ＭＰＬＳ　ＶＰＮ安全性测试方法与性能分析的论文.docVIP

　　ＭＰＬＳ　ＶＰＮ安全性测试方法与性能分析的论文 　　［摘要］出于企业组网的安全性需要，利用mpls vpn的基本理论知识，设计与规划了基于ip城域网的mpls vpn模型，通过网络连通性测试、查看p和pe路由器的路由表、查看pe设备的bgp路由信息等方法和理论分析，证明了基于ip城域网的mpls vpn具有与atm/fr vpn相类似的安全性，为企业用户组建高安全性的vpn积累了宝贵的经验。 　　［关键词］ip城域网；mpls vpn；网络安全性；ping；路由表  　　 　　1概述 　　 　　mpls（multi-protocol label spls网络中，通过ldp（label distribution protocol，标签分配协议）动态地在邻居之间发布标签/fec绑定关系，建立一系列的lsp（label spls结合了ip技术的灵活性与atm技术的安全性等优点，非常适合组建vpn（virtual private edge，用户接入设备）、pe（provider edge router，骨干网边缘路由器）和p（provider router，骨干网核心路由器）三种路由器。. 　　mpls vpn工作过程：当一个ip分组由源端ce进入pe时，将有选择地放入一个私网标签和一个公网标签（前者用于区分不同vpn用户，后者用于实现分组在lsp上的高速转发）到分组头中形成标签分组；标签分组在lsp上高速透明地通过p到达骨干网对端的pe；在被去掉两层标签后，用户分组被转发到目的ce，进行vpn内部的ip转发［3］。 　　mpls vpn路由信息发布过程：pe和ce可以通过静态或动态路由协议交换路由信息，pe维护一个公网路由表和多个逻辑上分离的vpn私网路由表vrf（vpn routing/forpls vpn实验平台 　　 　　设计与规划基于ip城域网的mpls vpn，其拓扑结构模型如图1所示： 　　 　　　　 　　图中mpls骨干网使用华为quidpls骨干网，组成vpnx和vpny，其中x公司cex1、cex2、ce3…的ip地址为10.1.1/2/3.0网段，vrf为mplsvpn-x，rt、rd均为65500：3，y公司cey1、cey2、cey3的ip地址为10.2.1/2/3.0网段，vrf为mplsvpn-y，rt、rd均为65500：3。 　　3 测试网络的安全性[ht5”] 　　3.1测试vpnx和vpny的连通性 　　采用交叉互ping的方法测试。在未禁止icmp流量和防火墙的条件下，轮流地在x或y公司的各个网段上ping对方的各个网段，利用返回的icmp包验证vpnx和vpny的连通性。测试的显示信息均为“request timed out”，说明vpnx和vpny之间的数据是隔离的。 　　3.2测试ce与p的连通性 　　在x或y公司的各个网段上ping骨干网路由器p。测试显示信息均为“request timed out”，说明vpn的私网信息在骨干网上是透明传输的，从而保证了用户数据不会外泄。 　　3.3查看p的路由信息 　　显示骨干网路由器p的路由信息，如图2所示： 　　 　　 　　 　　测试结果说明：在p路由器上只有全局路由信息，用于保证骨干网的通信，而没有vpn私网路由信息，不和ce直接通信。因此，用户数据在骨干网上不会外泄，保证了安全性，这也说明了为什么在用户网段上ping不通p路由器。 　　3.4查看pe的路由信息 　　显示pe1的全局/vpnv4/bgp路由信息，如图3所示： 　　 　　　　 　　图中前两段显示的是pe1的全局/vpnv4路由信息。测试结果说明：在pe路由器上有全局路由信息，用于保证骨干网的通信。还有不同vpn的私网路由信息（图中的mplsvpn-x和mplsvpn-y），二者是完全隔离的，这就保证了用户vpn通信的安全。图中第三段显示的是pe1路由器的bgp路由信息。测试结果说明：用户vpn的私网路由信息是使用bgp的扩展属性透明地通过mpls骨干网传递到对端的pe，保证了vpn的安全。 　　 　　4 传统专网与mpls vpn的安全性分析 　　 　　传统vpn的安全保证主要靠其cug（closed user group，闭合用户群）特性。它不向用户暴露服务商网络结构，提供的是透明传输，因此能限制来自用户侧的dos（denial of service，拒绝服务）等攻击。但如果用户vpn的每个cpe都连到inter，就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放，就会造成安全隐患。此外，随着网络规模的扩大，一旦需要修改防火墙策略，管理和重新配置每个防火墙是非常困难的。 　　与传统vpn不同