BGP/MPLS VPN和IPSec VPN技術比較

2019-11-03 09:08:54

字體：大中小

來源：轉載

供稿：網友

劉冬梅張燕春陳常嘉

　　摘要當前，兩種新興的VPN技術：BGP/MPLS VPN和ipSec VPN越來越受到人們的關注。本文分別討論了基于BGP/MPLS和IPSec來提供VPN業務的機制，評價了兩種VPN解決方案，為網絡管理者評估這兩種方案提出了指導方針。

　　關鍵詞 MPLS IPSec VPN

1 簡介

　　目前，兩種既各具特點又具有一定互補性的VPN（虛擬專用網）架構正逐漸在提供新興服務的基礎網絡領域大行其道，這兩種VPN就是融BGP（邊界網關協議）和MPLS（多協議標記交換）技術的VPN和基于IPSec的VPN。

　　RFC 2547定義了允許服務提供商使用其IP骨干網為用戶提供VPN服務的一種機制。RFC 2547也被稱為BGP/MPLS VPN，因為BGP被用來在提供商骨干網中發布VPN路由信息，而MPLS被用來將VPN業務從一個VPN站點轉發至另一個站點。BGP/MPLS VPN能夠利用公用骨干網絡強大的傳輸能力，降低企業內部網絡/Internet的建設成本，極大地提高用戶網絡運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。

　　IPSec是由IETF 的IPSec 工作組定義的一種開放源代碼框架。IPSec 的工作組對數據源認證、數據完整性、重播保護、密鑰管理以及數據機密性等主要的有關方面定義了特定協議。IPSec通過激活系統所需要的安全協議、確定用于服務的算法及所要求的密鑰來提供安全服務。由于這些服務在IP層提供，能被更高層次的協議所利用（如TCP、UDP、ICMP、BGP等），并且對于應用程序和終端用戶來說是透明的，所以，應用和終端用戶不需要更改程序和進行安全方面的專門培訓，同時對現有網絡的改動也最小。

2 BGP/MPLS VPN體系結構

　　RFC 2547中定義了三種類型的路由器：CE（用戶網邊緣路由器）在用戶側為用戶所有，接收和分發用戶網絡路由，CE連接到提供商的PE（骨干網邊緣路由器）；PE處理VPN-IPv4路由，這是BGP/MPLS VPN的核心；位于骨干網核心的P（骨干網核心路由器）負責MPLS包的轉發。

　　VPN是若干個用戶站點的集合，而站點是VPN中一個孤立的IP網絡，比如可以是公司總部或分支機構等。用戶接入BGP/MPLS VPN的方式是每個站點提供一個或多個CE同骨干網PE的連接，每個站點在PE中由各個VRF（虛擬路由轉發實例）來表示，它包含了與一個站點相關的路由表、轉發表、接口、路由實例以及路由策略等。PE上的接口可以綁定到唯一一個VRF上，一個VRF也可以被綁定到多個接口上，但PE之間不能交換VRF信息。

　　當邊緣設備在兩個VPN站點使用相同的地址前綴，就會在路由解析時出現沖突，BGP/MPLS VPN使用VPN-IPv4地址族和MP-BGP（多協議擴展BGP）來解決這一問題。一個VPN-IPv4地址（12字節）是由8字節的RD（路由標示）和4字節的IPv4地址組成。這樣就可以把相同的地址前綴翻譯成不同的VPN-IPv4地址，也就可以分別為每個VPN站點生成與該VPN-IPv4地址對應的不同路由。

　　BGP/MPLS VPN中有兩種重要的數據流，一種是進行路由分發和LSP（標記轉發路徑）確定的控制流，另一種是用戶的VPN業務流。存在兩種控制機制，一種負責不同PE間路由信息的交換，另一種負責建立通過提供商骨干網的LSP。

