端到端 網絡 res 其它 等價 工作 異步傳輸 prot 因特網

轉：http://www.xzbu.com/8/view-7456625.htm

1 引言
　　互聯網的快速發展大大促進了信息資源的交流，與此同時，人們對頻繁出現的安全保密問題也愈加關註。通過傳統的方式構建企業內部或企 業之間的安全通信環境，必須通過自建通信幹道或租用電纜和光纜，利用ISDN（Integrated Services Digital Network，綜合業務數字網）或DDN（Digital Data Network，數字數據網）等技術構建企業專用網，若想在安全性和可靠性上得到保障，獲得高性能的專用網，則開銷巨大，普通企業難以承受。於 是，VPN（Virtual Private Network，虛擬專用網）就在這種背景下產生了，它的技術要點是在公用網絡上建立專用網絡。虛擬專用網的含義就在於整個VPN網絡的任意兩個節點之間 的連接，並不是依靠專網的端到端物理鏈路，取而代之的是建立在網絡服務商所提供的因特網、幀中繼等之上的邏輯網絡。
　　作為兩種實現原理不同的 VPN技術，MPLS（Multi-Protocol Label Switching，多協議標簽交換） VPN與IPSec（Internet Protocol Security，因特網協議安全性） VPN各有優劣，在特定的應用場景下需要靈活選用。
　　2 MPLS VPN技術原理
　 　IP路由技術部署靈活，二層交換則具有相當的便捷性，MPLS VPN采納了ATM（Asynchronous Transfer Mode，異步傳輸模式）的VPI（Virtual Path Identifier，虛路徑標識符）/VCI（Virtual Channel Identifier，虛通道標識符）交換思想，綜合了IP路由技術和二層交換的兩種優點。IP網絡本是面向無連接的網絡，但在MPLS VPN網絡中，路由信息由IGP（Interior Gateway Protocol，內部網關協議）、BGP（Border Gateway Protocol，邊界網關協議）等路由協議進行收集並生成路由表，而後為特定的路由表項添加標簽，這就增加了面向連接的屬性，在某種程度上提供了 QoS（Quality of Service，服務質量）保證，滿足不同類型服務的QoS要求。
　　2.1 MPLS網絡架構
　　 如圖1所示，MPLS網絡的基本組成單元是LSR（Label Switching Router，標簽交換路由器），連接用戶網絡的LSR稱為邊緣LSR（也稱為LER），區域內部不與用戶網絡直連的LSR稱為核心LSR。域內LSR之 間使用MPLS進行通信，邊緣由LER與傳統IP技術進行適配。
　　MPLS網絡的入節點稱為Ingress，出節點稱為Egress，中間轉發節點稱為Transit。被打上標簽的分組數據包沿著一系列LSR進行傳輸，這一系列LSR就構成了LSP（Label Switching Path，標簽交換路徑）。
　　MPLS網絡內部運行OSPF、ISIS、EIGRP等內部路由協議，建立網絡內部鄰居關系。但由於MPLS網絡中所有的報文都會攜帶標簽，因此需要標簽分發協議（如LDP）與IGP結合，為每一條IGP的IP前綴分配標簽並分發給所有的LSR鄰居。
　　MPLS基本的工作過程如下：
　　（1）LDP結合內部路由協議，在每個LSR中為有業務需求的FEC（Forwarding Equivalence Class，轉發等價類）建立相應的路由表和標簽映射表。
　　（2）Ingress節點對接收到的分組數據包進行三層解析，判定分組所屬的FEC，打上標簽後形成MPLS標簽數據包，送至Transit節點進行中轉。
　　（3）Transit節點不對數據包進行三層解析，而是讀取分組的標簽，根據本地的標簽轉發表進行分組轉發。
　　（4）在Egress節點上去除標簽，還原為IP數據包，離開MPLS網絡進行後續轉發。
　　2.2 基於MPLS的VPN
　　如圖2所示，典型的MPLS VPN網絡中包含以下3種類型的網元：
　　（1）PE：服務提供商邊緣路由器，與用戶的CE設備直連。PE負責管理VPN用戶，建立LSP連接，創建和管理VRF（Virtual Routing Forwarding，VPN路由轉發表）。
　　（2）P：服務提供商網絡中的骨幹路由器，不與CE直連，只需具備MPLS標簽數據包轉發能力，根據外層標簽進行報文轉發，不參與VPN用戶的添加刪除和VRF表項的創建維護工作。
