IPSEC隧道技術(shù)在BGP/MPLS VPN中的研究與應(yīng)用

侯海燕，張 燁

（1.無錫科技職業(yè)學(xué)院 物軟學(xué)院，江蘇 無錫 214028；2.江蘇宏知信物聯(lián)網(wǎng)科技有限公司工程部，江蘇 蘇州 215200）

IPSEC隧道技術(shù)在BGP/MPLS VPN中的研究與應(yīng)用

侯海燕1，張 燁2

（1.無錫科技職業(yè)學(xué)院 物軟學(xué)院，江蘇 無錫 214028；2.江蘇宏知信物聯(lián)網(wǎng)科技有限公司工程部，江蘇 蘇州 215200）

現(xiàn)代網(wǎng)絡(luò)環(huán)境日益復(fù)雜，如何在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，保證信息安全有效地傳遞，成為目前企業(yè)用戶重點關(guān)注的問題。因此，在BGP/MPLS隧道內(nèi)嵌套IPSec隧道，使企業(yè)利用運營商公有網(wǎng)絡(luò)，實現(xiàn)總部與各地分部之間安全、可靠、動態(tài)地互聯(lián)，讓總分部的異地私網(wǎng)間的通信可以像在同一個私網(wǎng)內(nèi)一樣高效安全。分析BGP/MPLS VPN的應(yīng)用環(huán)境和缺陷，提出將IPsec應(yīng)用到BGP/MPLS VPN中，以加強數(shù)據(jù)傳輸?shù)陌踩?，?guī)劃設(shè)計出一種可行的企業(yè)網(wǎng)絡(luò)方案并予以模擬實現(xiàn)，并將應(yīng)用IPsec前后的網(wǎng)絡(luò)性能做對比，以驗證其可行性。

IPSEC；BGP/MPLS VPN；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)負(fù)載

0 引 言

在解決企業(yè)異地私網(wǎng)互聯(lián)問題上，大多數(shù)企業(yè)采用的是IPSEC VPN技術(shù)或者BGP/MPLS VPN技術(shù)。IPSEC VPN技術(shù)通過IKE來實現(xiàn)對遠(yuǎn)端用戶的認(rèn)證，同時通過IPSEC技術(shù)，實現(xiàn)對報文的加密，從而保證數(shù)據(jù)傳輸?shù)陌踩浴GP/MPLS VPN技術(shù)是通過BGP和MPLS兩種技術(shù)配置實現(xiàn)的一種VPN技術(shù)，可實現(xiàn)點到多點的動態(tài)隧道建立，不需要手動靜態(tài)配置。IPSEC VPN可實現(xiàn)靜態(tài)點到點之間建立加密VPN隧道，缺陷在于當(dāng)企業(yè)需要網(wǎng)點擴充的時候（如有新建立的辦事處、分中心等），需要管理員手動靜態(tài)配置，且隨著網(wǎng)絡(luò)規(guī)模的擴大，VPN隧道的數(shù)量成N的平方增長，增加了成本。

BGP/MPLS VPN隧道網(wǎng)絡(luò)可實現(xiàn)隧道的動態(tài)建立，異地私網(wǎng)的增加或減少不需要管理員添加或刪除隧道配置，缺陷在于其不具備數(shù)據(jù)加密能力。該技術(shù)只能使私網(wǎng)數(shù)據(jù)流在公網(wǎng)上透明傳輸，不能對數(shù)據(jù)進行加密，也就不能保證企業(yè)網(wǎng)絡(luò)數(shù)據(jù)傳遞的安全性[1]。

針對以上兩種VPN的優(yōu)缺點，本文設(shè)計了一種IPSEC over BGP/MPLS VPN的隧道嵌套模式，使得IPSEC和BGP/MPLS都可充分發(fā)揮自己的優(yōu)勢，規(guī)避自己的劣勢，從而在能夠?qū)崿F(xiàn)用戶的認(rèn)證、報文的加密的前提下，保證動態(tài)組網(wǎng)。

