MPLS BGP-VPN網絡中PE-PE的認證實現.pdf

1、MPLS BGP/VPN技術成本低廉、組網靈活、便于實現流量工程、安全性較高，且可以達到二層VPN的安全性。其基本原理是通過CE-PE(Customer Edge-Provider Edge)運行動態(tài)或靜態(tài)路南協議，在PE端將學到的路由分發(fā)到多協議BGP MP-BGP(Multi-Protocol BGP)中；MP-BGP的路由表有多個：一個全局路由表和多個VPN虛擬路由轉發(fā)表VRF(Virtual Route Forwarding)，

2、MP-BGP根據CE綁定的VRF，將本地VPN路由和從對端鄰居PE學到的VPN路由放到對應的VRF中，路由更新信息比BGP協議多加標簽字段以融合MPLs、多加路由區(qū)分符RD(Route Distinguisher)以支持重疊路由、路由目標RT(Route Target)以實現導入導出策略；最后PE將路由更新發(fā)送至其他的VPN站點中。 MPLS BGP/VPN路由的安全性很大程度上都在于MP-BGP多個VRF的隔離性，一旦配置錯誤

3、，就會引起路由的泄漏，無論是客戶還是ISP(Internet Service Provider)都很難察覺，這樣，安全風險很大，因而，配置錯誤引起的安全風險將是BGP MPLS/VPN面臨的一個重要課題。 RFC草案(Layer-3 VPN Import/Export Verification)對于上述配置錯誤引起的安全風險，提出了增加PE-PE認證和CE-CE認證的方法。本論文主要是針對PE-PE認證。RFC中的PE認證方案為

4、：PE的MP-BGP更新包中增加一個RD認證簽名，對方PE除了根據其他過濾條件判斷是否接收路由，還要根據RD簽名來判斷是否接收。由于PE分配給客戶的密鑰是唯一的，因此，通過此種方法可以避免配置引起的錯誤。本論文使用zebra-0.95a開源路由軟件實現MPLS BGP/VPN的控制層，并在此基礎上修改BGP源代碼來實現PE的認證，即用一個可由VPN密鑰和RD唯一決定、本身可以代表VPN的字段來攜帶隨機數(tag字段)實現認證。最后，實現