MPLS vpn和IPSEC VPN的比较

www.net130.com     日期:2009-12-12    浏览次数:
出处:互联网

电信的VPN是MPLS VPN,是一种基于MPLS(Multiprotocol Label Switc hing,多协议标记交换 )技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。

  MPLS VPN有它优越的一方面,但也有很大的缺点。下面从几个方面对MPLS VPN与IPSEC VPN进行对比。

  一、系统的可靠性

  MPLS VPN是基于电信的网络进行构建,本身属于电信的一项数据业务.,

  IPSEC VPN是完全基于INTERNET构建的,因此它的可靠性依赖于两个方面:线路的可靠性和设备的稳定性。

  从设备可靠性来看,IPSEC作为主流的VPN协议,它的技术比较完善。目前基于ipsec的vpn技术已经成熟,很多产品都能够运行非常稳定可靠。

  目前Internet的接入已经非常普及,由于长期的投入建设,整个Internet线路已经达到了很高的水平,不仅带宽有保证,而且提供的接入方式多样。一旦某一条线路出错,可以使用其他备份线路接入internet。MPLS是依靠单一的电信运营商,如果运营商的网络出问题就等于整个网络的停用。IPSET由于随时可以使用的其他线路作备份,因此系统具有很强的容错能力。这一点,是MPLS链路无法达到的。

  二、投入成本

  从投入成本上分析,MPLS可以免除设备投资,但是大多数情况下,用户还是需要购买路由器之类的设备。

  另外,MPLS长期的租金累计起来,也不是一个小数目,如果是国际链路,那么就会更加昂贵。

  采用IPSEC VPN,是利用原来公网线路。但一次性设备投入比较大。但从长远看来,费用分摊以后,那么它的费用实际是比MPLS VPN要低很多。

  三、接入方便性

  MPLS VPN连接比较简单,只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了,运营商同时负责二层的数据传输工作和三层的路由工作,这种三层MPLS VPN对客户的要求比较低,客户负担较小,但这种做法常见的问题就是接入缺少灵活性。因为MPLS VPN是单一运营商提供的,跨运营商的连接常常存在很大问题,例如:联通提供的MPLS服务和电信提供的MPLS,彼此就很难连接。而大型客户往往在全国各地都有自己的分支机构,如果寄希望这些分支机构所在城市都有同一家运营商并且都提供MPLS VPN的服务,显然很不现实,特别是在偏远地区和移动用户。MPLS具有地域性,现在许多地方的MPLS服务没有推出。

  IPSEC VPN则是完全利用互联网,做到了只要接入Internet,就可以利用IPSEC VPN来组建企业自己的网络。随着电信“最后一公里”技术的实现,Internet真的做到了无处不在。利用Internet的资源,采用IPSEC VPN技术可以非常方便的在全球范围内,组建企业的虚拟专网。

  随着业务的不断发展,移动用户和在家办公的用户也越来越多,vpn客户端的支持也非常重要,使用IPSEC客户端可以让移动用户随时随地都能够跟企业内部进行信息交换。这点MPLS VPN显然是做不到的。对于接如点比较多的用户来说,特别分布广泛用户,对于用户来讲无论是从时间还是从资金的投入来讲都是不可接受的。

  四、安全性

  MPLS VPN采用路由隔离、地址隔离等多种手段提供了抗攻击和标记欺骗的手段,因此人们认为,MPLS VPN完全能够提供与FR/ATM 相类似的线路安全保证。

  但是MPLS VPN也没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部(包括核心)攻击等安全问题。例如在MPLS VPN传递数据,只是标记了端点路由,对数据本身并不提供加密的防护手段。因此MPLS VPN的安全性一般。

  IPSec VPN 的显着特点就是它的安全性,这是它保证内部数据安全的根本。IPSEC VPN为了实现在Internet上安全的传递数据,采用了对称密钥、非对称密钥以及摘要算法等多种加密算法,通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全,保证的数据的私密性。

  五、可管理性

  由于MPLS VPN通讯关系是由运营商指定的,用户配置的灵活性并不高。同时,由于运营商的网络往往是由多家设备厂商组成的,这样即使是运营商,对VPN设备的管理实际上也是很困难的。

  IPSEC VPN通过数字证书等技术手段,实现了对整个VPN网络的“集中认证、统一监控、分级管理”的管理模式,既充分保障了整个网络的安全性,有效减轻了网络管理人员的负担,同时对技术力量比较薄弱的分支机构真正实现的设备的“零管理”。同时通过技术手段可以控制不同VPN设备之间的通信关系,充分体现了用户对VPN网络的可管理性。IPSEC可以牢牢的把网络放在自己手中,可以通过中心接点对整个网络的遥控。

  最后,我们可以列出一个表格,总体比较MPLS和IPSEC两种vpn技术。

MPLS
IPSECover internet
备注
接入方式
电信isp链路到户
任何连接到Internet的方式,包括小区宽带、移动上网、adsl、电话拨号等等
显然后者能够更方便接入。
成本
一次投入比较低,长期投入比较高
一次投入比较高,长期投入很低。基本在企业的原有上网线路上运行,不需要增加另外接入。
 
稳定性
稳定性很高,但是备份线路基本没有。
稳定性依赖于接入链路,但是存在多种接入方式可以备份。
 
安全加密
依赖于运营商的网络隔离
IPsec自身强大的安全功能
IPSETVPN隧道更好些
移动客户端支持
很难支持
支持很好
 
运营管理模式
电信或者ISP提供服务
客户自行管理维护,与外部完全隔离。
 
应用性
具有地域性,运营商分别建立MPLS网络。
利用INTERNET
 

分享道
相关新闻