您好!欢迎光临云杰通信官网,本公司专业提供跨境企业网络加速优化、企业MPLS-VPN、SD-WAN等跨境网络技术服务。
服务热线:13631779516

企业网络优化专家

国际网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

MPLS IP VPN安全性攻击和VPN加密

2020-02-21 16:22云杰小编阅读:502

什么是MPLS网络?

多协议标签交换(MPLS)网络是下一代网络,旨在允许客户使用任何可用的WAN技术跨任何类型的传输介质创建端到端电路。直到最近几年,需要连接全国各地远程办公室的客户仅限于提供的有限WAN选项服务提供商,通常是帧中继或T1 / E1专用链路。这些WAN技术的问题在于,它们通常非常昂贵且管理复杂,但又不够灵活,这使它们成为最终客户和服务提供商的头疼问题。最糟糕的是,随着客户端点之间距离的增加,月度账单也增加了。

MPLS网络如何工作?

MPLS通过标记进入MPLS网络的流量来工作。标识符(标签)用于帮助区分用于将数据包路由到其正确目的地的标签交换路径(LSP)。一旦路由器识别出最佳LSP,数据包便被转发到下一跳路由器。每个跃点使用一个不同的标签,并且该标签由执行转发操作的路由器(或交换机)选择。

以下图为例。它显示了一个简单的MPLS网络示例,其中中央服务器将数据包发送到两个远程主机。

入口路由器(LSR1)接受来自服务器的数据包,并根据其目标IP地址选择最佳LSP。然后,它为每个数据包选择一个初始标签(本地有效),然后使用MPLS转发数据包。当Router2接收到数据包时,它使用这些标签来标识从中选择下一跳(R3&R4)和标签(43&12)的LSP。在路径的末尾,出口路由器(R3和R4)删除最终标签,然后将数据包发送到本地网络。

MPLS网络提供的巨大优势之一是内置的服务质量机制。MPLS服务提供商通常提供端到端QoS策略,以确保其客户MPLS网络通过MPLS网络主干网保证了QoS。这允许在端点之间保证带宽的情况下实现对延迟敏感的服务(例如VoIP)。

可以在MPLS网络上运行的服务类型实际上没有任何限制。QoS机制和优先服务可实现客户端点之间流量的快速有效转发。

MPLS VPN基础

MPLS VPN结合了MPLS和边界网关协议(BGP)路由协议的功能。MPLS用于在提供商的网络主干上转发数据包,而BGP用于在主干上分发路由。

MPLS VPN受到以下设备的威胁:

1. 客户边缘(CE)路由器。它们放置在客户现场,通常由客户拥有。一些服务提供商还以较低的租金提供CE设备。

2. 提供商边缘(PE)路由器。这些是CE路由器连接到的提供商的边缘路由器。PE路由器始终归服务提供商所有

3. 提供商(P)路由器。这些路由器通常称为“中转路由器”,位于服务提供商的核心网络中

路由信息使用BGP等路由协议或静态路由从客户边缘路由器传递到提供商边缘路由器。提供商边缘路由器保留每个站点的转发表,也称为“ VPN路由和转发表”或VRF。在提供商边缘路由器上,每个VRF为属于每个单独VPN的特定接口(或一组接口)提供服务。每个提供商边缘路由器都由服务提供商配置为其唯一的VRF。MPLS VPN网络中的路由器不直接共享VRF信息。

上图说明了一个典型的MPLS VPN网络,其中对于连接到特定提供商边缘路由器的每个VPN,VRF都是唯一的

MPLS VPN服务重要的是,所用WAN技术的类型没有界限。这意味着您可以在ATM上运行MPLS(也称为ADSL上的MPLS IP VPN),专线,卫星链路,无线链路等。这种灵活性使MPLS网络成为相互连接办公室的首选方法。ISP提供了与本地网络连接的接口(通常是带有LAN接口的路由器),而所需要做的就是将提供的接口连接到本地网络,设置必要的设备以使用新的网关(MPLS CE路由器)一切都神奇地起作用了!

也可以通过MPLS IP VPN服务进行Internet访问,其中服务提供商(ISP)通常会宣布需要直接访问Internet的客户路由,而不会影响其站点内VPN链接的性能。例如,这意味着可能有一条1024Kbps的MPLS链接到您的ISP,而该ISP链接又分为512Kbps的MPLS IP VPN链接到您的远程站点,另外还有512Kbps的Internet链接。ISP完全分隔了这两个虚拟链接,即使它们通过同一接口运行也是如此。提供Internet访问的链接利用网络地址转换(NAT)来转换客户网络中的专用网络地址空间。在这种情况下,客户向Internet揭示的信息不会比任何正常连接到Internet的信息多。

抵抗攻击

人们越来越关注MPLS IP VPN的真正安全性,以及如何保护它们免受Internet攻击。幸运的是,答案很简单,不需要很多技术分析就能知道原因。

在没有Internet访问的纯MPLS IP VPN环境中,该网络用于连接不同的站点,核心网络和客户地址空间被100%隐藏。这意味着不会向第三方或Internet泄露任何信息。在没有任何信息泄露的情况下,黑客无法获得对关键信息(如路由器IP地址)的访问权,以进行拒绝服务(DoS)攻击并破坏网络。

此外,服务提供商通过使用众所周知的技术(例如数据包过滤,应用访问控制列表(ACL))来限制仅从特定区域对路由协议(例如BGP)端口的访问,从而阻止其路由器通过Internet访问在他们的网络中。

