安全技术
关于MPLSVPN技术的网络安全性探讨
潘德伟
(民航中南空中交通管理局，广东广州510405)
数事共与表用
摘要：本文从互联网发展对网络技术要求的角度出发，对MPLSVPN技术的进行介绍，重点就该技术在实施部署中安全方面的内容进行探讨，对促进MPLSVPN技术的演讲和应用具有一定的理论和现实意义。
关键词:MPLS;VPN；安全
中图分类号：TP393.1 1研究背景
文献标识码：A
随着互联网的蓬勃发展，信息网络作为各类IT信息系统的基础设施其规模也在不断扩大，人们对其建设提出了新的需求：跨地域。实时性、安全可靠、接人使捷等方面。目前，MPLSVPN技术已经被许多服务提供商所采用部署到自己的网络环境中，与此同时随着大中型公司规模的扩大以及业务的发展，公司总部与各分支机构之间的办公需求也要求其IT运维部门建立和运营自已的MPLS网络。公共信息基础平台上发展各公司自已的专有网络已是大势所趋，但安全性仍I旧是大家普遵但是的一个间题。本文将首先对MPLSVPN技术进行简单介绍，然后就该技术在实施部署过程中涉及到的一些安全间题进行论述。
2MPLSVPN技术介绍
MPLSVPN是一种基于MPLS技术的VPN，是在路由和交换设备上应用MPLS技术实现的虚拟专用网，其将公众网可靠的性能，良好的扩展性、丰高的功能与专用网的安全、灵活、高效结合在一起，该技术的出现可以解决传统VPN技术的一些固有缺陷，其中最重要的是地址重叠的间题MPLSVPN技术可以保证不同的用户VPN 可以使用相同的私有地址空间，面且可以在公共的骨干网络上相互不影响地交换数据。图1为典型的MPLSVPN路由模型。
(1)PE(运营商边界设备)：骨干网边缘路由器，存储VRF，处理 VPN-IPv4路由，是MPLS三层VPN的主要实现者。(2)P(运营商设备)：骨干网核心路由器，负责MPLS转发。(3)CE(客户边界设备)：用户网边缘路由器，发布用户网络路由，
在MPLSVPN中，服务提供商的PE设备通过技术手段为每个客户建立专用的虚拟路由转发表，将客户站点A的CE设备发来的路由在本地人口PE上为报文打上两层标签，第一层(外层)标签在骨
交换IPV4路由 CE
c
收稿日期：2017-07-13
VPN用产 SiteA
文章编号：1007-9416(2017)07-0202-02
干网内部进行交换，VPN报文打上这层标签就可以通过骨干网络中的P设备到达远端PE相应的虚拟路由转发表中；第二层(内层)标签，指示了报文应该到达个CE，报文到达PE时剥掉外层标签，远端PE 根据内层标签就可找到转发接口，并将相关信息发送给客户站点B 的CE设备。
3MPLSVPN安全部署
MPLS体系结构可以分为控制平面，转发平面和管理平面，在实施过程中MPLS网络系统必须保证控制平面设备之间VPN路由信息传送的准确，可靠，保证数据平面设备之间VPN用户数据传送的私密、完整，保证管理平面上网管安全可靠。下面将从以上三个方面就其安全性的部署提出一些探讨。
3.1控制平面的安全
当CE设备通过动态路由协议将本地的路由信息传送给PE设备时，这有可能导致PE路由器的地址会被MPLS核心外界所知。如果知道PE路由器地址，黑客就可以通过该地址对MPLS核心网络实施攻击，为了避免该间题的出现，可以考虑PE与CE之间采用静态路由的方式，这样CE设备指向一个接口地址，而不再需要知悉MPLS核心网络中的IP地址，在相关CE和PE路由器中直接配置静态路由，可有效减少有害路由被注人到该环境中的可能性。
虽然静态路由在安全方面考是个不错的选择，但是对于大型网络来说管理静态路由的成本还是太大了，通常此处需要做路由汇总。但如果网络环境发生变化，此时就需要技术人员对CE以及PE设备重新调整配置，所以在MPLSVPN技术实施中是否采用静态路由需要视具体情况而定。那么如果必须采用动态路由协议的情况下， PE路由器就可能收到来自本地或者远程CE设备的路由更新，该更新可能是正常的，但也有可能是恶意的，在此种情况下就很容易产
交换VPNv4路由和标签
PE
服务提供商
p
交换IPV4路由
C
PE
MPLSVPN
图1典型的MPLSVPN路由模型
作者简介：浠德伟(1983一),男，天津人,本科，工程师，研究方向：数据通信、传输网。 20
万方数据
CE
VPN用户 SiteB
c