MPLS IP 安全吗？

‍‍

随着IP/MPLS的兴起，用户和运营商都将眼光转向了这类极具竞争力和市场前景的。对用户而言，IP/MPLS可以非常方面地替换租用线和传统的ATM/帧中继来连接计算机或LAN，也能够提供租用线的备份、冗余和峰值负载分担等，费用节省明显。而就服务提供商而言，IP/MPLS是其未来数年内扩大业务范围，保持竞争力和客户虔诚度，下降本钱，增加利润的重要手段。

IP/MPLS的安全性究竟如何，比ATM/帧中继安全性要高或者不如?要回答这个问题其实不容易，由于安全性是一个复杂的系统问题，任何一个网络系统单靠提供的安全通讯是不可能保证安全的。本文不讨论IP/MPLS与ATM/帧中继面临的相同的安全问题，照实现上和实行时的安全问题，而是从区别的隧道技术和区别的组网方式的角度来探讨其安全性。

安全性实行方式

传统的基于帧中继和ATM的都假定运营商是值得信赖的，在IP/MPLS的实行中，也能够这样假定。

在这类情况下，防火墙功能的提供和包传输的安全性保证都是由运营商提提供的。如果是基于网络的，运营商负责运营商两个边沿装备(PE)之间的安全性，不包括用户接入链路的安全性(这段链路通常为用户专用的，通常认为是安全的)；如果是基于用户装备(CE)的，则运营商负责保证CE装备到PE装备之间的安全性，包括了用户接入链路的安全性，这是一种基于CE的管理型。

IPSec的安全性

IPSec是专门设计为IP提供安全服务的一种协议(实际上是一个协议族)。IPSec可有效保护IP数据报的安全，所采取的具体保护情势包括：数据源验证;无连接数据的完全性验证;数据内容的机密性保护;抗重播保护等。

使用IPSec协议中的认证头(AH)协议和封装安全载荷(ESP)协议，可以对IP数据报或上层协议(如UDP和TCP)进行保护，这类保护由IPSec两种区别的工作模式(分别对应隧道模式和传输模式)来提供。其中AH可以验证数据的起源、保障数据的完全性和避免相同数据包的不断重播。ESP除具有AH的所有能力以外，还可选择保障数据的机密性，和为数据流提供有限的机密性保障。

AH和ESP协议根据安全同盟(SA)规定的参数为IP数据包提供安全服务。SA可以手工建立，也能够自动建立。IKE就是IPSec规定的一种用来自动管理SA的协议。IKE的实现可支持协商，也可支持IP地址事前其实不知道的远程接入。IKE一定要支持协商方不是SA协商产生的端点的客户协商模式，这样可以隐藏端方身份。

L2TP的安全性

二层隧道技术(L2TP)定义了利用包交换方式的公共网络基础设施(如IP网络、ATM和帧中继)封装链路层PPP帧的方法。远程拨号接入(VPDN)通常使用L2TP在用户和企业客户网络之间通过拨号方式创建一个虚拟的点到点连接。

在L2TP隧道建立的进程中，隧道终点之间可以选择会不会进行认证。这类认证的安全性与PPPCHAP相同，能够在隧道建立的进程中有效避免重放和窃听攻击。该机制设计用于隧道的建立进程，因此其实不适用于其它方面。对一个歹意用户而言，在已认证的隧道成功建立以后，窃听隧道数据流或插入数据包是一件很容易的事情。

在使用中L2TP可能会遇到的安全性问题分析总结以下(这些都是相对IPSec所提供的安全服务比较而言的)：

1. L2TP只定义了对隧道的终端实体进行身份认证，而不是认证隧道中流过的每个数据报文。这样的隧道没法抵抗插入攻击和地址欺骗攻击。

2. L2TP由于没有针对每一个数据报文的完全性校验，就有可能进行谢绝服务(DoS)攻击：发送一些假冒的控制信息，致使L2TP隧道或底层PPP连接的关闭。

3. L2TP本身不提供任何加密手段，当数据需要保密时，需要其它技术的支持。

4. 虽然PPP报文的数据可以加密，但PPP协议不支持密钥的自动产生和自动刷新。这样进行监听的攻击者便可能终究攻破密钥，从而得到所传输的数据。

5. 当L2TP运行在IP上时是不安全的。但对IPSec而言，特定隧道的所有L2TP控制和数据包都是相同的UDP/IP数据包，因此可以将L2TP与IPSec结合使用，使用IPSec安全保护后的L2TP能够提供与IPSec相同程度的安全性。

