如果用户vpn的每个cpe都连到internet,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新配置每个防火墙是非常困难的。
与传统vpn不同,由于mpls vpn采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此mpls vpn完全能够提供与atm/fr vpn相类似的安全保证[4]。mpls vpn依靠转发表和分组的标签来创建一个安全的vpn,而不是依靠封装和加密技术。一个vpn包括一组ce,以及同其相连的ip man中的pe。只有pe理解vpn,ce可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个vpn依靠vpn-instance来识别成员关系。
从上面的测试可以看出,mpls vpn的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的vpn标记,因此在骨干网上vpn的数据流量是隔离的,保证了用户发送的分组被传送到正确的vpn。
另外,封闭的mpls vpn本身就具有内在的安全性。如果用户需要访问internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个vpn提供安全的连接。由于整个vpn只需要维护一种安全策略,管理起来也非常容易[5]。
5结论
通过前文的测试和理论分析,可以得出结论:mpls vpn的安全性高于传统基于ip技术组建的vpn,具有与atm/fr vpn相类似的安全性。
[参考文献]
[1] eric osborne,ajay simha.基于mpls的流量工程[m].北京:人民邮电出版社,2003:18
[2] 王达,等.虚拟专用网(vpn)精解[m].北京:清华大学出版社,2004:58-59.
[3] vivek alwayn.高级mpls设计与实施[m].北京:人民邮电出版社,2003:41-42.
[4] 薛戈丽.组建基于mpls vpn的ip城域网网络方案[j].中国科技信息,2005,(15):137.
[5] 王柱.基于ip城域网的mpls vpn规划与性能分析[d].天津:天津大学,2006:31.
