目前對于邊緣路由器的應用也很廣泛，同時其中也存在很多問題，于是我研究了一下邊緣路由器中基于MPLS的VPN技術的安全性，在這里拿出來和大家分享一下，希望對大家有用。如果企業部署了基于多協議標簽交換（MPLS）的管理式虛擬專用網（VPN）服務，不但能得到優質的服務，使成本大大降低，還能享受到與幀中繼和ATM技術同等的安全性。正如思科建議的和CiscoPoweredNetwork服務供應商實施的那樣，供應商MPLS網絡的良好設計和部署將能夠防范或杜絕拒絕服務（DoS）和欺詐等常見攻擊。

人們對MPLS技術的安全性存在幾個誤解。最大的誤解是：基于IP的MPLS不安全。事實上，為增強安全性，MPLS為本地IP網絡增加了很多功能，包括路徑隔離、數據隔離、分組過濾和網絡隱藏機制等。

另一個誤解是，服務供應商客戶相互之間可以侵入到對方的VPN中。事實上，這是根本不可能的，因為不同客戶的MPLSVPN是完全隔離的。第三個誤解是，MPLSVPN容易遭受外部DoS攻擊。這也是不對的。純MPLSVPN網絡是非常安全的。如果供應商邊緣路由器只提供VPN接入，同時提供互聯網接入的MPLS核心也可以有效防止DoS攻擊。另一個常見問題是，即使為VPN服務使用了專用的供應商邊緣路由器，也容易遭受DoS攻擊。雖然理論上正確，但實際使用中從未遇到這個問題，因為在使用中很容易發現并斷開與入侵者的連接。

不需要修改地址

管理式VPN服務不需要對企業的內部網、臺式機或服務器作較大的改動。多數企業都采用了專用IP定址計劃。基于成本和安全原因，企業希望在移植到管理式IPVPN服務的共享網絡環境時沿用原來的計劃。MPLS允許不同的VPN使用相同的地址空間（RFC1918）。由于為每條IPv4路徑添加了64位路徑標識符，因此，即使是共用地址，在MPLS核心中也是唯一的。每個VPN客戶和MPLS核心本身都可以完全獨立地使用整個IPv4地址空間。

路由和數據分離

MPLS通過兩種方式實現路由分離。第一種方式是將每個VPN分配到虛擬路由和轉發（VRF）實例。供應商邊緣路由器上的每個VRF只保留某個VPN的路徑，保留時可以使用靜態配置的路徑，也可以使用供應商邊緣與客戶機邊緣路由器之間運行的路由協議。第二種方式是為多協議邊緣網關協議（BGP）添加唯一VPN標識符，例如路徑辨別符。多協議BGP在相關的供應商邊緣路由器之間交換VPN路徑，并將路由信息保存在VPN專用的VRF中。對于每個VPN來講，MPLS網絡上的路由是相互分離的。

MPLSVPN通過IPVPN轉發表的分離而實現第三層數據分離。服務供應商核心內的轉發基于標記。MPLS將設置供應商邊緣路由器開始和結束的標記交換路徑（LSP）。分組只能通過與該VPN相關的供應商邊緣路由器接口進入VPN，而且由接口確定路由器應該使用哪個轉發表。這種地址計劃、路徑和數據的分離能夠幫助MPLSVPN實現與幀中繼或ATMVPN相當的安全性。

隱藏核心

將MPLS核心網絡對外隱藏起來，能夠增加攻擊的難度。MPLS隱藏核心的方法是對分組進行過濾，以及不在邊緣以外顯示網絡信息。分組過濾能防止向外暴露VPN客戶的內部網絡信息或MPLS核心。由于只有供應商邊緣路由器包含VPN專用信息，因而并不需要顯示內部網絡拓撲信息。服務供應商只需按照供應商邊緣和客戶邊緣之間的動態路由協議的要求，顯示供應商邊緣路由器的地址即可。

在動態提供路徑的情況下，如果客戶VPN必須向MPLS網絡公開其路徑，也不會降低網絡安全性，因為核心只了解網絡路徑，而不了解具體主機的路徑。由于供應商網絡不向第三方或互聯網顯示地址信息，因此，MPLSVPN環境完全能夠阻擋住攻擊者發動的攻擊。在提供共享互聯網接入的VPN服務中，服務供應商可以利用網絡地址轉換（NAT）宣布路徑。即使使用這種方法，向互聯網公開的信息量也不會高于典型的互聯網接入服務。

阻擋攻擊

為防止路由器遭受攻擊，服務供應商將對分組進行過濾，并隱藏地址。訪問控制列表（ACL）只包含從客戶邊緣路由器到路由協議端口的接入。外部黑客的慣用方法是，先穿過MPLS核心，然后直接攻擊供應商邊緣路由器，或者攻擊MPLS信令機制，最終攻入第3層VPN。對路由器進行適當的配置可以同時防止這兩種攻擊。雖然設備地址不對外公開，但內部黑客可以猜測。MPLS地址分離機制認為向內傳輸的分組屬于VPN客戶的地址空間，由于邏輯上不可見，因而黑客不可能通過地址猜測攻入核心路由器。

通過路由配置，服務供應商可以防止黑客直接攻擊供應商邊緣路由器上的已知對等接口。靜態路由是最安全的方法。在這種情況下，供應商邊緣路由器將拒絕動態路由請求。靜態路由指向供應商邊緣路由器的IP地址，或者客戶邊緣路由器的接口。當路由指向接口時，客戶邊緣路由器不需要知道核心網絡中的任何IP地址，甚至不需要知道供應商邊緣路由器的地址。