3 MPLS VPN特点MPLS VPN为安全的点到点通信提供了一种可选的方案,它是具有与ATM/FR虚电路的VPN相同安全级别的VPN。MPLS VPN建立了几种内部机制来保障安全性。VPN-IPv4地址可以使不同的VPN在地址前缀重叠时保持独立。
路由分离通过使连接到PE的用户站点对应不同的VRF来实现,并且,在BGP扩展共同体属性中,通过使用唯一标示符在BGP路由更新过程中进一步保证路由分离。当正确地配置了地址空间和路由分离后,MPLS VPN就能够提供同二层VPN,如ATM/FR VPN同样的安全性。此时要想通过MPLS云侵入其他VPN是不可能的,除非经过了特定的配置。
这些安全机制存在于提供商网络的内部,提供商核心网络的结构对用户来说是不可见的。CE知道下一跳的PE路由,却不能得到任何核心P路由,因此,用户不能获得核心网络结构的情况,这就能保护潜在的攻击者使用这些信息进行拒绝服务、欺骗、会话窃取等攻击。
可能出现欺骗用户空间的情况,然而,因为每一个VRF都对应一个或多个指向用户的接口,要想在VPN中欺骗IP地址,攻击者必须在用户侧。如果VPN用户能够采取措施保障内部站点的安全性,则这种情况不会发生。由此考虑,MPLS VPN能够提供与IPSec相同级别的安全性。PE和CE之间物理链路的存在和与之相关的PE中对应的VRF取代了认证VPN端点的必要性,因为他们必须与站点保持正确的物理连接。
也可能出现欺骗MPLS标记的情况,然而,有两种解决的方法,一种是CE与PE之间的接口是IP接口,任何LSP都不包含这些接口,正确配置的PE应丢弃从CE来的MPLS流量。另一种方法是对于每一个P来说标记仅具有本地意义,这意味着攻击者不仅要获得提供商的物理接入,还要在特定位置用欺骗标记来接入特定VPN,这几乎不可能办到。并且提供商的安全策略应该能够这样做。
与MPLS VPN安全性有关的最大问题是当有多个VRF和目标通信者时配置提供商网络的复杂性,对于好多提供商来说,管理众多BGP路由表并保持好的连通性是很困难的,因为一张表的改变会影响很多其他表。
MPLS VPN比传统的二层或基于IPSec的VPN更经济,MPLS VPN的另一个优点是它的可扩展性,二层或IPSec VPN是点到点的,因此,星型结构是扩展时最常用的结构,而提供商可简单地将MPLS VPN配置成全网状结构,这不仅能方便地排出内部路由故障,还能够极大简化提供潜在的敏感应用,如语音和视频。MPLS VPN还能够提供与MPLS网络同等级的QoS保障。
4 IPSec VPN体系结构
IPSec通过选择特定的安全协议在IP层提供安全服务,确定服务所用的算法,为提供所需的业务增加加密密钥,IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条“通道”。
本质上,IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因IPSec VPN是基于设备的,而不是基于网络的,它比MPLS VPN在实施上提供了更大的灵活性,提供商无需对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。
IPSec使用两个协议来保障IP上的安全传输。AH(认证头)协议为IP数据报提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。ESP(封装安全载荷)协议为IP数据包提供加密机制,为数据流提供有限的机密性保护。
IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。通常情况下,传输模式只用于两台主机之间的安全通信,传输模式能够为两台主机间的每一次协议会话提供分离的通道,它插在IP头和有效载荷之间,保护的是IP包的有效载荷或者说是上层协议。隧道模式必须用在网关到网关的会话或主机到网关的会话。隧道模式为会话提供唯一的加密通道,为整个IP包提供保护,先为原始IP包增加AH或ESP字段,然后在外部增加一个新的IP头,指向目的IPSec网关。
IPSec没有指定必须使用何种加密和散列算法。通常的加密算法有DES和3DES,散列算法有MD5和SHA-1,Diffier-Hellman被用来交换加密密钥。然而,因为IPSec并没有指定需要特定的加密和散列算法,它提供了一种方法供设备协商通用的策略。采用 SAC(安全联盟)的构建方案来确定双方使用的策略和会话密钥,SA驻留在SPD(安全策略数据库)中,VPN网关查询SPD来确定如何处理从特定VPN隧道来的数据包,在转发前在包头添加SPI(安全策略标示符),接收端根据目的信息和SPI查询SPD对数据包进行解密/认证处理。
IPSec的一项重要的功能是交换加密后的数据,为了有效、准确地实现这一功能,必须进行加密密钥的交换。IKE(因特网密钥交换)协议是一个产生和交换密钥并协调IPSec参数的框架。IKE在通信系统之间建立安全联盟,提供密钥确定、密钥管理的机制,将密钥协商的结果保留在SA中,供AH和ESP以后通信时使用。
IKE在两个端点间协商SA的过程包括两个阶段。阶段1用于两个对等实体建立一个安全的、已认证的通信通道,阶段2用于IPSec进行密钥和参数的协商。
一个隧道模式的VPN组网,主机A发送最终目的地为主机B的数据到它的默认网关G1,G1为IPSec网关和防火墙。它查询策略,确定到主机B的数据需加密;查询SPD,没找到对应主机B所属网关的SA,则G1和G2之间必须先建立SA,G1执行IKE阶段1,之后G1、G2执行阶段2,建立SA,确定通信使用3DES/SHA-1加密和散列算法,插入各自的数据库,双方交换加密密钥,G1对数据包进行加密并添加SHA-1散列值,G2接收到分组,根据包头的SPI查询SPD,检查散列值,对数据包进行解密转发到主机B,如同LSP路由,IPSec SA是单向的,G2必须建立SA来允许主机B对主机A应答。
