集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网

 

集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团广域网采用MPLS-VPN技术(Ｍｕｌｔｉｐｒｏｔｏｃｏｌ Ｌａｂｅｌ Ｓｗｉｔｃｈｉｎｇ，多协议标记交换)，用来为各个分公司提供骨干网络平台和VPN接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。

 (MPLS VPN技术原理

摘 要 本文介绍了MPLS技术的实现细节和在MPLS网络上如何实现VPN的应用

关键词 MPLS VPN BGP Cisco 中国网通

1 MPLS提出的意义

传统的IP数据转发是基于逐跳式的，每个转发数据的路由器都要根据IP包头的目的地址查找路由表来获得下一跳的出口，这是个繁琐又效率低下的工作，主要的原因是两个：1、有些路由的查询必须对路由表进行多次查找，这就是所谓的递归搜索；2、由于路由匹配遵循最长匹配原则，所以迫使几乎所有的路由器的交换引擎必须用软件来实现，用软件实现的交换引擎和ATM交换机上用硬件来实现的交换引擎在效率上无法相抗衡。

当今的互联网应用需求日益增多，对带宽、对时延的要求也越来越高。如何提高转发效率，各个路由器生产厂家做了大量的改进工作，如Cisco在路由器上提供CEF（Cisco Express Forwarding）功能、修改路由表搜索算法等等。但这些修补并不能完全解决目前互联网所面临的问题。

IP和ATM曾经是两个互相对立的技术，各个IP设备制造商和ATM设备制造商都曾努力想吃掉对方，想IP一统天下，或者ATM一家独秀！但是最终是这两种技术的融合，那就是MPLS(Multi-Protocol Label Switching)技术的诞生！MPLS技术结合和IP技术信令简单和ATM交换引擎高效的优点！

2 MPLS技术的实现细节

2.1 标签结构

IP设备和ATM设备厂商实现MPLS技术是在各自原来的基础上做的，对于IP设备商，它修改了原来IP包直接封装在二层链路帧中的规范，而是在二层和三层包头之间插了一个标签(Label)，而ATM设备制造商利用了原来ATM交换机上的VPI/VCI的概念，在使用Label来代替了VPI/CVI，当然ATM交换机上还必修改信令控制部分，引入了路由协议，ATM交换使用了路由协议来 和其他设备交换三层的路由信息。

2.2 LSR设备的体系结构

通过修改，能支持标签交换的路由器为LSR(Label Switch Router)，而支持MPLS功能的ATM交换机我们一般称之为ATM-LSR。

LSR的体系结构分为两块：

1. 控制平面(Control Plane)

该模块的功能是用来和其他LSR交换三层路由信息，以此建立路由表；和交换标签对路由的绑定信息，以此建Label Information Table(LIB)标签信息表。同时再根据路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表。控制平面也就是我们一般所说的路由引擎模块！

2.数据平面(Data Plane)

数据平面的功能主要是根据控制平面生成的FIB表和LFIB表转发IP包和标签包。

对于控制平面中所使用的路由协议，可以使用以前的任何一种，如OSPF、RIP、BGP等等，这些协议的主要功能是和其他设备交换路由信息，生成路由表。这是实现标签交换的基础。在控制平面中导入了一种新的协议—LDP，该协议的功能是用来针对本地路由表中的每个路由条目生成一个本地的标签，由此生成LIB表，再把路由条目和本地标签的绑定通告给邻居LSR，同时把邻居LSR告知的路由条目和标签帮定接收下来放到LIB表里，最后在网络路由收敛的情况下，参照路由表和LIB表的信息生成FIB表和LFIB表。具体的标签分发模式如下叙述。 　　

2.3 标签的分配和分发

上面叙述到了，MPLS技术是IP技术和ATM技术的融合。LSR和ATM-LSR上实现标签的生成和分发是有点不同的。

2.3.1 包模式(Packet Mode)下的标签的分配和分发

对于实现包模式MPLS网络中，是下游LSR独立生成路由条目和标签的绑定，并且是主动分发出去的。 

2.3.2 信元模式(Cell Mode)下的标签分配和分发

在信元模式下，下游ATM-LSR接收到了上游ATM-LSR标签绑定请求后，下游受控分配标签，被动向上游分发标签。

最上游的LSR-A向ATM-LSR-B发起对网络X的标签求情，ATM-LSR-B再向ATM-LSR-C发请求，最后请求到达LSR-D，LSR-D生成本地对X网络的标签1/37，把该标签告诉ATM-LSR-C，C做同样操作，这样一步一步到达LSR-A。最终生成一条从A->B->C->D的LSP(Label Switch Path)。这样如果A收到要到X网络的数据，A就把IP数据包分割成带有标签的信元，通过ATM接口发送到B，接下来B和C就纯粹做ATM信元的转发，到了D后再把信元组合成IP数据包，发向网络X。

