在經濟全球化的今天，越來越多的企業在全球各地開辦分支機構，同時隨著企業信息化進程的加快，網絡中的各種應用，如電子商務、視頻會議等在各行各業中不斷普及。為了保證信息傳遞的實時性與安全性，企業紛紛組建自己的VPN(虛擬專用網)。

　　通常VPN 用戶對網絡的基本要求是保證數據的安全性、網絡操作的簡便性和網絡的可擴展性。傳統的VPN 采用隧道技術為用戶在公網上傳遞私有數據存在很多缺陷，已經很難滿足用戶對VPN的需求。MPLS(多協議標簽交換)VPN 是基于MPLS 協議構建的一種站點到站點的VPN 技術，它繼承了MPLS 網絡的優勢，具有擴展性強、易于實現服務質量、服務等級和流量工程等特點。但是在安全性方面，盡管MPLS VPN 采用了嚴格的路由隔離，依然有受到內網和外網攻擊的可能。本文提出一種方案，在控制層面上對MPLS VPN 核心網絡的安全性進行了加強改進。

　 1.MPLS VPN 的安全性分析

　　1.1 MPLS VPN 自身安全保障分析

　　MPLS VPN 采用地址隔離、路由隔離和核心隱藏等手段，提供防范攻擊和抗標記欺騙的安全保障。

　　(1)地址空間和路由隔離

　　MPLS VPN 在不同VPN 的IP 地址前添加了不同的RD(路徑區分符)，可以確保VPN 用戶的IP地址在全網唯一，即不同的VPN 可以使用相同的地址空間。同時，PE(服務提供商邊緣路由器)為每個VPN 維護一個獨立的VRF(VPN 路由轉發表)，控制每個VPN 的流量，使其只會在本VRF內轉發。

　　(2)核心信息隱藏

　　由于只有PE 上包含了VPN 的信息，MPLS VPN不需要暴露任何有關核心網的信息給用戶。由于不知道網絡拓撲，攻擊者只能通過猜測IP 地址進行攻擊，使得攻擊變得艱難。

　　(3)抗標記欺騙

　　在MPLS 網絡中交換是基于標簽的，標簽交換不會在通向CE(用戶邊緣路由器)的PE 接口上出現，同樣任何一個從CE 到達PE 上標記過的分組將被丟棄。因此，通過標記欺騙來實施攻擊是不可能的。

　　1.2 可能遇到的安全威脅

　　從前面的分析可知，攻擊者無法從一個VPN攻擊另一個VPN。因此，他們可能會通過攻擊MPLS 核心網絡來攻擊VPN。

　　核心網絡中，PE之間交換MP-BGP(多協議擴展BGP-4)路由信息建立VPN 路由表，P(服務商路由器)之間交換公網路由信息建立公網傳輸路徑。因此，攻擊者通常偽裝成PE 與運營商網絡的PE 建立連接并交換路由信息，獲取VPN 的內部路由，篡改或偽造路由信息，使用戶數據流入自己的PE 設備。除此之外，攻擊者對PE 或P 的DoS (拒絕服務)攻擊會影響和破壞路由信息的正常交換，妨礙路由表的建立和維護，導致VPN 數據包的轉發丟失或錯誤。

   2.安全改進方案

    2.1 改進思路

    為防御攻擊，需要在路由器間加強鄰居安全，如增加MD5(信息摘要算法第五版)鑒權機制。如果MPLS 域內所有的設備都配置同一MD5 密鑰，則密鑰的泄漏會導致整個域內認證失效。但是為每一對路由器單獨配置一個密鑰，則會大大增加管理配置的復雜度。因此，考慮使用另一種簡單有效的保護機制GTSM(通用TTL安全機制)。

　　GTSM是一種基于TTL(生存周期)的安全保護機制，通過檢查協議報文中的TTL 值是否在一個預先定義好的特定范圍內，來確定與自己建立連接的對端路由器是否合法。攻擊者經過簡單的調試即可知道與目標路由器的距離，然后設置相應的TTL值，靠路徑上路由器的遞減，使得包到達目標路由器時TTL 值正好為指定值，即可以進行DoS攻擊。在MPLS域內，P之間建立基于LDP(標簽分發協議)的直連鄰居關系，如果事先設置GTSM，使得路由器只發出TTL為255的LDP 包，且只接收鄰居發來的TTL 為255的LDP包，則攻擊者除非是直接連在目標路由器上，否則目標路由器收到的攻擊包必然是TTL小于255的，因此很容易分辨出對端路由器是否合法。同時，GTSM 僅僅依靠對每個IP包都會攜帶的TTL 字段進行處理，不會增加帶寬消耗，也不需要經過復雜的加解密程，可以實現迅速而有效的保護。

