2.3. Phân tích bảo mật trong MPLS
2.3.3. Che dấu kiến trúc hạ tầng lõi
Trong kiến trúc của mạng VPN MPLS, hầu hết kiến trúc hạ tầng đƣợc che dấu. Nhƣ trong hình vẽ dƣới miêu tả chỉ có địa chỉ VPN tại các PE là đƣợc quảng bá cho ngƣời sử dụng VPN chứ không phải địa chỉ trong mạng lõi của PE đó. Cặp địa chỉ CE- PE đƣợc sử dụng trong nhiều VPN mà không sợ vấn đề về trùng lặp địa chỉ, do đó dù
biết đƣợc địa chỉ PE trong VPN các khách hàng cũng không có thông tin gì về mạng lõi bởi đây chỉ là địa chỉ trong không gian địa chỉ VPN.
Tuy nhiên để bảo mật hơn nữa cần hạn chế những địa chỉ PE mà khách hàng có thể biết và che dấu chúng. Có một cách để che dấu các địa chỉ router PE đối với các khách hàng VPN đó là sử dụng không gian địa chỉ không đánh số (unnumber loopback) và định tuyến tĩnh giữa PE và CE. Tại đây một ACL cũng có thể đƣợc sử dụng áp vào tất cả các giao diện nối đến PE trong VRF của VPN đó mục đích là để loại bỏ tất cả các gói tin IP đích đến các địa chỉ của PE.
Hình 2-13: Địa chỉ PE-CE
Một ví dụ thực hiện ACL trên PE để bảo vệ các PE:
access-list 101 remark 192.168.1.0/24 is the space used for PE-CE addressing access-list 101 remark throughout this particular VPN, which is connected to access-list 101 remark interface serial 0/1.
access-list 101 deny ip any 192.168.1.0 0.0.0.255
access-list 101 remark The next line permits transit traffic (important!) access-list 101 permit ip any any
!
interface serial 0/1 ip access-group 101 in
Trong ví dụ này dòng lệnh đầu tiên của ACL bao gồm tất cả không gian địa chỉ PE-CE của VPN đó. Chú ý rằng
Trong các triển khai thực tế, số lƣợng địa chỉ PE-CE nhiều hơn nên có thể sẽ phải thêm nhiều câu lệnh hơn để có thể gộp đƣợc toàn bộ không gian địa chỉ PE-CE trong ACL.
Đừng quên cho phép tất cả các lƣu lƣợng gói tin còn lại đƣợc truyền qua (câu lệnh permit ip any any)
Các địa chỉ PE-CE của VPN khác hoặc địa chỉ của router P thì không cần thêm vào vì chúng không thể kết nối tới từ VPN hiện tại.
Trong ví dụ trên sử dụng định tuyến tĩnh giữa PE và CE. Nếu trong trƣờng hợp định tuyến động đƣợc yêu cầu thì giao thức định tuyến cụ thể cần phải đƣợc ACL cho phép.
ACL trên chặn các truy nhập trên giao diện kết nỗi giữa PE và CE. Ví dụ một địa chỉ 192.168.1.5 thuộc về CE tuy nhiên địa chỉ này đã bị cấm bởi ACL. Do đó các CE thành viên của VPN đó không thể ping đƣợc địa chỉ CE này. Vô hình chung đối với VPN, không thể thực hiện ping giữa các CE với nhau qua mạng MPLS nếu nhƣ không sử dụng lệnh ping mở rộng. Để tránh điều này có thể liệt kê tất cả các địa chỉ PE trong VPN đó một cách riêng biệt từng host (/32) và đƣa vào ACL hoặc khi thực hiện lệnh ping chỉ ping địa chỉ loopback của CE.
Theo cách thực hiện VPN này thì mạng lõi hoàn toàn đƣợc bảo vệ đối với VPN đó.