MPLS IP 安全性攻击和加密

V小编发布于：2021-10-28阅读：0

MPLS网络是什么？

多协议标签交换(MPLS)网络是下一代网络，旨在允许客户使用任何可用的WAN技术跨越任何类型的传输介质创建端到端电路。直到近年来，需要连接全国各地远程办公室的客户仅限于提供的有限WAN选项服务提供商，通常是帧中继或T1/E1专用链路。这些WAN技术的问题是，它们通常非常昂贵，管理复杂，但不够灵活，这使得它们成为最终客户和服务提供商的头疼问题。最糟糕的是，随着客户端点之间距离的增加，月度账单也增加了。

MPLS网络如何工作？

MPLS通过标记进入MPLS网络的流量工作。标识符(标签)用于帮助区分标签交换路径(LSP)，用于将数据包路由到其正确的目的地。一旦路由器识别出最佳LSP，数据包就会转发到下一个跳跃路由器。每个跳点使用不同的标签，标签由执行转发操作的路由器(或交换机)选择。

以下图为例。它显示了一个简单的MPLS网络示例，其中中央服务器将数据包发送到两个远程主机。

入口路由器(LSR1)接收服务器的数据包，并根据其目标IP地址选择最佳LSP。然后，它为每个数据包选择一个初始标签(本地有效)，然后用MPLS转发数据包。当Router2接收到数据包时，它使用这些标签来标记下一个跳(R3&R4)和标签(43&12)的LSP。在路径的最后，出口路由器(R3和R4)删除最终标签，然后将数据包发送到当地网络。

MPLS网络提供的最大优势之一是内置的服务质量机制。MPLS服务提供商通常提供端到端的QoS策略，以确保其客户的MPLS网络通过MPLS网络主干网保证QoS。这样可以在端点之间保证带宽的情况下，实现对延迟敏感的服务(如VoIP)。

实际上，MPLS网络上可以运行的服务类型没有任何限制。QoS机制和优先服务可以快速有效地转发客户端点之间的流量。

基础MPLS。

MPLS结合了MPLS和边界网关协议(BGP)路由协议的功能。MPLS用于在提供商的网络主干上转发数据包，BGP用于在主干上分发路由。

MPLS受到以下设备的威胁:

1.客户边缘(CE)路由器。它们放在客户现场，通常由客户拥有。一些服务提供商也以较低的租金提供CE设备。

2.提供商边缘(PE)路由器。这些是连接到CE路由器的提供商的边缘路由器。PE路由器始终归服务提供商所有。

3.提供商(P)路由器。这些路由器通常被称为中转路由器，位于服务提供商的核心网络中。

路由信息使用BGP等路由协议或静态路由从客户边缘路由器传输到供应商边缘路由器。供应商边缘路由器保留每个站点的转发表，也称为路由和转发表或VRF。在供应商的边缘路由器上，每个VRF为每个特定的接口(或一组接口)提供服务。每个供应商的边缘路由器都由服务提供商配置为其唯一的VRF。MPLS网络中的路由器不直接共享VRF信息。

上图显示了一个典型的MPLS网络，其中VRF是连接到特定供应商边缘路由器的唯一。

MPLS服务重要的是使用的WAN技术类型没有界限。这意味着您可以在ATM上运行MPLS(也称为ADSL上的MPLSIP)、专线、卫星链路、无线链路等。这种灵活性使得MPLS网络成为连接办公室的首选。ISP提供了与本地网络连接的接口(通常是带LAN接口的路由器)，需要做的是将提供的接口连接到本地网络，并设置必要的设备使用新的网关(MPLSCE路由器)。一切都神奇地工作了！

互联网也可以通过MPLS-IP服务访问，其中服务提供商(ISP)通常会宣布需要直接访问互联网的客户路由，而不会影响其网站中链接的性能。举例来说，这意味着1024Kbps的MPLS链接可能会连接到你的ISP，而这个ISP链接又分为512Kbps的MPLS-IPl连接到你的远程网站，还有512Kbps的互联网链接。即使它们通过同一个接口运行，ISP也完全分隔了这两个虚拟链接。提供互联网访问的链接使用网址转换(NAT)来转换客户网络中的特殊网址空间。即便是这样，客户向互联网揭示的信息也不会比任何正常连接到互联网的信息多。

