流量轉(zhuǎn)發(fā)和封裝

思科 MPLS VPN 的基本分組轉(zhuǎn)發(fā)功能獨(dú)立于所選的骨干網(wǎng)傳輸方式 (MPLS 或 IP) 。在這兩種情況下，利用 PE 支持的各個 VPN 的虛擬路由和轉(zhuǎn)發(fā) (VRF) 實例功能， VPN 流量可以在 PE 內(nèi)保持獨(dú)立。但是，根據(jù)思科 MPLS VPN 中傳輸網(wǎng)絡(luò)的不同，分組封裝也有所差異。當(dāng)使用 IP 傳輸時，有兩個封裝組件：隧道報頭和 VPN 報頭。隧道報頭負(fù)責(zé)傳輸分組至輸出 PE ，而 VPN 報頭則負(fù)責(zé)確定該位置的相應(yīng) VPN 分組處理流程。

思科 IP MPLS VPN 當(dāng)前的實施采用了第二層隧道協(xié)議版本 3 (L2TPv3) 作為 IP 隧道技術(shù)。隧道報頭利用 L2TPv3 進(jìn)程 ID 字段識別需要 MPLS VPN 處理流程的 IP VPN 分組，并利用 Cookie 字段提供電子欺騙保護(hù)。作為封裝的最后部分， VPN 報頭采用了與 MPLS 傳輸中 MPLS VPN 所用相同的 VPN 標(biāo)簽。圖 3 對不同傳輸中提供的 MPLS VPN 服務(wù)封裝進(jìn)行了比較。

L2TPv3 為 VPN 流量提供了針對外部攻擊的內(nèi)置保護(hù)。一位惡意用戶可能會向 PE 發(fā)送 VPN 封裝分組，從而試圖向 VPN 輸入分組。在使用 MPLS 傳輸時，一般可通過拒絕客戶訪問接口上來自 VPN 用戶的 MPLS 分組，來防御這類攻擊。在實施 IP MPLS VPN 傳輸時， PE 設(shè)備一般更易于受到 IP 電子欺騙攻擊。網(wǎng)絡(luò)邊界或 PE 本身需特殊配置和額外處理（如訪問控制列表，即 ACL 等）來識別和阻塞偽裝的 VPN 分組。通過直接在 PE 中采用強(qiáng)大的電子欺騙防御功能， L2TPv3 在接近客戶的地點(diǎn)提供電子欺騙防御。所以，無論有無 IP ACL ， L2TPv3 都可防止特定 VPN 上的外部電子欺騙攻擊，這是因為每個 PE 利用預(yù)先加密的隨機(jī) 64 位 Cookie 來轉(zhuǎn)發(fā)分組。

在 100Mpps 的攻擊速率下，要想針對思科 IP MPLS VPN 部署實施一次成功的盲目電子欺騙攻擊，將需要至少 6000 年。惡意用戶需知道入口和出口 PE 的 IP 地址、 L2TPv3 進(jìn)程 ID 和 Cookie ，以及 VPN 標(biāo)簽，才能從外部向 VPN 輸入流量。猜測出隨機(jī)（ 64 位） L2TPv3 Cookie 值的巨大投入消除了成功攻擊的可能性。其他字段幾乎不會提供超出 L2TPv3 Cookie 的額外保護(hù)，因為它們不能以隨機(jī)加密方式選擇，因此其規(guī)模不夠龐大，無法阻止一位堅定的攻擊者進(jìn)行猜測。

當(dāng)需要非加密解決方案時， MPLS VPN 可使用其他 IP 隧道封裝，如 IP MPLS 或通用路由封裝 (GRE) 。采用普通 IP 隧道封裝（ IP MPLS ）的 MPLS VPN 實施是最簡單的，但最易受攻擊。假設(shè)一位惡意用戶已發(fā)現(xiàn)了 PE 的源和目的地 IP 地址，該用戶只需猜測一個正確的 VPN 標(biāo)簽（ 20 位）。即便在低攻擊速率（數(shù)千 pps ）的情況下，可能在幾秒內(nèi)就會發(fā)生安全違背。