1 BGP/MPLS VPN的工作原理

BGP/MPLS VPN是一種三層VPN。它使用BGP協(xié)議在服務(wù)提供商骨干網(wǎng)上發(fā)布路由，使用MPLS在服務(wù)提供商骨干網(wǎng)上轉(zhuǎn)發(fā)報文。BGP/MPLS VPN網(wǎng)絡(luò)架構(gòu)由CE設(shè)備、PE設(shè)備和P設(shè)備三部分構(gòu)成。CE設(shè)備即用戶網(wǎng)絡(luò)的邊緣設(shè)備，一般由用戶的核心路由器來充當(dāng)。PE設(shè)備是運營商的MPLS網(wǎng)絡(luò)的邊緣設(shè)備，與CE直接相連。P設(shè)備負(fù)責(zé)基本MPLS轉(zhuǎn)發(fā)能力，不負(fù)責(zé)維護VPN信息。在基本BGP/ MPLS VPN應(yīng)用中，VPN報文采取標(biāo)簽轉(zhuǎn)發(fā)的方式進行轉(zhuǎn)發(fā)，具有兩層標(biāo)簽。第一層為公網(wǎng)標(biāo)簽。該標(biāo)簽在骨干網(wǎng)內(nèi)部進行交換，目的是建立一條從本端PE到對端PE的轉(zhuǎn)發(fā)路徑（LSP）。VPN報文利用這層標(biāo)簽，可以沿LSP到達(dá)對端PE[2]。第二層為私網(wǎng)標(biāo)簽，用在PE與CE之間，用來指示報文應(yīng)被送到哪個私網(wǎng)即哪一個CE，對端PE根據(jù)內(nèi)層標(biāo)簽，可以找到轉(zhuǎn)發(fā)報文的接口。

2 IPsec over BGP/MPLS VPN的設(shè)計方案

BGP/MPLS VPN不可以對數(shù)據(jù)報文進行加密，不能保證數(shù)據(jù)傳遞的安全性。如果將IPSEC加密技術(shù)嵌入到BGP/MPLS VPN中，使VPN報文發(fā)送前先進行一次IPSEC加密，則可保證VPN站點的安全。本文從理論設(shè)計和實踐仿真兩個層次，證明該方案的可行性。

2.1 IPSEC協(xié)議簡介

IPSec協(xié)議通過在網(wǎng)絡(luò)層對數(shù)據(jù)的來源進行認(rèn)證，對數(shù)據(jù)進行加密，對數(shù)據(jù)完整性進行校驗，并采用抗重放功能，以保證通信雙方的數(shù)據(jù)在Internet上傳遞時的安全性。IPSec包括認(rèn)證頭協(xié)議AH（Authentication Header）、封裝安全載荷協(xié)議ESP（Encapsulating Security Payload）、因特網(wǎng)密鑰交換協(xié)議IKE（Internet Key Exchange），以保護主機與主機之間、主機與網(wǎng)關(guān)之間、網(wǎng)關(guān)與網(wǎng)關(guān)之間的一個或多個數(shù)據(jù)流。其中，AH和ESP兩個安全協(xié)議用于提供安全服務(wù)，IKE協(xié)議用于密鑰交換[3]。

常用的隧道模式中，AH協(xié)議包頭或ESP協(xié)議包頭被插入在原始報文的IP頭之前，并且會生成一個新的IP頭（新IP頭的源IP地址為本端IPsec對等體的IP地址，目的IP地址為對端IPSec對等體的IP地址）放到AH報頭或ESP報頭之前。這使得兩臺主機在通過公網(wǎng)進行通信時得以隱藏自己真實的IP地址，從而起到保護網(wǎng)絡(luò)安全的作用。

