MPLS VPN 為了實(shí)現(xiàn)網(wǎng)絡(luò)的安全性，通過采取隔離用戶路由信息和隔離用戶地址等方法來提高標(biāo)記欺騙和抵抗外部入侵的目的。MPLS 是一種隧道技術(shù)，使用它來建立 VPN 十分高效。但是 MPLS 技術(shù)本身非常新穎，所以對 MPLS VPN 的安全性從多方面做了一個詳細(xì)的、適用于 BGP 的分析和介紹。

在用戶網(wǎng)絡(luò)邊緣設(shè)備 CE（ustomer edge）上，有接口直接與服務(wù)提供商 SP（service provider）網(wǎng)絡(luò)相連，CE 可以是 SVN、交換機(jī)或一臺主機(jī)。通常情況下，CE “感知”不到 VPN 的存在，也不需要支持 MPLS。服務(wù)提供商邊緣設(shè)備 PE（provider edge）則與 CE 直接相連，在 MPLS 網(wǎng)絡(luò)中，對 VPN 的所有處理都發(fā)生在 PE 上。
 
若在 CE 節(jié)點(diǎn)和 PE 節(jié)點(diǎn)之間運(yùn)行動態(tài)路由協(xié)議，則 CE 路由器的 IP 地址是 PE 路由器唯一了解的 VPN 網(wǎng)絡(luò)內(nèi)部信息。要將 MPLS 網(wǎng)絡(luò)核心隱藏，則需要將 CE 和 PE 路由器設(shè)置為靜態(tài)路由。MPLS VPN 網(wǎng)絡(luò)對數(shù)據(jù)信息和傳輸安全保障的具體方法如下: 

(1) MPLS 核心層

RD（路由標(biāo)志: route distinguisher）的唯一性保證了用戶在無需進(jìn)行 NAT，甚至不用任何變動的情況下，依舊可以保留原有的 IP 地址和應(yīng)用，并穿過基于 MPLS 的 VPN。使得 IP VPN 與用戶 IP 網(wǎng)絡(luò)的集成更加容易、便捷。

在 MPLS VPN 網(wǎng)絡(luò)中，為了保證每個端點(diǎn)的唯一性，供應(yīng)商將定義的唯一的一個 RD 和 VPN 的 IP 地址一一結(jié)合。用戶保留自己的私有地址而無需通過 NAT 或者供應(yīng)商所給的地址，原因是 VPN 相關(guān)節(jié)點(diǎn) 的 FIB 中存入了 VPN 的 IP 地址入口信息，且這些信息都將通過流量路由找到它對應(yīng)的節(jié)點(diǎn)。

一般連接 EXTRANET VPN，需要通過 RD 定義的兩個 VPN 之間的信任關(guān)系。因?yàn)閮蓚€相連之間可以實(shí)現(xiàn) VPN 互連根本意識不到其余 VPN 的存在。 

(2) MPLS－VPN 加密保證安全性 

BGP（border gateway protocol）規(guī)定哪些路由信息可以通過哪些屬性和協(xié)議進(jìn)行通信。每個 VPN 的唯 一 RD 和邏輯端口號決定了 VPN 成員的屬性。然而用戶并不知道 RD 的值，只能通過定義的端口才能通信。為了讓每個邊緣 LSR 只保存和自己相關(guān)的 FIB（forwarding information base）表和 VPN 信息，BGP 在 LSR 之間交換 FIB 表進(jìn)行更新，并且這種更新只能發(fā)生在 LSR 上，加強(qiáng)了其安全性和保密性。

因?yàn)槊總€用戶的 RD 都是由其邏輯端口號所決定，而 RD 在一開始定義時只與某個 VPN 相關(guān)聯(lián)，所以用戶只能訪問相關(guān)聯(lián)的 VPN。由于用戶只能意識到這個 VPN，因此通過加密來保證其安全性。 

(3) 數(shù)據(jù)的完整性保障。

數(shù)據(jù)的完整性通過 MPLS VPN 對普通數(shù)據(jù)包進(jìn)行選擇封裝來實(shí)現(xiàn)。每個路由節(jié)點(diǎn)收到的數(shù)據(jù)包都由 MPLS 協(xié)議進(jìn)行封裝，然后按標(biāo)簽分類進(jìn)行交換。因而不需要對整個數(shù)據(jù)包進(jìn)行識別，保證了數(shù)據(jù)的完整性。

(4) 路由隔離。

VPN 之間的路由隔離是由 MPLS VPN 來實(shí)現(xiàn)的。路由隔離是指每個虛擬路由轉(zhuǎn)發(fā)實(shí)例（VFI）都是由連 接每個的 VPN 的 PE 路由器來維護(hù)的，其駐留都來自同一 VPN。每個 VPN 都會產(chǎn)生一個相對獨(dú)立的 VFI，所以不會被該 PE 路由器上其他 VPN 影響。

然而在穿越 MPLS 核心到其他路由器時，往往會將 BGP 的信息重新分發(fā)給核心網(wǎng)絡(luò)，因此在多協(xié)議BGP 里增加了唯一的 VPN 標(biāo)志符來實(shí)現(xiàn)隔離。這種隔離只將路由信息重新分發(fā)，并將保存到特定的 VFI 中。所以穿過 MPLS 的每個 VPN 路由之間都是獨(dú)立、隔離的。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。


更多相關(guān)內(nèi)容推薦：

MPLS的概念是什么？
MPLS技術(shù)，MPLS標(biāo)簽轉(zhuǎn)發(fā)過程
mpls cos|mpls vpn cos|mpls組網(wǎng)方案|mpls組網(wǎng)架構(gòu)