傳統VPN與MPLS VPN對比分析

賀軍

?

傳統VPN與MPLS VPN對比分析

賀軍

晉城無煙煤礦業集團有限責任公司通信分公司，山西 晉城 048006

隨著近幾年我國科學技術的快速發展，傳統的VPN技術已經不能滿足當前社會發展的需求，因此，新的MPLS VPN應運而生，并且已經在很多企業得到應用。基于此，對傳統VPN與MPLS VPN之間的屬性進行了相應的分析研究，以便能夠使人們對這兩者有著更為清晰的認識和了解。

VPN技術；MPLS VPN技術；工作原理

1 MPLS技術概述

MPLS技術并不能說一種新的產物，因為其既不屬于第二層也不屬于第三層。”多協議”有兩層含義：一是支持如IPv4、IPv6、IPX、APpleTalk等多種網絡層協議，二是兼容多種鏈路層協議技術，如幀中繼、以太網、ATM、PPP等。MPLS采用與ATM差不多的交換技術進行轉發，而MPLS的控制部分則兼容現有的IP路由協議，這樣既可以很好的發揮網絡層路由選擇的靈活性，又能夠充分利用鏈路層快速交換的優質、高效[1]。

MPLS技術在無連接的“Best Effort”IP網絡中，引入了面向連接的優勢。它涉及的范圍很廣泛，有如RIP、OSPF、BGP、IS-IS等路由技術，標簽分發及交換等信令監控、虛擬專用網絡、流量工程（Traffic Engincer，TE）、服務質量控制（QOS）等等。

2 傳統VPN與MPLS VPN對比分析

2.1 虛擬專用網VPN技術

VPN（Virtual Private Network）提指一種專用網絡，構造在公共網絡上。傳遞私有信息時，需要利用共享的通信基礎設施，應用了加密和認證技術，建立起的一個相對封閉的、邏輯上專用的網絡在相互通信的節點之間，VPN雖然不是一個獨立的實際網絡，但卻具有專用網絡的所有功能。VPN是在實際網絡（或物理網絡）上建立的功能性網絡，采用專網組網方式，是邏輯上的專用網絡，使用與專用網相同的策略，向用戶提供專用網絡所有的功能。VPN可以在互聯網（Internet）、幀中繼（FR）、異步傳輸模式（ATM）等基礎上構建。

2.1.1 VPN的劃分

（1）按照實現技術進行劃分

①覆蓋型（Overlay）。類似于靜態路由，覆蓋型VPN的配置和部署需要手工來完成，而且具有很多問題，無法反應網絡的實時變化。一旦VPN中對某個用戶進行增加或者刪除，整個路由表都會受到影響，維護工作量大，不適宜部署在大規模網絡中。

②對等型（peer-to-peer）。即CE-to-PE，交換專用網絡路由信息，是在CE（用戶端）與PE（服務供應商端）之間，然后在公共網絡中由PE路由器向其他PE路由器傳播。按照協議實現類型進行劃分，參照051標準參考模型可以分為：a.第-層VPN：包括SONET，ISDN，Tl，El等；b.第二層VPN：包括幀中繼（Frame Relay）、異步傳輸模式（ATM）等；c.第三層VPN：包括IP安全（IP Security）、通用路由封裝協議（GRE）等；d.第七層VPN：采用安全套接層協議（Security Socket Layer，SSL），SSL建立在應用層上，實用于用戶端，它是一種高層安全協議。

（2）按照發起方式進行劃分

當一個企業用戶要建立一個虛擬專用網絡時，既可以通過用戶端來實現，也可以由服務供應商來實現，甚至可以由服務供應商和用戶共同來實現：

①基于用戶端設備的VPN（CPE-VPN）。VPN網關設備由用戶自己設置并維護，在公司總部與各個分支機構之間建立VPN連接，為了保障數據傳輸的安全性，可以采用加密技術。顯著特點是：VPN的實現對網絡是透明的，Internet不需要再進行變動和以及不用對設備進行新的投資。

②基于服務供應商網絡的VPN（PP-VPN）。VPN網關設備是在公共數據網絡上進行設置，通過第二層隧道技術，根據具體的VPN要求，建立完全的或不完全的虛擬專用網的網絡結構。VPN連接的建立完全由服務供應商負責，對用戶透明，用戶的管理可以靈活地由用戶和服務供應商共同管理。由于服務供應商提供并管理網關設備，可以給多個企業用戶同時提供VPN服務。

2.1.2 VPN具有的基本屬性

①安全性：采用隧道加密技術、流量分離控制、數據分組認證、用戶認證以及訪問控制等安全措施，保證商業上重要的數據流能夠保持其機密性。

②服務質量（QOS）：通過變動帶寬速率實現網絡擁塞管理，保障重要的或對延遲非常敏感的數據流量具有優先通過權[2]。

③可管理性：VPN的管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理等方面。VPN的管理目標是減小網絡風險、具有高擴展性、經濟性、高可靠性。實現既滿足遠程互聯要求，又可以在一定程度上防止黑客攻擊，還能夠根據各種服務類別進行管理約束。

2.2 基于MPLS的VPN

運用MPLS在虛擬主干網中轉發數據分組的VPN被稱為MPLS VPN。MPLS VPN目前有Martini草案和Kompeller草案兩個技術流派。MPLS的用途是轉發數據，但要通過其他協議來實現路徑的建立。

MPLS VPN依據擴展方式可以劃分為基于BGP擴展實現的MVPS-VPN和基于LDP擴展實現的VPN。

MPLS VPN依據是否有PE設備參與VPN路由可以劃分為MPLS L2 VPN和MPLS L3 VPN。其中MPLS L2 VPN在第二層使用，既可以稱作透明的局域網服務TLS，又可以稱作虛擬專用局域網服務VPLS，無論怎么稱呼其目的并非是要建立一個隔離的網絡，而是要擴展現有的第二層VPN服務，從而實現在專用IP網絡傳輸業務。而另外的MPLS L3 VPN在第三層使用，也可以稱為MPLS/BGP VPN。在骨干網中MPLS用于轉發數據包，而BGP則用于分發路由。可以說MVPS-VPN擁有比較廣泛的應用，討論三層BGP/MPLS VPN技術是本文的主要內容。

3 結論

綜上所述，相比較于傳統的VPN技術來說，MPLS VPN技術其動態的隧道建立機制、高效的標簽轉發方式、豐富靈活的業務規劃和接入能力及良好的可擴展性脫穎而出，作為最適用的網絡虛擬化技術而得到廣泛應用。

[1]許明.MPLS-VPN環境中數據安全隱患分析與防護[J].電腦知識與技術，2015（28）：56-58.

[2]鐘燦雄.基于MPLS與BGP的VPN構建與應用研究[J].湖南郵電職業技術學院學報，2014（2）：58-63.

TP393.1

A

1009-6434（2016）03-0004-01