　　（3）CE：用戶網絡邊緣設備，與服務提供商的PE設備直連，負責將本地路由發布到PE設備上，但CE無須支持MPLS，也感知不到VPN的存在。
　　3 IPSec VPN技術原理
　　3.1 協議實現
　 　IPSec作為一種框架架構，其標準是開放的，使用加密的安全服務，在IP網絡上進行保密而安全的通訊。IPSec協議主要由三部分組成，其中包括 AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，因特網密鑰交換）以及用於網絡認證和加密的一些其它算法。其中，AH協議和ESP協議保障數據傳輸的安全，IKE協議則用於交換和管理 在VPN中使用的加密密鑰。 　　AH協議可以提供數據源認證（接收方在接收時會驗證信息，確認信息發送者的身份）、完整性校驗和防報文重放（重放是指攻擊者發送一個目的主機已接收過 的包來達到欺騙系統的目的，主要用於身份認證過程，破壞認證的安全性）等功能，它能保護數據的完整性，免受黑客攻擊篡改。然而由於協議自身機制，AH無法 有效防止竊聽，因此適合非機密數據的傳輸。其工作原理是在數據包的IP包頭之後添加身份驗證報文頭，對數據提供完整性保護。常用於AH的認證算法有 MD5（Message-Digest Algorithm 5，消息摘要算法第五版）和SHA-1（Secure Hash Algorithm，安全哈希算法）。
　　ESP協議主要用於數據加密、源認證、完整性校驗和防報文重放。該協議在數據包的IP 包頭後面添加報文頭，並在數據包後面追加報文尾，將用戶數據進行加密後封裝到IP數據包中，使數據機密性得到保證，DES（Data Encryption Standard，數據加密標準）、3DES、AES（Advanced Encryption Standard，高級加密標準）是ESP協議中常用到的加密算法。
　　在IP通信的真實場合中，既可單獨選用以上兩種協議中的一種，也可根據 實際安全需求，結合這兩種協議的優點靈活使用。從提供的認證服務性能方面看，AH協議強於ESP協議。當兩種協議同時使用時，常用的封裝方式為先後進行 ESP封裝和AH封裝，形成的報文結構從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。
　　3.2 封裝模式
　　IPSec協議封裝模式如下：
　　（1）隧道模式：計算AH或ESP頭時要用到整個IP數據包，經過ESP加密的用戶數據和AH、ESP頭將被封裝在一個新的IP數據包中。一般情況下，兩個安全網關之間的通訊會選用隧道模式。
　　（2）傳輸模式：計算AH或ESP頭時只用到傳輸層數據，經過ESP加密的用戶數據和AH、ESP頭將被放置在原IP包頭後面。一般情況下，兩臺主機之間或主機和安全網關之間會選用傳輸模式。
　　3.3 IPSec VPN應用場景
　　IPSec VPN的應用場景可以分為：
　　（1）Site-to-Site（站點到站點模式，也稱為網關到網關）：如圖3所示，3個機構分布在互聯網的3個不同接入點，相互之間利用網關建立VPN隧道進行數據傳輸，實現安全互聯。
　　（2）End-to-End（端到端模式，也稱為PC到PC）：IPSec會話保護兩個企業網Site的PC之間的通信。
　　（3）End-to-Site（端到站點模式，也稱為PC到網關）：兩個企業網Site的PC之間的通信由一地的網關和另一地的PC之間的IPSec回話進行保護。
　　4 兩種VPN的優劣對比
　　4.1 系統可靠性
　　MPLS VPN建構在運營商的基礎網絡之上，穩定性有較好的保證。由於本身屬於運營商的數據業務，租用MPLS鏈路後，運營商將保證相應的數據帶寬。從可靠性來說，MPLS相當於某種意義上的專線。
　 　而IPSec VPN則完全不同，它建構在因特網之上，其可靠性取決於通信線路是否可靠以及設備是否穩定。IPSec是目前網絡應用中較為主流的VPN協議，技術水平相 對比較完善，基於IPSec VPN技術的許多設備的運行都非常穩定可靠。目前因特網覆蓋範圍日益拓寬，運營商長期的投入建設也大大提高了整個因特網線路的服務水平，帶寬得到充分保 證，接入方式也更加多樣化。在單條線路發生故障時，可以使用備份線路進行數據傳輸。在單一線路可靠性方面IPSec雖然趕不上MPLS，但由於存在其它線 路作為故障備份，在容錯方面又有較高的保障。
　　4.2 安全性