在通过MPLS链接向客户提供Internet访问的环境中,ISP使用类似的机制来锁定其客户边缘路由器,以提供对Internet的访问。另外,ISP使用的路由协议具有通常启用的内置机制,并进一步提高了安全级别。一些示例包括路由协议(BGP,OSPF等)的MD5身份验证配置,每个虚拟路由和转发实例(VRF)接受的最大路由数量配置等等。

MPLS IP VPN加密

尽管MPLS IP VPN提供了一个可扩展的模型,客户可以在其中彼此安全地连接远程站点,但是已经有很多关于服务提供商为这些电路提供的加密服务的讨论。

事实是MPLS IP VPN通常不提供任何加密服务。MPLS VPN体系结构使得侵入MPLS电路并暴露内部网络和路由几乎是不可能的,除非提供商网络中某处存在重大错误或配置缺陷。

MPLS VPN的加密是使用IPSec执行的,IPSec实际上是一套协议,旨在在两个或多个端点之间提供基于IP的安全路径。您可以在Firewall.cx的专用IPSecurity文章上阅读有关IPSecurity的更多信息。

以下是通过MPLS VPN连接的两个站点之间的IPSec加密的两个示例:

CE-CE IPSEC

在此示例中,在两端的CE之间使用了IPSec,因此,CE之间的整个路径都得到了保护。此设置可提供最好的保护,以防止可能的黑客攻击。数据包进入CE路由器并立即被加密。当数据包在另一端解密时,它们直接位于客户LAN网络上。

CE-CE IPSec提供了针对以下威胁的真正保护:

  • 反重播。重播以前记录的合法数据包

  • 站点之间传输的数据包的更改

  • 在CE,PE或P路由器之间的任何地方进行窃听。

PE-PE IPSEC

这种方法远没有以前检查过的安全。IPSec加密从PE路由器开始进行,而其余网络未加密,因此无法提供真正的VPN安全性。

PE-PE IPSec提供了针对以下威胁的真正保护:

  • 在PE或P路由器之间进行窃听

  • 通常,点对点连接易于管理,但是当场景随着多个端点变得更加复杂时。IPSec隧道确实具有相当大的管理开销,因此不应掉以轻心。例如,维护5个站点之间的IPSec拓扑要求在每个站点上的每台路由器上配置多个Crypto IPSec隧道。对一个路由器所做的任何更改(例如内部路由或LAN IP寻址)都需要重新配置所有其他路由器,以便IPSec隧道继续正常工作。

ATM(DSL)IP VPN网络

毫无疑问,MPLS IP VPN网络具有灵活性,安全性和可扩展性。由于前面提到的所有原因,成千上万的企业客户正在从旧的昂贵的租用线路解决方案迁移到便宜得多的MPLS VPN替代方案。

尽管MPLS网络在最近几年已变得越来越流行,但是ATM IP VPN网络(从现在开始被称为“ DSL IP VPN”)开始引起人们的广泛关注,以作为MPLS VPN的替代品。

DSL IP VPN依靠客户的直接Internet连接在两个端点之间创建VPN IPSec隧道。一个典型的场景是客户有两个站点,它们之间需要相互连接。双方都配备了使用静态IP地址的快速DSL连接。在客户边缘路由器上执行配置,以在两个站点之间创建IPSec隧道。

在大多数情况下,最终结果与任何MPLS网络几乎相同,但是人们可能会争论这种设置所提供的安全性,尤其是当CE路由器直接连接到Internet时。由大型供应商(例如Cisco Systems)进行的测试证明,考虑到CE路由器的正确配置,这些解决方案中提供的安全性可以直接与MPLS VPN媲美。

DSL IP VPN提供的优点是成本极低,并且与双方与Internet的连接成本相等。寻求削减数据电信服务成本的公司已经在朝着这一新趋势发展,这一新趋势在欧洲和亚洲变得非常流行。

尽管有优点,但必须牢记DSL IP VPN具有以下缺点:

  • 为了在站点之间获得较高的VPN速度,两个CE路由器必须连接到同一ISP,以便它们在公共主干网上运行。

  • CE路由器直接暴露于Internet,因此容易受到DoS攻击

  • 通常无法保证QoS。因为数据包是通过ISP骨干网使用相同路径和普通Internet用户具有的优先级来路由的,所以没有QoS保证

  • 扩展性有限。站点到站点DSL IP VPN非常适合最多几个站点。根据每个站点上的用户数量,每个站点可能需要多个DSL连接

文章标题:《MPLS IP VPN安全性攻击和VPN加密》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-1296-0.html

主要业务
企业专线网络MPLS-VPNSD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
国际网络专题:广域网接口什么是广域网广域网优化广域网访问广域网加速广域网协议广域网端口无线广域网局域网广域网广域网虚拟网络上海iplc访问加速网络建设全球加速出口带宽远程组网网络加速香港网络香港专线视频会议ebayAliExpresAmazonInstagramTwitterFacebookgooglevklineSkypeWhatsAppzoom视频会议公司用vpnvpn方案公司vpn网络vpnvpn地址vpn直通香港vpn可靠vpnvpn中国vpn提供商外贸VPN企业用vpn企业vpn跨境电商vpnvpn专线ipsec vpnsdwan vpn国外网站加速vpn组网mpls iplc 价格mpls专线价格mplsvpn专线
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部