MPLS 企业网的安全策略

MPLS VPN 为了实现网络的安全性，通过采取隔离用户路由信息和隔离用户地址等方法来提高标记欺骗和抵抗外部入侵的目的。MPLS 是一种隧道技术，使用它来建立 VPN 十分高效。但是 MPLS 技术本身非常新颖，所以对 MPLS VPN 的安全性从多方面做了一个详细的、适用于 BGP 的分析和介绍。

在用户网络边缘设备 CE（ustomer edge）上，有接口直接与服务提供商 SP（service provider）网络相连，CE 可以是 SVN、交换机或一台主机。通常情况下，CE “感知”不到 VPN 的存在，也不需要支持 MPLS。服务提供商边缘设备 PE（provider edge）则与 CE 直接相连，在 MPLS 网络中，对 VPN 的所有处理都发生在 PE 上。

若在 CE 节点和 PE 节点之间运行动态路由协议，则 CE 路由器的 IP 地址是 PE 路由器唯一了解的 VPN 网络内部信息。要将 MPLS 网络核心隐藏，则需要将 CE 和 PE 路由器设置为静态路由。MPLS VPN 网络对数据信息和传输安全保障的具体方法如下: 

(1) MPLS 核心层

RD（路由标志: route distinguisher）的唯一性保证了用户在无需进行 NAT，甚至不用任何变动的情况下，依旧可以保留原有的 IP 地址和应用，并穿过基于 MPLS 的 VPN。使得 IP VPN 与用户 IP 网络的集成更加容易、便捷。

在 MPLS VPN 网络中，为了保证每个端点的唯一性，供应商将定义的唯一的一个 RD 和 VPN 的 IP 地址一一结合。用户保留自己的私有地址而无需通过 NAT 或者供应商所给的地址，原因是 VPN 相关节点 的 FIB 中存入了 VPN 的 IP 地址入口信息，且这些信息都将通过流量路由找到它对应的节点。

一般连接 EXTRANET VPN，需要通过 RD 定义的两个 VPN 之间的信任关系。因为两个相连之间可以实现 VPN 互连根本意识不到其余 VPN 的存在。 

(2) MPLS－VPN 加密保证安全性 

BGP（border gateway protocol）规定哪些路由信息可以通过哪些属性和协议进行通信。每个 VPN 的唯 一 RD 和逻辑端口号决定了 VPN 成员的属性。然而用户并不知道 RD 的值，只能通过定义的端口才能通信。为了让每个边缘 LSR 只保存和自己相关的 FIB（forwarding information base）表和 VPN 信息，BGP 在 LSR 之间交换 FIB 表进行更新，并且这种更新只能发生在 LSR 上，加强了其安全性和保密性。

因为每个用户的 RD 都是由其逻辑端口号所决定，而 RD 在一开始定义时只与某个 VPN 相关联，所以用户只能访问相关联的 VPN。由于用户只能意识到这个 VPN，因此通过加密来保证其安全性。 

(3) 数据的完整性保障。

数据的完整性通过 MPLS VPN 对普通数据包进行选择封装来实现。每个路由节点收到的数据包都由 MPLS 协议进行封装，然后按标签分类进行交换。因而不需要对整个数据包进行识别，保证了数据的完整性。

(4) 路由隔离。

VPN 之间的路由隔离是由 MPLS VPN 来实现的。路由隔离是指每个虚拟路由转发实例（VFI）都是由连 接每个的 VPN 的 PE 路由器来维护的，其驻留都来自同一 VPN。每个 VPN 都会产生一个相对独立的 VFI，所以不会被该 PE 路由器上其他 VPN 影响。

然而在穿越 MPLS 核心到其他路由器时，往往会将 BGP 的信息重新分发给核心网络，因此在多协议BGP 里增加了唯一的 VPN 标志符来实现隔离。这种隔离只将路由信息重新分发，并将保存到特定的 VFI 中。所以穿过 MPLS 的每个 VPN 路由之间都是独立、隔离的。

微云网络专业的企业组网服务商，致力于为企业提供企业组网（SD-WAN、MPLS、云互联），业务云化、数据中心、网络安全、行业IT解决方案等相关服务。