千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

路由交换
收藏本版 (7) |订阅

路由交换 今日: 3703 |主题: 18312|排名: 28 

发新帖
打印 上一主题 下一主题

IPsec VPN和MPLS VPN之比较...

[复制链接]
esc1969 发布于: 2004-5-14 17:16 891 次浏览 3 位用户参与讨论
跳转到指定楼层
IPsec VPN和MPLS VPN之比较 (廖铮 2001年12月07日 15:13) 简介 建立在IP技术基础之上的VPN(虚拟专网)正快速成为新一代网络服务的基础,众多的服务供应商都纷纷推出了基于自身VPN传输网的各类增值服务。五花八门的新型服务,比如电子商务、应用主机托管和多媒体通信等等,这些服务类型不但可以让服务供应商找到新的利润增长点,而且还可同时维持其长期的竞争优势。 目前,两种既各具特点又具有一定互补性的VPN架构正逐渐在交付新兴服务的基础网络领域大行其道,这两种VPN就是基于IP Security(IPsec)的VPN和采用MPLS技术的VPN。本文对这两种架构的VPN进行了探讨,分析了它们的相似之处、相互之间的差异以及各自的优点。本文在对它们进行认真的比较之后得出以下的结论:服务供应商应该把IPsec VPN和MPLS VPN这两种IP VPN有机地组合起来以综合运用各自的优点。 为什么存在两种VPN架构 VPN的服务目的就是在共享的基础公共网络上向用户提供网络连接,不仅如此,VPN连接应使得用户获得等同于专有网络的通信体验。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞,而且应能安全、及时地交付用户的重要数据,在实现这些功能的同时VPN还应该具有良好的可管理性。综上所述,VPN的基本属性分成了5个类别(表1)。 表1 VPN的基本属性

可伸缩性

不论是小型的办公室配置网络还是大型的企业网络,VPN平台都应该在全网规模上实现自身的可伸缩性;VPN满足带宽变动和连接需要的适应能力在一个合理的VPN解决方案中至关重要。此外,在激烈竞争、瞬息万变的市场环境下,大订单往往突然而至,其要求必须得到立刻满足,因此,VPN必须具备高度的可伸缩性以应对计划外、由用户需求所驱动的网络增长和变更。通常的MPLS部署就必须设计为具有高伸缩性的方案,在同一网络上应能实现上万的VPN以保证利润的最大化。

安全性

保证商业上重要的数据流量通过隧道加密、流量分离、数据包认证、用户认证和访问控制等安全机制而保持其机密性。

QoS

保证重要的或者对延迟敏感的数据流量的优先权,通过变动带宽速率来管理网络的拥塞。QoS(服务质量)功能可以通过排队、防治网络阻塞、流量整形和数据包分类以及采用优化的路由协议的VPN路由服务等方式得以实现。

可管理性

随着高级监控和自动数据流系统实现了新型服务的快速部署以及服务级协约(SLA)逐渐受到支持,执行安全策略和QoS策略、管理和计费的高性价比方案采取相应的合理管理措施成为必然。

可靠性

针对商业用户希望获得的可预计的、极高的服务可用性。

回复

使用道具 举报

已有3人评论

新浪微博达人勋

千家认证

沙发
esc1969 发表于 2004-5-14 17:17:00
近年来,IETF的两个工作组一直在关注于解决Internet安全、标签交换标准和QoS这三方面通过VPN实现松散联合的机制问题。这两个组织中的IETF IPsec工作组(属于Security Area部分)的工作主要涉及网络层的保护方面,所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密。另一个IETF MPLS工作组(属于Routing Area部分)则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。 IETF把IPsec和MPLS的集成问题留给了具体实施者来完成。结果就出现了两种VPN架构,这两种架构各自依赖于IPsec或者MPLS技术。今天的服务供应商则根据其服务用户的需要以及自身可提供的新型增值服务而推出相应的一种或者两种VPN架构。 比较IPsec VPNMPLS VPN 表2说明了f分别采用IPsec和MPLS技术的两种VPN的特点、优势和差别。

