MPLS在VPN中的应用

1、VPN基于MPLS(多协议标记交换)一般用于ISP部署自己的骨干网络并对外提供VPN服务。MPLSVPN是一种基于MPLS技术的IPVPN,是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS采用简化了的技术来完成第三层和第二层的转换,它可以提供每个IP数据包一个标记,将之与IP数据包封装于新的MPLS数据包,由此决定IP数据包的传输路径以及优先顺序。而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记,无须再去读取每个IP数据包中的IP地址位等信息,因此数据包的交换转发速度大大加快。MPLS协议实现了第三层的路由到第二层的交换的转换。MPLS可以使用各种第二层协议。MPLS工作组到目前为止已经把在帧中继、ATM和PPP链路以及IEEE80213局域网上使用的标记实现了标准化。MPLS在帧中继和ATM上运行的一个好处是它为这些面向连接的技术。使用MPLS的VPN分为两类:第二层MPLSVPN和第三层MPLSVPN。第二层MPLSVPN一般基于IETF的Martini标准或Kompella标准,只提供第二层的服务,例如:帧中继、ATM或者以太网。如果用户使用的是帧中继或者ATM,并且需要合并网眼,而用户可以由一个服务提供商连接所有的分支地点的话,那么用户使用MPLSVPN的成本就较低,否则MPLSVPN不会给用户带来任何附加的好处。第三层MPLSVPN的工作方式与第二层的不同,服务提供商为每个IP通信数据流添加标签,通过这个标识就可以在IP网络中生成虚拟IP回路或者标签交换路径LSP。服务提供商使用标签来生成闭合的路径,将用户的数据同网络中其它的数据隔离开来,从而可以提供类似于帧中继或者ATM中的专用虚拟回路PVC式的安全服务。因为MPLSVPN需要服务提供商修改自己的网络,所以MPLSVPN是一种基于网络的VPN,它不需要在客户端安装任何设备,隧道一般在服务提供商的边缘路由器处就终结了。第三层MPLSVPN相对于第二层MPLSVPN来说有很多的优点。由于它是依靠IP路由来构筑路径的,第三层VPN可以方便地在一个服务提供商的网络内生成完全的或部分的网状网络,每个站点只有一个链路连接到服务提供商的网络上,这样就消除了一直困扰着ATM或帧中继网络的多PVC的设置和管理问题。IETF已经制定了标准来使MPLSVPN支持区分服务,这样服务提供商就可以为语音或其它对延时敏感的服务提供优先级服务。VPN安全技术在VPN使用日益频繁的今天,安全问题是VPN的核心问题。由于传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。MPLS的安全性MPLS为每个IP包加上了一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道十分容易而且高效。一般采用下面一些措施:(1)路由隔离MPLSVPN实现了VPN之间的路由隔离。每个PE路由器为每个所连接的VPN都维护一个独立的虚拟路由转发实例(VFI),每个VFI驻留来自同一VPN的路由(静态配置或在PE和CE之间运行路由协议)。因为每个VPN都产生一个独立的VFI,因此不会受到该PE路由器上其它VPN的影响。(2)隐藏MPLS核心结构出于安全考虑,运营商和终端用户通常并不希望把它们的网络拓扑暴露给外界,这可以使攻击变得更加困难。如果知道了IP地址,一个潜在的攻击者至少可以对该设备发起DoS攻击。但由于使用了“路由隔离”,MPLS不会将不必要的信息泄露给外界,甚至是向客户VPN。(3)抗攻击性因为进行了路由隔离,因此不可能从一个VPN攻击另外一个VPN或核心网络,但从理论上讲有可能利用路由协议对PE路由器进行Dos攻击,或者攻击MPLS的信令信息。(4)标记欺骗在MPLS网络中,包的转发不是基于IP目的地址,而是基于由PE路由器预先添加的标记。与IP欺骗攻击时攻击者替代包的IP源地址和目的地址相似,理论上有可能出现MPLS包的标记欺骗。从上面的分析可以得出这样的结论:MPLSVPN采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段,完全能够提供与传统的ATM或帧中继VPN相类似的安全保证。MPLSVPN主要用于建设全网状结构的数据专线,保证局域网互联的带宽与服务质量。在部署MPLSVPN后,可以保证网络的服务质量,从而保证一些对时延敏感的应用稳定运行,如分布异地的实时交易系统、视频会议、IP电话等等。MPLS在信息安全方面考虑得很少或没有考虑,即使有ISP采用L2TP+IPSec的方案来提升VPN方案的安全性,也只能实现点到点的安全,而不能提供细粒度的安全服务,不适合企业构造复杂的、安全性要求非常高的商业逻辑和应用。2、传统VPN可分为两类：基于虚电路的VPN和基于IP的VPN。前者采用重叠模型，利用帧中继和ATM网络承载VPN业务，其缺点是存在N平方问题“1，可扩展性差。基于IP的VPN利用IP骨干网络模拟私用WAN(wideareanetwork)所提供的服务，通过IP隧道实现。传统IPVPN技术可采用三层隧道协议，如GRE(genericroutingencapsulation)和IPSec来实现。GRE使用通用报头封装IP数据包，隧道建立过程不认证，数据传输不加密。IPSec采用认证和加密机制，提高了VPN的安全性。这种基于IP隧道的VPN虽然较基于虚电路的VPN在可扩展性方面有所改善，但它在公共网络中传输VPN数据仍采用传统路由机制，其性能主要依赖公共IP网络，所提供的Qos(qualityofservice)脏力有限。