MPLS网络安全是真的安全吗?

　　MPLS和基于虚拟专用网络的技术的优势对于分布在多个站点并希望授予其客户访问其网络访问权限的公司和机构特别有趣。因此，在构建IT基础架构时，此类虚拟网络通常是首选。这使用户可以组合成一个网络，而无需物理连接或Internet上的公共路由IP地址。

　　基本上，多协议标签交换VPN仅适用于具有适当数据来建立连接的用户。没有额外的加密，所有信息将以纯文本格式传输。但是，即使通过传输路由器的正常互联网流量在MPLS网络和客户LAN之间运行，相应的认证也不提供百分之一百的保护。
 

　　下面列出了使用MPLS基础结构时可能存在的风险：

　　MPLS 软件包位于错误的VPN中：软件错误和配置错误通常是带有MPLS标签的IP软件包离开实际VPN并在另一个网络中变得可见的原因。在这种情况下，路由器会将包错误地转发到存在IP路由的不可信系统。如果提供商边缘路由器接受相应的数据包，则具有更改的标签(MPLS标签欺骗)的目标数据包也可能会循环到外部VPN。
 

　　连接未经授权的传输路由器：如果将各种VPN连接到MPLS基础结构，则还存在提供商边缘将错误地与另一个客户的VPN 集成的风险。这可能是由于意外的错误配置或有针对性的攻击而发生的。结果，外来用户可以容易地进行进一步的基于网络的攻击。
 

　　提供商网络的逻辑结构是可见的：如果攻击者查看了服务提供商已建立的MPLS网络的逻辑结构，那么对传输路由器的攻击极有可能发生-特别是在其地址可见的情况下。
 

　　对PE路由器的拒绝服务攻击：作为所涉网络的重要节点，提供商边缘路由器是拒绝服务攻击的特别脆弱的目标。在这种情况下，连续的路由更新或OSPF可能会因小数据包的故意溢出而导致路由器过载。
 

　　除加密外，每个VPN还应具有其他安全机制，以保护提供商边缘路由器免受外部攻击。对此的主要建议是在两个防火墙之间建立非军事区，并使用网络监视系统。此外，定期更新软件和硬件以及防止未经授权物理访问网关的安全措施应成为标准。