MPLS与加密VPN-流量安全？

#1 楼

但以理和约翰都很好地回答了你的问题。在阅读该问题时，我只会添加一些实际的想法。
请记住，有关MPLS VPN安全性的许多讨论都是通过帧中继和ATM VPN通常提供的信任来进行的。 br />
MPLS安全吗？

最终，安全性问题归结为一个悬而未决的问题，即“谁信任您的关键业务数据？”

如果答案为“没人”，则必须通过加密的VPN覆盖数据。
如果您信任MPLS VPN提供商，则无需加密数据。


为什么也不能在MPLS上运行VPN？

最常见的用法是，MPLS是VPN，但它是未加密的VPN。当您提到“ VPN”时，我假设您的意思是加密的VPN，例如PPTP，IPSec或SSL VPN。但是，如果您需要在VPN内进行强加密，数据完整性或身份验证，请参阅5.2节“ rfc4381 MPLS VPN安全”。在MPLS VPN内进行加密。它们通常遭受以下因素的困扰：

基础架构的额外费用
吞吐量/可伸缩性限制（由于硬件加密的复杂性）
人员/培训的额外费用
平均费用增加通过加密的VPN调试问题时需要进行修复的时间
管理开销增加（例如，维护PKI）
技术难题，例如TCP MSS降低，以及PMTUD经常出现问题

效率较低链接，因为您拥有加密的VPN的封装开销（这已经在MPLS VPN的开销之内）了。


可以没人窃听流量吗？

是的，无论您是否认为自己可以信任提供者，窃听都是有可能的。我将引用rfc4381 MPLS VPN安全性的第7节：
就MPLS核心内部的攻击而言，所有[未加密] VPN
类（BGP / MPLS，FR，ATM）具有相同的问题：如果攻击者可以
安装嗅探器，则他可以读取所有VPN中的信息，并且如果
攻击者可以访问核心设备，从数据包欺骗到引入新的对等路由器，他可以执行大量的攻击。上面概述了许多预防措施，服务提供商可以使用这些措施来加强核心的安全性，但是
BGP / MPLS IP VPN体系结构的安全性取决于
服务提供商。如果服务提供商不受信任，则完全保护VPN免受VPN服务“内部”攻击的唯一方法是在CE
设备的顶部运行IPsec。甚至更多。

我要说的最后一点，这只是一个实际问题。有人可能会争辩说，如果您要通过基本的Internet服务使用加密的VPN，那么使用MPLS VPN是没有意义的。我不同意这个想法。通过MPLS VPN加密的VPN的优点是与一个提供商合作：

在解决问题（端到端）时
要保证服务质量
提供服务
/>

#2 楼

我假设您正在谈论MPLS VPN。 MPLS VPN比常规Internet连接更安全，它基本上就像是虚拟租用线路。但是，它不运行加密。因此，除非有人错误配置了VPN，否则它不会被窃听，但是如果您携带敏感流量，则仍应对其进行加密。这种VPN未经过身份验证，因此是专用网络，但未像IPSEC一样经过身份验证和加密。如果某人可以物理访问您的网络，则可以嗅探数据包。

使用常规VPN，我认为您的意思是IPSEC。 IPSEC会根据您运行的模式进行身份验证和加密。因此，如果有人握住了数据包，他们仍将无法读取它们。

#3 楼

最常见的定义中的“ VPN”不一定表示安全性。 MPLS也是如此，并且经常将这两个术语结合使用（请参阅“ MPLS VPN”），因为MPLS的某些方面可以提供与传统VPN（AToMPLS，EoMPLS，TDMoMPLS等）相似的功能。

完全有可能在加密的VPN隧道上运行MPLS，并在MPLS电路上运行加密的VPN流量。 MPLS本身不是“安全的”，但它再次主要用于传输服务，在该传输服务中底层协议可以是安全的。

通常，您描述的情况可能是由于组织希望从两个独立的提供商那里获得不同的连接而导致的，并且其中一个提供商不提供MPLS服务。