賀軍

?

傳統(tǒng)VPN與MPLS VPN對比分析

賀軍

晉城無煙煤礦業(yè)集團有限責任公司通信分公司，山西 晉城 048006

隨著近幾年我國科學技術(shù)的快速發(fā)展，傳統(tǒng)的VPN技術(shù)已經(jīng)不能滿足當前社會發(fā)展的需求，因此，新的MPLS VPN應(yīng)運而生，并且已經(jīng)在很多企業(yè)得到應(yīng)用。基于此，對傳統(tǒng)VPN與MPLS VPN之間的屬性進行了相應(yīng)的分析研究，以便能夠使人們對這兩者有著更為清晰的認識和了解。

VPN技術(shù)；MPLS VPN技術(shù)；工作原理

1 MPLS技術(shù)概述

MPLS技術(shù)并不能說一種新的產(chǎn)物，因為其既不屬于第二層也不屬于第三層。”多協(xié)議”有兩層含義：一是支持如IPv4、IPv6、IPX、APpleTalk等多種網(wǎng)絡(luò)層協(xié)議，二是兼容多種鏈路層協(xié)議技術(shù)，如幀中繼、以太網(wǎng)、ATM、PPP等。MPLS采用與ATM差不多的交換技術(shù)進行轉(zhuǎn)發(fā)，而MPLS的控制部分則兼容現(xiàn)有的IP路由協(xié)議，這樣既可以很好的發(fā)揮網(wǎng)絡(luò)層路由選擇的靈活性，又能夠充分利用鏈路層快速交換的優(yōu)質(zhì)、高效[1]。

MPLS技術(shù)在無連接的“Best Effort”IP網(wǎng)絡(luò)中，引入了面向連接的優(yōu)勢。它涉及的范圍很廣泛，有如RIP、OSPF、BGP、IS-IS等路由技術(shù)，標簽分發(fā)及交換等信令監(jiān)控、虛擬專用網(wǎng)絡(luò)、流量工程（Traffic Engincer，TE）、服務(wù)質(zhì)量控制（QOS）等等。

2 傳統(tǒng)VPN與MPLS VPN對比分析

2.1 虛擬專用網(wǎng)VPN技術(shù)

VPN（Virtual Private Network）提指一種專用網(wǎng)絡(luò)，構(gòu)造在公共網(wǎng)絡(luò)上。傳遞私有信息時，需要利用共享的通信基礎(chǔ)設(shè)施，應(yīng)用了加密和認證技術(shù)，建立起的一個相對封閉的、邏輯上專用的網(wǎng)絡(luò)在相互通信的節(jié)點之間，VPN雖然不是一個獨立的實際網(wǎng)絡(luò)，但卻具有專用網(wǎng)絡(luò)的所有功能。VPN是在實際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）上建立的功能性網(wǎng)絡(luò)，采用專網(wǎng)組網(wǎng)方式，是邏輯上的專用網(wǎng)絡(luò)，使用與專用網(wǎng)相同的策略，向用戶提供專用網(wǎng)絡(luò)所有的功能。VPN可以在互聯(lián)網(wǎng)（Internet）、幀中繼（FR）、異步傳輸模式（ATM）等基礎(chǔ)上構(gòu)建。

2.1.1 VPN的劃分

（1）按照實現(xiàn)技術(shù)進行劃分

①覆蓋型（Overlay）。類似于靜態(tài)路由，覆蓋型VPN的配置和部署需要手工來完成，而且具有很多問題，無法反應(yīng)網(wǎng)絡(luò)的實時變化。一旦VPN中對某個用戶進行增加或者刪除，整個路由表都會受到影響，維護工作量大，不適宜部署在大規(guī)模網(wǎng)絡(luò)中。

②對等型（peer-to-peer）。即CE-to-PE，交換專用網(wǎng)絡(luò)路由信息，是在CE（用戶端）與PE（服務(wù)供應(yīng)商端）之間，然后在公共網(wǎng)絡(luò)中由PE路由器向其他PE路由器傳播。按照協(xié)議實現(xiàn)類型進行劃分，參照051標準參考模型可以分為：a.第-層VPN：包括SONET，ISDN，Tl，El等；b.第二層VPN：包括幀中繼（Frame Relay）、異步傳輸模式（ATM）等；c.第三層VPN：包括IP安全（IP Security）、通用路由封裝協(xié)議（GRE）等；d.第七層VPN：采用安全套接層協(xié)議（Security Socket Layer，SSL），SSL建立在應(yīng)用層上，實用于用戶端，它是一種高層安全協(xié)議。

（2）按照發(fā)起方式進行劃分

當一個企業(yè)用戶要建立一個虛擬專用網(wǎng)絡(luò)時，既可以通過用戶端來實現(xiàn)，也可以由服務(wù)供應(yīng)商來實現(xiàn)，甚至可以由服務(wù)供應(yīng)商和用戶共同來實現(xiàn)：

