[MPLSVPN和IPSecVPN技术比较.docxVIP

当前，由于侧重点不同，VPN可以分为两类：一类侧重于网络层的信息保护，提供各种加密安全机制以便灵活地支持认证、完整性、访问控制和密码服务，保证信息传送过程中的保密性和不可篡改性。这类协议包括IPSec、PPTP、L2TP等等。其中，IPSec己经成为国际标准的协议，并得到几乎所有主流安全厂商的支持，如Cisco、Checkpoint、Netscreen等等。主要的应用领域为各种涉及信息安全和加密的应用，如金融、证券、地税、财政、工商、商检、信息中心、科委等各部门，上下级机构传送敏感的信息、建设安全OA系统、召开保密视频会议、保证业务流程中数据的机密性与完整性。另一类VPN技术以MPLS技术为代表，主要考虑的问题是如何保证网络的服务质量（QoS）。通过定义资源预留协议、QoS协议和主机行为，来保证网络服务的水平，如时延、带宽等等。VPN服务目的是在共享的基础网络设施上，向用户提供安全的网络连接。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞，而且应能保证安全、稳定的网络通信。同时，VPN还应该具有良好的可管理性、可伸缩性等特征。目前，MPLS VPN和IPSec VPN两种技术架构正逐渐被应用于新兴电讯服务的基础网络领域在理论上，MPLS VPN，在RFC 2547定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。RFC 2547也被称为MPLS VPN，因为BGP被用来在提供商骨干网中发布VPN路由信息，而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络/Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。IPSec是由IETF 的IPSec工作组定义的一种开放源代码框架。IPSec的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面定义了特定协议。IPSec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在IP层提供，能被更高层次的协议所利用（如TCP、UDP、ICMP、BGP等），并且对于应用程序和终端用户来说是透明的，所以，应用和终端用户不需要更改程序和进行安全方面的专门培训，同时对现有网络的改动也最小。2 MPLS VPN体系结构RFC 2547中定义了三种类型的路由器：CE（用户网边缘路由器）在用户侧为用户所有，接收和分发用户网络路由，CE连接到提供商的PE（骨干网边缘路由器）；PE处理VPN-IPv4路由，这是MPLS VPN的核心；位于骨干网核心的P（骨干网核心路由器）负责MPLS包的转发。VPN是若干个用户站点的集合，而站点是VPN中一个孤立的IP网络，比如可以是公司总部或分支机构等。用户接入MPLS VPN的方式是每个站点提供一个或多个CE同骨干网PE的连接，每个站点在PE中由各个VRF（虚拟路由转发实例）来表示，它包含了与一个站点相关的路由表、转发表、接口、路由实例以及路由策略等。PE上的接口可以绑定到唯一一个VRF上，一个VRF也可以被绑定到多个接口上，但PE之间不能交换VRF信息。当边缘设备在两个VPN站点使用相同的地址前缀，就会在路由解析时出现冲突，MPLS VPN使用VPN-IPv4地址族和MP-BGP（多协议扩展BGP）来解决这一问题。一个VPN-IPv4地址（12字节）是由8字节的RD（路由标示）和4字节的IPv4地址组成。这样就可以把相同的地址前缀翻译成不同的VPN-IPv4地址，也就可以分别为每个VPN站点生成与该VPN-IPv4地址对应的不同路由。MPLS VPN中有两种重要的数据流，一种是进行路由分发和LSP（标记转发路径）确定的控制流，另一种是用户的VPN业务流。存在两种控制机制，一种负责不同PE间路由信息的交换，另一种负责建立通过提供商骨干网的LSP。路由分发基于BGP的扩展共同体属性，以目的路由为基准进行过滤。当一条VPN路由插入到BGP中后，VPN路由目标扩展共同体属性就与其相关联，这些都来源于路由学习建立的VRF相关BGP出口列表。每一个PE也包含与每一个VRF对应的入口列表，入口列表类似于路由器中允许接入VRF的ACL定义。例如，PE中某一条特定VRF的入口列表包含目的接口A和C，但不包含B，则包含接口A和C的VPN路由能够接入VRF，B的则不能。VPN 隧道的LSP的建立可以通过LDP或RSVP来完成。LDP在PE之间建立尽力而为的LSP，当VPN需要QoS时，则必须通过RSVP建立具有QoS能力的路由LSP。路由器CE1向CE2所在的网络发送数据。首先转发到默认网关PE1，PE1在与站点1对应的VRF中进行路由查询，