第二種方式是使用 GRE 協(xié)議，它有一個未定義的保留密鑰（ 32 位）字段。但即使此密鑰以類似于 L2TPv3 Cookie 的方式使用 ( 即填充加密隨機(jī)值 ) ，它仍無法提供足夠的防電子欺騙保護(hù)。在相對較低的攻擊速率下，數(shù)小時后就可能出現(xiàn)安全違背（ 100,000pps 時不到 12 小時）。因此， GRE 對此應(yīng)用意義不大，且會因為需檢查和驗證各種可選字段而帶來不必要的開銷。
[attach]35930[/attach]
圖 3 IP 網(wǎng)絡(luò)上提供的 MPLS VPN 服務(wù)與 MPLS 網(wǎng)絡(luò)上提供的 MPLS VPN 服務(wù)的具體封裝比較

VPN 路由分發(fā)，隧道終端發(fā)現(xiàn)

無論采用什么骨干傳輸（ IP 或 MPLS ）， MPLS VPN 都使用相同的 VPN 路由分發(fā)機(jī)制。但 VPN 路由解析在思科 IP MPLS VPN 和 MPLS 上的 MPLS VPN 中的運(yùn)行方式不同。在處理輸入 VPNv4 BGP 更新時， MPLS VPN 一般需要 PE 對 BGP 下一跳執(zhí)行回歸式路由查詢。當(dāng)采用 MPLS 骨干時， PE 將把下一跳與現(xiàn)有 LSP 匹配。當(dāng)采用 IP 骨干時， PE 將把下一跳與現(xiàn)有隧道終端相匹配。

成功的匹配可選出作為分組輸出接口的多點(diǎn)隧道。該過程保證分組能正確地通過隧道、以正確的封裝轉(zhuǎn)發(fā)。為正確地進(jìn)行解析， BGP 下一跳被分解為與隧道相關(guān)的獨(dú)立地址空間。否則就會針對全球路由空間嘗試解析，以搜索不存在的 LSP 。

思科 IP MPLS VPN 提供自動隧道終端發(fā)現(xiàn)和隧道參數(shù)標(biāo)記。在能進(jìn)行正確的 VPNv4 BGP 下一跳解析之前，每個 PE 都需要知道可通過多點(diǎn)隧道訪問其他哪些 PE （終端）。此外，每個 PE 需知道其他 PE 希望使用的 L2TPv3 進(jìn)程 ID 和 Cookie ，以便 VPN 分組能準(zhǔn)確封裝。此信息的手動配置不可擴(kuò)展；隨著 PE 數(shù)目的增加，隧道簡單的多點(diǎn)特性就會被破壞。

PE 利用現(xiàn)有多協(xié)議 BGP(MP-BGP) 基礎(chǔ)設(shè)施來分發(fā)隧道終端信息。思科 IP MPLS VPN 在 MP-BGP 中定義了一個新的隧道地址系列擴(kuò)展。此地址系列可用于標(biāo)記 L2TPv3 隧道地址、進(jìn)程 ID 和 Cookie 。 L2TPv3 只可用作封裝機(jī)制。本地 L2TPv3 控制面板不起作用。因為已需 MP-BGP 來分發(fā) VPNv4 路由信息，此擴(kuò)展的運(yùn)行和處理影響極低。相反，當(dāng) MPLS 用作傳輸機(jī)制時，終端發(fā)現(xiàn)與 VPNv4 廣播相關(guān)聯(lián)，不標(biāo)記封裝類型 (MPLS) 及其 (LSP) 參數(shù)。有關(guān)通過 MP-BGP 了解的隧道終端信息，請訪問 cisco.com/packet/171_5c1 。

思科 IP MPLS VPN 將 L2TPv3 用作 IP 隧道技術(shù)，提供了純 IP 和 GRE 均缺乏的防電子欺騙保護(hù)�？刂泼姘宀僮鞯玫搅藬U(kuò)展，可支持隧道終端發(fā)現(xiàn)和通過隧道的 VPNv4 下一跳解析。憑借思科 IP MPLS VPN ，現(xiàn)在 MPLS VPN 能以一種可擴(kuò)展、安全的方式，部署于任意 IP 網(wǎng)絡(luò)之上。

深入閱讀

思科 IP MPLS VPN 文檔 cisco.com/packet/171_5c2
L2TPv3 上的 BGP/MPLS IP VPN IETF 草案 cisco.com/packet/171_5c3
L2TPv3 上的 MPLS 封裝 IETF 草案 cisco.com/packet/171_5c4