MPLS的安全性

MPLS为每一个IP包加上一个固定长度的标签，并根据标签值转发数据包。MPLS实际上就是一种隧道技术，所以使用它来建立隧道十分容易而高效。由于MPLS技术本身就非常新，因此这里对MPLS的安全性从多个方面做了一个较为详细的、同时适用于BGP方式和虚拟路由器方式的实现的分析和介绍。

从下面的分析可以得出这样的结论：MPLS采取路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段，完全能够提供与传统的ATM或帧中继相类似的安全保证。

1)路由隔离

MPLS实现了之间的路由隔离。每一个PE路由器为每一个所连接的都保护一个独立的虚拟路由转发实例(VFI)，每一个VFI驻留来自同一的路由(静态配置或在PE和CE之间运行路由协议)。由于每一个都产生一个独立的VFI，因此不会遭到该PE路由器上其它的影响。

在穿越MPLS核心到其它PE路由器时，这类隔离是通过为多协议BGP(MPBGP)增加唯一的标志符(比如路由辨别器)来实现的(这是在BGP方式下，虚拟路由的方式与此类似)。MPBGP穿越核心网专门交换路由，只把路由信息重新分发给其它PE路由器，并保存在其它PE的特定的VFI中，而不会把这些BGP信息重新分发给核心网络。因此穿越MPLS网络的每一个的路由是相互隔离的。

2)隐藏MPLS核心结构

出于安全斟酌，运营商和终端用户通常其实不希望把它们的网络拓扑暴露给外界，这可使攻击变得更加困难。如果知道了IP地址，一个潜伏的攻击者最少可以对该装备发起DoS攻击。但由于使用了“路由隔离”，MPLS不会将没必要要的信息泄漏给外界，乃至是向客户。

在不提供因特网接入服务的“纯洁”的MPLS中，信息隐藏的程度可以与帧中继或ATM网络相媲美，由于它不会把任何编址信息泄漏给第三方或因特网。因此当MPLS网络没有到因特网的互联时，其安全性等价于帧中继或ATM网络。但如果客户选择通过MPLS核心网络同时接入到因特网，那末运营商最少会把一个IP地址(对等PE路由器的)暴露给下一个运营商或用户，存在被攻击的可能性。

3)抗攻击性

由于进行了路由隔离，因此不可能从一个攻击另外一个或核心网络。但从理论上讲有可能利用路由协议对PE路由器进行DoS攻击，或攻击MPLS的信令信息。

要想攻击PE路由器就一定要知道它的IP地址，但由于上面介绍的缘由，IP地址已被隐藏。另外，就算是攻击者猜想到了PE的IP地址，也没法进行有效的攻击，由于已进行了有效的MPLS“路由隔离”。对MPLS信令系统的攻击，如果在所有PE/CE对等体上对路由协议使用MD5认证，就可以够有效避免虚假路由的问题。另外，很容易跟踪这类潜伏的对PE的DoS攻击的源地址。

4)标记欺骗

在MPLS网络中，包的转发不是基于IP目的地址，而是基于由PE路由器预先添加的标记。与IP欺骗攻击时攻击者替换包的IP源地址和目的地址类似，理论上有可能出现MPLS包的标记欺骗。

任何CE路由器和它的对等PE路由器之间的接口主要是IP接口(也就是说没有标记)。CE路由器不知道MPLS核心的存在，所有的“标记”工作都应当是由PE完成的。因此出于安全斟酌，PE路由器应当不接受来自CE路由器的任何标记包。固然，发送到MPLS网络中的包依然存在IP地址欺骗的可能性，但这可以通过地址隔离来实现，使得属于某个的用户只可能攻击他自己的网络，而没法攻击他人的网络。

从上面的分析可以得到以下的IP/MPLS的重要结论：

1. 与传统ATM/帧中继类似，安全性可以由用户自己实行，也能够由运营商实行。

2. 用于VPDN业务的L2TP只做连接建立时的身份认证，安全性存在隐患。

3. 根据分析，MPLS的安全性与ATM/帧中继一样。

4. IPSec是到目前为止最为安全的协议，其安全性乃至比享有很高的名誉的ATM/帧中继还要好。

5. IPSec与L2TP和MPLS不是互斥的，而是可以结合使用。在基于L2TP或MPLS组建时，如果需要“绝对”的安全保，则可以与IPSec结合使用。

最后一定要强调的是：安全问题是一个系统问题，不单单取决于的这些隧道协议本身的安全性。

桂哥通讯&网络综合解决方案提供商，助力企业信息化建设、数字化转型、和全球化互联。SDWAN方案可实现全球访问加速、SaaS访问加速、国外视频加速、国外分支组网，有效提升国际间沟通效力，助力中国企业开辟国际市场。服务热线：13148556047，欢迎来电咨询。

TikTok千粉号购买平台：https://tiktokusername.com/