①基于用戶端設(shè)備的VPN（CPE-VPN）。VPN網(wǎng)關(guān)設(shè)備由用戶自己設(shè)置并維護，在公司總部與各個分支機構(gòu)之間建立VPN連接，為了保障數(shù)據(jù)傳輸?shù)陌踩?，可以采用加密技術(shù)。顯著特點是：VPN的實現(xiàn)對網(wǎng)絡(luò)是透明的，Internet不需要再進行變動和以及不用對設(shè)備進行新的投資。

②基于服務(wù)供應(yīng)商網(wǎng)絡(luò)的VPN（PP-VPN）。VPN網(wǎng)關(guān)設(shè)備是在公共數(shù)據(jù)網(wǎng)絡(luò)上進行設(shè)置，通過第二層隧道技術(shù)，根據(jù)具體的VPN要求，建立完全的或不完全的虛擬專用網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)。VPN連接的建立完全由服務(wù)供應(yīng)商負責，對用戶透明，用戶的管理可以靈活地由用戶和服務(wù)供應(yīng)商共同管理。由于服務(wù)供應(yīng)商提供并管理網(wǎng)關(guān)設(shè)備，可以給多個企業(yè)用戶同時提供VPN服務(wù)。

2.1.2 VPN具有的基本屬性

①安全性：采用隧道加密技術(shù)、流量分離控制、數(shù)據(jù)分組認證、用戶認證以及訪問控制等安全措施，保證商業(yè)上重要的數(shù)據(jù)流能夠保持其機密性。

②服務(wù)質(zhì)量（QOS）：通過變動帶寬速率實現(xiàn)網(wǎng)絡(luò)擁塞管理，保障重要的或?qū)ρ舆t非常敏感的數(shù)據(jù)流量具有優(yōu)先通過權(quán)[2]。

③可管理性：VPN的管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理等方面。VPN的管理目標是減小網(wǎng)絡(luò)風險、具有高擴展性、經(jīng)濟性、高可靠性。實現(xiàn)既滿足遠程互聯(lián)要求，又可以在一定程度上防止黑客攻擊，還能夠根據(jù)各種服務(wù)類別進行管理約束。

2.2 基于MPLS的VPN

運用MPLS在虛擬主干網(wǎng)中轉(zhuǎn)發(fā)數(shù)據(jù)分組的VPN被稱為MPLS VPN。MPLS VPN目前有Martini草案和Kompeller草案兩個技術(shù)流派。MPLS的用途是轉(zhuǎn)發(fā)數(shù)據(jù)，但要通過其他協(xié)議來實現(xiàn)路徑的建立。

MPLS VPN依據(jù)擴展方式可以劃分為基于BGP擴展實現(xiàn)的MVPS-VPN和基于LDP擴展實現(xiàn)的VPN。

MPLS VPN依據(jù)是否有PE設(shè)備參與VPN路由可以劃分為MPLS L2 VPN和MPLS L3 VPN。其中MPLS L2 VPN在第二層使用，既可以稱作透明的局域網(wǎng)服務(wù)TLS，又可以稱作虛擬專用局域網(wǎng)服務(wù)VPLS，無論怎么稱呼其目的并非是要建立一個隔離的網(wǎng)絡(luò)，而是要擴展現(xiàn)有的第二層VPN服務(wù)，從而實現(xiàn)在專用IP網(wǎng)絡(luò)傳輸業(yè)務(wù)。而另外的MPLS L3 VPN在第三層使用，也可以稱為MPLS/BGP VPN。在骨干網(wǎng)中MPLS用于轉(zhuǎn)發(fā)數(shù)據(jù)包，而BGP則用于分發(fā)路由?？梢哉fMVPS-VPN擁有比較廣泛的應(yīng)用，討論三層BGP/MPLS VPN技術(shù)是本文的主要內(nèi)容。

3 結(jié)論

綜上所述，相比較于傳統(tǒng)的VPN技術(shù)來說，MPLS VPN技術(shù)其動態(tài)的隧道建立機制、高效的標簽轉(zhuǎn)發(fā)方式、豐富靈活的業(yè)務(wù)規(guī)劃和接入能力及良好的可擴展性脫穎而出，作為最適用的網(wǎng)絡(luò)虛擬化技術(shù)而得到廣泛應(yīng)用。

[1]許明.MPLS-VPN環(huán)境中數(shù)據(jù)安全隱患分析與防護[J].電腦知識與技術(shù)，2015（28）：56-58.

[2]鐘燦雄.基于MPLS與BGP的VPN構(gòu)建與應(yīng)用研究[J].湖南郵電職業(yè)技術(shù)學院學報，2014（2）：58-63.

TP393.1

A

1009-6434（2016）03-0004-01