2.2 IPsec over BGP/MPLS VPN方案設(shè)計

IPsec over BGP/MPLS VPN也由CE設(shè)備、PE設(shè)備和P設(shè)備三部分構(gòu)成。CE與PE間由原先無保護改用IPSEC隧道封裝數(shù)據(jù)，然后再通過BGP/MPLS VPN二次封裝后，傳遞IPSEC加密后的原始數(shù)據(jù)，解決了BGP/MPLS VPN不可加密的缺點。由于PE間還是使用BGP/MPLS VPN兩層標(biāo)簽傳遞數(shù)據(jù)，可靈活動態(tài)建立多私網(wǎng)的VPN會話。理論模型建立，如圖1所示。

圖1 IPSEC over BGP/MPLS VPN封裝格式

工作原理設(shè)計如下[4-5]：

（1）數(shù)據(jù)流在進行傳輸?shù)倪^程中，要經(jīng)過兩次VPN的封裝（一次IPSEC封裝，一次BGP/MPLS封裝）。數(shù)據(jù)報文在進入用戶的CE1時，首先要進行一次IPSEC封裝，用于進行數(shù)據(jù)流的加密。IPSEC封裝完成后，所有IP地址為私網(wǎng)地址的數(shù)據(jù)包的IP地址都會改為CE1出方向的新IP地址，并帶有ESP加密頭。

（2）Ingress PE接收IPSEC數(shù)據(jù)包，PE端為該報文打上對應(yīng)的私網(wǎng)標(biāo)簽并根據(jù)隧道名轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)到骨干網(wǎng)前再次打上公網(wǎng)標(biāo)簽頭。IPSEC報文攜帶兩層標(biāo)簽穿越骨干網(wǎng)，骨干網(wǎng)中P設(shè)備對該報文進行外層標(biāo)簽交換。

（3）Egress PE收到攜帶兩層標(biāo)簽的報文，交給MPLS協(xié)議處理。MPLS協(xié)議去掉外層標(biāo)簽，出方向PE看見內(nèi)層標(biāo)簽，再次剝離內(nèi)層標(biāo)簽。

（4）Egress PE將數(shù)據(jù)包發(fā)送CE2，此時數(shù)據(jù)包使加密后的IPSEC數(shù)據(jù)包按照IPSEC解密后，傳遞給對應(yīng)私網(wǎng)。

該方案中，IPSEC數(shù)據(jù)包通過BGP/MPLS建立的動態(tài)隧道進行傳遞，其目的地址由通過BGP/ MPLS VPN動態(tài)學(xué)習(xí)到的路由決定。在這種情況下，因為所有經(jīng)過IPSEC封裝的數(shù)據(jù)流的源、目的IP地址都為CE1的出口IP地址，所以兩個站點之間完全不需要知道對方的路由，只要知道對方的某個需要進行數(shù)據(jù)交互的IP地址即可。這樣就在最大程度上保護了兩個站點的安全下節(jié)通過一個企業(yè)實踐案例，證明該方案的可行性。

3 IPSE over BGP/MPLS VPN工程應(yīng)用

3.1 企業(yè)工程應(yīng)用網(wǎng)絡(luò)拓?fù)湓O(shè)計

某大型企業(yè)建有一個總部、一個分中心和一個辦事處?？偛亢头种行?、總部與辦事處之間通過不同的網(wǎng)絡(luò)運營商（AS100和AS200）可以互聯(lián)互通，分中心和辦事處之間的互通必須要經(jīng)過總部互聯(lián)。網(wǎng)絡(luò)拓?fù)鋱D設(shè)計，如圖2所示。