利用MPLS骨干网络构建的VPN称为MPLSVPN。这种VPN具有MPLS的诸多优点，而且配置简单，易于管理，同时可提供和基于虚电路VPN同等的安全性，因而为客户及服务提供者(serviceprovider，sp)所看好。MPLSVPN具有以下技术优势：①采用基于策略和基于网络的VPN模型，简化了管理；②提供增强的Qos控制能力；③具有良好的可扩展性；④支持多协议和高性能转发。现今，MPLSVPN技术也具有一定局限性，主要表现在以下两个方面：①安全保障完全依赖SP。MPLSVPN并不提供加密的安全信道，因此这种VPN的安全性完全依赖服务提供者本身。单纯MPLSVPN系统的数据包可能被黑客嗅探，因此要满足更高的安全需求，必须依赖数据加密和认证机制。②多自治系统MPLSVPN的QoS具有不确定性，网络管理具有复杂性。1MPLSVPN体系结构路由器接入MPLS骨干网络的边缘设备(provideredge，PE)路由器中。每个工作场地可包含一个或多个VPN，在PE路由器中为每个VPN建立一个路由转发表VRF(VPNrouteforwarding)。通过边界网关协议(bordergatewayprotocol，BGP)和内部网关协议(interiorgatewayprotocol，IGP)在作为BGP对等实体的进／出口PE路由器之间建立LSP(1abelswitchpath)隧道，中间P路由器仅进行标记数据包的转发，而无法获知网络中的VPN信息，从而保证VPN数据的不透明性。MPLSVPN中共有两种流量信息：控制信息和数据信息。(1)控制信息的发布控制信息包括VPN路由信息和标记分发信息。VPN路由信息由CE路由器从本地收集，通过IGP／EBGP／静态路由等方式发布到PE路由器中。PE路由器负责在其对等实体之间建立MP—BGP(multi—protocolBGPextensions)会话，利用IBGP路由更新消息将VPN信息通过MPLS骨干网发布到远程的PE路由器中，再由它发布到远程CE路由器中。标记分发过程由PE路由器和P路由器负责：进口PE路由器首先给VPN路由分配一个底层标记，并使用BGP将该标记绑定信息分发给其对等实体一出口PE路由器；PE路由器的IGP下一跳使用专门的信令协议(如RSVP或LDP)为该路由信息分发顶层标记。VPN中的标记分发采用下游主动分发机制实现。(2)数据包的转发机制——两层标记栈当CE路由器不支持MPLS时，VPN数据在CE和PE之间采用传统三层转发机制进行转发。而sP骨干网中则采用两层MPLS标记栈进行数据包转发。数据包到达入口PE路由器后，执行底层标记入栈，项层标记入栈，中间P路由器进行顶层标记交换，当标记数据包到达出口PE路由器的倒数第二跳P路由器时，执行顶层标记出栈，一层标记数据包到达出口PE路由器后，执行底层出栈操作，进行三层转发。(3)VPN．IPv4地址SP骨干网络中，BGP路由更新消息所携带的VPN路由信息并非传统IP地址前缀(本文采用IPv4地址)，而是VPN．IPv4地址前缀。PE路由器给每个与它直接相连的VPN分配一个SP内惟一的路由标识RD(routedistinguisher)。由RD+IPv4地址前缀构成了全网惟一的VPN．IPv4地址前缀。RD的引入允许不同VPN用户重叠使用地址空间。VPN—IPv4地址格式定义如图3所示。两比特类型字段决定其它两个字段的长度，同时决定管理字段的含义。管理字段定义分配RD号的管理机构，例如可以是～个SP。而分配号是该管理机构给VPN分配的标识号。这种结构化的RD格式，可以保证多个SP分配的RD号的惟一性。(4)VRF与虚拟路由器在PE路由器中，保存VPN路由信息的转发表称为VRF表。PE路由器为每个VPN建立一个VRF转发表。当数据包到达入口PE路由器后，它根据数据包到达的接口识别该数据包来自哪个VPN，从而决定使用哪个VRF转发表进行数据包转发。这种多VRF转发表机制，可以保证VPN路由信息仅在本VPN内部发布，而不会扩散到其它VPN内，从路由机制上为MPLSVPN提供了一定的安全性。虚拟路由器“1是PE路由器中的一组线程，它同物理路由器一样可以提供路由和转发服务。虚拟路由器技术使得一个PE路由器可以支持多个逻辑上分散的路由域，从而使PE路由器及其链路可以为多个VPN所复用。在MPLSVPN中使用虚拟路由器维护多个VRF转发表，可以提高PE路由器的包处理效率，提高系统的可扩展性。(5)0RF和VPN扩展团体属性MPLSVPN采用输出路由过滤ORF(outboundroutefilters)技术和VPN扩展团体属性来限制VPN路由信息的发布和接收，保护骨干网络带宽。BGP的32位扩展团体属性用来控制只在指定工作场地之间交换VPN信息，它携带在BGPUP．DATE报文的路由属性字段中，BGP对等实体在发布VPN路由的同时交换该属性值。只用被该属性值许可的用户之间才能交换VPN路由信息，也就是只有获得授权的PE路由器才能接受到相应的VPN路由信息。BGPVPN扩展团体属性的引入，在提高VPN可扩展性的同时，增强了系统的安全性。BGP扩展团体属性虽然可以限制PE路由器接收某些VPN路由，但它无法减少骨干网络中路由更新消息的数量。通过使用路由过虑机制，可以使PE路由器根据ORF的值主动过滤某些VPN路由信息，不予发布，从而减少了骨干网络中路由更新消息的数量，增强了系统的可扩展性。2多自治系统MPLSVPN的Qos当MPLSVPN工作场地处在多个自治系统中时，称为多自治系统MPLSVPN。文中提出3种方案以实