多協(xié)議標(biāo)簽交換虛擬專用網(wǎng) (MPLS VPN) 推出了一種對(duì)等模式，可以支持大規(guī)模 IP VPN 實(shí)施。這種模式極大地簡(jiǎn)化了 VPN 客戶和服務(wù)供應(yīng)商的路由和可管理性，與此同時(shí)，確保了 VPN 間的正確隔離。為實(shí)施該模式， MPLS VPN 需要現(xiàn)有 IP 路由協(xié)議擴(kuò)展和一個(gè) MPLS 傳輸網(wǎng)絡(luò)。 Cisco IOS 軟件版本 12.0(28)S 及更高版本都支持 思科 IP MPLS VPN ，它采用了與 MPLS VPN 相同的功能，但是用 IP 傳輸替代了 MPLS 傳輸。 VPN 流量由 IP 隧道，而非 MPLS 標(biāo)簽交換路徑 (LSP) 傳輸。該特性使 IP 網(wǎng)絡(luò)上實(shí)現(xiàn)了在 MPLS 上無法支持的 MPLS VPN 服務(wù)。

應(yīng)用、服務(wù)和架構(gòu)

無論是在 IP 或 MPLS 骨干網(wǎng)上實(shí)施，思科 IP MPLS VPN 都保有相同的應(yīng)用和服務(wù)特征。例如，公司可以利用該技術(shù)將 IP 網(wǎng)絡(luò)分段，以在其架構(gòu)中支持不同的群組，或者為其他服務(wù)方提供專用 IP 服務(wù)。這種分段支持重疊地址和靈活的流量轉(zhuǎn)發(fā)拓?fù)浣Y(jié)構(gòu)。在另外一種情況下，網(wǎng)絡(luò)工程師可以利用該技術(shù)構(gòu)建一種集中服務(wù)器基礎(chǔ)設(shè)施，由多個(gè) VPN 共享。

思科 IP MPLS VPN 為 VPN 服務(wù)供應(yīng)商和用戶提供了全新的應(yīng)用和服務(wù)機(jī)遇。例如， MPLS VPN 服務(wù)供應(yīng)商可以利用自治系統(tǒng)間配置，將其服務(wù)擴(kuò)展至非 MPLS 支持的網(wǎng)絡(luò)。同樣，兩家供應(yīng)商可以就 MPLS VPN 服務(wù)達(dá)成對(duì)等協(xié)議，即使他們采用的是 IP 傳輸。在另一個(gè)案例中， MPLS VPN 用戶可以將 VPN 服務(wù)分區(qū)，以便創(chuàng)建其自身的內(nèi)部 VPN 服務(wù)。由于在用戶和供應(yīng)商間幾乎無需協(xié)調(diào)，所以，這種應(yīng)用為分級(jí) VPN 配置的實(shí)施提供了更高的靈活性。圖 1 對(duì)采用思科 IP MPLS VPN 的兩種示范應(yīng)用進(jìn)行了介紹。

思科 IP MPLS VPN 采用多點(diǎn) IP 隧道集合和一個(gè)獨(dú)立地址空間，擴(kuò)展了原始 MPLS VPN 架構(gòu)。每個(gè)供應(yīng)商邊緣 (PE) 都擁有一個(gè)多點(diǎn)隧道接口，用于連接 PE 和其他所有享有 VPN 服務(wù)的 PE 。該隧道可以轉(zhuǎn)發(fā) VPN 分組至相應(yīng)的目的地 PE ，且同時(shí)使 VPN 分組傳輸對(duì)于中間節(jié)點(diǎn)保持透明。每個(gè) PE 可以通過隧道自動(dòng)搜索其他可訪問的 PE （即隧道終端）。

圖 1 采用思科 IP MPLS VPN 的兩種示范應(yīng)用： VPN 服務(wù)擴(kuò)展和分層 VPN

圖 2 采用思科 IP MPLS VPN 的網(wǎng)絡(luò)邏輯視圖

采用思科 IP MPLS VPN 的網(wǎng)絡(luò)邏輯視圖

PE 搜索過程利用了邊界網(wǎng)關(guān)協(xié)議 (BGP) 多點(diǎn)協(xié)議的簡(jiǎn)單擴(kuò)展，它構(gòu)建于早已應(yīng)用于各種 MPLS VPN 的 BGP 擴(kuò)展之上。多點(diǎn)隧道的獨(dú)立地址空間為 VPN 流量提供了隔離功能。這種架構(gòu)保有與傳統(tǒng) MPLS VPN 服務(wù)相同的可擴(kuò)展性，并可擴(kuò)展以支持多項(xiàng) IP 隧道技術(shù)（見圖 2 ）。

流量轉(zhuǎn)發(fā)和封裝

思科 MPLS VPN 的基本分組轉(zhuǎn)發(fā)功能獨(dú)立于所選的骨干網(wǎng)傳輸方式 (MPLS 或 IP) 。在這兩種情況下，利用 PE 支持的各個(gè) VPN 的虛擬路由和轉(zhuǎn)發(fā) (VRF) 實(shí)例功能， VPN 流量可以在 PE 內(nèi)保持獨(dú)立。但是，根據(jù)思科 MPLS VPN 中傳輸網(wǎng)絡(luò)的不同，分組封裝也有所差異。當(dāng)使用 IP 傳輸時(shí)，有兩個(gè)封裝組件：隧道報(bào)頭和 VPN 報(bào)頭。隧道報(bào)頭負(fù)責(zé)傳輸分組至輸出 PE ，而 VPN 報(bào)頭則負(fù)責(zé)確定該位置的相應(yīng) VPN 分組處理流程。

思科 IP MPLS VPN 當(dāng)前的實(shí)施采用了第二層隧道協(xié)議版本 3 (L2TPv3) 作為 IP 隧道技術(shù)。隧道報(bào)頭利用 L2TPv3 進(jìn)程 ID 字段識(shí)別需要 MPLS VPN 處理流程的 IP VPN 分組，并利用 Cookie 字段提供電子欺騙保護(hù)。作為封裝的最后部分， VPN 報(bào)頭采用了與 MPLS 傳輸中 MPLS VPN 所用相同的 VPN 標(biāo)簽。圖 3 對(duì)不同傳輸中提供的 MPLS VPN 服務(wù)封裝進(jìn)行了比較。

L2TPv3 為 VPN 流量提供了針對(duì)外部攻擊的內(nèi)置保護(hù)。一位惡意用戶可能會(huì)向 PE 發(fā)送 VPN 封裝分組，從而試圖向 VPN 輸入分組。在使用 MPLS 傳輸時(shí)，一般可通過拒絕客戶訪問接口上來自 VPN 用戶的 MPLS 分組，來防御這類攻擊。在實(shí)施 IP MPLS VPN 傳輸時(shí)， PE 設(shè)備一般更易于受到 IP 電子欺騙攻擊。網(wǎng)絡(luò)邊界或 PE 本身需特殊配置和額外處理（如訪問控制列表，即 ACL 等）來識(shí)別和阻塞偽裝的 VPN 分組。通過直接在 PE 中采用強(qiáng)大的電子欺騙防御功能， L2TPv3 在接近客戶的地點(diǎn)提供電子欺騙防御。所以，無論有無 IP ACL ， L2TPv3 都可防止特定 VPN 上的外部電子欺騙攻擊，這是因?yàn)槊總€(gè) PE 利用預(yù)先加密的隨機(jī) 64 位 Cookie 來轉(zhuǎn)發(fā)分組。

在 100Mpps 的攻擊速率下，要想針對(duì)思科 IP MPLS VPN 部署實(shí)施一次成功的盲目電子欺騙攻擊，將需要至少 6000 年。惡意用戶需知道入口和出口 PE 的 IP 地址、 L2TPv3 進(jìn)程 ID 和 Cookie ，以及 VPN 標(biāo)簽，才能從外部向 VPN 輸入流量。猜測(cè)出隨機(jī)（ 64 位） L2TPv3 Cookie 值的巨大投入消除了成功攻擊的可能性。其他字段幾乎不會(huì)提供超出 L2TPv3 Cookie 的額外保護(hù)，因?yàn)樗鼈儾荒芤噪S機(jī)加密方式選擇，因此其規(guī)模不夠龐大，無法阻止一位堅(jiān)定的攻擊者進(jìn)行猜測(cè)。

當(dāng)需要非加密解決方案時(shí)， MPLS VPN 可使用其他 IP 隧道封裝，如 IP MPLS 或通用路由封裝 (GRE) 。采用普通 IP 隧道封裝（ IP MPLS ）的 MPLS VPN 實(shí)施是最簡(jiǎn)單的，但最易受攻擊。假設(shè)一位惡意用戶已發(fā)現(xiàn)了 PE 的源和目的地 IP 地址，該用戶只需猜測(cè)一個(gè)正確的 VPN 標(biāo)簽（ 20 位）。即便在低攻擊速率（數(shù)千 pps ）的情況下，可能在幾秒內(nèi)就會(huì)發(fā)生安全違背。

第二種方式是使用 GRE 協(xié)議，它有一個(gè)未定義的保留密鑰（ 32 位）字段。但即使此密鑰以類似于 L2TPv3 Cookie 的方式使用 ( 即填充加密隨機(jī)值 ) ，它仍無法提供足夠的防電子欺騙保護(hù)。在相對(duì)較低的攻擊速率下，數(shù)小時(shí)后就可能出現(xiàn)安全違背（ 100,000pps 時(shí)不到 12 小時(shí)）。因此， GRE 對(duì)此應(yīng)用意義不大，且會(huì)因?yàn)樾铏z查和驗(yàn)證各種可選字段而帶來不必要的開銷。

圖 3 IP 網(wǎng)絡(luò)上提供的 MPLS VPN 服務(wù)與 MPLS 網(wǎng)絡(luò)上提供的 MPLS VPN 服務(wù)的具體封裝比較

VPN 路由分發(fā)，隧道終端發(fā)現(xiàn)

無論采用什么骨干傳輸（ IP 或 MPLS ）， MPLS VPN 都使用相同的 VPN 路由分發(fā)機(jī)制。但 VPN 路由解析在思科 IP MPLS VPN 和 MPLS 上的 MPLS VPN 中的運(yùn)行方式不同。在處理輸入 VPNv4 BGP 更新時(shí)， MPLS VPN 一般需要 PE 對(duì) BGP 下一跳執(zhí)行回歸式路由查詢。當(dāng)采用 MPLS 骨干時(shí)， PE 將把下一跳與現(xiàn)有 LSP 匹配。當(dāng)采用 IP 骨干時(shí)， PE 將把下一跳與現(xiàn)有隧道終端相匹配。

成功的匹配可選出作為分組輸出接口的多點(diǎn)隧道。該過程保證分組能正確地通過隧道、以正確的封裝轉(zhuǎn)發(fā)。為正確地進(jìn)行解析， BGP 下一跳被分解為與隧道相關(guān)的獨(dú)立地址空間。否則就會(huì)針對(duì)全球路由空間嘗試解析，以搜索不存在的 LSP 。

思科 IP MPLS VPN 提供自動(dòng)隧道終端發(fā)現(xiàn)和隧道參數(shù)標(biāo)記。在能進(jìn)行正確的 VPNv4 BGP 下一跳解析之前，每個(gè) PE 都需要知道可通過多點(diǎn)隧道訪問其他哪些 PE （終端）。此外，每個(gè) PE 需知道其他 PE 希望使用的 L2TPv3 進(jìn)程 ID 和 Cookie ，以便 VPN 分組能準(zhǔn)確封裝。此信息的手動(dòng)配置不可擴(kuò)展；隨著 PE 數(shù)目的增加，隧道簡(jiǎn)單的多點(diǎn)特性就會(huì)被破壞。

PE 利用現(xiàn)有多協(xié)議 BGP(MP-BGP) 基礎(chǔ)設(shè)施來分發(fā)隧道終端信息。思科 IP MPLS VPN 在 MP-BGP 中定義了一個(gè)新的隧道地址系列擴(kuò)展。此地址系列可用于標(biāo)記 L2TPv3 隧道地址、進(jìn)程 ID 和 Cookie 。 L2TPv3 只可用作封裝機(jī)制。本地 L2TPv3 控制面板不起作用。因?yàn)橐研?MP-BGP 來分發(fā) VPNv4 路由信息，此擴(kuò)展的運(yùn)行和處理影響極低。相反，當(dāng) MPLS 用作傳輸機(jī)制時(shí)，終端發(fā)現(xiàn)與 VPNv4 廣播相關(guān)聯(lián)，不標(biāo)記封裝類型 (MPLS) 及其 (LSP) 參數(shù)。有關(guān)通過 MP-BGP 了解的隧道終端信息，請(qǐng)?jiān)L問 cisco.com/packet/171_5c1 。

思科 IP MPLS VPN 將 L2TPv3 用作 IP 隧道技術(shù)，提供了純 IP 和 GRE 均缺乏的防電子欺騙保護(hù)。控制面板操作得到了擴(kuò)展，可支持隧道終端發(fā)現(xiàn)和通過隧道的 VPNv4 下一跳解析。憑借思科 IP MPLS VPN ，現(xiàn)在 MPLS VPN 能以一種可擴(kuò)展、安全的方式，部署于任意 IP 網(wǎng)絡(luò)之上。

深入閱讀

• 思科 IP MPLS VPN 文檔 cisco.com/packet/171_5c2
• L2TPv3 上的 BGP/MPLS IP VPN IETF 草案 cisco.com/packet/171_5c3
• L2TPv3 上的 MPLS 封裝 IETF 草案 cisco.com/packet/171_5c4

SANTIAGO ALVAREZ ， CCIE 號(hào) 3621 ，是思科互聯(lián)網(wǎng)技術(shù)部的一名技術(shù)營(yíng)銷工程師，主要從事的領(lǐng)域是 MPLS 和 QoS 技術(shù)。他一直是 Networkers 的特邀演講人和 Packet 的固定撰稿人。 聯(lián)系方式： saalvare@cisco.com 。