圖2 某大型企業(yè)總部、分部、辦事處網(wǎng)絡(luò)拓?fù)?/p>

總部的CE設(shè)備為路由器AR15和AR14，與公共網(wǎng)絡(luò)AS100的PE路由器AR13相連?？偛績?nèi)部使用OSPF路由協(xié)議，進程號110。RD為300∶100，ex port RT為100∶300，import RT為100∶100、200∶100。分中心的CE設(shè)備為路由器AR25，與公共網(wǎng)絡(luò)AS200的PE AR23連接。分中心內(nèi)部使用OSPF路由協(xié)議，進程號110。RD為100∶200，export RT為200∶100，import RT為100∶300。AS100和AS200為運營商公共網(wǎng)絡(luò)。AS100和AS200之間通過BGP路由協(xié)議完成路由信息的交互。

總部通過路由器AR15與辦事處建立IPSec隧道，通過AR14與分中心網(wǎng)絡(luò)建立IPSec隧道。IPSec隧道采用IKEv2協(xié)商模式建立。認(rèn)證算法為MD5，加密算法為RSA。

分中心通過路由器AR25與總部建立IPSec隧道，IPSec隧道采用IKEv2協(xié)商模式建立。認(rèn)證算法為MD5，加密算法為RSA。

辦事處通過IRF-LSW1-2與總部建立IPSec隧道，IPSec隧道采用IKEv2協(xié)商模式建立。認(rèn)證算法為MD5，加密算法為RSA。

在網(wǎng)絡(luò)正常的情況下，總部與分中心、辦事處之間，采用IPSEC over BGP/MPLS VPN的方式互通?？偛繑?shù)據(jù)流通過其CE路由器（AR15、AR14）的時候，通過路由引導(dǎo)其數(shù)據(jù)流經(jīng)過IPSEC的虛擬隧道接口，在虛擬隧道接口中進行IPSEC封裝；然后，該數(shù)據(jù)流被送往位于運營商網(wǎng)絡(luò)的PE設(shè)備（AR13）；數(shù)據(jù)流進入PE設(shè)備后，進行BGP/MPLS封裝。總部數(shù)據(jù)流通過BGP/MPLS隧道發(fā)往分中心，分中心側(cè)的PE設(shè)備會首先接收該報文，分析其MPLS報文頭；隨后根據(jù)RD和RT信息，決定去掉MPLS標(biāo)簽后，發(fā)往分中心的CE設(shè)備（AR24）。之后，AR24接收到的報文實際是不帶任何BGP/MPLS標(biāo)簽的、經(jīng)過加密的報文。此后，分中心CE設(shè)備會根據(jù)事先配置好的IPSEC解密策略對數(shù)據(jù)進行解密，得到具體數(shù)據(jù)后發(fā)送給辦事處相關(guān)主機，完成數(shù)據(jù)傳輸。同理，辦事處到總部的通信過程亦然。

3.2 BGP/MPLS VPN與IPSE over BGP/MPLS VPN方案比較

3.2.1 網(wǎng)絡(luò)安全比較

采用BGP/MPLS VPN方案，總部與分中心直接通過動態(tài)隧道傳遞CE發(fā)出的數(shù)據(jù)報文。入方向PE綁定的VPN報文是沒有加密的，直接加上公網(wǎng)標(biāo)簽和私網(wǎng)標(biāo)簽在MPLS網(wǎng)絡(luò)中傳遞；而采用IPSE over BGP/MPLS VPN時，CE通過動態(tài)隧道傳遞的是加密后的報文。在BGP/MPLS網(wǎng)絡(luò)中，兩種方案傳遞的數(shù)據(jù)報文格式也不同。經(jīng)過IPSEC加密的報文多了新的IP頭和ESP數(shù)據(jù)，報文格式如圖3所示。根據(jù)本文企業(yè)網(wǎng)絡(luò)設(shè)計方案（圖2）搭建和配置網(wǎng)絡(luò)命令保證網(wǎng)絡(luò)的連通性，并通過網(wǎng)絡(luò)嗅探工具Wireshark軟件抓包，獲取了IPsec over BGP/MPLS數(shù)據(jù)包，包如圖4所示。該數(shù)據(jù)包是從總部前往分中心的，數(shù)據(jù)包數(shù)據(jù)鏈路層頭部后面有MPLS頭，內(nèi)部是經(jīng)過IPSec處理的IP頭，再往后是加密后的原始報文?？梢?，報文已經(jīng)經(jīng)過加密，保證了BGP/ MPLS VPN網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的安全性。