　　路由分發基于BGP的擴展共同體屬性，以目的路由為基準進行過濾。當一條VPN路由插入到BGP中后，VPN路由目標擴展共同體屬性就與其相關聯，這些都來源于路由學習建立的VRF相關BGP出口列表。每一個PE也包含與每一個VRF對應的入口列表，入口列表類似于路由器中允許接入VRF的ACL定義。例如，PE中某一條特定VRF的入口列表包含目的接口A和C，但不包含B，則包含接口A和C的VPN路由能夠接入VRF，B的則不能?！　PN隧道的LSP的建立可以通過LDP或RSVP來完成。LDP在PE之間建立盡力而為的LSP，當VPN需要QoS時，則必須通過RSVP建立具有QoS能力的路由LSP。

　　路由器CE1向CE2所在的網絡發送數據。首先轉發到默認網關PE1，PE1在與站點1對應的VRF中進行路由查詢，PE2廣播的到站點2的路由對應標記5，同時查詢BGP的下一跳路由，PE1查找到PE2的路由LSP在轉發分組到特定分組之前需加標記100，即入口路由器P1在分組上加兩個標記，棧底的5使PE2將分組轉發到特定CE，棧頂的100用來在網絡中轉發分組。

　　分組在路由器P1處交換標記，用標記2替代100，P2作為LSP的倒數第2個路由器在轉發分組到PE2前彈出棧頂標記，PE2利用棧底標記5來標識下一跳的CE，彈出標記5后將IPv4包轉發到CE2。

3 BGP/MPLS VPN特點

　　BGP/MPLS VPN為安全的點到點通信提供了一種可選的方案，它是具有與ATM/FR虛電路的VPN相同安全級別的VPN。BGP/MPLS VPN建立了幾種內部機制來保障安全性。VPN-IPv4地址可以使不同的VPN在地址前綴重疊時保持獨立。

　　路由分離通過使連接到PE的用戶站點對應不同的VRF來實現，并且，在BGP擴展共同體屬性中，通過使用唯一標示符在BGP路由更新過程中進一步保證路由分離。當正確地配置了地址空間和路由分離后，BGP/MPLS VPN就能夠提供同二層VPN，如ATM/FR VPN同樣的安全性。此時要想通過MPLS云侵入其他VPN是不可能的，除非經過了特定的配置。

　　這些安全機制存在于提供商網絡的內部，提供商核心網絡的結構對用戶來說是不可見的。CE知道下一跳的PE路由，卻不能得到任何核心P路由，因此，用戶不能獲得核心網絡結構的情況，這就能保護潛在的攻擊者使用這些信息進行拒絕服務、欺騙、會話竊取等攻擊。

　　可能出現欺騙用戶空間的情況，然而，因為每一個VRF都對應一個或多個指向用戶的接口，要想在VPN中欺騙IP地址，攻擊者必須在用戶側。如果VPN用戶能夠采取措施保障內部站點的安全性，則這種情況不會發生。由此考慮，BGP/MPLS VPN能夠提供與IPSec相同級別的安全性。PE和CE之間物理鏈路的存在和與之相關的PE中對應的VRF取代了認證VPN端點的必要性，因為他們必須與站點保持正確的物理連接。

　　也可能出現欺騙MPLS標記的情況，然而，有兩種解決的方法，一種是CE與PE之間的接口是IP接口，任何LSP都不包含這些接口，正確配置的PE應丟棄從CE來的MPLS流量。另一種方法是對于每一個P來說標記僅具有本地意義，這意味著攻擊者不僅要獲得提供商的物理接入，還要在特定位置用欺騙標記來接入特定VPN，這幾乎不可能辦到。并且提供商的安全策略應該能夠這樣做。

　　與BGP/MPLS VPN安全性有關的最大問題是當有多個VRF和目標通信者時配置提供商網絡的復雜性，對于好多提供商來說，管理眾多BGP路由表并保持好的連通性是很困難的，因為一張表的改變會影響很多其他表。

　　BGP/MPLS VPN比傳統的二層或基于IPSec的VPN更經濟，BGP/MPLS VPN的另一個優點是它的可擴展性，二層或IPSec VPN是點到點的，因此，星型結構是擴展時最常用的結構，而提供商可簡單地將BGP/MPLS VPN配置成全網狀結構，這不僅能方便地排出內部路由故障，還能夠極大簡化提供潛在的敏感應用，如語音和視頻。BGP/MPLS VPN還能夠提供與MPLS網絡同等級的QoS保障。

