MPLS网络的安全性如何?

　　MPLS和基于此技术的虚拟专用网的优势对于位于不同地方并且还希望保证其客户访问网络的公司和机构特别有趣。虚拟网络通常是构建IT基础架构时的首选，这将网络上所有需要的用户聚集在一起，而无需Internet上的物理或公共连接即可路由IP地址。

　　本质上，仅具有相关数据以建立连接的那些用户才能访问多协议标签交换VPN 。但是，仅凭这一事实并不能使虚拟网络免受不必要的访问：引用这些网络的“私有”属性并不意味着保密和加密，而仅用于指示所使用的IP地址仅在内部可访问。

　　无需额外加密然后，所有信息都以纯文本格式传输。但是，即使相关的认证也无法提供任何全面的保护，尽管正常的Internet流量会通过MPLS网络与LAN客户之间的所谓“提供商边缘”(PE)。

　　使用MPLS基础网络结构时可能面临的安全风险和挑战：

　　MPLS数据包最终以错误的VPN出现：软件错误和配置错误通常会导致带有MPLS标签的IP数据包离开实际的VPN，并在另一个网络中变得可见。因此，路由器错误地将数据包转发到可通过IP路由到达的不受信任的系统。此外，如果提供商边缘路由器接受相应的数据包，则有可能在外部VPN中以经过修改的标签有针对性地引入数据包。

　　连接未经授权的广播路由器：如果将多个VPN连接到MPLS基础结构，则存在将提供商边缘未经授权地集成到另一个客户的VPN中的风险。这可能是由于意外的错误配置甚至是有针对性的攻击造成的。

　　提供商网络的逻辑结构可见性：如果攻击获得了有关提供商所创建的MPLS网络的逻辑结构的信息，则对广播路由器的攻击非常可能，尤其是在其地址可见的情况下。

　　PE路由器拒绝服务攻击：所涉及网络的另一个重要节点是提供商边缘路由器，该目标特别容易受到拒绝服务攻击的威胁，这威胁了VPN服务的可用性。在这种情况下，一方面可以考虑进行连续的路由更新，例如通过增强型内部网关路由协议或开放式最短路径优先，而另一方面可以通过针对性轰炸小包来使路由器超载。

　　除了加密外，每个VPN还应具有其他安全机制，以保护边缘路由器免受外部访问。在这种情况下，建议在两个防火墙之间配置一个非军事区，并使用网络控制系统。定期的软件和硬件更新以及针对网关物理访问的安全机制的实现，必须成为要实施的标准过程的一部分。