流量转发和封装

思科 MPLS VPN 的基本分组转发功能独立于所选的骨干网传输方式 (MPLS 或 IP) 。在这两种情况下，利用 PE 支持的各个 VPN 的虚拟路由和转发 (VRF) 实例功能， VPN 流量可以在 PE 内保持独立。但是，根据思科 MPLS VPN 中传输网络的不同，分组封装也有所差异。当使用 IP 传输时，有两个封装组件：隧道报头和 VPN 报头。隧道报头负责传输分组至输出 PE ，而 VPN 报头则负责确定该位置的相应 VPN 分组处理流程。

思科 IP MPLS VPN 当前的实施采用了第二层隧道协议版本 3 (L2TPv3) 作为 IP 隧道技术。隧道报头利用 L2TPv3 进程 ID 字段识别需要 MPLS VPN 处理流程的 IP VPN 分组，并利用 Cookie 字段提供电子欺骗保护。作为封装的最后部分， VPN 报头采用了与 MPLS 传输中 MPLS VPN 所用相同的 VPN 标签。图 3 对不同传输中提供的 MPLS VPN 服务封装进行了比较。

L2TPv3 为 VPN 流量提供了针对外部攻击的内置保护。一位恶意用户可能会向 PE 发送 VPN 封装分组，从而试图向 VPN 输入分组。在使用 MPLS 传输时，一般可通过拒绝客户访问接口上来自 VPN 用户的 MPLS 分组，来防御这类攻击。在实施 IP MPLS VPN 传输时， PE 设备一般更易于受到 IP 电子欺骗攻击。网络边界或 PE 本身需特殊配置和额外处理（如访问控制列表，即 ACL 等）来识别和阻塞伪装的 VPN 分组。通过直接在 PE 中采用强大的电子欺骗防御功能， L2TPv3 在接近客户的地点提供电子欺骗防御。所以，无论有无 IP ACL ， L2TPv3 都可防止特定 VPN 上的外部电子欺骗攻击，这是因为每个 PE 利用预先加密的随机 64 位 Cookie 来转发分组。

在 100Mpps 的攻击速率下，要想针对思科 IP MPLS VPN 部署实施一次成功的盲目电子欺骗攻击，将需要至少 6000 年。恶意用户需知道入口和出口 PE 的 IP 地址、 L2TPv3 进程 ID 和 Cookie ，以及 VPN 标签，才能从外部向 VPN 输入流量。猜测出随机（ 64 位） L2TPv3 Cookie 值的巨大投入消除了成功攻击的可能性。其他字段几乎不会提供超出 L2TPv3 Cookie 的额外保护，因为它们不能以随机加密方式选择，因此其规模不够庞大，无法阻止一位坚定的攻击者进行猜测。

当需要非加密解决方案时， MPLS VPN 可使用其他 IP 隧道封装，如 IP MPLS 或通用路由封装 (GRE) 。采用普通 IP 隧道封装（ IP MPLS ）的 MPLS VPN 实施是最简单的，但最易受攻击。假设一位恶意用户已发现了 PE 的源和目的地 IP 地址，该用户只需猜测一个正确的 VPN 标签（ 20 位）。即便在低攻击速率（数千 pps ）的情况下，可能在几秒内就会发生安全违背。

第二种方式是使用 GRE 协议，它有一个未定义的保留密钥（ 32 位）字段。但即使此密钥以类似于 L2TPv3 Cookie 的方式使用 ( 即填充加密随机值 ) ，它仍无法提供足够的防电子欺骗保护。在相对较低的攻击速率下，数小时后就可能出现安全违背（ 100,000pps 时不到 12 小时）。因此， GRE 对此应用意义不大，且会因为需检查和验证各种可选字段而带来不必要的开销。

图 3 IP 网络上提供的 MPLS VPN 服务与 MPLS 网络上提供的 MPLS VPN 服务的具体封装比较