在此要强调的如果要组建以ATM交换机为核心的MPLS网络，那么在ATM网络的边缘必须设置路由器，原因在于ATM交换机只转发信元，无法处理用户数据IP包。当然上面也提到要在ATM交换机上实现MPLS功能，必须在ATM交换机的信令控制部分加入路由协议，而路由信息包往往是打在IP包中的，如RIP，OSPF，BGP等路由协议。ATM交换机为了确保这些以IP包形式传递的路由信息能够在ATM交换机间传递，使用了专门的带外连接通道或者带内的管理VC。

2.4 BGP协议在MPLS网络中的特殊应用

整个Transit AS中启动MPLS交换。保证ISP2和LSR-Border2之间的网段发布到Transit AS内部的IGP路由协议中，对ISP1和LSR-Border2之间的网段也做同样的要求。前面提到过LSR为路由条目分配标签时，只对从IGP学来的路由分配标签，而网络1.2.3.4是被发布到Transit AS内部的IGP路由协议中了，可以肯定在Border1处是可以获得Core1告诉它有关1.2.3.4网络的标签23。LSR-Border1，LSR-Border2之间形成IBGP邻居关系，通过BGP协议，LSR-Border2把从ISP2处学来的10.0.0.0/8这条路由告诉给LSR-Border1，这条路由的下一跳地址是1.2.3.4，这样一来让LSR-Border1得知要给网络10.0.0.0/8发送数据，先把数据发送到1.2.3.4这个网络来。1.2.3.4被绑定了标签23，所以在生成FIB表时，也给10.0.0.0/8这个网段绑定一个标签23。这样，如果有数据从ISP1穿越Transit AS到达ISP2，在Border1处就会给IP包 插上23这个标签，把生成的标签包转发到Core1，Core1就只要分析标签头做标签包的转发就可以了！由于Transit AS内部核心路由器不必要运行BGP协议，这样一来，MPLS网络的核心路由器就不会知道外部用户的路由，缩小了核心路由器的路由表，提高了搜索效率。大家也看到，由于打上了标签，IP包头是不会在核心路由器被分析的，即使IP包头含有10.0.0.1这样的私有IP地址，也会因为只分析标签的原因被正常转发，这就是服务提供商提供VPN服务所追求的。当然在此必须重声，LSP在整个Transit AS不能被断开，如果断开，标签包就恢复成IP包，而核心路由器是不含用户路由的，最终导致数据包的丢失。

BGP在MPLS网络中的作用为我们提供了VPN服务打开了方便之门，但也应该意识到VPN服务两个最基本的要求是1.用户可以独立规划IP地址；2.安全性非常重要！　

以上为两个VPN实例，PE1(PE=Provider Edge device)上分别接了CE1 （CE=Customer Edge device)和CE3，但是CE1和CE3上带到IP地址相同的网段10.1.2.0/8，很明显如果不对PE1路由器做修改，PE1只能认为往10.1.2.0/8的数据要么从S0出，要么从S1出,这样的话，不是CE1就是CE3就更本收不到从PE1发来的前往10.1.2.0/8网段的数据！

如果不对BGP4协议做修改，那么PE2和PE3发送给的PE1的有关10.1.1.0/8网络的路由更新就有可比性，PE1最终会选择一条路由，认为或是PE2或者PE3是发送数据到10.1.1.0/8的必经路由器。这样如果CE1带的10.1.2.0/8网段上的主机给10.1.1.0/8网段上的主机发送数据时，可能会发到CE4所带的10.1.1.0/8的网段上，这样造成了数据泄露。

所以，为了使LSR能提供基于MPLS的VPN服务，还必须对此类设备做修改。

3 基于MPLS的VPN实现

3.1 VPN的历史

VPN服务是很早就提出的概念，不过以前电信提供商提供VPN是在传输网上提供的覆盖型的VPN服务。电信运营商给用户出租线路，用户上层使用何种的路由协议、路由怎么走等等，这些电信运营商不管。这种租用线路来搭建VPN的好处是安全，但是价格昂贵，线路资源浪费严重。

后来随着IP网络的全面铺开，电信服务提供商在竞争的压力下，不得不提供更加廉价的VPN服务，也就是三层VPN服务。通过提供给用户一个IP平台，用户通过IP Over IP的封装格式在公网上打隧道，同时也提供了加密等等的手段提供安全保障。这类VPN用户在目前的网络上数量还是相当巨大的！但是这类VPN服务因大量的加密工作、传统路由器根据IP包头的目的地址转发效率不高等等的原因不是非常令人满意。