3.2.2 網(wǎng)絡(luò)性能分析

圖3 兩種數(shù)據(jù)報文格式比較

圖4 IPsec over BGP/MPLS數(shù)據(jù)包封裝

針對總部與分中心數(shù)據(jù)傳遞，本企業(yè)應(yīng)用再次設(shè)計兩個場景，分別使用未加密的BGP/MPLS VPN網(wǎng)絡(luò)和使用IPSEC加密過的BGP/MPLS VPN網(wǎng)絡(luò)。在網(wǎng)絡(luò)方案實現(xiàn)的基礎(chǔ)上，總部PC機以每秒100個包的速率發(fā)給分中心，鏈路傳輸速度46 Mb/s，然后從網(wǎng)絡(luò)的傳輸效率和時延等方面對兩種網(wǎng)絡(luò)進行比較研究[6]。表1列出了加密前后BGP/MPLS VPN模型參數(shù)和兩種網(wǎng)絡(luò)中包的平均時延。從表1中可知，進行IPSEC加密的VPN包平均時延遠(yuǎn)高于未加密的，這是因為附加了IPSEC頭增加了網(wǎng)絡(luò)延遲。再從網(wǎng)絡(luò)傳輸速度比較，結(jié)果如圖5所示。經(jīng)過一段時間后，經(jīng)過IPSEC加密后的BGP/MPLS VPN的傳輸速率小于未加密的，網(wǎng)絡(luò)負(fù)載能力低于未加密的。從以上分析可知，IPSEC over BGP/MPLS VPN會有高的網(wǎng)絡(luò)安全性能，但會比未加密的具有更大網(wǎng)絡(luò)延遲，因為IKE密鑰交換、IPSEC加密處理會消耗一定的網(wǎng)絡(luò)資源。同時，因為加入IPSEC報文頭，有效負(fù)載率也會降低[7]。但是，如果要獲得高安全性能，網(wǎng)絡(luò)性能降低是可以接受的。

表1 加密前后VPN參數(shù)與平均時延比較

圖5 加密前后有效負(fù)載傳輸率比較

4 結(jié) 語

IPSEC VPN雖然可以在一定程度上保證用戶的數(shù)據(jù)通信安全，但僅僅適用于固定的兩點之間。當(dāng)多點之間需要建立IPSEC會話時，IPSEC隧道建立的數(shù)量往往成指數(shù)級增長。大量的IPSEC隧道會導(dǎo)致網(wǎng)絡(luò)維護成本急劇增加，甚至根本無法維護。因此，在需要多點間進行VPN連接時，IPSEC隧道顯得不太適用。

BGP/MPLS VPN雖然可以動態(tài)建立多點間的隧道，但其缺陷在于不可以對數(shù)據(jù)流本身進行加密。而不加密的數(shù)據(jù)流在無安全、無流控的公網(wǎng)上傳遞，沒有安全性。所以，只有將兩者結(jié)合，才能達(dá)到既動態(tài)生成隧道又能保護數(shù)據(jù)安全的目的[8]。由仿真結(jié)果得知，IPsec over BGP/MPLS會增加在CE上加密和解謎的時間，從而增加網(wǎng)絡(luò)延時。同時因為增加了IPsec頭，網(wǎng)絡(luò)的傳輸數(shù)據(jù)增多，網(wǎng)絡(luò)傳輸效率下降。然而，損失一定網(wǎng)絡(luò)性能增加網(wǎng)絡(luò)安全性還是必要的。隨著網(wǎng)絡(luò)設(shè)備硬件處理能力的加強，網(wǎng)絡(luò)物理性能的影響會越來越小。綜合看來，該方案是可行的。

[1] 何璐茜.MPLS VPN技術(shù)研究及應(yīng)用[J].現(xiàn)代電子技術(shù),2011(08):34. HE Lu-qian.Research and Application of MPLS VPN Technology[J].Modern Electronic Technology,2011(08):34.

