每个月需要上千元到几千元的网络租用费,如果是国际链路,就会更加昂贵。
但同样512K的Internet接入费用,以普通的ADSL为例,现在在大多数城市只需要100~200元左右。采用IPSec VPN,一次性设备投入比较大。但从长远看来,费用分摊以后,那么它的费用实际是比MPLS VPN要低很多。
3)接入方便性
MPLS VPN连接比较简单,只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了,运营商同时负责二层的数据传输工作和三层的路由工作,这种三层MPLS VPN对客户的要求比较低,客户负担较小,但这种做法常见的问题就是接入的灵活性。因为MPLS VPN是单一运营商提供的,跨运营商的连接常常存在很大问题,例如:联通提供的MPLS服务和电信提供的MPLS,彼此就很难连接。而大型客户往往在全国各地都有自己的分支机构,如果寄希望这些分支机构所在城市都有同一家运营商并且都提供MPLS VPN的服务,显然很不现实,特别是在偏远地区和移动用户。因此MPLS更适合在城域网中,或者象中国电信这样大型的全国性的运营商中使用。
IPSec VPN则是完全利用互联网,做到了只要接入Internet,就可以利用IPSEC VPN来组建企业自己的网络。其属于端到端服务,不需要骨干网络承担业务相关功能。响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。随着电信“最后一公里”技术的实现,Internet真的做到了无处不在。利用Internet的资源,采用IPSEC VPN技术可以非常方便地在全球范围内,组建企业的虚拟专网。
随着业务的不断发展,移动用户和在家办公的用户也越来越多,VPN客户端的支持也非常重要,使用IPSec客户端可以让移动用户随时随地都能够跟企业内部进行信息交换。这一点MPLS VPN显然是做不到的。
4)安全性
MPLS VPN采用路由隔离、地址隔离等多种手段提供了抗攻击和标记欺骗的手段,因此人们认为,MPLS VPN完全能够提供与FR/ATM 相类似的线路安全保证。
但是MPLS VPN也没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部(包括核心)攻击等安全问题。例如在MPLS VPN传递数据,只是标记了端点路由,对数据本身并不提供加密的防护手段。因此
21
MPLS VPN的安全性一般。
IPSec VPN 的显著特点就是它的安全性,这是它保证内部数据安全的根本。IPSEC VPN为了实现在Internet上安全的传递数据,采用了对称密钥、非对称密钥以及摘要算法等多种加密算法,通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全,保证的数据的私密性。
5)可管理性
由于MPLS VPN通讯关系是由运营商指定的,用户配置的灵活性并不高。同时,由于运营商的网络往往是由多家设备厂商组成的,这样即使是运营商,对VPN设备的管理实际上也是很困难的。
IPSEC VPN通过数字证书等技术手段,实现了对整个VPN网络的“集中认证、统一监控、分级管理”的管理模式,既充分保障了整个网络的安全性,有效减轻了网络管理人员的负担,同时对技术力量比较薄弱的分支机构真正实现的设备的“零管理”。同时通过技术手段可以控制不同VPN设备之间的通信关系,充分体现了用户对VPN网络的可管理性。
下面,列出一个表格,总体比较MPLS和IPSec两种VPN技术。 比较项目 接入方式
表5.1 MPLS VPN与IPSec VPN的比较
MPLS IPSec(over Internet)
任何连接到Internet的方式,
电信ISP链路到户 包括小区宽带、移动上网、ADSL、
电话拨号等等
一次投入比较高,长期投入很
一次投入比较低,长期投入
低。基本在企业的原有上网线路
资金比较高
上运行,不需要增加另外接入。
稳定性很高,但是备份线路稳定性依赖于接入链路,但是存
基本没有。 在多种接入方式可以备份。
依赖于运营商的网络隔离 IPsec自身强大的安全功能
很难支持
电信或者ISP提供服务
支持很好
客户自行管理维护,与外部完全
隔离。
成本 稳定性 安全加密 移动客户端支
持 运营管理模式
最后,分析一下MPLS VPN和IPSec VPN的应用场景。
MPLS VPN构建在专用网络上,主要解决的是固定站点间的互联问题,能够保证很好的带宽和服务质量(QoS),但价格与传统专线在同一水平。MPLS VPN主要解决的是固定站点间的互联问题,其一般不借助互联网Internet来实现,服
22
务质量和安全性的保障比较方便,适用于中大型客户的组网。
IPSec承载在公众互联网上,服务质量基本无法保证,但成本相对比较低。服务供应商可以对那些需要较高认证和私密性,而对服务质量要求不高的数据流实行IPsec解决方案,适用于对价格特别敏感的客户。
23
6 总结
本文深入地分析了VPN技术的现状,详细介绍了VPN的技术特征、分类和发展趋势。结合大型企业的实际应用需求与背景,给两种不同的VPN方案:IPSec VPN与MPLS VPN。在每个方案里都详细的介绍了方案背景,给出了网络拓扑图,规划了IP地址分配方案,给出了方案里的关键配置代码。并对比分析IPSec VPN和MPLS VPN的特点,并给出了各种的适用场景。
24