MPLS技术的出现和BGP协议的改进，让大家看到了另一种实现VPN的曙光。

3.2 MPLS/VPN体系结构

3.2.1 PE路由器的改造和VRF的导入

为了让PE路由器上能区分是哪个本地接口上送来的VPN用户路由，在PE路由器上创建了大量的虚拟路由器，每个虚拟路由器都有各自的路由表和转发表，这些路由表和转发表统称为VRF(VPN Routing and Forwarding instances)。一个VRF定义了连到PE路由器上的VPN成员。VRF中包含了IP路由表，IP转发表（也成为CEF表），使用该CEF表的接口集和路由协议参数和路由导入导出规则等等。

在VRF中定义的和VPN业务有关的两个重要参数是RD(Route Distinguisher)和RT(Route Target)。RD和RT长度都是64比特。

有了虚拟路由器就能隔离不同VPN用户之间的路由，也能解决不同VPN之间IP地址空间重叠的问题。

3.2.2 MP-BGP协议对VPN用户路由的发布

正常的BGP4协议能只传递IPv4的路由，由于不同VPN用户具有地址空间重叠的问题，必须修改BGP协议。BGP最大的优点是扩展性好，可以在原来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN用户路由时打上RD标记，这样VPN用户传来的IPv4路由转变为VPNv4路由，这样保证VPN用户的路由到了对端的PE上，能够使对端PE区分开地址空间重叠但不同的VPN用户路由。

目前PE和CE之间可支持的路由协议只有四种BGP、OSPF、RIP2或者静态路由。

3.2.3 MPLS/VPN中标签分组的转发

同过MP-BGP协议各个VPN用户路由器学习到正确的路由，现在看看如何转发用户数据的。

1.CE1接收到发往10.1.1.1的IP数据包，查询路由表，把该IP数据包发送到PE1。

2.PE1从S1口上收到IP数据包后，根据S1所在的VRF，查询对应的CEF表，数据包打上标签8，注意该标签就是通过MP-BGP协议传来的。PE1继续查询全局CEF表，获知要把数据发往10.1.1.1，必须先发送到PE2，而要发送到PE2，则必须打上由P1告知的标签2。所以该IP包被打上了两个标签。

3.P1接收到标签包后，分析顶层的标签，把顶层标签换成4，继续发送的P2。

4.P2和P1一样做同样的操作，由于次末中继弹出机制，P2去掉标签4，直接把只带有一个标签的标签包发送的PE2。

5.PE2收到标签包后，分析标签头，由于该标签8是它本地产生的，而且是本地唯一的，所以PE2很容易查出带有标签8的标签包应该去掉标签，恢复IP包原貌，从S1端口发出。

6.CE2获得IP数据包后，进行路由查找，把数据发送到10.1.1.0/8网段上。

4 MPLS/VPN配置实例

要提供VPN服务的前提是：服务提供商的网络必须启用标签交换功能，即把以前的数据网络升级为MPLS网络。然后具体配置PE，PE上的配置按六步走：

1.定义并且配置VRF

2.定义并且配置RD

3.定义RT，并且配置导入导出策略

4.配置MP-BGP协议

5.配置PE到CE的路由协议

6.配置连接CE的接口，将该接口和前面定义的VRF联系起来。

5 总结

上面的配置展现了在单个AS内部实现VPN的配置，当然VPN用户的各个接入点往往是地域跨度很大的，所以经常要涉及到跨AS提供VPN业务的需求。这样的配置会更加复杂，而且需要各个电信运营商配合行动才行，这里就不在具体展开叙述了。

MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务，也能够开展QOS、TE、组播等等的业务。

目前中国网通已经在大规模地在提供基于MPLS技术的VPN业务，其他运营商，如中国电信等也在迎头赶上。很快地，就象WWW技术一样，MPLS技术将会影响我们生活的方方面面)

在深刻理解该集团网络(客户)结构及业务应用的前提下，结合安氏（安全服务公司，自己）在网络安全领域积累的经验，从该集团全局构建网络安全防御体系，包括策略体系、技术体系、产品体系、服务体系， 为该集团提供一个安全、高效网络安全平台。

 

 

某大型企业集团内联网安全解决方案

　1　客户背景

　　经过多年的发展，该公司已发展成为具有较大规模的国际化大型跨国企业集团，集团的业务主要集中在金融、实业和其它服务业领域。

　　集团的网络承载着企业的管理、办公、财务，以及银行、证券、保险等各级子公司的业务系统，因此对网络的安全性要求非常高，网络与系统的安全稳定将直接影响集团对外服务质量及对内管理效率。

　2自身介绍

安氏公司作为国内一流的安全产品及服务提供商，在深刻理解该集团网络及应用的情况下，从集团全局整体考虑构建网络安全防御体系，并辅以多种专业安全服务，提高了网络的安全性与防护能力。　