　　2.2 方案流程

　　根據以上分析，方案設計在PE之間采用基于MP-BGP的MD5鑒權機制，將所有PE 劃分為不同區域，為每個區域配置不同的MD5 密鑰，由于PE的數量較少，對網絡管理影響不大。而在P 直連鄰居間采用基于LDP的GTSM機制。

　　(1)基于MP-BGP 的MD5 鑒權

　　在PE上為BGP鄰居配置一致的MD5 認證密鑰后，發送BGP消息之前，PE 將BGP 消息與設置的認證密鑰一起進行MD5 計算，將計算出的信息摘要填充在TCP(傳輸控制協議)頭部后面，然后再將消息發送出去。

　　當接收端路由器收到BGP 消息后，先取得相關信息段與本地密鑰進行MD5 計算，將結果與收到的消息中的信息摘要相對比，若一致則接收，若不一致則說明報文被篡改過或密鑰不一致，直接丟棄。

　　(2)基于LDP的GTSM 機制

　　LDP 會話時兩端路由器發送Hello消息進行鄰居發現，為使雙方協商并使用GTSM，需要在Hello消息中使用一個標志位來表示自己是否使能GTSM。為了不影響MPLS 基礎功能，取Hello消息中Common Hello TLV 保留字段的第一個bit位作為G 標志位。G為1，表示本路由器使能GTSM；G為0，表示本路由器未使能GTSM。只有雙方都使能，才能協商成功。擴展后Common Hello TLV格式如圖1所示。

T：是否為遠端連接  G：是否使能GTSM  R：是否發送目標Hello包
圖1 擴展后Common Hello TLV 格式

　　協商成功后，路由器發送與接收LDP 消息都會經過如下處理流程：

　　(1)發送LDP 消息時，路由器首先判斷該協議是否注冊了GTSM 機制。若沒有注冊，則直接發送消息；若已注冊，則路由器先將TTL 字段設為255，然后通過數據發送模塊發送出去。

　　(2)在接收方，路由器收到LDP 消息后先判斷該協議是否注冊了GTSM 機制。若沒有注冊，則直接送交LDP 模塊處理;若已注冊，檢查TTL 字段，如果TTL=255，則接收并交給LDP 模塊進行處理，如果TTL≠255，則直接丟棄。由此可見，在LDP 上增加GTSM，協商時只使用了Hello消息的一個保留位，在處理LDP 消息前只需對TTL作簡單處理，因此這一功能模塊的添加對MPLS VPN 基本功能和網絡性能的影響不大。

　 3.實驗及結果分析

    按圖2所示拓撲搭建實驗網絡。

圖2 實驗拓撲圖

　　(1)在PE上使用基于BGP的MD5

　　為PE1與PE2配置相同的密鑰，在攻擊者路由器上分別配置正確密鑰、錯誤密鑰和不配置密鑰，在這3種情況下，PE1上的路由表內容如圖3所示。

圖3 3種情況下PE1的路由表

　　由實驗結果可以看出，當攻擊者無法獲取正確密鑰或無密鑰配置時，PE1上不會出現攻擊者發布的路由信息，此時攻擊者無法對BGP進行路由信息的攻擊，因此在BGP上配置MD5 密鑰可以保證PE間的鄰居安全。

    (2)在P上使用基于LDP 的GTSM

    在P與攻擊者PE 上使能GTSM，從攻擊者PE發送標簽信息攻擊P，P的標簽轉發表如圖4所示。

圖4 P的標簽轉發表

    由圖4可以看出，由于不能與目標路由器直接相連，攻擊者發往目標路由器的LDP 包會因為TTL<255而被丟棄，無法對目標路由器的LDP發動攻擊。而為LDP增加GTSM，只需為每個路由器增加一條相同的使能命令，配置與管理都十分簡單。

   4.結束語

    MPLS VPN 能為用戶提供靈活、安全和實時的傳輸需求，它將是未來構建VPN 技術發展的方向，具有廣闊的應用前景。而是否具有良好的安全性，是MPLS VPN 能否大規模商用的關鍵。本文提出的安全改進方案，根據MPLS VPN 的特點，在BGP鄰居和LDP 鄰居間分別采用MD5 和GTSM 鄰居保護機制，可以有效防范非法用戶的侵入、DoS 攻擊等安全威脅，為MPLS VPN 提供更強的安全保障，與此同時卻并不增加網絡管理和程序處理的復雜
度，可以很好地滿足用戶及運營商的需求。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：MPLS VPN 核心網的鄰居保護方案

本文網址：http://www.guhuozai8.cn/html/consultation/10839411367.html