我國(guó)的Internet接入發(fā)展非常迅速，有人認(rèn)為MPLS具有不利于Internet發(fā)展，可能好多人還不了解Internet接入發(fā)展中遇到的問題，沒有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會(huì)你更多東西。從技術(shù)上看，基于多協(xié)議標(biāo)記交換(MPLS)的VPN存在風(fēng)險(xiǎn)，并且對(duì)骨干網(wǎng)管理提出嚴(yán)峻挑戰(zhàn)。因此，越來越多的專家強(qiáng)調(diào)多協(xié)議標(biāo)記交換(MPLS)是一項(xiàng)由Cisco公司、Juniper Networks公司以及AT&T公司等網(wǎng)絡(luò)業(yè)領(lǐng)先廠商支持的下一代傳輸流管理技術(shù)。但是，現(xiàn)在不斷有專家加入到反對(duì)MPLS的行列中。最近，又有兩位AT&T試驗(yàn)室的著名Internet接入究人員加入到反對(duì)陣營(yíng)中。這兩位研究人員是：安全權(quán)威Steve Bellovin和網(wǎng)絡(luò)運(yùn)行專家Randy Bush，他們警告說，部署基于MPLS的VPN的公司會(huì)面臨潛在的安全和保密問題，MPLS對(duì)Internet接入骨干網(wǎng)提供商的網(wǎng)絡(luò)管理提出了嚴(yán)峻挑戰(zhàn)。
 
Bush認(rèn)為，MPLS VPN是“銷售路由器的最佳途徑，但是它們大大增加了Internet接入核心的復(fù)雜性?！盉ellovin指出，MPLS VPN不能自動(dòng)地加密數(shù)據(jù)，“大多數(shù)安全漏洞是人為錯(cuò)誤造成的。在使用MPLS VPN的情況下，網(wǎng)絡(luò)管理人員可能會(huì)出現(xiàn)配置錯(cuò)誤，導(dǎo)致失去通信的保密性?！痹陂_發(fā)MPLS的標(biāo)準(zhǔn)制定組織Internet接入工程任務(wù)組（IETF）中，Bush和Bellovin分別擔(dān)任領(lǐng)導(dǎo)工作。事實(shí)上，MPLS列入到日前在倫敦舉行的IETF會(huì)議議程中。在會(huì)上，IETF分為批評(píng)派和支持派。
 
MPLS最強(qiáng)硬的支持者包括Cisco公司和Juniper Networks公司，這兩家公司認(rèn)為: 基于MPLS的VPN提供了足夠的安全性，并且部署費(fèi)用比Bush和Bellovin支持的替代技術(shù)更低。MPLS是一種使傳輸商可以將包括幀中繼和ATM技術(shù)在內(nèi)的不同類型的數(shù)據(jù)流融合到一條運(yùn)行IP的骨干線路上的協(xié)議。MPLS彌補(bǔ)了Internet在提交差別服務(wù)類型通信時(shí)沒有承諾的方式。IETF于1999年定稿的MPLS標(biāo)準(zhǔn)正在由包括AT&T在內(nèi)的多家服務(wù)提供商實(shí)現(xiàn)著: AT&T利用該協(xié)議支持一項(xiàng)基于IP的幀中繼服務(wù)， MPLS VPN也頗有希望成為IBM（加拿大）和Candian Life Assurance等公司的網(wǎng)絡(luò)所使用的策略技術(shù)。
 
Bush和Bellovin批評(píng)說，由于運(yùn)營(yíng)商可以直接在Internet接入骨干網(wǎng)上傳送幀中繼或ATM傳輸流，因此MPLS不是必需的。Bush表示：“如果我有純IP內(nèi)核的話，就不需要MPLS?！北M管這兩位IETF領(lǐng)導(dǎo)人不喜歡MPLS，但是他們卻將最尖銳的批評(píng)指向了MPLS VPN。Bush認(rèn)為，基于第二層的MPLS VPN存在的可伸縮性問題比第三層的MPLS VPN上的問題少。Bellovin則推薦使用IPSec的VPN。Bush和Bellovin尤其指責(zé)了一項(xiàng)在1999年由兩位Cisco公司工程師發(fā)表的一份IETF信息文件RFC 2547中提出的建立MPLS VPN的技術(shù)。
 