　　安氏公司　　

　　安氏是一家以技术著称的专业信息安全公司，自1999年成立以来，安氏始终致力于中国本土化自主可控的信息安全技术研究与普及，并不断的发展壮大。公司总部设于北京，在上海、广州、成都、南京等地设有分支机构，业务遍及全国。

　　安氏公司在电信、金融等重点行业率先推出领先的全面信息安全管理方案，并通过覆盖全国的渠道分销网络，销售自主可控的“领信”系列安全产品。密切配合国家的信息安全行业政策，安氏公司以提高中国本土安全技术水平为发展方向，积极担当沟通中外的桥梁角色，不断引入世界顶尖的安全核心技术，将其转化为属于中国的自有知识版权的产品和服务，并重点培育国内安全技术人才，积极为中国信息安全产业的发展打造第一块品牌。　　

3　客户网络现状和安全威胁

　　集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。
　　集团广域网采用MPLS-VPN技术，用来为各个分公司提供骨干网络平台和VPN接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。网络拓扑图如下图所示：

　　从网络安全威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等方面。

4安全需求分析

　　从安全性和实用性角度考虑，安全需求主要包括以下几个方面：

　　1)安全管理咨询

　　安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。

　　2）集团骨干网络边界安全

　　主要考虑骨干网络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。

　　3)集团骨干网络服务器安全

　　主要考虑骨干网络中网关服务器和集团内部的服务器，包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。

　　4) 集团内联网统一的病毒防护

　　主要考虑集团内联网中，包括总公司在内的所有子公司或分公司的病毒防护。

　　5)统一的增强口令认证系统

　　由于系统管理员需要管理大量的主机和网络设备，如何确保口令安全称为一个重要的问题。

　　6) 统一的安全管理平台

　　通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。

　　7)专业安全服务

　　通过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。

　　5方案设计

　　1)骨干网边界安全

　　集团骨干网共有二个Internet出口，位置在北京和广州，每个Internet出口各部署安氏LinkTrust Cyberwall-200F/006防火墙两台。

　　在两个Internet出口处各部署一台安氏LinkTrust Network Defender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrust Network Defender可以实时监控网络中的异常流量，防止恶意入侵。

　　另外部署一台高档PC服务器，该服务器可设置于安全管理运行中心网段，用于对集团骨干网部署的入侵检测进行统一管理和事件收集。

　　具体部署如下图所示：

2)骨干网服务器安全

　　集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。

　　主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。

　　3) 漏洞扫描

　　了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。

　　4)内联网病毒防护

　　病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。

　　病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。

　　5)增强的身份认证系统

　　由于需要管理大量的主机和网络设备，如何确保口令安全也是一个非常重要的问题。

　　减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素，而且需要第二个要素，也即用户拥有的，通常是认证令牌，这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外，还必须拥有一个认证令牌。而且口令一般是一次性的，这样每次的口令是动态变化的，大大提高了安全性。

　　6)统一安全平台的建立

　　通过建立统一的安全管理平台（安全运行管理中心—SOC），建立起集团的安全风险监控体系，利于从全局的角度发现网络中存在的安全问题，并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。

　　7)专业的安全服务

　　安氏的目标是帮助用户建设完整、坚固的信息安全体系，因此我们从用户对安全的需求出发，依托安氏在安全领域强大的实力，为用户提供全面的安全解决方案。

安全是一个动态的过程，安氏提出了独特的PADIMEE TM 方法论，并将自身业务和PADIMEE TM周期中的每个环节紧密地结合起来：

　　策略（Policy）

　　评估(Assessment)

　　设计(Design)

　　执行(Implementation)

　　管理(Management)

　　紧急响应(Emergency Response)

　　教育(Education)　　

　　6 实施效果预测

　　本项目实施完成后，在该集团和安氏安全管理专家的共同努力下，为该集团量身定制完善、可操作性强的企业安全策略。根据这个策略制定了详细的流程、规章制度、标准、用户手册等规范，通过实施这一系列策略规范，为整个企业范围内的安全管理搭建了坚实的平台。

　　采用安氏的安全产品，基本上可以防范各类DOS攻击，发现和防范各种黑客的入侵。通过使用防火墙对关键网段的控制，保证了只有许可的人员才能访问关键服务器。通过入侵检测，对许可访问人员的行为进行审计和检测。通过安全管理中心对这些日志进行保存和审核，这一系列的手段保障了对来自内部攻击和误用的限制。

　　通过安全管理咨询和加固服务，邮件防毒、服务器防毒、工作站防毒系统，全面减少了网络受病毒感染的风险，将这些风险控制在一个可以控制的范围。