資源描述:
《mpls vpn與ipsec vpn的優(yōu)劣對(duì)比》由會(huì)員上傳分享����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)�����。
1��、MPLSVPN與IPSecVPN的優(yōu)劣對(duì)比 【摘要】企業(yè)內(nèi)外通信的安全需求日益增長(zhǎng)���,催生出多種虛擬專用網(wǎng)技術(shù)。為了對(duì)MPLSVPN和IPSecVPN進(jìn)行對(duì)比分析�����,從兩者的技術(shù)原理和實(shí)現(xiàn)機(jī)制入手�,通過(guò)對(duì)系統(tǒng)可靠性�����、安全性����、接入便捷性�、可擴(kuò)展性�、網(wǎng)絡(luò)服務(wù)質(zhì)量等方面進(jìn)行研究�����,并分析使用場(chǎng)景�,得出這兩種VPN技術(shù)的優(yōu)勢(shì)短板和適用場(chǎng)合�?��! 娟P(guān)鍵詞】MPLSIPSecVPN標(biāo)簽交換協(xié)議安全 doi:10.3969/j.issn.1006-1010.2016.12.005中圖分類號(hào):TN929.53文獻(xiàn)
2、標(biāo)志碼:A文章編號(hào):1006-1010(2016)12-0024-05 引用格式:陳柱�,王爍.MPLSVPN與IPSecVPN的優(yōu)劣對(duì)比[J].移動(dòng)通信�����,2016��,40(12):24-28. 1引言 互聯(lián)網(wǎng)的快速發(fā)展大大促進(jìn)了信息資源的交流����,與此同時(shí)���,人們對(duì)頻繁出現(xiàn)的安全保密問(wèn)題也愈加關(guān)注�����。通過(guò)傳統(tǒng)的方式構(gòu)建企業(yè)內(nèi)部或企業(yè)之間的安全通信環(huán)境��,必須通過(guò)自建通信干道或租用電纜和光纜�,利用ISDN(IntegratedServicesDigitalNetwork��,綜合業(yè)務(wù)數(shù)字網(wǎng))或DDN(Dig
3�����、italDataNetwork�����,數(shù)字?jǐn)?shù)據(jù)網(wǎng))等技術(shù)構(gòu)建企業(yè)專用網(wǎng),若想在安全性和可靠性上得到保障���,獲得高性能的專用網(wǎng)���,則開銷巨大,普通企業(yè)難以承受�����。于是��,VPN(VirtualPrivate10Network�,虛擬專用網(wǎng))就在這種背景下產(chǎn)生了�����,它的技術(shù)要點(diǎn)是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)����。虛擬專用網(wǎng)的含義就在于整個(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接��,并不是依靠專網(wǎng)的端到端物理鏈路�����,取而代之的是建立在網(wǎng)絡(luò)服務(wù)商所提供的因特網(wǎng)、幀中繼等之上的邏輯網(wǎng)絡(luò)����?���! ∽鳛閮煞N實(shí)現(xiàn)原理不同的VPN技術(shù)�����,MPLS(Mul
4�、ti-ProtocolLabelSwitching����,多協(xié)議標(biāo)簽交換)VPN與IPSec(InternetProtocolSecurity���,因特網(wǎng)協(xié)議安全性)VPN各有優(yōu)劣�,在特定的應(yīng)用場(chǎng)景下需要靈活選用���。 2MPLSVPN技術(shù)原理 IP路由技術(shù)部署靈活��,二層交換則具有相當(dāng)?shù)谋憬菪?�,MPLSVPN采納了ATM(AsynchronousTransferMode����,異步傳輸模式)的VPI(VirtualPathIdentifier��,虛路徑標(biāo)識(shí)符)/VCI(VirtualChannelIdentifi
