《理学其它相关论文-MPLS VPN安全性测试方法与性能分析.doc》由会员分享,可在线阅读,更多相关《理学其它相关论文-MPLS VPN安全性测试方法与性能分析.doc(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、理学其它相关论文 - 安全性测试方法与性能分析 摘要出于企业组网的安全性需要,利用 MPLS VPN 的基本理论知识,设计与规划了基于 IP 城域网的 MPLS VPN 模型,通过网络连通性测试、查看 P 和PE 路由器的路由表、查看 PE 设备的 BGP 路由信息等方法和理论分析,证明了基于 IP 城域网的 MPLS VPN 具有与 ATM/FR VPN 相类似的安全性,为企业用户组建高安全性的 VPN 积累了宝贵的经验。 关键词 IP 城域网; MPLS VPN;网络安全性; ping;路由表 1 概述 MPLS( Multi-Protocol Label Switching,多协议标签交
2、换)是一种将具有相同转发处理方式的分组归为一类( Forwarding Equivalent Class,转发等价类 FEC)的分类转发技术 1。在 MPLS 网络中,通过 LDP( Label Distribution Protocol,标签分配协议)动态地在邻居之间发布标签 /FEC 绑定关系,建立一系列的 LSP( Label Switching Path,标签交换路径)隧道,形成逻辑上的全网状拓扑结构 2。 MPLS 结合了 IP 技术的灵活性与 ATM 技术的安全性等优点,非常适合组建 VPN( Virtual Private Network,虚拟专用网)。在 VPN 中有 CE(
3、Custom Edge,用户接入设备)、 PE( Provider Edge Router,骨干网边缘路由器)和 P( Provider Router,骨干网核心路由器)三种路由器。 MPLS VPN 工作过程:当一个 IP 分组由源端 CE 进入 PE 时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同 VPN 用户,后者用于实现分组在 LSP 上的高速转发)到分组头中形成标 签分组;标签分组在 LSP 上高速透明地通过 P 到达骨干网对端的 PE;在被去掉两层标签后,用户分组被转发到目的 CE,进行 VPN 内部的 IP 转发 3。 MPLS VPN 路由信息发布过程: PE
4、和 CE 可以通过静态或动态路由协议交换路由信息, PE 维护一个公网路由表和多个逻辑上分离的 VPN 私网路由表 VRF( VPN Routing/Forwarding Instance,路由转发实例,用于区分不同 VPN用户的路由);PE 对每一条 VPN 路由加上 RD( Route Distinguisher,路由区分符,用于区分一台 PE 接收 到其他 PE 发来的不同 VRF 的相同路由,并形成一条 VPNv4 路由)和RT( Route Target,路由目标 RT,用于实现不同 VRF 之间的路由互通)属性,然后把路由更新信息发给所有的 PE 邻居;根据本地 VRF 的 RT
5、属性把 VPNv4 路由加入到相应的 VRF 中,再由本地 VRF 的路由协议引入并转发给相应的 CE。 2 规划 MPLS VPN 实验平台 设计与规划基于 IP 城域网的 MPLS VPN,其拓扑结构模型如图 1 所示: 图中 MPLS 骨干网使用华为 Quidway S8016 路由交换机,其中 P 路由器的 IP地址为 198.148.10.0 网段, PE 路由器的 IP 地址为 204.18.68/78/88.0 网段。 X、Y 公司使用二层交换机作为 CE 接入 MPLS 骨干网,组成 VPNx 和 VPNy,其中 X 公司 CEx1、 CEx2、 CE3的 IP 地址为 10.
