Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN
6.1.2 3 Mạng lõi được bảo vệ như thế nào
Tất cả các khả năng tấn công đều có thể kiểm soát được bằng cách cấu hình chính xác. Chúng ta có thể dùng Access control list (ACL) cho tất cả các interface của bộ định tuyến PE. Nếu định tuyến được yêu cầu thì cổng định tuyến phải không được khóa bởi ACL. Bây giờ một hacker chỉ có thể tấn công trực tiếp vào giao thức định tuyến.
Từ phân tích trên, bộ định tuyến PE sẽ nhận các gói tin trên cổng cho giao thức định tuyến và được bảo đảm. Bất kỳ gói tin nào khác tới PE sẽ bị drop bởi ACL.
Trong cấu trúc MPLS VPN, nó cung cấp tính bảo mật cao hơn. Trước tiên là giao diện vào mạng lõi bị giới hạn và chỉ để lộ ra địa chỉ IP của bộ định tuyến PE như thế có nghĩa là tính an toàn sẽ cao hơn. Bằng cách này, một mạng lõi MPLS VPN ít bị lộ ra để có thể tấn công từ bên ngoài hơn so với công nghệ IP truyền thống, nơi mà các giao diện trên tất cả các bộ định tuyến lõi có thể mục tiêu cho các cuộc tấn công mạng. Tiếp đó, một ưu điểm nữa của MPLS đó là nó dùng bộ định tuyến biên tới bên ngoài nên làm cho nó dễ được bảo đảm hơn.
So sánh với mạng lõi IP truyền thống, theo mặc định thì khá là mở, mỗi một thành phần của mạng có thể đến được (reachable) từ bên ngoài mạng. Điều này có thể được hạn chế bằng nhiều cách, như dùng ACL hoặc một số kỷ thuật dấu cấu trúc mạng lõi. Nhưng với mạng lõi MPLS thì do cấu trúc nên phần lớn các thiết bị trong lõi này là không thể đạt tới được. Chú ý rằng, tùy thuộc vào cách định tuyến trên mạng Internet được thực hiện như thế nào: nếu ở bảng định tuyến toàn cục (global table) thì nguy cơ bị tấn công càng cao. Với lõi MPLS thì nó có đặc điểm là hạn chế sự truy cập tới bảng định tuyến toàn cục (global routing table) từ bên ngoài, điều này làm cho MPLS mang tính bảo mật cao hơn.