MPLS VPN的安全性分析.pdf

维普资讯 2006年第7期 《贵州电力技术》 (总第85期) MPLSVPN的安全性分析 贵州电力调度通信局 宋 奕 [550002] 随着 Intemet的普及和发展，基于 MPLS的虚拟 表和CEF表中，每个 VRF维护一个单独的路由表和 专用网技术引起了人们的广泛关注，它已成为未来 CEF表，这些表各可以防止转发信息被传输到VPN 网络安全研究和 Intemet应用 的一个重要方 向。 之外，同时也能阻止VPN之外的数据包转发到VPN MPLSVPN能够利用公用骨干网络的广泛而强大的 内的路由器中。这个机制使得VPN具有安全性。 传输能力，降低企业内部网络的建设成本，极大地提 在每个 VPN内部，可以建立任何连接：每个站 高用户网络运营和管理的灵活性，同时能够满足用 点可以直接发送 IP数据包到VPN中另外一个站点， 户对信息传输安全性、实时性、高带宽、方便性的需 无需穿越中心站点。一个路由识别器 (RD)可以识 要，所以，受到大型跨地域集团用户的欢迎。VPN在 别每一个单独的VPN。一个 MPLS网络可以支持成 为用户产生效益的同时，也为 自己开拓了广阔的发 千上万个VPN。每个 MPLSVPN网络的内部是由供 展前景 。 应商(P)设备组成。这些设备构成了MP 核心，且 不直接同CE路由器相连。围绕在P设备周围的PE 1 MPLSVPN的工作原理 可以让MPLSVPN网络发挥 VPN的作用。P和 PE MPLS是实现第2层交换技术的简化转发特性 路由器称为标记交换路由器 ( )。LSR设备基于 标记来交换数据包。 的方法，而保留了第3层路由技术同样 良好的兼容 根据 MPLSVPN的工作原理可以看出，MPLS 性和可扩展性。MPLS是通过标记交换来实现这个 VPN具有如下优点： 目的，严格区别于网络层路由的方式。 (1)安全性高：采用MPLS作为通道机制实现透 标记表示路径和服务的属性 ，在人 口的边缘 、流 明报文传输，MPLS的标签交换路径 (LSP)具有与FR 人的数据包被处理做上标记，位于核心的设备仅仅 和ATM相类似的安全性；另外，由于MPLS实现对用 读这些标记，赋于适当的服务，然后根据标记转发这 户透明，用户还可以采用它已有的手段，如设置防火 些数据包，对这些数据包的分析、分类和过滤只发生 墙、采用数据安全加密等方法，进一步提高安全性。 一 次，即在进人边缘设备时。经过出口的边缘设备 (2)强大的扩展性：包括两点，网络中可以容纳 时，标记被移去，数据包转发到最终 目的地。 的VPN数 目很大；同一VPN中的用户很容易扩充。 同传统的VPN不同，MPLSVPN不依靠封装和 (3)业务的融合。提供了数据、语音和视频相 加密技术，MPLSVPN依靠转发表和数据包的标记