抵抗攻击

人们越来越关注MPLSIP的真正安全性，以及如何保护它们免受互联网攻击。好在答案很简单，不需要很多技术分析就能知道原因。

在没有互联网访问的纯MPLSIP环境下，该网络用于连接不同的网站，核心网络和客户地址空间被100%隐藏。这意味着没有向第三方或互联网泄露任何信息。在没有信息泄露的情况下，黑客无法获得访问关键信息(如路由器IP地址)的权利，以拒绝服务(DoS)攻击和破坏网络。

此外，服务提供商使用众所周知的技术(如数据包过滤和应用访问控制列表(ACL)来限制仅从特定区域访问路由协议(如BGP)端口，从而阻止其路由器通过互联网访问他们的网络。

在通过MPLS链接向客户提供互联网访问的环境中，ISP使用类似的机制锁定其客户边缘路由器，以提供互联网访问。此外，ISP使用的路由协议具有通常启用的内置机制，进一步提高了安全水平。有些例子包括路由协议(BGP、OSPF等)的MD5身份验证配置。)，每个虚拟路由和转发实例(VRF)接受的最大路由数量配置等。

IP加密MPLS。

虽然MPLSIP提供了一个可扩展的模型，客户可以安全地连接远程网站，但是关于服务提供商为这些电路提供加密服务的讨论很多。

事实是，MPLSIP通常不提供任何加密服务。MPLS系统结构几乎不可能侵入MPLS电路，暴露内部网络和路由，除非提供商网络中有重大错误或配置缺陷。

MPLS的加密是由IPSec执行的，IPSec实际上是一套协议，旨在在在两个或多个端点之间提供基于IP的安全路径。您可以在Firewall.cx的专用IPSecurity文章中阅读更多关于IPSecurity的信息。

下面是两个通过MPLS连接的网站之间IPSec加密的两个例子：

CE-CE-IPSEC。

例如，IPSec在两端CE之间使用，因此CE之间的整个路径都得到了保护。这个设置可以提供最好的保护，以防止可能的黑客攻击。当数据包进入CE路由器并立即加密。当数据包在另一端解密时，它们直接位于客户LAN网络上。

CE-CE-IPSec为以下威胁提供了真正的保护:

重播。重播之前记录的合法数据包。
更改站点之间传输的数据包。
窃听CE、PE或P路由器之间的任何地方。

PE-PE-IPSEC。

这种方法远没有以前检查过的安全。IPSec加密从PE路由器开始，其他网络没有加密，无法提供真正的安全性。

PE-PE-IPSec为以下威胁提供了真正的保护:

窃听PE或P路由器。
通常点对点连接很容易管理，但是当场景随着多个端点变得更加复杂的时候。IPSec隧道确实有相当大的管理费用，不要掉以轻心。例如，维护5个站点之间的IPSec拓扑要求在每个站点的每个路由器上配置多个CryptoIPSec隧道。任何改变路由器(如内部路由或LANIP搜索)都需要重新配置所有其他路由器，以便IPSec隧道继续正常工作。

IP网络ATM(DSL)。

毫无疑问，MPLSIP网络灵活、安全、可扩展。由于上述所有原因，成千上万的企业客户正在从昂贵的租赁线路解决方案转移到更便宜的MPLS替代方案。

虽然MPLS网络近年来越来越受欢迎，但ATMIP网络(从现在开始被称为DSLIP)已经引起了人们的广泛关注，作为MPLS的替代品。

DSLIP通过客户的直接互联网连接在两个端点之间创建IPSec隧道。一个典型的场景是客户有两个网站，需要相互连接。双方都配备了使用静态IP地址的快速DSL连接。在客户边缘路由器上执行配置，在两个网站之间创建IPSec隧道。

在大多数情况下，最终结果与任何MPLS网络几乎相同，但人们可能会争论这种设置提供的安全性，尤其是当CE路由器直接连接到互联网时。大型供应商(如Cisco-Systems)进行的测试证明，考虑到CE路由器的正确配置，这些解决方案提供的安全性可以直接与MPLS媲美。

DSLIP提供的优点是成本极低，等于双方与互联网的连接成本。寻求降低数据电信服务成本的公司正朝着这种新趋势发展，这种新趋势在欧洲和亚洲变得非常流行。

虽然有优点，但必须记住DSLIP有以下缺点: