關(guān)于民航通信網(wǎng)中MPLS VPN技術(shù)的安全性探討

周秉勝　佟林　劉鶴　蘇倍　劉曄

摘 要：民航通信網(wǎng)現(xiàn)已安裝完成，現(xiàn)有空管業(yè)務(wù)將逐步由現(xiàn)有傳輸網(wǎng)逐步切割至民航通信網(wǎng)，對(duì)其安全性討論尤為重要。MPLS VPN技術(shù)優(yōu)勢(shì)明顯，在實(shí)際應(yīng)用過(guò)程中可以讓網(wǎng)絡(luò)運(yùn)行更加安全。因此，本文從不同角度入手探討了基于MPLS VPN技術(shù)的網(wǎng)絡(luò)安全性，靈活、科學(xué)運(yùn)用的同時(shí)發(fā)揮各方面優(yōu)勢(shì)，最大化提升網(wǎng)絡(luò)運(yùn)行的安全性以及經(jīng)濟(jì)性。

關(guān)鍵詞：MPLS VPN技術(shù);網(wǎng)絡(luò)安全性;探討

隨著空管業(yè)務(wù)不斷增加，業(yè)務(wù)類(lèi)型呈現(xiàn)日漸多元化、跨地域性的特點(diǎn)，對(duì)業(yè)務(wù)接入的便捷性、安全穩(wěn)定、實(shí)時(shí)性要求日益加強(qiáng)[1]?，F(xiàn)有空管核心業(yè)務(wù)，采用民航TDM網(wǎng)進(jìn)行傳輸，如雷達(dá)、甚高頻、轉(zhuǎn)報(bào)、ADS-B等業(yè)務(wù)，基于MPLS L2VPN技術(shù);視頻會(huì)議、民航電子政務(wù)等IP數(shù)據(jù)業(yè)務(wù)，采用民航IP網(wǎng)進(jìn)行傳輸，基于MPLS L3VPN技術(shù)。如何有效解決網(wǎng)絡(luò)安全問(wèn)題至關(guān)重要，要在深化探究、分析MPLS VPN技術(shù)過(guò)程中科學(xué)實(shí)施、部署，構(gòu)建、完善專(zhuān)有網(wǎng)絡(luò)的同時(shí)控制安全風(fēng)險(xiǎn)發(fā)生，在網(wǎng)絡(luò)安全運(yùn)行過(guò)程中促使傳輸?shù)男畔?shù)據(jù)有著較高的準(zhǔn)確度、完整性，實(shí)現(xiàn)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

一、MPLS VPN技術(shù)分析

MPLS VPN技術(shù)就是基于MPLS技術(shù)的VPN[2]，將MPLS技術(shù)靈活、有效運(yùn)用到交換設(shè)備、路由，構(gòu)建虛擬專(zhuān)用網(wǎng)，在完善專(zhuān)用網(wǎng)、公眾網(wǎng)的基礎(chǔ)上將各自多樣化功能有機(jī)結(jié)合，比如，安全性、高效性、擴(kuò)展性，有效解決傳統(tǒng)VPN技術(shù)應(yīng)用中呈現(xiàn)的地址重疊等問(wèn)題。在MPLS VPN技術(shù)作用下，不同用戶(hù)VPN可以在實(shí)踐中運(yùn)用一樣的私有地址空間，也可以通過(guò)公共骨干網(wǎng)絡(luò)隨時(shí)交換一系列信息數(shù)據(jù)。此外，服務(wù)提供商可以在利用MPLS VPN技術(shù)過(guò)程中完善運(yùn)營(yíng)商邊界設(shè)備，使其在運(yùn)行中充分發(fā)揮多層面功能，以客戶(hù)需求為導(dǎo)向，設(shè)置專(zhuān)用虛擬路由轉(zhuǎn)發(fā)表，根據(jù)客戶(hù)邊界設(shè)備發(fā)送的路由，通過(guò)本地入口運(yùn)營(yíng)商邊界設(shè)備，將對(duì)應(yīng)的報(bào)文打上標(biāo)簽，在骨干網(wǎng)絡(luò)內(nèi)部交換外層標(biāo)簽，再通過(guò)運(yùn)營(yíng)商設(shè)備，將VPN報(bào)文傳送到遠(yuǎn)端運(yùn)營(yíng)商邊界設(shè)備作用下的虛擬路由轉(zhuǎn)發(fā)表。在內(nèi)層標(biāo)簽作用下，報(bào)文達(dá)到的客戶(hù)邊界設(shè)備明確化，報(bào)文在傳送到運(yùn)營(yíng)商邊界設(shè)備的時(shí)候，報(bào)文外層標(biāo)簽被削掉，遠(yuǎn)端運(yùn)營(yíng)商邊界設(shè)備只需要通過(guò)內(nèi)層標(biāo)簽便可以知道對(duì)應(yīng)的轉(zhuǎn)發(fā)接口，及時(shí)將相關(guān)的信息數(shù)據(jù)傳送到對(duì)應(yīng)客戶(hù)站點(diǎn)作用下的客戶(hù)邊界設(shè)備。

二、基于MPLS VPN技術(shù)的網(wǎng)絡(luò)安全性

控制平面、數(shù)據(jù)平面、管理平面是當(dāng)下MPLS體系結(jié)構(gòu)的構(gòu)成要素[3]，在網(wǎng)絡(luò)安全性部署過(guò)程中，MPLS網(wǎng)絡(luò)系統(tǒng)高效運(yùn)行的同時(shí)發(fā)揮多樣化功能，促使控制平面不同設(shè)備作用下的一系列VPN路由信息都能得到可靠傳送，信息有著較高的精準(zhǔn)度，數(shù)據(jù)平面各類(lèi)設(shè)備作用下繁雜化VPN客戶(hù)數(shù)據(jù)都能實(shí)現(xiàn)私密傳送，各方面數(shù)據(jù)有著較高的完整度，管理平面上的網(wǎng)管能夠安全以及穩(wěn)定運(yùn)行，在源頭上解決網(wǎng)絡(luò)運(yùn)行中呈現(xiàn)的各類(lèi)安全問(wèn)題，提高網(wǎng)絡(luò)運(yùn)行的整體效果，確保日常各項(xiàng)業(yè)務(wù)活動(dòng)有序開(kāi)展。下面從控制平面、數(shù)據(jù)平面、管理平面入手，進(jìn)一步探討、分析了在應(yīng)用MPLS VPN技術(shù)過(guò)程中網(wǎng)絡(luò)各層面安全性部署。

（一）控制平面安全性

運(yùn)營(yíng)商邊界設(shè)備可以稱(chēng)之為PE設(shè)備，存儲(chǔ)VRF、骨干網(wǎng)邊緣路由器、處理VPN-IPv4路由是其構(gòu)成部分[3]，直接關(guān)系到MPLS三層是否順利實(shí)現(xiàn)。運(yùn)營(yíng)商設(shè)備可以稱(chēng)之為P設(shè)備，MPLS轉(zhuǎn)發(fā)是其主要功能，客戶(hù)邊界設(shè)備可以稱(chēng)之為CE設(shè)備，客戶(hù)網(wǎng)絡(luò)路由發(fā)布是其主要功能。在控制平面安全性部署中，借助對(duì)應(yīng)的動(dòng)態(tài)路由協(xié)議，CE設(shè)備可以及時(shí)向運(yùn)行中的PE設(shè)備傳送繁雜化的本地路由信息，但在信息傳送過(guò)程中MPLS核心外界知道PE路由器具體地址的可能性特別大，MPLS核心網(wǎng)絡(luò)運(yùn)行中極易被黑客攻擊。針對(duì)這一安全問(wèn)題，可以在CE設(shè)備、PE設(shè)備二者間配置適宜的靜態(tài)路由，提高設(shè)備運(yùn)行環(huán)境的安全系數(shù)，確保CE設(shè)備在運(yùn)行過(guò)程中指向的接口地址只有一個(gè)，在各方面信息傳送過(guò)程中也不需要知道MPLS核心網(wǎng)絡(luò)運(yùn)行地址。就大型網(wǎng)絡(luò)而言，在靜態(tài)路由管理過(guò)程中需要投入較多的資金，需要對(duì)路由進(jìn)行規(guī)范化匯總。一旦內(nèi)部網(wǎng)絡(luò)環(huán)境變化，需要根據(jù)各方面實(shí)際情況，合理調(diào)整、配置運(yùn)行中的PE設(shè)備、CE設(shè)備，否則，極易引發(fā)安全風(fēng)險(xiǎn)隱患問(wèn)題。在應(yīng)用MPLS VPN技術(shù)過(guò)程中，必須根據(jù)網(wǎng)絡(luò)系統(tǒng)具體情況以及在網(wǎng)絡(luò)運(yùn)行方面投入的成本，決定是否將靜態(tài)路由配置到PE設(shè)備、CE設(shè)備二者間。此外，還需要考慮是否利用關(guān)于動(dòng)態(tài)路由的協(xié)議。在該協(xié)議作用下，PE路由器接收到本地以及遠(yuǎn)程CB設(shè)備路由更新信息的可能性較大，由于網(wǎng)絡(luò)運(yùn)行環(huán)境復(fù)雜多變，接收的路由更新信息不一定都正常，存在較大的安全風(fēng)險(xiǎn)。一旦作用到PE設(shè)備的VRF路由更新特別多，PE設(shè)備運(yùn)行異常，MPLS VPN技術(shù)的功能作用也無(wú)法順利發(fā)揮。在動(dòng)態(tài)路由協(xié)議應(yīng)用過(guò)程中，必須全方位高效控制VRF路由更新，利用MPLS VPN技術(shù)實(shí)現(xiàn)CE設(shè)備安全認(rèn)證，確保傳送、交換的各類(lèi)路由信息有著較高的安全系數(shù)。

（二）數(shù)據(jù)平面安全性

在數(shù)據(jù)平面安全性部署過(guò)程中，全方位、多層次分析形式多樣化的IP數(shù)據(jù)包傳送的時(shí)候被嗅探、篡改的具體情況，以MPLS VPN技術(shù)為切入點(diǎn)，以網(wǎng)絡(luò)運(yùn)行環(huán)境變化為基礎(chǔ)，提出合理化的預(yù)防對(duì)策，在高效預(yù)防的基礎(chǔ)上保證IP數(shù)據(jù)包傳送安全。MPLS是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由地址、轉(zhuǎn)發(fā)和交換等能力。它具有管理各種不同形式通信流的機(jī)制。MPLS 獨(dú)立于第二和第三層協(xié)議，諸如ATM 和IP。它提供了一種方式，將IP地址映射為簡(jiǎn)單的具有固定長(zhǎng)度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。在安全性部署過(guò)程中，要在綜合分析的基礎(chǔ)上將多種安全技術(shù)應(yīng)用其中，比如，防火墻技術(shù)、入侵檢測(cè)技術(shù)，促使加密技術(shù)優(yōu)勢(shì)作用更好地發(fā)揮，高效預(yù)防網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患的同時(shí)保證數(shù)據(jù)傳送安全。

（三）管理平面安全性

在管理平面安全性部署過(guò)程中，從不同層面入手了解網(wǎng)管系統(tǒng)運(yùn)行情況，在優(yōu)化、完善的基礎(chǔ)上高效管理對(duì)應(yīng)的訪問(wèn)權(quán)限。根據(jù)被管理的各類(lèi)設(shè)備網(wǎng)管接口具體情況，設(shè)置針對(duì)性訪問(wèn)全新的同時(shí)有效控制各類(lèi)訪問(wèn)，在得到相關(guān)認(rèn)證之后，才能對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行各方面操作。此外，采用帶外形式，確保運(yùn)行中的網(wǎng)管系統(tǒng)可以實(shí)現(xiàn)多樣化的訪問(wèn)，確保繁雜化的管理信息、業(yè)務(wù)數(shù)據(jù)都能及時(shí)被安全傳送，避免網(wǎng)管系統(tǒng)運(yùn)行中安全風(fēng)險(xiǎn)隱患頻繁發(fā)生。

三、結(jié)語(yǔ)

總而言之，基于空管業(yè)務(wù)的安全性及穩(wěn)定性的需求，我們應(yīng)根據(jù)網(wǎng)絡(luò)運(yùn)行以及業(yè)務(wù)開(kāi)展情況，結(jié)合網(wǎng)絡(luò)安全性要求，高效運(yùn)用MPLS VPN技術(shù)的同時(shí)優(yōu)化網(wǎng)絡(luò)運(yùn)行全過(guò)程，在科學(xué)部署的過(guò)程中同步提高網(wǎng)絡(luò)系統(tǒng)設(shè)備的安全性以及整體性能，促使傳送的信息數(shù)據(jù)更加私密、精準(zhǔn)、完整，在保證業(yè)務(wù)安全過(guò)程中以最小化的運(yùn)維成本實(shí)現(xiàn)最大化的經(jīng)濟(jì)效益。

參考文獻(xiàn)：

[1]鐘文基.無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)分析及其安全性研究[J].無(wú)線(xiàn)互聯(lián)科技，2018，15（17）：163-164.

[2]陸旭，劉文龍，吳雪梅.基于MPLS VPN+VLAN模式的數(shù)據(jù)通信網(wǎng)安全防護(hù)優(yōu)化實(shí)施方案的研究與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2018，36（09）：190-193.

[3]杜平.網(wǎng)絡(luò)安全技術(shù)中VPN技術(shù)的應(yīng)用探究[J].中國(guó)新通信，2019，21（18）：107-107.

[4]趙朋.MTU配置對(duì)MPLS VPN網(wǎng)絡(luò)的影響分析及排故思路[J].現(xiàn)代傳輸，2019（03）：50-51.