Bush尖銳地指出：“MPLS是一種性病，它不會(huì)要我們的命。但是RFC 2547 VPN卻是致命的，它不能擴(kuò)展，從而不能夠滿足Internet接入五年后的需要，它會(huì)毀了企業(yè)的網(wǎng)絡(luò)?！盧FC 2547描述了一種利用運(yùn)行在Internet接入骨干網(wǎng)路由器上的邊緣網(wǎng)關(guān)協(xié)議(BGP)來傳播MPLS VPN信息的技術(shù)。在采用這種辦法時(shí)，ISP必須管理每個(gè)MPLS VPN的特殊BGP路由表，并在接入VPN的每個(gè)位置上保存這張路由表的一部分。
 
今天，多數(shù)ISP管理一張BGP路由表，這已經(jīng)是一項(xiàng)困難的任務(wù)。Bush說：“對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商來說，管理一張路由表就夠頭痛了，而現(xiàn)在卻讓他們管理幾千張這樣的路由表?！彪S著主表中表項(xiàng)數(shù)量的增加，BGP路由表變得越來越龐大，難于使用。為了幫助解決這種擴(kuò)展問題，Juniper公司開發(fā)了一種代替RFC 2547的技術(shù)：將管理特殊VPN路由表的任務(wù)推給客戶。Juniper在一個(gè)叫做MPLS Circuit Cross Connect的產(chǎn)品中支持這種MPLS VPN，并且該公司將這種概念作為一項(xiàng)標(biāo)準(zhǔn)草案提交給IETF。Cisco公司也向IETF建議了類似的方法。新方法使MPLS VPN建立在開放系統(tǒng)互聯(lián)模型的第二層結(jié)構(gòu)上，而不是像RFC 2547協(xié)議在第三層上。在設(shè)計(jì)上，這類VPN可以發(fā)送類似MPLS上的幀中繼和ATM等的傳統(tǒng)數(shù)據(jù)流。Bush認(rèn)為，第二層上的MPLS VPN存在的可伸縮性問題比原來第三層上的MPLS VPN要少。
 
Bellovin指出，這兩種方法存在許多安全風(fēng)險(xiǎn)。由于信息不能自動(dòng)被加密，因此如果誤發(fā)給他人就會(huì)造成信息泄漏。如果連接中斷，MPLS VPN也容易造成信息泄露。Bellovin說：“MPLS VPN具有非常差的故障排除模式，因?yàn)榻K點(diǎn)是由服務(wù)提供商建立的，所以企業(yè)客戶無法控制。”Bellovin推薦采用IP安全協(xié)議(IPSec)的VPN。IPSec是一項(xiàng)IETF開發(fā)的、具有內(nèi)置加密功能的隧道技術(shù)。在采用IPSec的情況下，如果通信誤發(fā)到另一個(gè)人手中，這個(gè)人也無法閱讀信息。另外，由于客戶自己處理IPSec功能，因此，IPSec給骨干網(wǎng)路由器造成的壓力也很小。
 
業(yè)界更多的反對(duì)聲音
 
Bush和Bellovin并不是惟一表示對(duì)MPLS VPN安全性和可伸縮性擔(dān)心的人。Metomedia Fiber Networks公司一位高級(jí)網(wǎng)絡(luò)設(shè)計(jì)師Vijay Gill說：“RFC 2547是一場(chǎng)史無前例的大噩夢(mèng)。”同Bush一樣，Gill建議選用第二層上的MPLS VPN，因?yàn)椤八鼈兏?jiǎn)單，并且我們不必再去應(yīng)付客戶路由表?！?
 
CIMI公司總裁Thomas Nolle預(yù)測(cè)，運(yùn)行在Internet接入上的MPLS VPN將不會(huì)得到普及。但是他說運(yùn)行在獨(dú)立的專用IP網(wǎng)絡(luò)上的MPLS VPN(如AT&T的服務(wù))可以變得更安全，有可能取得成功。Nolle說：“任何作為替代幀中繼或加密隧道的技術(shù)來研究MPLS VPN的大型機(jī)構(gòu)，現(xiàn)在應(yīng)當(dāng)認(rèn)識(shí)到這項(xiàng)技術(shù)不能為它們提供支持。”MPLS VPN也有自己的擁護(hù)者。他們認(rèn)為，基于RFC 2547的MPLS VPN更具可伸縮性，它與使用幀中繼或ATM的VPN一樣安全。Cisco公司的Bruce Davie說，RFC 2547 VPN涉及到的配置工作量比IPSec VPN要少，而且這種負(fù)擔(dān)是由ISP而非客戶來承擔(dān)的。Davie認(rèn)為: “基于MPLS的VPN部署費(fèi)用比IPSec VPN要低得多?！敝劣诎踩詥栴}，Davie說：“幾百萬人對(duì)幀中繼中的類似安全水平感到相當(dāng)滿意，MPLS提供了同樣的安全性?！?