MPLS-VPN和IPSEC-VPN的比较

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

两种vpn实现的比较(一)MPLS与IPSECoverInternetMPLSVPN是一种基于MPLS(MultiprotocolLabelSwitching,多协议标记交换)技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。MPLS有很多方面的优点,其中主要的优点就是采用了类似标记交换和IP交换的方式,可以充分利用电信交换网络的硬件优势,相对简化转发处理,提高IP包的转发效率。与IPSECVPN比较,MPLSVPN有它优越的一方面,但也并非处处完美。下面从几个方面对MPLSVPN与IPSECVPN进行对比。一、系统的可靠性MPLSVPN是基于电信的网络进行构建的,它的稳定性相当高。由于本身属于电信的一项数据业务,它的带宽是完全有保证的,也就是说,租用MPLS链路,就能够得到相应的数据带宽。从可靠性来说,MPLS有很强的优势。相当于另外一种形式的专线。IPSECVPN是完全基于INTERNET构建的,因此它的可靠性依赖于两个方面:线路的可靠性和设备的稳定性。从设备可靠性来看,IPSEC作为主流的VPN协议,它的技术一般都比较完善。目前基于ipsec的vpn技术已经成熟,很多产品的运行都能够非常稳定可靠。以冰峰vpn产品为例,其可靠性完全能够满足商用的需要。目前Internet的接入已经非常普及,由于长期的投入建设,整个Internet线路已经达到了很高的水平,不仅带宽有保证,而且提供的接入方式多样。一旦某一条线路出错,可以使用其他备份线路接入internet。因此单一线路可靠性虽然没有MPLS高,由于随时可以使用的其他线路作备份,因此系统具有很强的容错能力。这一点,是MPLS链路无法达到的。。二、投入成本从投入成本上分析,MPLS可以免除设备投资,但是大多数情况下,用户还是需要购买路由器之类的设备。另外,MPLS长期的租金累计起来,也不是一个小数目,例如512K的带宽,每个月需要上千元到几千元的网络租用费,如果是国际链路,就会更加昂贵。但同样512K的Internet接入费用,以普通的ADSL为例,现在在大多数城市只需要100~200元左右。采用IPSECVPN,一次性设备投入比较大。但从长远看来,费用分摊以后,那么它的费用实际是比MPLSVPN要低很多。三、接入方便性MPLSVPN连接比较简单,只要求客户把客户设备(CE)连接到运营商的网络边缘设备(PE)就可以了,运营商同时负责二层的数据传输工作和三层的路由工作,这种三层MPLSVPN对客户的要求比较低,客户负担较小,但这种做法常见的问题就是接入的灵活性。因为MPLSVPN是单一运营商提供的,跨运营商的连接常常存在很大问题,例如:联通提供的MPLS服务和电信提供的MPLS,彼此就很难连接。而大型客户往往在全国各地都有自己的分支机构,如果寄希望这些分支机构所在城市都有同一家运营商并且都提供MPLSVPN的服务,显然很不现实,特别是在偏远地区和移动用户。因此MPLS更适合在城域网中,或者象中国电信这样大型的全国性的运营商中使用。IPSECVPN则是完全利用互联网,做到了只要接入Internet,就可以利用IPSECVPN来组建企业自己的网络。其属于端到端服务,不需要骨干网络承担业务相关功能。响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。随着电信“最后一公里”技术的实现,Internet真的做到了无处不在。利用Internet的资源,采用IPSECVPN技术可以非常方便地在全球范围内,组建企业的虚拟专网。随着业务的不断发展,移动用户和在家办公的用户也越来越多,vpn客户端的支持也非常重要,使用IPSEC客户端可以让移动用户随时随地都能够跟企业内部进行信息交换。这一点MPLSVPN显然是做不到的。对于浙江省卫生厅来说,因为在各区县卫生所会有大量单机用户,对于MPLSVPN来说需要铺设光纤,对于用户来讲无论是从时间还是从资金的投入来讲都是不可接受的。四、安全性MPLSVPN采用路由隔离、地址隔离等多种手段提供了抗攻击和标记欺骗的手段,因此人们认为,MPLSVPN完全能够提供与FR/ATM相类似的线路安全保证。但是MPLSVPN也没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部(包括核心)攻击等安全问题。例如在MPLSVPN传递数据,只是标记了端点路由,对数据本身并不提供加密的防护手段。因此MPLSVPN的安全性一般。IPSecVPN的显著特点就是它的安全性,这是它保证内部数据安全的根本。IPSECVPN为了实现在Internet上安全的传递数据,采用了对称密钥、非对称密钥以及摘要算法等多种加密算法,通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全,保证的数据的私密性。五、可管理性由于MPLSVPN通讯关系是由运营商指定的,用户配置的灵活性并不高。同时,由于运营商的网络往往是由多家设备厂商组成的,这样即使是运营商,对VPN设备的管理实际上也是很困难的。IPSECVPN通过数字证书等技术手段,实现了对整个VPN网络的“集中认证、统一监控、分级管理”的管理模式,既充分保障了整个网络的安全性,有效减轻了网络管理人员的负担,同时对技术力量比较薄弱的分支机构真正实现的设备的“零管理”。同时通过技术手段可以控制不同VPN设备之间的通信关系,充分体现了用户对VPN网络的可管理性。最后,我们可以列出一个表格,总体比较MPLS和IPSEC两种vpn技术。MPLSIPSEC(overinternet)备注接入方式电信isp链路到户任何连接到Internet的方式,包括小区宽带、移动上网、adsl、电话拨号等等显然后者能够更方便接入。成本一次投入比较低,长期投入资金比较高一次投入比较高,长期投入很低。基本在企业的原有上网线路上运行,不需要增加另外接入。稳定性稳定性很高,但是备份线路基本没有。稳定性依赖于接入链路,但是存在多种接入方式可以备份。安全加密依赖于运营商的网络隔离IPsec自身强大的安全功能移动客户端支持很难支持支持很好运营管理模式电信或者ISP提供服务客户自行管理维护,与外部完全隔离。

1 / 4
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功