简介
建立在IP技术基础之上的VPN(虚拟专网)正快速成为新一代网络服务的基础,众多的服务供应商都纷纷推出了基于自身VPN传输网的各类增值服务。五花八门的新型服务,比如电子商务、应用主机托管和多媒体通信等等,这些服务类型不但可以让服务供应商找到新的利润增长点,而且还可同时维持其长期的竞争优势。
目前,两种既各具特点又具有一定互补性的VPN架构正逐渐在交付新兴服务的基础网络领域大行其道,这两种VPN就是基于IP Security(IPsec)的VPN和采用MPLS技术的VPN。本文对这两种架构的VPN进行了探讨,分析了它们的相似之处、相互之间的差异以及各自的优点。本文在对它们进行认真的比较之后得出以下的结论:服务供应商应该把IPsec VPN和MPLS VPN这两种IP VPN有机地组合起来以综合运用各自的优点。
为什么存在两种VPN架构
VPN的服务目的就是在共享的基础公共网络上向用户提供网络连接,不仅如此,VPN连接应使得用户获得等同于专有网络的通信体验。合理和实用的VPN解决方案应能够抗拒非法入侵、防范网络阻塞,而且应能安全、及时地交付用户的重要数据,在实现这些功能的同时VPN还应该具有良好的可管理性。综上所述,VPN的基本属性分成了5个类别(表1)。
表1 VPN的基本属性
近年来,IETF的两个工作组一直在关注于解决Internet安全、标签交换标准和QoS这三方面通过VPN实现松散联合的机制问题。这两个组织中的IETF IPsec工作组(属于Security Area部分)的工作主要涉及网络层的保护方面,所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密。另一个IETF MPLS工作组(属于Routing Area部分)则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。
IETF把IPsec和MPLS的集成问题留给了具体实施者来完成。结果就出现了两种VPN架构,这两种架构各自依赖于IPsec或者MPLS技术。今天的服务供应商则根据其服务用户的需要以及自身可提供的新型增值服务而推出相应的一种或者两种VPN架构。
比较IPsec VPN和MPLS VPN
表2说明了f分别采用IPsec和MPLS技术的两种VPN的特点、优势和差别。
图1 网络定位
图2 私密和QoS
IPsec和MPLS VPN的集成
服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果它们能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。服务供应商可以对那些需要较高认证和私密性的数据流实行IPsec,而对可比第2层专有数据网络的带宽、流量工程和QoS等要求实行MPLS。在Cisco VPN Solution Center的统一管理下,这种组合可以让服务供应商提供有区别的新型服务,其范围覆盖了安全、QoS和流量有限传输(图3)等多种用户需求。
图3 Ipsec和MPLS集成VPN架构