Background Image
Previous Page  2 / 11 Next Page
Information
Show Menu
Previous Page 2 / 11 Next Page
Page Background

a virtual local area network VLAN. Our research proposes to provide encryption

algorithm on the site user’s access into a transit network MPLS. It is based on

the algorithm adopted for the ISDN network and recommended by the International

Telecommunication Union ITU-T. For some security threats (similar threats in the

VLAN) protection mechanisms (implemented at configuring of network VPLS) are

offered. These threats include: DoS-attacks on the spanning tree protocol STP,

fictitious label insert in a frame structure of standard 802.1q, spoofing DHCP-

server, table overflow of memory address CAM and other. But protection against

such information security threats have not been supported according to the available

domestic and foreign publications and manuals (including some foreign firms

documents, on which VPLS network design have performed using communication

networks of Russia). The authors suggest mechanism of protection against such

threats implemented on some corporate networks VPLS.

Keywords

:

virtual private network (VPN), information security, virtual private local

area network (VLAN) service (VPLS), multiple protocol label switching (MPLS),

customer edge router (CE), provider edge router (PE), pseudowire (PW), provider

router (P).

Введение.

Многопротокольная коммутация по меткам (Multiple

Protocol Label Switching, MPLS), выполняя функцию транзитной се-

ти связи, в зависимости от технологии поступающего в нее трафика

позволяет создать виртуальные частные сети (VPN) двух различных

типов [1, 2]. При поступлении в коммутацию MPLS пакетов третье-

го уровня (IP-пакетов) создаются сети VPN третьего уровня, назы-

ваемые виртуальными частными маршрутизируемыми сетями (Virtual

Private Routed Network, VPRN). В работах [3, 4] проанализированы

угрозы информационной безопасности (ИБ) и механизмы защиты от

них. Настоящая работа посвящена аналогичным вопросам одних из

сетей VPN, создаваемых на базе коммутации MPLS при поступлении

в нее пользовательских кадров второго уровня. В данном случае рас-

смотрено поступление кадров локальной вычислительной сети (LAN)

Ethernet. Такие VPN называются услугой виртуальной частной ло-

кальной сети (Virtual Private LAN Service, VPLS), которая объединяет

несколько дистанционно разбросанных сетей LAN, превращая их в

единую сеть LAN, доставка трафика от пользователя до граничного

маршрутизатора MPLS осуществляется с помощью кадра Ethernet.

Общая модель услуги VPLS.

Пример структуры, состоящей из

трех VPLS (А, В, С, т.е. из трех виртуальных частных сетей VPN), при-

веден на рис. 1. Магистральная транзитная сеть (Backbone Network)

MPLS включает в себя граничные маршрутизаторы провайдера PE

(Provider Edge router) и не показанного для упрощения внутренних

маршрутизаторов провайдера P (Provider router). Каждая VPLS со-

держит несколько территориально обособленных сетей LAN Ethernet,

которые принято называть сайтами. Например, сети VPLS с централь-

ным отделением и тремя удаленными филиалами включают в себя

четыре сайта. Маршрутизатор, с помощью которого сайт клиента под-

ключается к граничному маршрутизатору провайдера РЕ, называется

граничным маршрутизатором пользователя (Counter Edge router, CE).

48 ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2015. № 1