MPLS ×××與IPSec ×××的融合解決方案(1)
×××是一種邏輯上的專用網絡,能夠向用戶提供專用網絡所具有的功能,但本身卻不是一個獨立的物理網絡。爲適應全球經濟一體化的格局與發展,利用IP協議和現有的Internet來建立企業的安全的專有網絡,成爲主要×××發展趨勢。
×××(虛擬專用網絡,Virtual Private Network),是一種通過對網絡數據的封包或加密傳輸,在公衆網絡上傳輸私有數據、達到私有網絡的安全級別,從而利用公衆網絡構築企業專網的組網技術。×××是一種邏輯上的專用網絡,能夠向用戶提供專用網絡所具有的功能,但本身卻不是一個獨立的物理網絡。
×××的技術實現方式
×××是一種廣義的概念,即在公衆網絡上實現私有網絡。有多種技術可以實現×××的功能,一般來說,虛擬專用網絡(×××)可分爲如下幾種:
1.傳統的專線虛擬專用網絡
傳統的虛擬專用網絡主要包括幀中繼和ATM,是傳統的電信專線業務,是電信運營商通過幀中繼或ATM的專用交換設備建立覆蓋一定區域的公用交換平臺,並通過在此公用交換平臺上建立虛電路連接,爲用戶提供專用網絡。
幀中繼(Frame Relay,簡稱FR),是一種面向連接的快速分組交換技術。它使用一組規程將數據信息以幀的形式有效地進行傳送,在一個物理連接上可複用多個邏輯連接(即可建立多條邏輯信道),可實現帶寬的複用和動態分配。幀中繼適合於封裝局域網的數據單元,適合傳送突發業務(如壓縮視頻業務、WWW業務等)。
ATM(Asynchronous Transfer Mode),異步傳輸模式。ATM是面向連接的服務,它摒棄了電路交換中採用的同步時分複用,改用異步時分複用,收發雙方的時鐘可以不同,可以更有效地利用帶寬。它是一種高速分組交換,在協議上它將OSI第三層的糾錯、流控功能轉移到智能終端上完成,降低了網絡時延,提高了交換速度。
2.基於用戶端設備的虛擬專用網絡
基於用戶端設備的虛擬專用網絡是指用戶端設備使用封裝或加密技術,在公衆網絡上建立安全的隧道連接,實現安全的專用網絡。×××功能都集成在各種各樣的CPE設備之中,運營商的公網爲客戶提供透明的數據傳輸。這種方式的×××,其最大缺點就在於需要客戶投入較大的人力、物力去管理和維護×××,同時加密機制也會對設備的轉發性能和網絡的拓展性產生很大的影響。
IPSec,即Internet安全協議,是被採用得最廣泛的×××技術,是由Internet工程任務組(IETF)開發的一組身份驗證和加密的協議,通過對數據加密、認證、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。IPSec實際上是一套協議包而不是一個單個的協議,這一點對於我們認識IPSec是很重要的。
3.網絡提供商指配的虛擬專用網絡
網絡提供商指配的虛擬專用網絡是指利用虛擬路由技術和隧道技術,由網絡提供商管理的網絡端設備爲不同用戶建立獨立的路由表和傳輸隧道,實現虛擬專用網絡。BGP/MPLS ×××技術就是屬於此類×××。
MPLS ×××是一種基於MPLS技術的IP ×××,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP ×××)。MPLS ×××體系中包含三種類型的路由器,CE路由器、PE路由器和P路由器。其中,CE路由器是客戶端路由器,爲用戶提供到PE路由器的連接;PE路由器是運營商邊緣路由器,也就是MPLS網絡中的標籤邊緣路由器 (LER);P路由器是運營商網絡主幹路由器,也就是MPLS網絡中的標籤交換路由器(LSR)。
4.基於會話的虛擬專用網絡
基於會話的虛擬專用網絡是指利用工作在第四層協議,即傳輸層協議及以上的安全協議,實現的虛擬專用網絡。目前,主要是指SSL ×××。、
SSL ×××產品採用標準的安全套接層(SSL)對傳輸中的數據包進行加密。SSL (Secure Socket Layer)又稱套接字,是一個運行在原TCP/IP協議棧Transport(傳輸層,第4層)和其上應用層(5-7層)之間的安全協議。
IP ×××市場發展前景
爲適應全球經濟一體化的格局與發展,利用IP協議和現有的Internet來建立企業的安全的專有網絡,成爲主要×××發展趨勢,此類×××通稱爲IP ×××。目前,IP ×××主要包括MPLS ×××、IPSec ×××和SSL ×××。
1. MPLS ×××與ATM/FR ×××的比較
MPLS ×××與ATM/FR ×××在價格和服務質量上看,是同質化的產品,但MPLS ×××有更多的優勢(見表)。
MPLS ×××相比傳統專線×××而言更具高性價比,MPLS ×××技術已經逐漸成爲企業進行廣域互聯的主流技術,已經越來越多的企業把MPLS ×××作爲他們建立企業專網的首選廣域網技術,同時越來越多的企業正在逐漸考慮把他們的網絡從傳統的專線×××網絡遷移到MPLS ×××上。
2. MPLS ×××與IPSec/SSL ×××的比較與融合
MPLS ×××構建在專用網絡上,能夠保證很好的服務質量,但價格與傳統專線在同一水平。IPSec/SSL ×××承載在公衆互聯網上,服務質量基本無法保證,但成本相對比較低。
服務供應商當然可以部署一種或者同時部署多種×××架構來支持其新型增值服務,但是,如果它們能夠把各類×××融合起來更可以獲得優勢互補所帶來的巨大利益。提供設計優良、運行正常和綜合性的×××服務可以同時提升IPsec和MPLS的應用層次。服務供應商可以對那些需要較高認證和私密性、而對服務質量要求不高的數據流實行IPsec解決方案,而對網絡的帶寬和服務質量(QoS)要求較高的需求採用MPLS解決方案。