返回
mpls vpn安全性测试方法与性能分析

mpls vpn安全性测试方法与性能分析

ID:25985827

大小:53.50 KB

页数:5页

时间:2018-11-24

mpls vpn安全性测试方法与性能分析_第1页
mpls vpn安全性测试方法与性能分析_第2页
mpls vpn安全性测试方法与性能分析_第3页
mpls vpn安全性测试方法与性能分析_第4页
mpls vpn安全性测试方法与性能分析_第5页
资源描述:

《mpls vpn安全性测试方法与性能分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、MPLS VPN安全性测试方法与性能分析  [摘要]出于企业组网的安全性需要,利用MPLSVPN的基本理论知识,设计与规划了基于IP城域网的MPLSVPN模型,通过网络连通性测试、查看P和PE路由器的路由表、查看PE设备的BGP路由信息等方法和理论分析,证明了基于IP城域网的MPLSVPN具有与ATM/FRVPN相类似的安全性,为企业用户组建高安全性的VPN积累了宝贵的经验。  [关键词]IP城域网;MPLSVPN;网络安全性;ping;路由表    1概述    MPLS(Multi-ProtocolLabelSEdge,

2、用户接入设备)、PE(ProviderEdgeRouter,骨干网边缘路由器)和P(ProviderRouter,骨干网核心路由器)三种路由器。  MPLSVPN工作过程:当一个IP分组由源端CE进入PE时,将有选择地放入一个私网标签和一个公网标签(前者用于区分不同VPN用户,后者用于实现分组在LSP上的高速转发)到分组头中形成标签分组;标签分组在LSP上高速透明地通过P到达骨干网对端的PE;在被去掉两层标签后,用户分组被转发到目的CE,进行VPN内部的IP转发[3]。  MPLSVPN路由信息发布过程:PE和CE可以通过静态

3、或动态路由协议交换路由信息,PE维护一个公网路由表和多个逻辑上分离的VPN私网路由表VRF(VPNRouting/Forplsvpn-x,RT、RD均为65500:3,Y公司CEy1、CEy2、CEy3的IP地址为10.2.1/2/3.0网段,VRF为mplsvpn-y,RT、RD均为65500:3。  3测试网络的安全性[HT5”]  3.1测试VPNx和VPNy的连通性  采用交叉互ping的方法测试。在未禁止ICMP流量和防火墙的条件下,轮流地在X或Y公司的各个网段上ping对方的各个网段,利用返回的ICMP包验证VPN

4、x和VPNy的连通性。测试的显示信息均为“Requesttimedout”,说明VPNx和VPNy之间的数据是隔离的。  3.2测试CE与P的连通性  在X或Y公司的各个网段上ping骨干网路由器P。测试显示信息均为“Requesttimedout”,说明VPN的私网信息在骨干网上是透明传输的,从而保证了用户数据不会外泄。  3.3查看P的路由信息  显示骨干网路由器P的路由信息,如图2所示:        测试结果说明:在P路由器上只有全局路由信息,用于保证骨干网的通信,而没有VPN私网路由信息,不和CE直接通信。因此,用户

5、数据在骨干网上不会外泄,保证了安全性,这也说明了为什么在用户网段上ping不通P路由器。  3.4查看PE的路由信息  显示PE1的全局/VPNv4/BGP路由信息,如图3所示:        图中前两段显示的是PE1的全局/VPNv4路由信息。测试结果说明:在PE路由器上有全局路由信息,用于保证骨干网的通信。还有不同VPN的私网路由信息(图中的mplsvpn-x和mplsvpn-y),二者是完全隔离的,这就保证了用户VPN通信的安全。图中第三段显示的是PE1路由器的BGP路由信息。测试结果说明:用户VPN的私网路由信息是使用

6、BGP的扩展属性透明地通过MPLS骨干网传递到对端的PE,保证了VPN的安全。    4传统专网与MPLSVPN的安全性分析    传统VPN的安全保证主要靠其CUG(ClosedUserGroup,闭合用户群)特性。它不向用户暴露服务商网络结构,提供的是透明传输,因此能限制来自用户侧的DoS(DenialofService,拒绝服务)等攻击。但如果用户VPN的每个CPE都连到Inter,就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放,就会造成安全隐患。此外,随着网络规模的扩大,一旦需要修改防火墙策略,管理和重新

7、配置每个防火墙是非常困难的。  与传统VPN不同,由于MPLSVPN采用了路由隔离和地址隔离等方法,提供了抗攻击和标记欺骗的手段,因此MPLSVPN完全能够提供与ATM/FRVPN相类似的安全保证[4]。MPLSVPN依靠转发表和分组的标签来创建一个安全的VPN,而不是依靠封装和加密技术。一个VPN包括一组CE,以及同其相连的IPMAN中的PE。只有PE理解VPN,CE可以感觉到同一个专用网相连,但并不理解潜在的骨干网,每个VPN依靠VPN-instance来识别成员关系。  从上面的测试可以看出,MPLSVPN的安全性是在服

8、务商网络边界提供的,用户分组必须从特定的接口上接收并打上唯一的VPN标记,因此在骨干网上VPN的数据流量是隔离的,保证了用户发送的分组被传送到正确的VPN。  另外,封闭的MPLSVPN本身就具有内在的安全性。如果用户需要访问Inter,则可以建立一个通道,在该通道上采用如防

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。