　　在MPLS VPN網絡中，地址隔離和路由隔離能夠抵抗黑客攻擊及標記欺騙，因此能夠達到幀中繼或ATM相類似水平的線路安全保證。然而，MPLS VPN並沒有解決管理型共享網絡普遍存在的安全隱患：受保護的網絡元可能遭遇非法訪問、網絡設備上出現錯誤配置以及網絡內部攻擊。在MPLS VPN中傳輸數據時，協議只是標記了端點的路由，對數據本身並不進行加密，數據實際上處於明文傳輸狀態，從這一點來看，MPLS VPN的安全性並不高。此外，MPLS VPN基於LSP進行數據傳輸，LSP的本地有效性可以在很大程度上抵禦欺騙攻擊。BGP的主要功能是在VPN中傳遞路由信息，但其獨有的擴展 Community屬性增大了錯誤路由引入的難度。從這方面來看，MPLS的數據有效性更高。
　　IPSec VPN為了保證數據傳輸的安全，采用了對稱密鑰、非對稱密鑰和摘要算法，又利用身份認證、數據加密、數據完整性校驗等手段，以此保證接入安全和數據私密 性。另一方面，IPSec傳輸數據的環境是因特網，雖然潛在的攻擊者無法直接讀取傳輸的數據，但是卻可以通過在路由表中加入特定路由條目來旁路數據，因此 同樣存在安全漏洞。
　　4.3 接入便捷性
　　MPLS VPN在設備接入方面相對便捷，客戶只需將CE設備連接到運營商的網絡邊緣設備（也稱PE設備），運營商負責二層數據傳輸和三層路由工作，客戶無需進行繁 雜的配置。采用這種架構，客戶的負擔較小，也無需經常應對排錯的工作。然而這種模式下的網絡接入並不靈活，因為MPLS VPN往往是由單一的運營商提供的，跨運營商的連接通常並不順暢，不同運營商提供的MPLS服務彼此很難互聯互通。而大型客戶的分支機構往往遍布全國各 地，如果希望在不同的城市接入同一家運營商且都提供MPLS VPN服務，在現實中實現難度非常大，尤其是對於偏遠地區和移動用戶。
　　而 IPSec VPN則不同，完全架構在因特網之上，只要接入因特網，就可以組建企業專用網絡，運營商的骨幹網絡無需承擔業務相關功能。用戶可以隨時隨地享受服務，而且 隨著電信網絡“最後一公裏”技術的大力推進，因特網獲得了空前普及。利用因特網的資源，采用IPSec VPN技術就能十分便捷地組建企業的虛擬專網。隨著業務的拓展，移動用戶將日益增多，使用IPSec客戶端可以讓移動用戶與企業內部網絡進行快速便捷的信 息交互，極大地提高生產力。 　　4.4 可擴展性
　　由於IPSec VPN受到本身技術特性的局限，而且實際部署過程中常會遇到穿越防火墻、IP地址沖突等問題，因此通常無法支持復雜網絡。在部署IPSec VPN時，首先要結合企業網絡的拓撲結構進行網絡規劃，當新的設備接入時，網絡結構又得進行相應的調整，大大降低了IPSec VPN的可擴展性。
　 　MPLS由服務提供商配置，能夠輕易實現全網狀的網絡架構，企業只需將本端的CE連接至運營商的PE，對CE的硬件配置要求不高，也不用做大量復雜的配 置。當業務擴展需要新的CE加入時，CE和PE上只需進行簡單的配置更改。另外，由於標簽代替了地址，原有的專用地址可以繼續沿用，無須進行更改，並且 MPLS VPN網絡中還可以配置QoS以保障服務質量。相比IPSec VPN，MPLS VPN在企業中的應用具備更高的擴展性。
　　4.5 網絡服務質量
　 　MPLS VPN依托於骨幹網，具有更高的網絡服務質量。在傳統IP網絡中，路由表過長、盡力服務、內部路由協議的路由匯聚往往會帶來一系列的問題，增加運維負擔。 但MPLS可以調節數據包傳送的順序，路由器根據標簽進行判別後即可將數據轉發，在某種程度上解決了上述難題。MPLS VPN可以進行優先權區分，利用QoS保障服務質量，數據包攜帶的標簽可用於流量區分，甚至是業務區分，通過不同的優先級來滿足不同的需求。
　　在網絡傳輸通道中，IPSec VPN保證的是端到端的安全，端點處需要額外的加解密過程，這將增加軟硬件處理能力和用戶設備的性能開銷。數據流經過加密後，路由器將無法辨識標示QoS的比特位，保證服務質量也就無從談起

。
　　5 結束語
　 　本文通過對MPLS VPN和IPSec VPN的技術原理及應用場景進行分析，結合多方面的特點對比，可以看出：MPLS VPN具有較高的可擴展性，能靈活提供QoS服務，而IPSec VPN利用因特網，接入更為便捷；MPLS VPN利用運營商網絡獲得專線級別的服務，而IPSec VPN則利用日益普及的因特網來實現備份容錯；在安全性方面，MPLS VPN和IPSec VPN各有優劣，擁有獨特的安全機制，也存在各自的安全隱患。在不同的應用環境中，需要根據企業具體需求靈活選用合適的VPN，才能獲得真正適合企業的專 用網。

MPLS VPN與IPSec VPN對比分析