IPsec VPN和MPLS VPN之比較
簡介
建立在IP技術基礎之上的VPN(虛擬專網)正快速成為新一代網絡服務的基礎,眾多的服務供應商都紛紛推出了基于自身VPN傳輸網的各類增值服務。五花八門的新型服務,比如電子商務、應用主機托管和多媒體通信等等,這些服務類型不但可以讓服務供應商找到新的利潤增長點,而且還可同時維持其長期的競爭優勢。
目前,兩種既各具特點又具有一定互補性的VPN架構正逐漸在交付新興服務的基礎網絡領域大行其道,這兩種VPN就是基于IPSecurity(IPsec)的VPN和采用MPLS技術的VPN。本文對這兩種架構的VPN進行了探討,分析了它們的相似之處、相互之間的差異以及各自的優點。本文在對它們進行認真的比較之后得出以下的結論:服務供應商應該把IPsecVPN和MPLSVPN這兩種IPVPN有機地組合起來以綜合運用各自的優點。
為什么存在兩種VPN架構
VPN的服務目的就是在共享的基礎公共網絡上向用戶提供網絡連接,不僅如此,VPN連接應使得用戶獲得等同于專有網絡的通信體驗。合理和實用的VPN解決方案應能夠抗拒非法入侵、防范網絡阻塞,而且應能安全、及時地交付用戶的重要數據,在實現這些功能的同時VPN還應該具有良好的可管理性。綜上所述,VPN的基本屬性分成了5個類別(表1)。
表1VPN的基本屬性
近年來,IETF的兩個工作組一直在關注于解決Internet安全、標簽交換標準和QoS這三方面通過VPN實現松散聯合的機制問題。這兩個組織中的IETFIPsec工作組(屬于SecurityArea部分)的工作主要涉及網絡層的保護方面,所以該組設計了加密安全機制以便靈活地支持認證、完整性、訪問控制和系統加密。另一個IETFMPLS工作組(屬于RoutingArea部分)則在從另一方面著手開發了支持高層資源預留、QoS和主機行為定義的機制。
IETF把IPsec和MPLS的集成問題留給了具體實施者來完成。結果就出現了兩種VPN架構,這兩種架構各自依賴于IPsec或者MPLS技術。今天的服務供應商則根據其服務用戶的需要以及自身可提供的新型增值服務而推出相應的一種或者兩種VPN架構。
比較IPsecVPN和MPLSVPN
表2說明了f分別采用IPsec和MPLS技術的兩種VPN的特點、優勢和差別。
圖1網絡定位
圖2私密和QoS
IPsec和MPLSVPN的集成
服務供應商當然可以部署一種或者同時部署多種VPN架構來支持其新型增值服務,但是,如果它們能夠把各類VPN融合起來更可以獲得優勢互補所帶來的巨大利益。提供設計優良、運行正常和綜合性的VPN服務可以同時提升IPsec和MPLS的應用層次。服務供應商可以對那些需要較高認證和私密性的數據流實行IPsec,而對可比第2層專有數據網絡的帶寬、流量工程和QoS等要求實行MPLS。在CiscoVPNSolutionCenter的統一管理下,這種組合可以讓服務供應商提供有區別的新型服務,其范圍覆蓋了安全、QoS和流量有限傳輸(圖3)等多種用戶需求。
【編輯推薦】