4 IPSec VPN體系結構

　　IPSec通過選擇特定的安全協議在IP層提供安全服務，確定服務所用的算法，為提供所需的業務增加加密密鑰，IPSec能夠在一對主機、一對安全網關或主機和安全網關之間保護一條或多條“通道”。

　　本質上，IPSec是為提供兩個設備間的安全IP 通路而指定的一系列協議。因IPSec VPN是基于設備的，而不是基于網絡的，它比BGP/MPLS VPN在實施上提供了更大的靈活性，提供商無需對路由器進行額外的配置。IPSec VPN可以在主機或站點之間通過安全網關實現。

　　IPSec使用兩個協議來保障IP上的安全傳輸。AH（認證頭）協議為IP數據報提供無連接的數據完整性和數據源身份認證，同時具有防重放攻擊的能力。ESP（封裝安全載荷）協議為IP數據包提供加密機制，為數據流提供有限的機密性保護。

　　IPSec提供了兩種不同的模式來傳輸加密數據：傳輸模式和隧道模式。通常情況下，傳輸模式只用于兩臺主機之間的安全通信，傳輸模式能夠為兩臺主機間的每一次協議會話提供分離的通道，它插在IP頭和有效載荷之間，保護的是IP包的有效載荷或者說是上層協議。隧道模式必須用在網關到網關的會話或主機到網關的會話。隧道模式為會話提供唯一的加密通道，為整個IP包提供保護，先為原始IP包增加AH或ESP字段，然后在外部增加一個新的IP頭，指向目的IPSec網關。

　　IPSec沒有指定必須使用何種加密和散列算法。通常的加密算法有DES和3DES，散列算法有md5和SHA-1，Diffier-Hellman被用來交換加密密鑰。然而，因為IPSec并沒有指定需要特定的加密和散列算法，它提供了一種方法供設備協商通用的策略。采用 SAC（安全聯盟）的構建方案來確定雙方使用的策略和會話密鑰，SA駐留在SPD（安全策略數據庫）中，VPN網關查詢SPD來確定如何處理從特定VPN隧道來的數據包，在轉發前在包頭添加SPI（安全策略標示符），接收端根據目的信息和SPI查詢SPD對數據包進行解密/認證處理。

　　IPSec的一項重要的功能是交換加密后的數據，為了有效、準確地實現這一功能，必須進行加密密鑰的交換。IKE（因特網密鑰交換）協議是一個產生和交換密鑰并協調IPSec參數的框架。IKE在通信系統之間建立安全聯盟，提供密鑰確定、密鑰管理的機制，將密鑰協商的結果保留在SA中，供AH和ESP以后通信時使用。

　　IKE在兩個端點間協商SA的過程包括兩個階段。階段1用于兩個對等實體建立一個安全的、已認證的通信通道，階段2用于IPSec進行密鑰和參數的協商。

　　一個隧道模式的VPN組網，主機A發送最終目的地為主機B的數據到它的默認網關G1，G1為IPSec網關和防火墻。它查詢策略，確定到主機B的數據需加密；查詢SPD，沒找到對應主機B所屬網關的SA，則G1和G2之間必須先建立SA，G1執行IKE階段1，之后G1、G2執行階段2，建立SA，確定通信使用3DES/SHA-1加密和散列算法，插入各自的數據庫，雙方交換加密密鑰，G1對數據包進行加密并添加SHA-1散列值，G2接收到分組，根據包頭的SPI查詢SPD，檢查散列值，對數據包進行解密轉發到主機B，如同LSP路由，IPSec SA是單向的，G2必須建立SA來允許主機B對主機A應答。

5 IPSec VPN特點

　　IPSec在IP層上實現了加密、認證、訪問控制等多種安全技術，極大地提高了TCP/IP的安全性。由于整個協議在IP層上實現，上層應用可不必進行任何修改，并且由于IPSec在實現安全策略上的靈活性，使得對安全網絡系統的管理變得簡便靈活。