6、1.1/2/3.0 网段, VRF 为 mplsvpn-x, RT、RD 均为 65500: 3, Y 公司 CEy1、 CEy2、 CEy3 的 IP 地址为 10.2.1/2/3.0 网段,VRF 为 mplsvpn-y, RT、 RD 均为 65500: 3。 3 测试网络的安全性 HT5” 3.1 测试 VPNx 和 VPNy 的连通性 采用交叉互 ping 的方法测试。在未禁止 ICMP 流量和防火墙的条件下,轮流地在 X 或 Y 公司的各个网段上 ping 对方的各个网段,利用返回的 ICMP 包验证VPNx 和 VPNy 的连 通性。测试的显示信息均为“ Request time
7、d out”,说明 VPNx和 VPNy 之间的数据是隔离的。 3.2 测试 CE 与 P 的连通性 在 X 或 Y 公司的各个网段上 ping 骨干网路由器 P。测试显示信息均为“ Request timed out”,说明 VPN 的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。 3.3 查看 P 的路由信息 显示骨干网路由器 P 的路由信息,如图 2 所示: 测试结果说明:在 P 路由器上只有全局路由信息,用于保证骨干网的通信,而没有 VPN 私网路由信息,不和 CE 直接通信。因此,用户数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上 ping 不通 P
8、 路由器。 3.4 查看 PE 的路由信息 显示 PE1 的全局 /VPNv4/BGP 路由信息,如图 3 所示: 图中前两段显示的是 PE1 的全局 /VPNv4 路由信息。测试结果说明:在 PE 路由器上有全局路由信息,用于保证骨干网的通信。还有不同 VPN 的私 网路由信息(图中的 mplsvpn-x 和 mplsvpn-y),二者是完全隔离的,这就保证了用户 VPN通信的安全。图中第三段显示的是 PE1 路由器的 BGP 路由信息。测试结果说明:用户 VPN 的私网路由信息是使用 BGP 的扩展属性透明地通过 MPLS 骨干网传递到对端的 PE,保证了 VPN 的安全。 4 传统专网与
9、 MPLS VPN 的安全性分析 传统 VPN 的安全保证主要靠其 CUG( Closed User Group,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧 的 DoS( Denial of Service,拒绝服务)等攻击。但如果用户 VPN 的每个 CPE都连到 Internet,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新配置每个防火墙是非常困难的。 与传统 VPN 不同,由于 MPLS VPN 采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗
10、的手段,因此 MPLS VPN 完全能够提供与 ATM/FR VPN 相类似的安全保证 4。 MPLS VPN 依靠转发表和分组的标签来创 建一个安全的 VPN,而不是依靠封装和加密技术。一个 VPN 包括一组 CE,以及同其相连的 IP MAN 中的 PE。只有 PE 理解 VPN, CE 可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个 VPN 依靠 VPN-instance 来识别成员关系。 从上面的测试可以看出, MPLS VPN 的安全性是在服务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的 VPN 标记,因此在骨干网上 VPN的数据流量是隔离的,保证了用户发送
11、的分组被传送到正确的 VPN。 另外,封闭的 MPLS VPN 本身就具有内在的安全性。 如果用户需要访问Internet,则可以建立一个通道,在该通道上采用如防火墙、数据加密等技术手段,对整个 VPN 提供安全的连接。由于整个 VPN 只需要维护一种安全策略,管理起来也非常容易 5。 5 结论 通过前文的测试和理论分析,可以得出结论: MPLS VPN 的安全性高于传统基于 IP 技术组建的 VPN,具有与 ATM/FR VPN 相类似的安全性。 参考文献 1 Eric Osborne,Ajay Simha.基于 MPLS 的流量工程 M .北京 :人民邮电出版社 ,2003: 18 2 王达,等 .虚拟专用网( VPN)精解 M .北京 :清华大学出版社 ,2004:58 59. 3 Vivek Alwayn.高级 MPLS 设计与实施 M .北京 :人民邮电出版社,2003: 41 42. 4 薛戈丽 .组建基于 MPLS VPN 的 IP 城域网网络方案 J .中国科技信息 ,2005, (15):137. 5 王柱 .基于 IP 城域网的 MPLS VPN 规划与性能分析 D .天津 :天津大学 ,2006: 31.