資源描述:
《mpls?。觯穑畎踩詼y試方法與性能分析》由會員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、MPLS?���。郑校伟踩詼y試方法與性能分析 [摘要]出于企業(yè)組網(wǎng)的安全性需要�,利用MPLSVPN的基本理論知識,設(shè)計(jì)與規(guī)劃了基于IP城域網(wǎng)的MPLSVPN模型�����,通過網(wǎng)絡(luò)連通性測試、查看P和PE路由器的路由表����、查看PE設(shè)備的BGP路由信息等方法和理論分析�����,證明了基于IP城域網(wǎng)的MPLSVPN具有與ATM/FRVPN相類似的安全性�,為企業(yè)用戶組建高安全性的VPN積累了寶貴的經(jīng)驗(yàn)?�! ��。坳P(guān)鍵詞]IP城域網(wǎng)�;MPLSVPN;網(wǎng)絡(luò)安全性����;ping;路由表 1概述 MPLS(Multi-ProtocolLabelSEdge����,
2��、用戶接入設(shè)備)���、PE(ProviderEdgeRouter,骨干網(wǎng)邊緣路由器)和P(ProviderRouter���,骨干網(wǎng)核心路由器)三種路由器����?����! PLSVPN工作過程:當(dāng)一個(gè)IP分組由源端CE進(jìn)入PE時(shí)�,將有選擇地放入一個(gè)私網(wǎng)標(biāo)簽和一個(gè)公網(wǎng)標(biāo)簽(前者用于區(qū)分不同VPN用戶,后者用于實(shí)現(xiàn)分組在LSP上的高速轉(zhuǎn)發(fā))到分組頭中形成標(biāo)簽分組�����;標(biāo)簽分組在LSP上高速透明地通過P到達(dá)骨干網(wǎng)對端的PE�;在被去掉兩層標(biāo)簽后,用戶分組被轉(zhuǎn)發(fā)到目的CE�,進(jìn)行VPN內(nèi)部的IP轉(zhuǎn)發(fā)[3]。 MPLSVPN路由信息發(fā)布過程:PE和CE可以通過靜態(tài)
3��、或動(dòng)態(tài)路由協(xié)議交換路由信息�,PE維護(hù)一個(gè)公網(wǎng)路由表和多個(gè)邏輯上分離的VPN私網(wǎng)路由表VRF(VPNRouting/Forplsvpn-x,RT��、RD均為65500:3���,Y公司CEy1���、CEy2�����、CEy3的IP地址為10.2.1/2/3.0網(wǎng)段�����,VRF為mplsvpn-y��,RT��、RD均為65500:3�����。 3測試網(wǎng)絡(luò)的安全性[HT5”] 3.1測試VPNx和VPNy的連通性 采用交叉互ping的方法測試��。在未禁止ICMP流量和防火墻的條件下��,輪流地在X或Y公司的各個(gè)網(wǎng)段上ping對方的各個(gè)網(wǎng)段��,利用返回的ICMP包驗(yàn)證VPN
4�����、x和VPNy的連通性����。測試的顯示信息均為“Requesttimedout”,說明VPNx和VPNy之間的數(shù)據(jù)是隔離的��?���! ?.2測試CE與P的連通性 在X或Y公司的各個(gè)網(wǎng)段上ping骨干網(wǎng)路由器P。測試顯示信息均為“Requesttimedout”��,說明VPN的私網(wǎng)信息在骨干網(wǎng)上是透明傳輸?shù)?�,從而保證了用戶數(shù)據(jù)不會外泄?�! ?.3查看P的路由信息 顯示骨干網(wǎng)路由器P的路由信息�,如圖2所示: 測試結(jié)果說明:在P路由器上只有全局路由信息,用于保證骨干網(wǎng)的通信�����,而沒有VPN私網(wǎng)路由信息��,不和CE直接通信����。因此,用戶
5�����、數(shù)據(jù)在骨干網(wǎng)上不會外泄���,保證了安全性,這也說明了為什么在用戶網(wǎng)段上ping不通P路由器�����。 3.4查看PE的路由信息 顯示PE1的全局/VPNv4/BGP路由信息��,如圖3所示: 圖中前兩段顯示的是PE1的全局/VPNv4路由信息�����。測試結(jié)果說明:在PE路由器上有全局路由信息���,用于保證骨干網(wǎng)的通信�。還有不同VPN的私網(wǎng)路由信息(圖中的mplsvpn-x和mplsvpn-y)���,二者是完全隔離的���,這就保證了用戶VPN通信的安全。圖中第三段顯示的是PE1路由器的BGP路由信息��。測試結(jié)果說明:用戶VPN的私網(wǎng)路由信息是使用
6����、BGP的擴(kuò)展屬性透明地通過MPLS骨干網(wǎng)傳遞到對端的PE,保證了VPN的安全����?! ?傳統(tǒng)專網(wǎng)與MPLSVPN的安全性分析 傳統(tǒng)VPN的安全保證主要靠其CUG(ClosedUserGroup��,閉合用戶群)特性����。它不向用戶暴露服務(wù)商網(wǎng)絡(luò)結(jié)構(gòu),提供的是透明傳輸�����,因此能限制來自用戶側(cè)的DoS(DenialofService��,拒絕服務(wù))等攻擊�。但如果用戶VPN的每個(gè)CPE都連到Inter,就必須設(shè)置防火墻來保護(hù)每個(gè)網(wǎng)段的安全�����。如果防火墻對服務(wù)商開放����,就會造成安全隱患����。此外����,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大����,一旦需要修改防火墻策略,管理和重新
7�����、配置每個(gè)防火墻是非常困難的����。 與傳統(tǒng)VPN不同��,由于MPLSVPN采用了路由隔離和地址隔離等方法�����,提供了抗攻擊和標(biāo)記欺騙的手段���,因此MPLSVPN完全能夠提供與ATM/FRVPN相類似的安全保證[4]�。MPLSVPN依靠轉(zhuǎn)發(fā)表和分組的標(biāo)簽來創(chuàng)建一個(gè)安全的VPN�����,而不是依靠封裝和加密技術(shù)。一個(gè)VPN包括一組CE��,以及同其相連的IPMAN中的PE�����。只有PE理解VPN�����,CE可以感覺到同一個(gè)專用網(wǎng)相連���,但并不理解潛在的骨干網(wǎng)��,每個(gè)VPN依靠VPN-instance來識別成員關(guān)系�?���! 纳厦娴臏y試可以看出,MPLSVPN的安全性是在服
8���、務(wù)商網(wǎng)絡(luò)邊界提供的�,用戶分組必須從特定的接口上接收并打上唯一的VPN標(biāo)記�����,因此在骨干網(wǎng)上VPN的數(shù)據(jù)流量是隔離的����,保證了用戶發(fā)送的分組被傳送到正確的VPN?���! ×硗猓忾]的MPLSVPN本身就具有內(nèi)在的安全性���。如果用戶需要訪問Inter����,則可以建立一個(gè)通道�����,在該通道上采用如防
