ＭＰＬＳ　ＶＰＮ安全性测试方法与性能分析(2)

　　3.4查看PE的路由信息
　　显示PE1的全局/VPNv4/BGP路由信息，如图3所示：
　　
　　　　
　　图中前两段显示的是PE1的全局/VPNv4路由信息。测试结果说明：在PE路由器上有全局路由信息，用于保证骨干网的通信。还有不同VPN的私网路由信息（图中的mplsvpn-x和mplsvpn-y），二者是完全隔离的，这就保证了用户VPN通信的安全。图中第三段显示的是PE1路由器的BGP路由信息。测试结果说明：用户VPN的私网路由信息是使用BGP的扩展属性透明地通过MPLS骨干网传递到对端的PE，保证了VPN的安全。
　　
　　4 传统专网与MPLS VPN的安全性分析
　　
　　传统VPN的安全保证主要靠其CUG（Closed User Group，闭合用户群）特性。它不向用户暴露服务商网络结构，提供的是透明传输，因此能限制来自用户侧的DoS（Denial of Service，拒绝服务）等攻击。但如果用户VPN的每个CPE都连到Internet，就必须设置防火墙来保护每个网段的安全。如果防火墙对服务商开放，就会造成安全隐患。此外，随着网络规模的扩大，一旦需要修改防火墙策略，管理和重新配置每个防火墙是非常困难的。
　　与传统VPN不同，由于MPLS VPN采用了路由隔离和地址隔离等方法，提供了抗攻击和标记欺骗的手段，因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证［4］。MPLS VPN依靠转发表和分组的标签来创建一个安全的VPN，而不是依靠封装和加密技术。一个VPN包括一组CE，以及同其相连的IP MAN中的PE。只有PE理解VPN，CE可以感觉到同一个专用网相连，但并不理解潜在的骨干网，每个VPN依靠VPN-instance来识别成员关系。
　　从上面的测试可以看出，MPLS VPN的安全性是在服务商网络边界提供的，用户分组必须从特定的接口上接收并打上唯一的VPN标记，因此在骨干网上VPN的数据流量是隔离的，保证了用户发送的分组被传送到正确的VPN。
　　另外，封闭的MPLS VPN本身就具有内在的安全性。如果用户需要访问Internet，则可以建立一个通道，在该通道上采用如防火墙、数据加密等技术手段，对整个VPN提供安全的连接。由于整个VPN只需要维护一种安全策略，管理起来也非常容易［5］。
　　
　　5结论
　　
　　通过前文的测试和理论分析，可以得出结论：MPLS VPN的安全性高于传统基于IP技术组建的VPN，具有与ATM/FR VPN相类似的安全性。
　　
　　［参考文献］
　　［1］ Eric Osborne,Ajay Simha.基于MPLS的流量工程［M］.北京:人民邮电出版社,2003：18
　　［2］ 王达，等.虚拟专用网（VPN）精解［M］.北京:清华大学出版社,2004：58－59.
　　［3］ Vivek Alwayn.高级MPLS设计与实施［M］.北京:人民邮电出版社，2003：41－42.
　　［4］ 薛戈丽.组建基于MPLS VPN的IP城域网网络方案［J］.中国科技信息,2005，(15):137.
　　［5］ 王柱.基于IP城域网的MPLS VPN规划与性能分析［D］.天津:天津大学,2006：31.