簡(jiǎn)介

建立在IP技術(shù)基礎(chǔ)之上的VPN（虛擬專(zhuān)網(wǎng)）正快速成為新一代網(wǎng)絡(luò)服務(wù)的基礎(chǔ)，眾多的服務(wù)供應(yīng)商都紛紛推出了基于自身VPN傳輸網(wǎng)的各類(lèi)增值服務(wù)。五花八門(mén)的新型服務(wù)，比如電子商務(wù)、應(yīng)用主機(jī)托管和多媒體通信等等，這些服務(wù)類(lèi)型不但可以讓服務(wù)供應(yīng)商找到新的利潤(rùn)增長(zhǎng)點(diǎn)，而且還可同時(shí)維持其長(zhǎng)期的競(jìng)爭(zhēng)優(yōu)勢(shì)。

目前，兩種既各具特點(diǎn)又具有一定互補(bǔ)性的VPN架構(gòu)正逐漸在交付新興服務(wù)的基礎(chǔ)網(wǎng)絡(luò)領(lǐng)域大行其道，這兩種VPN就是基于IPSecurity（IPsec）的VPN和采用MPLS技術(shù)的VPN。本文對(duì)這兩種架構(gòu)的VPN進(jìn)行了探討，分析了它們的相似之處、相互之間的差異以及各自的優(yōu)點(diǎn)。本文在對(duì)它們進(jìn)行認(rèn)真的比較之后得出以下的結(jié)論：服務(wù)供應(yīng)商應(yīng)該把IPsecVPN和MPLSVPN這兩種IPVPN有機(jī)地組合起來(lái)以綜合運(yùn)用各自的優(yōu)點(diǎn)。

為什么存在兩種VPN架構(gòu)

VPN的服務(wù)目的就是在共享的基礎(chǔ)公共網(wǎng)絡(luò)上向用戶提供網(wǎng)絡(luò)連接，不僅如此，VPN連接應(yīng)使得用戶獲得等同于專(zhuān)有網(wǎng)絡(luò)的通信體驗(yàn)。合理和實(shí)用的VPN解決方案應(yīng)能夠抗拒非法入侵、防范網(wǎng)絡(luò)阻塞，而且應(yīng)能安全、及時(shí)地交付用戶的重要數(shù)據(jù)，在實(shí)現(xiàn)這些功能的同時(shí)VPN還應(yīng)該具有良好的可管理性。綜上所述，VPN的基本屬性分成了5個(gè)類(lèi)別（表1）。

表1VPN的基本屬性

近年來(lái)，IETF的兩個(gè)工作組一直在關(guān)注于解決Internet安全、標(biāo)簽交換標(biāo)準(zhǔn)和QoS這三方面通過(guò)VPN實(shí)現(xiàn)松散聯(lián)合的機(jī)制問(wèn)題。這兩個(gè)組織中的IETFIPsec工作組（屬于SecurityArea部分）的工作主要涉及網(wǎng)絡(luò)層的保護(hù)方面，所以該組設(shè)計(jì)了加密安全機(jī)制以便靈活地支持認(rèn)證、完整性、訪問(wèn)控制和系統(tǒng)加密。另一個(gè)IETFMPLS工作組（屬于RoutingArea部分）則在從另一方面著手開(kāi)發(fā)了支持高層資源預(yù)留、QoS和主機(jī)行為定義的機(jī)制。

IETF把IPsec和MPLS的集成問(wèn)題留給了具體實(shí)施者來(lái)完成。結(jié)果就出現(xiàn)了兩種VPN架構(gòu)，這兩種架構(gòu)各自依賴于IPsec或者M(jìn)PLS技術(shù)。今天的服務(wù)供應(yīng)商則根據(jù)其服務(wù)用戶的需要以及自身可提供的新型增值服務(wù)而推出相應(yīng)的一種或者兩種VPN架構(gòu)。

比較IPsecVPN和MPLSVPN

表2說(shuō)明了f分別采用IPsec和MPLS技術(shù)的兩種VPN的特點(diǎn)、優(yōu)勢(shì)和差別。

圖1網(wǎng)絡(luò)定位

圖2私密和QoS

IPsec和MPLSVPN的集成

服務(wù)供應(yīng)商當(dāng)然可以部署一種或者同時(shí)部署多種VPN架構(gòu)來(lái)支持其新型增值服務(wù)，但是，如果它們能夠把各類(lèi)VPN融合起來(lái)更可以獲得優(yōu)勢(shì)互補(bǔ)所帶來(lái)的巨大利益。提供設(shè)計(jì)優(yōu)良、運(yùn)行正常和綜合性的VPN服務(wù)可以同時(shí)提升IPsec和MPLS的應(yīng)用層次。服務(wù)供應(yīng)商可以對(duì)那些需要較高認(rèn)證和私密性的數(shù)據(jù)流實(shí)行IPsec，而對(duì)可比第2層專(zhuān)有數(shù)據(jù)網(wǎng)絡(luò)的帶寬、流量工程和QoS等要求實(shí)行MPLS。在CiscoVPNSolutionCenter的統(tǒng)一管理下，這種組合可以讓服務(wù)供應(yīng)商提供有區(qū)別的新型服務(wù)，其范圍覆蓋了安全、QoS和流量有限傳輸（圖3）等多種用戶需求。
 

【編輯推薦】

1. 洞悉MPLS VPN以及OSPF在配置上的注意事項(xiàng)
2. IPSec VPN和SSL VPN：對(duì)比兩種VPN的安全風(fēng)險(xiǎn)
3. 簡(jiǎn)單介紹三層MPLS VPN常見(jiàn)故障
4. 簡(jiǎn)化MPLS VPN之間的通信