张先球　李骏仁

[摘要]VPN（虚拟专用网）安全方面必须是地址和路由隔离、骨干网对外界隐蔽和能预防攻击。基于MPLS（多协议标签交换）的VPN与一般第二层VPN的安全方案比较及其加强措施进行探讨。

[关键词]MPLS VPN 网络安全

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0320052－02

目前，企业客户已接受了帧中继和ATM等第二层VPN提供的安全性，但是，他们对基于MPLS的VPN的安全性还是心存疑虑。无论是从技术本身，还是从常规的网络应用来说，MPLS VPN都可以达到与ATM、帧中继同样的安全程度。

一、MPLS技术安全性

当将基于MPLS-VPN的解决方案与帧中继和ATM等第二层VPN解决方案进行比较时，必须满足几个关键的安全要求：必须隔离地址和路由；骨干网的内部结构必须对外界隐蔽，与帧中继或ATM网络核心一样，MPLS-VPN核心也必须隐蔽。网络必须能预防攻击，包括拒绝服务（DoS）和入侵攻击。

为了实现MPLS网的高度安全性，MPLS VPN做到了以下几点：

1．地址空间和路由独立

在MPLS VPN中，不同的VPN之间，地址空间是完全独立的。这意味着：

（1）任一VPN必须使用与其他VPN同样的地址空间；（2）任一VPN必须使用与MPLS核心同样的地址空间；（3）任意两个VPN之间的路由必须相互独立；（4）任意VPN和核心网络之间的路由必须相互独立。

这是为了实现某一VPN中的数据包不至于到达其他VPN或MPLS核心网中具有同样地址的主机。

2．隐藏MPLS核心网

MPLS不会暴露任何不必要的信息给外界，包括其VPN用户，这样将使网络攻击变得十分艰难。图1示出了VPN可能暴露于外界的地址空间：VPN1看不到P路由器或其他VPN，CE和PE路由器之间的连接属于VPN的地址空间，而PE路由器上的其他地址则属于核心网。

3．攻击防范

由于地址空间和路由的独立性，直接实施对某一VPN的攻击几乎不可能，只能通过MPLS核心网实现。对MPLS核心的攻击有两种基本途径：直接攻击PE路由器、攻击MPLS信令机制（多数为路由）。

VPN和MPLS核心网之间有两种路由配置方式：一是静态路由，二是动态路由。

为了降低这种被攻击的风险，在PE路由器上尽可能安全地配置路由协议，有以下几种途径达到这一目的。

（1）只允许来自CE的路由协议进入PE，而禁止来自任何其他地方的路由；或在CE路由器的接口上绑定ACL，只允许到达PE路由器的访问进入。

（2）为路由协议配置MD5鉴权，BGP、OSPF、RIPv2都可以做到这一点。需要注意的是，这需要SP和用户就所有CE和PE路由器之间的共享加密达成一致意见。

（3）配置某些路由协议参数。如在BGP协议中，配置“BGP dampen”及相关参数，有效抑制路由震荡和相互制约。此外，如果可能，对每个VRF配置可以接受的最大路由数。

由上可知，从一个VPN攻击其他VPN或核心网几乎不可能，但从理论上讲，CE路由器依然可能通过路由协议对PE路由器实施DoS攻击，因此，必须对PE路由器加以很好的保护，尤其是与CE路由器相连接的PE接口。

4．拒绝标记哄骗

在MPLS网络中，数据包转发是依据PE路由器所附加的标记来完成的，而非目标IP地址。与IP地址哄骗（攻击者调换源IP地址和目的IP地址）攻击相类似，攻击者也可能对MPLS数据包实施标记哄骗。

但PE路由器不可以接受来自CE路由器带有标记的数据包，任何此类数据包都将会被丢弃，因此，在MPLS网络，通过标记哄骗来实施攻击是不可能的。但发送到MPLS核心网的数据包，其IP地址仍然有可能被哄骗，然而由于PE路由器有严格的地址独立性，每个VPN都有自己的VRF，因此，这种攻击只能影响产生地址哄骗的VPN，而对MPLS并没有增加任何风险。

二、MPLS的安全加强措施

仅靠MPLS的自身技术安全性还不足以让人放心。对SP来说，采取附加措施保护MPLS核心网安全非常重要。首先要考虑以下因素：

（1）可信任设备：PE及P路由器、远程访问服务器、AAA服务器等，都必须被看作可信任的系统，这需要非常强大的安全管理，包括物理安全系统及访问控制列表、安全配置管理等等。而CE路由器不属于SP的管理范围，被视作不可信任系统。

（2）CE/PE接口：PE和CE路由器之间的接口对于MPLS网络的安全来说至关重要，PE路由器的配置应尽可能严密。从安全角度讲，最好将CE路由器配置为非指定IP地址，并使用静态路由。

1．网络核心的保护

包过滤器的配置非常重要，它可以只允许来自CE路由器的某些特定路由到达PE路由器对等接口，而其他流量将被拒绝。这可有效防止针对P及PE路由器的攻击，而PE路由器上的对等接口，由于其特殊地位，需要专门的保护措施。

