MPLS VPN与IPSec VPN的优劣对比.docVIP

MPLS VPN与IPSec VPN的优劣对比 　　【摘 要】企业内外通信的安全需求日益增长，催生出多种虚拟专用网技术。为了对MPLS VPN和IPSec VPN进行对比分析，从两者的技术原理和实现机制入手，通过对系统可靠性、安全性、接入便捷性、可扩展性、网络服务质量等方面进行研究，并分析使用场景，得出这两种VPN技术的优势短板和适用场合。 　　【关键词】MPLS IPSec VPN 标签交换 协议安全 　　doi：10.3969/j.issn.1006-1010.2016.12.005 中图分类号：TN929.53 文献标志码：A 文章编号：1006-1010（2016）12-0024-05 　　引用格式：陈柱，王烁. MPLS VPN与IPSec VPN的优劣对比[J]. 移动通信， 2016，40（12）： 24-28. 　　1 引言 　　互联网的快速发展大大促进了信息资源的交流，与此同时，人们对频繁出现的安全必威体育官网网址问题也愈加关注。通过传统的方式构建企业内部或企业之间的安全通信环境，必须通过自建通信干道或租用电缆和光缆，利用ISDN（Integrated Services Digital Network，综合业务数字网）或DDN（Digital Data Network，数字数据网）等技术构建企业专用网，若想在安全性和可靠性上得到保障，获得高性能的专用网，则开销巨大，普通企业难以承受。于是，VPN（Virtual Private Network，虚拟专用网）就在这种背景下产生了，它的技术要点是在公用网络上建立专用网络。虚拟专用网的含义就在于整个VPN网络的任意两个节点之间的连接，并不是依靠专网的端到端物理链路，取而代之的是建立在网络服务商所提供的因特网、帧中继等之上的逻辑网络。 　　作为两种实现原理不同的VPN技术，MPLS（Multi-Protocol Label Switching，多协议标签交换） VPN与IPSec（Internet Protocol Security，因特网协议安全性） VPN各有优劣，在特定的应用场景下需要灵活选用。 　　2 MPLS VPN技术原理 　　IP路由技术部署灵活，二层交换则具有相当的便捷性，MPLS VPN采纳了ATM（Asynchronous Transfer Mode，异步传输模式）的VPI（Virtual Path Identifier，虚路径标识符）/VCI（Virtual Channel Identifier，虚通道标识符）交换思想，综合了IP路由技术和二层交换的两种优点。IP网络本是面向无连接的网络，但在MPLS VPN网络中，路由信息由IGP（Interior Gateway Protocol，内部网关协议）、BGP（Border Gateway Protocol，边界网关协议）等路由协议进行收集并生成路由表，而后为特定的路由表项添加标签，这就增加了面向连接的属性，在某种程度上提供了QoS（Quality of Service，服务质量）保证，满足不同类型服务的QoS要求。 　　2.1 MPLS网络架构 　　如图1所示，MPLS网络的基本组成单元是LSR（Label Switching Router，标签交换路由器），连接用户网络的LSR称为边缘LSR（也称为LER），区域内部不与用户网络直连的LSR称为核心LSR。域内LSR之间使用MPLS进行通信，边缘由LER与传统IP技术进行适配。 　　MPLS网络的入节点称为Ingress，出节点称为Egress，中间转发节点称为Transit。被打上标签的分组数据包沿着一系列LSR进行传输，这一系列LSR就构成了LSP（Label Switching Path，标签交换路径）。 　　MPLS网络内部运行OSPF、ISIS、EIGRP等内部路由协议，建立网络内部邻居关系。但由于MPLS网络中所有的报文都会携带标签，因此需要标签分发协议（如LDP）与IGP结合，为每一条IGP的IP前缀分配标签并分发给所有的LSR邻居。 　　MPLS基本的工作过程如下： 　　（1）LDP结合内部路由协议，在每个LSR中为有业务需求的FEC（Forwarding Equivalence Class，转发等价类）建立相应的路由表和标签映射表。 　　（2）Ingress节点对接收到的分组数据包进行三层解析，判定分组所属的FEC，打上标签后形成MPLS标签数据包，送至Transit节点进行中转。 　　（3）Transit节点不对数据包进行三层解析，而是读取分组的标签，根据本地的标签转发表进行分组转发。 　　（4）在Egress节点上去除标签，还原为IP数据包，离开MPLS网络进行后续转发。 　　2.2 基于M