IPSec与MPLS实现VPN技术探讨.docVIP

IPSec与MPLS实现VPN技术探讨 　　摘 要：两种新兴的VPN技术--IPSec VPN和MPLS VPN越来越受到人们的关注。本文笔者对MPLSVPN和IPSecVPN的两种组网方式和特点进行探讨 　　关键词：MPLS IPSec VPN 　　1 前 言 　　在基于传统IP的简单接入逐渐萎缩,同时对于IP网络的投资与IP网本身的盈利出现了严重的不平衡的情况下,各大运营商都将自己的目光注视到增值业务的发展上。而VPN(VirtualPrivateNetwork)成为其中发展最为迅速的一个。 　　现有网络中发展较快的VPN技术主要有两种，一种是基于MPLS交换技术的VPN服务，另一种是基于IPSec加密的VPN服务。两种方式在网络中都有一定规模的实际部署，并体现这各自不同的特点。本文将对两种VPN的技术进行比较.。 　　2 衡量VPN的标准 　　要比较技术的优越性，就必须首先明确衡量的标准。 　　（1）扩展性。运营商的VPN业务的服务范围可能非常广泛，从两个小型的办公室互联到跨网络的多点互联都涵盖。而随着整体业务的不断发展，用户的业务需求也不断变化，从用户接入带宽到连接方式都应当能够按需调整。而VPN的用户数量也同样是不可预期的，因此一个优秀的VPN体系结构能够适应用户数量的激增和用户需求的不断变化，并能够做到尽量减少对网络性能及服务质量的影响。 　　（2）安全性。VPN对安全性的要求是不言而喻的。一方面，VPN要穿越运营商的公共网络，必须保证VPN用户的数据对于其他用户来说是不可见的。另一方面，由于用户的接入点也同样是处在公网中，VPN技术应当保证用户的接入点不会受到从网络中的其他地点产生的网络攻击。 　　（3）服务质量。VPN业务不只是在IP网的基础上提供IP连接业务，而应当是在IP网络中为用户实现完全质量保证的连接服务，能够与传统的ATM及FR方式相媲美。用户在VPN中的应用是不受运营商限制的，除了传统的数据访问服务外，大量的语音、图像和数据分发是不可避免的，而这些应用对于网络的丢包率、延时和抖动的要求非常高。因此，应该提供完善的VPN服务，VPN技术本身或借助其他网络技术必须能够提供完善的服务质量保证。 　　（4）管理性。对于一个可运营的VPN业务模型，完善简洁的业务管理是不可缺少的，管理的项目应当包括VPN业务中涉及的VPN用户的数据配置、服务质量的策略配置、各种业务模型的灵活修改、基于模式的计费形式等所有项目。 　　网管是VPN业务可持续发展的保证，必须配合VPN发展的规模配置相应的网管设备。 　　3 MPLS VPN 　　MPLS技术是针对传统路由寻址技术的升级。它参照VPN交换的原理，改变传统的IP寻址中只对目的的IP地址查询的简单方式，引入标签的概念。在实施MPLS交换后，路由器会根据已有的IP路由表或用户的特别配置（如MPLS TE或CR―LDP等）建立自己的标签转发表。数据进入MPLS交换网络后，在边缘路由器上进行加入标签的操作，到达终点路由器之前，所有的中间路由器都不在查询路由表，而是仅仅查询自己的标签转发表。由于标签是加到二层链路封装上，因此采用标签交换一方面可提高数据交换的速度，同时因其不需要对于IP地址进行寻址而为VPN业务提供了天然的技术基础。 　　（1）扩展性。MPLS之VPN完全是基于现有的网络进行部署的，通过将用户的路由与广域网路由分离并采用两层的标签进行数据交换，从而继承了传统路由寻址转发的基础。对用户而言，不需要建立端到FULL―MESH连接，用户端设备也只是采用普通的路由设备，即MPLS/VPN能够做到对于用户服务的透明性。使得其具有非常强大的可扩展性，运营商可以利用已经建立的IP网络承载成千上万VPN用户而不会对网络产生较大影响。 　　（2）安全性。MPLS之VPN的安全体现在路由项隔离和数据转发隔离两个方面。其中： 　　#8226;路由表项隔离。MPLS之VPN的边缘路由器为每个VPN用户建立特定的虚拟转发表（VPN），虚拟转发表中的路由与公网全局路由完全隔离，全局路由表中没有VPN中的路由表项，因此即使知道用户的内部路由，公网数据也无法转发至VPN中。每个VPN中都有相应并惟一的路由过滤标识（RT），保证不用VPN之间不会互相传递路由信息，从而保证了VPN之间的隔离。 　　#8226;数据转发隔离。由于在核心转发设备上采用了MPLS交换，设备之间的数据转发已经不再查找目的的IP地址，而是根据标签进行交换。MPLS之VPN的数据在骨干网中进行传输时采用两层标签的封装形式，外层标签将数据转发到相应的边缘设备上，而内层标签决定转发到哪个VPN之中。由于标签的加入与提出完全是运营商路由设备进行的，且标签是封装在数据链路层上，因此其他用户很难进行