[发明专利]一种电力MPLS VPN网络的安全攻击测试系统及测试方法

说明书

本发明公开了一种电力MPLS VPN网络的安全攻击测试方法，包括MPLS VPN安全攻击组网配置、攻击策略配置和攻击策略验证；MPLS VPN安全攻击组网配置包括数据加密和数据透传两种组网方式；攻击策略配置包括转发面流量攻击、控制面信令攻击及整机异常报文攻击；攻击策略验证包括VPN业务流量监测和VPN业务路由监测。本发明采用基于电力MPLS VPN组网架构，结合转发面流量攻击、控制面信令攻击及整机异常报文攻击，分析策略验证步骤的VPN业务流量和VPN业务路由的状态，确定电力MPLS VPN系统不同VPN业务的逻辑隔离安全性；该方法可对电力系统的VPN安全性进行有效评估。

技术领域

本发明涉及一种实验室数据通信领域的测试技术，具体涉及一种电力MPLS VPN网络的安全攻击测试系统及测试方法。

背景技术

MPLS VPN是一种基于MPLS技术的IP VPN，同时结合了IP网络和ATM网络的优点，在网络路由和交换设备上应用MPLS技术，通过标记交换实现IP虚拟专用网络，简单高效。

目前，越来越多的企业开始使用MPLS VPN技术来组建自己的VPN专线网络。随着电力系统网络通信技术的发展，电力调度数据网、配网数据传输网的业务需求范围和区域逐渐扩展，需要安全可靠的VPN专线网络支撑。MPLS VPN作为最基础的通信VPN专线技术，在电力数据通信网中被广泛部署。

MPLS VPN使用BGP协议扩展技术，将用户的IPv4地址映射为唯一的VPN-IPv4NRLI，通过扩展的BGP属性，PE路由器可控制不同VPN路由的路径转发，并通过独立的VPN转发表项来实现网络中不同VPN业务的逻辑隔离。目前的电力系统MPLS测试方法主要是针对MPLS VPN的业务功能、性能规格进行验证。但网络系统在伪造流量和协议的攻击下，是否能够保证VPN业务的安全可靠隔离，目前还没有一套系统完整的测试验证方法。

发明内容

目的：为了克服现有技术中存在的不足，本发明提供一种电力MPLS VPN网络的安全攻击测试系统及测试方法，在数据加密和数据透传两种组网环境下，分别验证转发面流量攻击、控制面信令攻击及整机异常报文攻击三种攻击策略对电力系统VPN逻辑隔离安全可靠性的影响，测试过程简洁，并且对于测试仪器的资源容量和性能要求不高。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种电力MPLS VPN网络的安全攻击测试系统，包括MPLS VPN安全攻击组网环境，所述MPLS VPN安全攻击组网环境由以下设备搭建而成，具体包括配网主站、配网子站、第一交换机、第二交换机、第一加密网关、第二加密网关、核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4，设备之间通过100M/1000M线路接口连接拓扑，提供测试基础物理环境；

所述核心路由器RT1、接入路由器RT4为主测节点，RT1连接测试仪的TC-port3、TC-port4接口，RT4连接测试仪的TC-port1、TC-port2接口；测试仪的TC-port1至TC-port4四个接口分别模拟调度数据网实时VPN CE侧业务和非实时VPN CE侧业务；配网主站和配网子站间为真实配网VPN CE侧业务。

进一步地，所述核心路由器RT1、第一汇聚路由器RT2、第二汇聚路由器RT3、接入路由器RT4支持三层MPLS VPN功能，并在公网侧互连接口配置MP-iBGP邻居协议；主测节点RT1、RT4在私网侧接口上分别配置三个VPN实例，分别是VPN-P、VPN-RT、VPN-NRT，所述三个VPN实例的Router Target属性分别为不同的值，且不同VPN实例的Router Target属性参数不存在交集。

进一步地，所述MPLS VPN安全攻击组网环境内的加密网关，分别设置数据加密和数据透传两种工作方式。