目前對于邊緣路由器的應用也很廣泛，同時其中也存在很多問題，于是我研究了一下邊緣路由器中基于MPLS的VPN技術的安全性，在這里拿出來和大家分享一下，希望對大家有用。如果企業(yè)部署了基于多協(xié)議標簽交換（MPLS）的管理式虛擬專用網(wǎng)（VPN）服務，不但能得到優(yōu)質的服務，使成本大大降低，還能享受到與幀中繼和ATM技術同等的安全性。正如思科建議的和CiscoPoweredNetwork服務供應商實施的那樣，供應商MPLS網(wǎng)絡的良好設計和部署將能夠防范或杜絕拒絕服務（DoS）和欺詐等常見攻擊。

人們對MPLS技術的安全性存在幾個誤解。最大的誤解是：基于IP的MPLS不安全。事實上，為增強安全性，MPLS為本地IP網(wǎng)絡增加了很多功能，包括路徑隔離、數(shù)據(jù)隔離、分組過濾和網(wǎng)絡隱藏機制等。

另一個誤解是，服務供應商客戶相互之間可以侵入到對方的VPN中。事實上，這是根本不可能的，因為不同客戶的MPLSVPN是完全隔離的。第三個誤解是，MPLSVPN容易遭受外部DoS攻擊。這也是不對的。純MPLSVPN網(wǎng)絡是非常安全的。如果供應商邊緣路由器只提供VPN接入，同時提供互聯(lián)網(wǎng)接入的MPLS核心也可以有效防止DoS攻擊。另一個常見問題是，即使為VPN服務使用了專用的供應商邊緣路由器，也容易遭受DoS攻擊。雖然理論上正確，但實際使用中從未遇到這個問題，因為在使用中很容易發(fā)現(xiàn)并斷開與入侵者的連接。

不需要修改地址

管理式VPN服務不需要對企業(yè)的內部網(wǎng)、臺式機或服務器作較大的改動。多數(shù)企業(yè)都采用了專用IP定址計劃?；诔杀竞桶踩颍髽I(yè)希望在移植到管理式IPVPN服務的共享網(wǎng)絡環(huán)境時沿用原來的計劃。MPLS允許不同的VPN使用相同的地址空間（RFC1918）。由于為每條IPv4路徑添加了64位路徑標識符，因此，即使是共用地址，在MPLS核心中也是唯一的。每個VPN客戶和MPLS核心本身都可以完全獨立地使用整個IPv4地址空間。

路由和數(shù)據(jù)分離

MPLS通過兩種方式實現(xiàn)路由分離。第一種方式是將每個VPN分配到虛擬路由和轉發(fā)（VRF）實例。供應商邊緣路由器上的每個VRF只保留某個VPN的路徑，保留時可以使用靜態(tài)配置的路徑，也可以使用供應商邊緣與客戶機邊緣路由器之間運行的路由協(xié)議。第二種方式是為多協(xié)議邊緣網(wǎng)關協(xié)議（BGP）添加唯一VPN標識符，例如路徑辨別符。多協(xié)議BGP在相關的供應商邊緣路由器之間交換VPN路徑，并將路由信息保存在VPN專用的VRF中。對于每個VPN來講，MPLS網(wǎng)絡上的路由是相互分離的。

MPLSVPN通過IPVPN轉發(fā)表的分離而實現(xiàn)第三層數(shù)據(jù)分離。服務供應商核心內的轉發(fā)基于標記。MPLS將設置供應商邊緣路由器開始和結束的標記交換路徑（LSP）。分組只能通過與該VPN相關的供應商邊緣路由器接口進入VPN，而且由接口確定路由器應該使用哪個轉發(fā)表。這種地址計劃、路徑和數(shù)據(jù)的分離能夠幫助MPLSVPN實現(xiàn)與幀中繼或ATMVPN相當?shù)陌踩浴?/P>

隱藏核心

將MPLS核心網(wǎng)絡對外隱藏起來，能夠增加攻擊的難度。MPLS隱藏核心的方法是對分組進行過濾，以及不在邊緣以外顯示網(wǎng)絡信息。分組過濾能防止向外暴露VPN客戶的內部網(wǎng)絡信息或MPLS核心。由于只有供應商邊緣路由器包含VPN專用信息，因而并不需要顯示內部網(wǎng)絡拓撲信息。服務供應商只需按照供應商邊緣和客戶邊緣之間的動態(tài)路由協(xié)議的要求，顯示供應商邊緣路由器的地址即可。

在動態(tài)提供路徑的情況下，如果客戶VPN必須向MPLS網(wǎng)絡公開其路徑，也不會降低網(wǎng)絡安全性，因為核心只了解網(wǎng)絡路徑，而不了解具體主機的路徑。由于供應商網(wǎng)絡不向第三方或互聯(lián)網(wǎng)顯示地址信息，因此，MPLSVPN環(huán)境完全能夠阻擋住攻擊者發(fā)動的攻擊。在提供共享互聯(lián)網(wǎng)接入的VPN服務中，服務供應商可以利用網(wǎng)絡地址轉換（NAT）宣布路徑。即使使用這種方法，向互聯(lián)網(wǎng)公開的信息量也不會高于典型的互聯(lián)網(wǎng)接入服務。

阻擋攻擊

為防止路由器遭受攻擊，服務供應商將對分組進行過濾，并隱藏地址。訪問控制列表（ACL）只包含從客戶邊緣路由器到路由協(xié)議端口的接入。外部黑客的慣用方法是，先穿過MPLS核心，然后直接攻擊供應商邊緣路由器，或者攻擊MPLS信令機制，最終攻入第3層VPN。對路由器進行適當?shù)呐渲每梢酝瑫r防止這兩種攻擊。雖然設備地址不對外公開，但內部黑客可以猜測。MPLS地址分離機制認為向內傳輸?shù)姆纸M屬于VPN客戶的地址空間，由于邏輯上不可見，因而黑客不可能通過地址猜測攻入核心路由器。

通過路由配置，服務供應商可以防止黑客直接攻擊供應商邊緣路由器上的已知對等接口。靜態(tài)路由是最安全的方法。在這種情況下，供應商邊緣路由器將拒絕動態(tài)路由請求。靜態(tài)路由指向供應商邊緣路由器的IP地址，或者客戶邊緣路由器的接口。當路由指向接口時，客戶邊緣路由器不需要知道核心網(wǎng)絡中的任何IP地址，甚至不需要知道供應商邊緣路由器的地址。