基于MPLS骨干网络的VPN解决方案

现有的虚拟专用网(VPN)方案大多基于IP协议,这种结构的VPN在数据包转发速度、扩展性、服务质量等方面都存在欠缺,所以本文提出了基于多协议标记交换(MPLS)骨干网络的VPN解决方案.由于MPLS和IPSec在身份认证方面都没有定义,所以我们在方案中把认证中心(CA)的证书管理引入进来.该方案的核心思想是:利用MPLS在传输效率上的优势,通过CA进行身份认证、IKE协议^[1]进行密钥协商以及IPSec协议^[2]进行数据包加密,从而在MPLS骨干网络上建立一个安全高效的VPN.本文对实现MPLS VPN的每个关键部件都做了进一步的描述.     

防范路由劫持的协同监测方法

路由劫持是当前Internet域间路由系统（BGP）所面临的最严重的安全威胁之一,但目前仍缺乏有效的防护手段.将自治系统（autonomous system,简称AS）基于BGP路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力,对该免疫能力进行了建模,并给出了AS自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现,80%以上的AS对路由劫持完全没有免疫能力,仅不超过0.26%的AS具有大于85%的免疫能力.对AS免疫过程的进一步分析,揭示了造成AS免疫能力低下的提供商栅栏现象——提供商优先选择客户路由,从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏,提高AS的免疫能力,设计了协同监测机制,并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改BGP协议,可增量部署.实验结果表明,仅与25个自治系统进行协同,就可以将对路由劫持的免疫能力提高到高于95%的水平.     

基于MPLS与BGP的VPN构建与应用研究

针对GRE、IPSEC构建的虚拟私有网络存在数据隔离、互访控制难于实现等问题。文章分析了产生这些问题的根源,提出采用MPLS和BGP技术构建虚拟私有网络的设计思想,并通过仿真平台加以验证。实践证明,采用这种方法在解决路由冲突、数据隔离、站点间访问控制等方面要优于传统的VPN技术。     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

边界网关协议的攻击分析与安全防范

分析边界网关协议(BGP)当前版本中存在的漏洞和脆弱性,指出可能遭受的基于TCP及自身漏洞的攻击。提出BGP的安全威胁模型和防范策略,以及如何对协议功能进行扩展的措施。以CISCO路由器为例,给出典型的安全防范配置。实践证明,通过访问控制列表、数字签名、路由过滤、源地址检测和协议扩展方案,可以有效提高网络的安全性和稳定性。     

基于BGP协议的MPLSVPN构建机制分析

介绍了实现基于BGP协议实现的MPLS VPN所需要的各个组成构件及其在构建VPN的过程中所起的作用,介绍了BGP/MPLS VPN的工作原理,并举出实例,对一个具体的VPN数据报在某个具体的MPLS骨干网络中传递的整个过程,及其在每个传递环节中的处理等做出了具体的描述,由此达到对BGP/MPLS VPN的整个工作过程进行剖析描述的目的,并详细而清晰地说明了其工作机制.在此基础上,结合MPLS网络所特有的一些特性,进一步分析和阐述了在MPLS网络上实现VPN所带来的种种优越性.     

解决策略冲突导致BGP路由发散的自适应机制

BGP(border gateway protocol)作为一种基于策略的协议,允许每个自治系统独立地选择本地路由策略.自治系统之间可能存在的路由策略冲突会引起BGP路由持续不稳定.当前提出的解决办法要么需要增加额外的通信开销,要么限制自治系统自由的选择路由策略.提出了一种解决策略冲突引起BGP路由不收敛的自适应方法,既不损害自治系统选择路由策略的灵活性,也不需要在BGP消息中增加额外信息.路由的稳定性被加入到BGP的判决过程中,不稳定路由的优先级被降低,使更加稳定的路由得以被选为最优路由,终止路由策略冲突引起的争执.在网络拓扑发生改变的情况下,这种新方法能够自适应地调整路由选择,重新收敛到新的稳定状态.     

一种带有路由反射的BGP路由预测算法

由于路由反射器的影响,路由器可能只知道非常有限的到达外部目的地的路由的子集,BGP路径选择过程并不会形成一个确定的路径等级顺序,使得路径预测变得非常困难.给出了一种算法,该算法不需要对路由协议动态进行复杂的模拟,只需要静态的路由数据就可以计算出带有路由反射的路由选择结果,并在一个模拟的大型ISP上验证了预测算法的正确性.结果显示配置的改变可以引起路由表的变化.     

MP-EBGP网络技术应用研究

BGP MPLS VPN是未来VPN技术的主流,随着企业信息化进程的加快,越来越多的用户要求能够跨市、跨省甚至跨国的通信。以不同AS域的BGP MPLS VPN为基础,通过在ABSR之间配置它们互连接口的IP地址、为VPN配置VRF的Import/Export Target以及在ASBR上对MP-EBGP的特殊配置,实现了MP-EBGP组网方式,并分析了这种组网方式的性能。     

基于SPVP协议的BGP路由收敛算法

针对Internet域间路由慢收敛问题,提出基于简单路径向量协议(SPVP)的BGP路由收敛算法。分析该算法在4种全接连网络拓扑中的Tdown收敛边界值得出,通过检测域间失效链路的根源节点能有效减少路由收敛时间和更新消息开销。SSFNet仿真结果表明,该算法收敛时间上限为O(d)。