IPsec VPN

MPLS VPN

服务模式

高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务

高速Internet服务、商业质量的IP服务、电子商务和应用主机托管服务

可伸缩性

大规模部署需要制定相应计划并且协同解决关键分支机构、关键管理和对等配置各个方面出现的问题

由于不需要站点对站点的对等性而具有高度的可伸缩性。典型的MPLS-VPN部署能够支持在同一网络上部署上万个VPN组

网络位置(图1)

本地环路、网络边缘或者远离存在加密数据较高曝光性的网络位置最佳,此类地点最适合采用隧道和加密等IPsec安全机制

在服务供应商的核心网络最佳,此地QoS、流量工程和带宽利用可以得到完全地控制,如果服务供应商的VPN服务提供SLA或者服务级保证(SLG),那么这一情况下的VPN服务更应该配置在网络核心。

图1 网络定位

回复 支持 反对

使用道具 举报

新浪微博达人勋

千家认证

板凳
esc1969 发表于 2004-5-14 17:18:00

IPsec VPN

MPLS VPN

透明度

IPsec VPN位于网络层,对应用透明

MPLS VPN运行在IP+ATM或者IP环境下;对应用完全透明

网络环境

一般情况下不需要针对可管理的CPE服务的网络级环境。在部署了基于网络的IPsec VPN服务之后,服务供应商通常还提供了集中的环境和管理支持。

由于MPLS VPN站点只同服务供应商网络对等,所以服务激活只需要一次性地在用户边(CE)和服务供应商边(PE)设备进行配置准备就可以让站点成为某个MPLS VPN组的成员。

服务部署

响应市场变化的速度快捷,可以在现有的任何IP网络上部署

需要在启用了MPLS的核心网络共享网络设备,比如在网络升级期间或者必须部署新的MPLS网络时都得和核心网络的设备打交道

会话认证

每个IPsec会话都必须通过数字签名或者预先分配的密钥进行认证;不符合安全策略的数据包都被丢弃

VPN成员资格由服务供应商决定,这是根据逻辑端口和唯一路由描述符所组成的环境功能实现的;对VPN组未经过认证的访问被设备配置所拒绝。

机密性(图2)

IPSec VPN通过网络层上的一整套灵活的加密和隧道机制提供数据私密性

IMPLS结构用一种类似可信认帧中继或者ATM网络的方式来区分用户流量,从而实现VPN的安全性

图2 私密和QoS

IPsec VPN

MPLS VPN

服务质量、服务级协约(图2)

虽然IPsec协议并没有解决网络的可靠性或者QoS机制等方面的问题,但是,Cisco IPsec VPN部署方案可以在IPsec隧道内保留数据包分类而实现QoS

优秀的MPLS-VPN实现方案可以提供可伸缩的、稳固的QoS机制和流量工程能力,从而令服务供应商可以提供具有保证SLA的IP增值服务

客户支持

需要客户机初始化IPsec VPN部署;注意, Cisco VPN客户软件既可用于Microsoft Windows也可用于Solaris、Linux和Macintosh等非Windows平台

不适用,MPLS VPN是基于网络的VPN服务

用户交互

由于客户机需要初始化IPsec VPN服务,用户需要同IPsec客户软件交互

不适用,无需用户交互

回复 支持 反对

使用道具 举报

新浪微博达人勋

千家认证

地板
esc1969 发表于 2004-5-14 17:18:00
IPsecMPLS VPN的集成 服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果它们能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。服务供应商可以对那些需要较高认证和私密性的数据流实行IPsec,而对可比第2层专有数据网络的带宽、流量工程和QoS等要求实行MPLS。在Cisco VPN Solution Center的统一管理下,这种组合可以让服务供应商提供有区别的新型服务,其范围覆盖了安全、QoS和流量有限传输(图3)等多种用户需求。 图3 Ipsec和MPLS集成VPN架构

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城