[2] 趙治東.路由交換技術(shù)第四卷[M].北京:清華大學(xué)出版社,2012:148,217-222. ZHAO Zhi-dong.The Fourth Volume of Routing and Switching Technology[M].Beijing:Tsinghua University Press,2012:148,217-222.

[3] Vijay Bollaprada Moh.IPsec VPN設(shè)計[M].北京:人民郵電出版社,2012:35-40. Vijay Bollapragada Moh.IPsec VPN Design[M].Beijing:Posts and Telecom Press,2012:35-40.

[4] 陳軍華,王忠 民.BGP/MPLS VPN實現(xiàn)原理[J].計算機工程,2016(12):124. CHEN Jun-hua,WANG Zhong-min.Principle of BGP/ MPLS VPN[J].Computer Engineering,2016(12):124.

[5] 羅恒洋.IPsec在MPLS VPN中的應(yīng)用[J].計算機技術(shù)與發(fā)展,2009(03):169. LUO Heng-yang.Application of IPSec in MPLS VPN[J]. Journal of Computer Research and Development,2009(03):169.

[6] 王雙勇.基于IPSEC的BGP/MPLS VPN的實現(xiàn)方式的研究[D].重慶:重慶郵電大學(xué),2006. WANG Shuang-yong.The Implement of BGP/MPLS VPN Based on IPsec[D].Chongqing:Chongqing University of Posts and Telecommunications,2006.

[7] 王秀貞.IPSec VPN和BGP/MPLS VPN技術(shù)的比較研究[D].濟南:山東師范大學(xué),2004. WANG Xiu-zhen.Comparing IPsec VPN and BGP/MPLS VPN[D].Jinan:Shandong Normal University,2004.

[8] 劉婷.MPLS VPN在IP承載網(wǎng)中的應(yīng)用及安全策略研究[D].杭州:杭州電子科技大學(xué),2011. LIU Ting.Security Policy Research and Application of MPLS VPN[D].Hangzhou:Hangzhou Dianzi University,2011.

侯海燕（1983—），女，碩士，講師，主要研究方向為計算機網(wǎng)絡(luò)；

張 燁（1996—），男，學(xué)士，HICE工程師，主要研究方向為網(wǎng)絡(luò)工程。

Research and Application of IPSEC Tunnel Technology in BGP/MPLS VPN

HOU Hai-yan1, ZHANG Ye2
(1.Wuxi Vocational College of Sicence and Technology, Wuxi Jiangsu 214028, China; 2.Project Dept. Of Hongzhixin IOT Technology Corporation, Suzhou Jiangsu 215200, China)

Modern network environment becomes increasingly complex, and how to ensure the secure and effective information transmission in the complex network environment is now a focal problem concerned by enterprises and various users. The embedding of IPSec tunnel in the BGP/MPLS tunnel makes the enterprise utilize the operator public network and implement secure and reliable communication in among different private networks just like in the same private network.The application environments and defects of BGP/ MPLS VPN are analyzed, the application of IPsec tunnel technology in BGP/MPLS VPN for strengthening the security of data transmission suggested, and a feasible enterprise network scheme also designed and simulated. Finally the comparison of network performance before and after the application of IPsec tunnel technology is done, thus to verify its feasibility.

IPSEC; BGP/MPLS VPN; network security; network load

：A

1002-0802(2016)-12-1654-05

10.3969/j.issn.1002-0802.2016.12.015

2016-08-11

2016-11-12 Received date:2016-08-11;Revised date:2016-11-12

江蘇省自然基金項目(No.BK20131109)

Foundation Item:Natural Science Foundation of Jiangsu Province(No.BK20131109)