（1）路由鉴权：路由是PE和CE路由设备之间的信令机制，路由协议有可能将虚假的信息引入核心网，这是最显而易见的攻击点。因此，所有的路由协议（尤其BGP、OSPF等）都应该针对不同的CE和Internet连接，配置有相应的安全鉴定选项，所有的对等关系都应该采用相应的方法加以安全防护：CE/PE（BGP：MD5鉴权）、PE/P（标记分配协议LDP的MD5鉴权）以及P/P等。

（2）CE/PE连接独立：如果有多个CE设备共享某二层设备接入同一PE路由器（如VLAN），其中一个VPN的CE设备就有可能哄骗其他VPN的数据包，这时采用上述的路由协议就不能产生安全效果，可在CE和PE之间尽可能采用独立的物理连接。在PE和多个CE路由器之间采用交换机也并非不可以，但一定要将不同的CE/PE连接划归不同的VLAN，使各自的流量相互独立。

（3）LDP鉴权：标记分配协议LDP也可以在MPLS网络采用MD5鉴权，可以防止黑客引入虚假路由器参加标记的分配。

2．VPN连接及Internet接入

MPLS不仅提供了VPN的独立性，同样也允许VPN的融合和Internet访问。

为了实现VPN间的互连，PE路由器必须维护多种不同的列表：针对每个CE路由器的路由关联表专用于存储VPN路由，从这里发布到VPN路由转发表VRF的路由表中，并进而得出VRF转发表。对于每个独立的VPN，VRF路由表仅包含来自一个路由关联表的路由，为了实现不同VPN的融合，不同路由关联表（来自不同的VPN）被置入同一VRF路由表中。需要说明的是，这时，多个被合并的VPN的地址空间就有了相关性，必须是排他性的。同样，也可以通过ACL来控制VRF表中的路由。

3．防火墙

（1）VPN间防火墙

企业之间往来密切时，它们之间需要进行VPN之间的通信，这时就有了VPN连接。但在多数情况下，企业仍有可能希望保持与互连企业间逻辑上的独立性。为了实现这一目的，可以在两个VPN之间配置防火墙，此时的防火墙在SP处管理，而不在企业内。

要通过防火墙连接两个VPN，必须在PE路由器上为每个VPN增加一个接口，用于连接防火墙。这样，从VPN A路由器到VPN B的数据包到达PE路由器后，由于PE到VPN B的路由指向与防火墙相连的接口，因此，数据包将穿过防火墙，并通过另一个接口（属于VPN B的接口）回到PE路由器。

由于交换机不提供流量的独立性，因此，如果防火墙的两个接口要连接交换机，则最好使用两台交换机分别连接防火墙的两个接口；如果只能连接在同一个交换机上，必须在防火墙的两边使用不同的VLAN。

（2）Internet防火墙

连接到其他SP的PE路由器必须通过防火墙实现与其他SP的互联互通。如果一个防火墙可能用于所有VPN（共享防火墙），则PE路由器通过这一道防火墙完成与其他SP的互连，PE路由器在缺省VRF路由表中维护Internet路由，Internet路由被发布到需要Internet接入的VPN VRF表中，而各VPN的路由则被发布到PE路由器的缺省VRF表中，并进而通过防火墙发布到Internet中。需要接入Internet的VPN必须使用经过注册的IP地址。

如果所有VPN必须通过同一个防火墙，其安全策略必须完全相同。如果要为每个VPN配置个性化的安全策略，则必须为每个VPN配置独立的防火墙，PE路由器也要为每个VPN增加一个接口，在防火墙之外，这些连接又可以汇总到一个路由器中，再通过同一台路由器连接其他SP。

（3）CE防火墙

对于庞大的网络，安全管理较难，这时，可对网络加以分割。越来越多的企业正在用防火墙来分割不同的分支机构，以保证内部网络的安全性。

在分割企业网并在MPLS网络中作为一个VPN时，在每个CE路由器上放置一道防火墙可以使整个网络更易于管理。这时，办公室以外的所有设备都被视为不可信任，即使来自本公司其他部门的流量也同样需要进行安全检查。

4．IPSec与MPLS结合

在MPLS网上运行IPSec，通过数据加密和头部鉴权（AH），可提供额外的系统安全，即使来自MPLS网络内部的攻击也无法破坏VPN的安全性。

IPSec可以运行在CE路由器或远离核心网的设备上，如果CE路由器在用户的控制之中，IPSec将是非常好的选择；如果CE属于SP的管理范围，那么用户就必须确定是否信任SP，决定IPSec是运行在CE上还是在SP的范围之外增加其他IPSec设备。

三、总结

结果表明，基于MPLS的VPN网络已经能够满足或超过帧中继或ATM等第二层VPN的安全特性要求。因此，我们认为MPLS-VPN可以为企业客户和服务提供商提供与帧中继或ATM相同的安全性。

参考文献：

[1]Behringer,Michael H./Morrow,Monique J.Mpls Vpn Security.Macmillan Technical Pub,2005年7月.

[2]（美）IVAN PEPELNJAK，JIM GUICHARD，JEFF APCAR，译者：卢泽新、朱培栋、齐宁，MPLS和VPN体系结构（第2卷），2004年3月.

[3]王柱，基于IP城域网的MPLS VPN规划与性能分析[D].天津：天津大学，2006年3月.

作者简介：

张先球，男，甘肃兰州人，助理工程师，主要研究方向：系统管理；李骏仁，男，甘肃兰州人，助理工程师，主要研究方向：软件开发。