5���、er�����,虛通道標(biāo)識(shí)符)交換思想����,綜合了IP路由技術(shù)和二層交換的兩種優(yōu)點(diǎn)�����。IP網(wǎng)絡(luò)本是面向無(wú)連接的網(wǎng)絡(luò)����,但在MPLSVPN網(wǎng)絡(luò)中����,路由信息由IGP(InteriorGatewayProtocol���,內(nèi)部網(wǎng)關(guān)協(xié)議)、BGP(BorderGatewayProtocol����,邊界網(wǎng)關(guān)協(xié)議)等路由協(xié)議進(jìn)行收集并生成路由表,而后為特定的路由表項(xiàng)添加標(biāo)簽���,這就增加了面向連接的屬性,在某種程度上提供了QoS(QualityofService�,服務(wù)質(zhì)量)保證�����,滿足不同類型服務(wù)的QoS要求���?����! ?.1MPLS網(wǎng)絡(luò)架構(gòu) 如
6��、圖1所示�����,MPLS網(wǎng)絡(luò)的基本組成單元是LSR(LabelSwitching10Router,標(biāo)簽交換路由器)��,連接用戶網(wǎng)絡(luò)的LSR稱為邊緣LSR(也稱為L(zhǎng)ER)�����,區(qū)域內(nèi)部不與用戶網(wǎng)絡(luò)直連的LSR稱為核心LSR�。域內(nèi)LSR之間使用MPLS進(jìn)行通信��,邊緣由LER與傳統(tǒng)IP技術(shù)進(jìn)行適配?����! PLS網(wǎng)絡(luò)的入節(jié)點(diǎn)稱為Ingress�,出節(jié)點(diǎn)稱為Egress,中間轉(zhuǎn)發(fā)節(jié)點(diǎn)稱為Transit���。被打上標(biāo)簽的分組數(shù)據(jù)包沿著一系列LSR進(jìn)行傳輸�����,這一系列LSR就構(gòu)成了LSP(LabelSwitchingPath���,標(biāo)
7、簽交換路徑)�。 MPLS網(wǎng)絡(luò)內(nèi)部運(yùn)行OSPF�、ISIS���、EIGRP等內(nèi)部路由協(xié)議����,建立網(wǎng)絡(luò)內(nèi)部鄰居關(guān)系���。但由于MPLS網(wǎng)絡(luò)中所有的報(bào)文都會(huì)攜帶標(biāo)簽�����,因此需要標(biāo)簽分發(fā)協(xié)議(如LDP)與IGP結(jié)合,為每一條IGP的IP前綴分配標(biāo)簽并分發(fā)給所有的LSR鄰居��?����! PLS基本的工作過(guò)程如下: ?。?)LDP結(jié)合內(nèi)部路由協(xié)議���,在每個(gè)LSR中為有業(yè)務(wù)需求的FEC(ForwardingEquivalenceClass,轉(zhuǎn)發(fā)等價(jià)類)建立相應(yīng)的路由表和標(biāo)簽映射表���。 ?����。?)Ingress節(jié)點(diǎn)對(duì)接收到的分組數(shù)據(jù)包
8����、進(jìn)行三層解析,判定分組所屬的FEC����,打上標(biāo)簽后形成MPLS標(biāo)簽數(shù)據(jù)包��,送至Transit節(jié)點(diǎn)進(jìn)行中轉(zhuǎn)���?! 。?)Transit節(jié)點(diǎn)不對(duì)數(shù)據(jù)包進(jìn)行三層解析���,而是讀取分組的標(biāo)簽,根據(jù)本地的標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行分組轉(zhuǎn)發(fā)����?����! 。?)在Egress節(jié)點(diǎn)上去除標(biāo)簽���,還原為IP數(shù)據(jù)包,離開MPLS網(wǎng)絡(luò)進(jìn)行后續(xù)轉(zhuǎn)發(fā)�����?��! ?.2基于MPLS的VPN 如圖2所示,典型的MPLSVPN網(wǎng)絡(luò)中包含以下3種類型的網(wǎng)元: ?�。?)PE:服務(wù)提供商邊緣路由器�����,與用戶的CE設(shè)備直連����。PE負(fù)責(zé)管理VPN用戶���,建立LSP連接�,創(chuàng)建和管
