MPLS加密

2021-03-25 16:45:50 云杰 109

  

MPLS加密

  MPLS网络中的加密是一个敏感的问题,并且变得越来越重要。否则,封闭的MPLS网络与Internet的联系越来越多,无论是通过外部员工,云连接还是其他方式。MPLS网络由提供商运营的独立网络,通常只有一个与公共Internet的联系点。通常位于数据中心或公司总部。但是,即使是封闭的网络也可能通过物理访问计算机或节点而变得不安全。MPLS流量的加密在此处创建了更多的安全性。

  MPLS处理并传输大量不同的数据。这也包括IP数据包和以太网帧。以太网加密器应支持MPLS,但是根据加密器的位置,需要不同的支持。将MPLS用作以太网帧的纯传输介质时,对公司来说是透明的。这意味着只有以太网可见,因此加密也将重点放在以太网上。

  MPLS / VPLS上的以太网

  如果以太网帧是通过MPLS传输的,则加密器必须使以太网头保持未加密状态,因为MPLS取决于头信息(MPLS头)。在传输和隧道模式下都可以满足MPLS的要求。直接支持不是必需的,只是透明性。

  可以使用两种基于MPLS的以太网传输方式:

  •   MPLS标签放置在以太网报头和有效载荷之间(仅在连续的以太网网络中)

  •   原始帧由MPLS封装,并且MPLS标签放置在有效负载的前面(具有不同的第2层网络)

  MPLS互连

  在通过WAN加密本地MPLS云连接时,安全交换机(加密器)必须适应帧格式。有两种框架变体:

  •   带有MPLS标签的以太网帧

  •   带有MPLS标签的以太网帧,其中“原始”帧被封装并作为有效载荷进行传输

  在MPLS云之间

  如果要通过提供者MPLS云对两个本地MPLS云之间的连接进行加密,则必须由加密器仅对由封装的原始帧组成的有效负载进行加密。

  IPSec作为MPLS加密

  但是,仅当IPSec是纯IP网络时,这才有意义。如果它是运营商以太网网络解决方案,则它不能提供足够的安全性,因为第3层以下的加密不再适用。