欢迎来到天天文库
浏览记录
ID:25985827
大小:53.50 KB
页数:5页
时间:2018-11-24
《mpls vpn安全性测试方法与性能分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、MPLS VPN安全性测试方法与性能分析 [摘要]出于企业组网的安全性需要,利用MPLSVPN的基本理论知识,设计与规划了基于IP城域网的MPLSVPN模型,通过网络连通性测试、查看P和PE路由器的路由表、查看PE设备的BGP路由信息等方法和理论分析,证明了基于IP城域网的MPLSVPN具有与ATM/FRVPN相类似的安全性,为企业用户组建高安全性的VPN积累了宝贵的经验。 [关键词]IP城域网;MPLSVPN;网络安全性;ping;路由表 1概述 MPLS(Multi-ProtocolLabelSEdge,
2、用户接入设备)、PE(ProviderEdgeRouter,骨干网边缘路由器)和P(ProviderRouter,骨干网核心路由器)三种路由器。 MPLSVPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发[3]。 MPLSVPN路由信息发布过程:PE和CE可以通过静态
3、或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF(VPNRouting/Forplsvpn-x,RT、RD均为65500:3,Y公司CEy1、CEy2、CEy3的IP地址为10.2.1/2/3.0网段,VRF为mplsvpn-y,RT、RD均为65500:3。 3测试网络的安全性[HT5”] 3.1测试VPNx和VPNy的连通性 采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在X或Y公司的各个网段上ping对方的各个网段,利用返回的ICMP包验证VPN
4、x和VPNy的连通性。测试的显示信息均为“Requesttimedout”,说明VPNx和VPNy之间的数据是隔离的。 3.2测试CE与P的连通性 在X或Y公司的各个网段上ping骨干网路由器P。测试显示信息均为“Requesttimedout”,说明VPN的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。 3.3查看P的路由信息 显示骨干网路由器P的路由信息,如图2所示: 测试结果说明:在P路由器上只有全局路由信息,用于保证骨干网的通信,而没有VPN私网路由信息,不和CE直接通信。因此,用户
5、数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通P路由器。 3.4查看PE的路由信息 显示PE1的全局/VPNv4/BGP路由信息,如图3所示: 图中前两段显示的是PE1的全局/VPNv4路由信息。测试结果说明:在PE路由器上有全局路由信息,用于保证骨干网的通信。还有不同VPN的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户VPN通信的安全。图中第三段显示的是PE1路由器的BGP路由信息。测试结果说明:用户VPN的私网路由信息是使用
6、BGP的扩展属性透明地通过MPLS骨干网传递到对端的PE,保证了VPN的安全。 4传统专网与MPLSVPN的安全性分析 传统VPN的安全保证主要靠其CUG(ClosedUserGroup,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的DoS(DenialofService,拒绝服务)等攻击。但如果用户VPN的每个CPE都连到Inter,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新
7、配置每个防火墙是非常困难的。 与传统VPN不同,由于MPLSVPN采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此MPLSVPN完全能够提供与ATM/FRVPN相类似的安全保证[4]。MPLSVPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术。一个VPN包括一组CE,以及同其相连的IPMAN中的PE。只有PE理解VPN,CE可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个VPN依靠VPN-instance来识别成员关系。 从上面的测试可以看出,MPLSVPN的安全性是在服
8、务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的VPN标记,因此在骨干网上VPN的数据流量是隔离的,保证了用户发送的分组被传送到正确的VPN。 另外,封闭的MPLSVPN本身就具有内在的安全性。如果用户需要访问Inter,则可以建立一个通道,在该通道上采用如防
此文档下载收益归作者所有