資源描述:
《mpls vpn與ipsec vpn的優(yōu)劣對比》由會員上傳分享��,免費在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�����。
1�����、MPLSVPN與IPSecVPN的優(yōu)劣對比 【摘要】企業(yè)內(nèi)外通信的安全需求日益增長���,催生出多種虛擬專用網(wǎng)技術(shù)��。為了對MPLSVPN和IPSecVPN進行對比分析���,從兩者的技術(shù)原理和實現(xiàn)機制入手�����,通過對系統(tǒng)可靠性��、安全性����、接入便捷性、可擴展性����、網(wǎng)絡(luò)服務(wù)質(zhì)量等方面進行研究,并分析使用場景��,得出這兩種VPN技術(shù)的優(yōu)勢短板和適用場合�。 【關(guān)鍵詞】MPLSIPSecVPN標簽交換協(xié)議安全 doi:10.3969/j.issn.1006-1010.2016.12.005中圖分類號:TN929.53文獻
2、標志碼:A文章編號:1006-1010(2016)12-0024-05 引用格式:陳柱�,王爍.MPLSVPN與IPSecVPN的優(yōu)劣對比[J].移動通信,2016�,40(12):24-28. 1引言 互聯(lián)網(wǎng)的快速發(fā)展大大促進了信息資源的交流,與此同時��,人們對頻繁出現(xiàn)的安全保密問題也愈加關(guān)注�����。通過傳統(tǒng)的方式構(gòu)建企業(yè)內(nèi)部或企業(yè)之間的安全通信環(huán)境�����,必須通過自建通信干道或租用電纜和光纜�����,利用ISDN(IntegratedServicesDigitalNetwork��,綜合業(yè)務(wù)數(shù)字網(wǎng))或DDN(Dig
3��、italDataNetwork����,數(shù)字數(shù)據(jù)網(wǎng))等技術(shù)構(gòu)建企業(yè)專用網(wǎng)�,若想在安全性和可靠性上得到保障�����,獲得高性能的專用網(wǎng)��,則開銷巨大���,普通企業(yè)難以承受���。于是���,VPN(VirtualPrivate10Network��,虛擬專用網(wǎng))就在這種背景下產(chǎn)生了��,它的技術(shù)要點是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)��。虛擬專用網(wǎng)的含義就在于整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接��,并不是依靠專網(wǎng)的端到端物理鏈路�����,取而代之的是建立在網(wǎng)絡(luò)服務(wù)商所提供的因特網(wǎng)���、幀中繼等之上的邏輯網(wǎng)絡(luò)��?��! ∽鳛閮煞N實現(xiàn)原理不同的VPN技術(shù),MPLS(Mul
4�、ti-ProtocolLabelSwitching,多協(xié)議標簽交換)VPN與IPSec(InternetProtocolSecurity��,因特網(wǎng)協(xié)議安全性)VPN各有優(yōu)劣�,在特定的應(yīng)用場景下需要靈活選用?��! ?MPLSVPN技術(shù)原理 IP路由技術(shù)部署靈活���,二層交換則具有相當(dāng)?shù)谋憬菪裕琈PLSVPN采納了ATM(AsynchronousTransferMode�,異步傳輸模式)的VPI(VirtualPathIdentifier,虛路徑標識符)/VCI(VirtualChannelIdentifi
5�、er,虛通道標識符)交換思想��,綜合了IP路由技術(shù)和二層交換的兩種優(yōu)點。IP網(wǎng)絡(luò)本是面向無連接的網(wǎng)絡(luò)��,但在MPLSVPN網(wǎng)絡(luò)中��,路由信息由IGP(InteriorGatewayProtocol�,內(nèi)部網(wǎng)關(guān)協(xié)議)、BGP(BorderGatewayProtocol�,邊界網(wǎng)關(guān)協(xié)議)等路由協(xié)議進行收集并生成路由表,而后為特定的路由表項添加標簽�����,這就增加了面向連接的屬性��,在某種程度上提供了QoS(QualityofService���,服務(wù)質(zhì)量)保證,滿足不同類型服務(wù)的QoS要求���?���! ?.1MPLS網(wǎng)絡(luò)架構(gòu) 如
6�����、圖1所示,MPLS網(wǎng)絡(luò)的基本組成單元是LSR(LabelSwitching10Router���,標簽交換路由器)����,連接用戶網(wǎng)絡(luò)的LSR稱為邊緣LSR(也稱為LER)����,區(qū)域內(nèi)部不與用戶網(wǎng)絡(luò)直連的LSR稱為核心LSR。域內(nèi)LSR之間使用MPLS進行通信�,邊緣由LER與傳統(tǒng)IP技術(shù)進行適配?�! PLS網(wǎng)絡(luò)的入節(jié)點稱為Ingress�,出節(jié)點稱為Egress,中間轉(zhuǎn)發(fā)節(jié)點稱為Transit�����。被打上標簽的分組數(shù)據(jù)包沿著一系列LSR進行傳輸��,這一系列LSR就構(gòu)成了LSP(LabelSwitchingPath���,標
7����、簽交換路徑)?���! PLS網(wǎng)絡(luò)內(nèi)部運行OSPF、ISIS���、EIGRP等內(nèi)部路由協(xié)議���,建立網(wǎng)絡(luò)內(nèi)部鄰居關(guān)系。但由于MPLS網(wǎng)絡(luò)中所有的報文都會攜帶標簽��,因此需要標簽分發(fā)協(xié)議(如LDP)與IGP結(jié)合�����,為每一條IGP的IP前綴分配標簽并分發(fā)給所有的LSR鄰居�����?! PLS基本的工作過程如下: (1)LDP結(jié)合內(nèi)部路由協(xié)議����,在每個LSR中為有業(yè)務(wù)需求的FEC(ForwardingEquivalenceClass,轉(zhuǎn)發(fā)等價類)建立相應(yīng)的路由表和標簽映射表����。 ?。?)Ingress節(jié)點對接收到的分組數(shù)據(jù)包
8、進行三層解析�����,判定分組所屬的FEC�,打上標簽后形成MPLS標簽數(shù)據(jù)包,送至Transit節(jié)點進行中轉(zhuǎn)����。 ?����。?)Transit節(jié)點不對數(shù)據(jù)包進行三層解析,而是讀取分組的標簽�,根據(jù)本地的標簽轉(zhuǎn)發(fā)表進行分組轉(zhuǎn)發(fā)?���! 。?)在Egress節(jié)點上去除標簽�,還原為IP數(shù)據(jù)包,離開MPLS網(wǎng)絡(luò)進行后續(xù)轉(zhuǎn)發(fā)���?! ?.2基于MPLS的VPN 如圖2所示���,典型的MPLSVPN網(wǎng)絡(luò)中包含以下3種類型的網(wǎng)元: ?�。?)PE:服務(wù)提供商邊緣路由器��,與用戶的CE設(shè)備直連����。PE負責(zé)管理VPN用戶���,建立LSP連接,創(chuàng)建和管