　　在IPSec VPN中通過加密來保證數據的機密性，SA定期協商更新來提供更強的保護，因DES容易被解密，推薦使用3DES，IKE協議進一步減少了暴露的機會。

　　然而，IPSec并非沒有缺點，如果要一個大的點對點的VPN或企業遠程接入VPN，則其中的主機都必須被單獨配置，這對企業應用VPN帶來了巨大的壓力，并且VPN的配置是相當復雜的，一發而動全身，小的失誤也可能帶來嚴重的后果。

　　更重要的是IPSec在理論上提供了充足的安全性，但應用上并非完全這樣。相對于加密本身，攻擊者可能更熱衷于在用戶和用戶之間的VPN之間建立站點，但這不應作為VPN本身的缺陷。另一個不利因素是有的用戶試圖為安全設備擴展原本不屬于它的功能，如為安全網關增加發送郵件的功能來融合VPN和郵件服務器，這都會帶來安全隱患。

6 BGP/MPLS VPN和IPSec VPN比較

　　VPN的服務目的就是在共享的基礎公共網絡上向用戶提供網絡連接，不僅如此，VPN連接應使得用戶獲得等同于專有網絡的通信體驗。合理和實用的VPN解決方案應能夠抗拒非法入侵、防范網絡阻塞，而且應能安全、及時地交付用戶的重要數據，在實現這些功能的同時VPN還應該具有良好的可管理性。在站點與站點之間實施VPN時，網絡管理者應該綜合比較BGP/MPLS和IPSec VPN兩種方案，下面的參數用來比較這兩種解決方案。

　　數據機密性：IPSec VPN通過強大的加密算法來保障數據的機密性，BGP/MPLS通過在提供商物理站點間定義一條唯一的數據通道來加強數據的機密性，這可以禁止攻擊者非法獲得數據拷貝，除非他們在提供商的網絡上放置鏡像器。盡管BGP/MPLS使數據被竊取的機會最小化，但IPSec通過加密可以提供更好的數據機密性。第三種方案是采用IPSec over BGP/MPLS VPN，這樣顯然可以保證更高水平的數據機密性。

　　數據完整性：IPSec使用散列算法來保證數據的完整性，對于BGP/MPLS VPN來說，沒有什么根本的方法來保障數據的完整性，然而，通過地址空間隔離和路由信息，防止不熟練的攻擊者對數據的添加、刪改還是有一定的效果的。

　　數據有效性：IPSec基于Internet進行數據傳輸，盡管攻擊者不能讀取數據，但攻擊者可以通過在Internet路由表中加入錯誤路由來旁路數據。BGP/MPLS VPN基于LSP來傳輸數據，因LSP僅有本地意義，欺騙攻擊很難實現。BGP用于在VPN中傳遞路由信息，然而，BGP擴展共同體屬性使錯誤路由的引入相當困難，因此，從這點上說，BGP/MPLS能夠提供更好的數據有效性。

　　Internet接入：大多數IPSec VPN基于Internet傳輸數據，因此，大多數IPSec VPN體系結構允許VPN接入到所連的站點。在BGP/MPLS體系結構中卻很難實現這一點，在BGP/MPLS VPN接入Internet方案中，通常選擇分離的Internet連接來保障整個VPN的安全性。

　　遠程接入：盡管很多提供商支持遠程接入，但對BGP/MPLS VPN來說并不是本來這樣，并且，他們要么要求遠程接入的用戶在相同的提供商網絡中，要么提供商必須實施相同級別的BGP/MPLS VPN。從這一點來看，IPSec在提供遠程接入方面有優越性。

　　可擴展性：IPSec VPN難以擴展。因配置方面的要求，IPSec通常是點到點的連接，BGP/MPLS由提供商配置，能夠輕易地實現全網狀的網絡結構，并且，BGP/MPLS VPN還允許網絡管理者利用MPLS的特性如QoS，因此在企業環境中BGP/MPLS VPN比IPSec VPN更具擴展性?！　GP/MPLS和IPSec VPN具有各自的優點，BGP/MPLS VPN擴展性好，能夠提供更好的數據有效性，而IPSec VPN能夠保障更好的數據機密性和完整性。兩種VPN都難以配置，每一種方案都應考慮應用簡便，然而，對于點到點連接，兩種方案都成立，用戶在實施時應仔細分析兩種方案的優缺點，選擇最適合自己的。

----《中國數據通信》