[说明]
目前,F省基于MPLS-VPN技术构建的省电子政务外网已覆盖到全省各个县区。而F省共有68家省市县党校,其中省级党校1家,副省级党校1家,市级党校8家,县区党校58家。2010年底,F省党校系统依托省电子政务外网平台构建了一个虚拟专网,实现了全省共68家党校的互联互通。目前,在该VPN平台上共享的信息资源越来越多,大大促进了全省党校系统信息资源的共享利用,推动了全省党校系统信息化的发展。
[问题1]
目前,主流的VPN主要包括IPSec VPN、SSL VPN和MPLS VPN。这3类VPN技术都能够在共享的基础网络设施上,向用户提供安全的网络连接。但这3类VPN技术在安全性、网络服务质量(QoS)、扩展性、便捷性、经济性和应用领域等方面存在一定的差异,各有各的应用特点。请对这3类技术进行比较,将有关内容填入表7-4的空白位置中。
| 比较项目 | IPSec VPN | SSL VPN | MPLS VPN |
| 是否支持数据加密 | |||
| 保证QoS的能力 | |||
| 网络扩展性的能力 | 较弱 | ||
| 是否支持移动VPN客户端 | |||
| 网络设备的协议支持要求 | 只要求边缘设备支持IPSec 协议 | ||
| VPN网络建设的启动成本 |
参考答案:见表7-6
比较项目 IPSec VPN SSL VPN MPLS VPN 是否支持数据加密 支持 支持 不支持 保证QoS的能力 较弱(较差) 较弱(较差) 强(很好) 网络扩展性的能力 较弱(较差) 好 强(很好) 是否支持移动VPN客户端 支持 支持 不支持 网络设备的协议支持要求 只要求边缘设备支持IPSec
协议要求边缘和核心设备都支
持SSL协议要求边缘和核心设备都支
持MPLS协议 VPN网络建设启动成本 少(小) 较少(较小) 较多(大)
解析:
IPSec VPN通过在两个网络节点之间创建隧道提供安全接入,实现对整个网络的透明访问。它在网络层实现数据加密和验证,可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等安全服务。由于IPSec只能工作在网络层,是第三层隧道协议的典型代表,因此其要求乘客协议和承载协议都是IP协议。当传输流被加密之后,由于IPv4数据包首部标识QoS的比特位不能被网络路由器读取,因此其QoS很难得到保证,基于IPSec的VPN网络不能在应用层区分业务流并分配不同的优先权。
IPSec VPN技术本身的特性决定了它一般不适合在结构复杂的网络中应用,这是因为它需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN在部署时,要考虑组织机构的全网拓扑结构、IP地址规划、路由规划等诸多因素。当增添新的IPSec VPN设备时,往往需要修改网络拓扑结构,从而造成基于IPSec的VPN网络的可扩展性比较差。
IPSec支持移动VPN客户端,可以随时随地进行访问接入。通常,IPSec VPN需要先安装客户端并完成相关配置之后才能建立通信信道,其连接性还可能会受到网络地址转换(NAT)的影响。由IPSec构建的VPN网络中,只要求网络边缘设备支持IPSec协议。IPSec VPN网络建设初期,通常要求每个建设单位(包括分支机构)添置一台专用的VPN硬件设备,需要一定的项目启动经费。并且在今后网络扩展中,每增加一个分支机构,就需要配套相关经费添加一台VPN硬件设备。
安全套接层(SSL)协议是目前解决传输层安全问题的一个主要协议,其设计的初衷是基于TCP443端口提供可靠的端到端安全服务,SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS,它为客户浏览器和Web服务器之间交换信息提供安全通信支持。将SSL协议与VPN技术有机结合产生了SSL VPN应用,使用者只需浏览器内建的SSL封包处理功能,使用浏览器连接单位内部SSL VPN服务器,然后通过网络封包转向的方式,让使用者可以读取单位内部服务器数据或执行相应的应用程序等。它采用标准的SSL协议对传输中的数据包进行加密,从而在传输层保护了数据的安全性。借助于SSL VPN技术,可以根据需要对应用程序或网络进行细粒化的访问权限控制。
在QoS方面,SSL VPN与IPSec VPN类似,一方面数据包在传输过程中经过SSL加密隧道与身份认证时将降低传输效率,另一方面SSL VPN也承载在公众互联网上,因此其QoS也是无法得到保证的。
SSL VPN是为移动性而设计的,它支持移动VPN客户端,可以随时随地基于浏览器进行信息资源的安全访问。它使得许多网络设备可以通过支持SSL协议的浏览器访问企业内部网络,一些非传统设备也可以随时随地访问接入,其网络扩展性很好。
由于SSL VPN是一种端到端的网络安全解决方案,因此它要求网络边缘设备和网络核心设备都要能够支持SSL协议。对于一般的SSL VPN网络建设,只需要在中心(总部)节点放置一台专用的VPN硬件设备,就可以实现所有分支机构的用户的远程安全访问,SSL VPN具有最好的经济性。
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。它将IP地址映射为简单的、具有固定长度的标签,用于不同的包转发和包交换技术。基于MPLS的VPN是一种基于网络的新型VPN解决方案,它利用MPLS的标记交换技术在广域网络上为VPN用户提供虚拟连接。MPLS VPN是一种介于第二层和第三层之间的隧道协议。它借助于一个公用的MPLS域,在入口边缘路由器中为每个IP包添加MPLS标签,核心路由器根据标签值进行转发,出口边缘路由器再去除MPLS标签,恢复原来的IP包。MPLS标签位于第二层和第三层之间。
与IPSec VPN相比,在安全性能方面,MPLS VPN略显劣势。虽然MPLS VPN采用路由隔离、地址隔离等手段防范网络攻击和网络欺骗等,但它所传输的数据是明文的,存在较大的安全漏洞。并且MPLS VPN不支持移动VPN客户端。
MPLS VPN在支持网络服务质量(QoS)方面具有天然的优势,能够帮助网络服务提供商(ISP)区分出各种业务流量,并准许他们各自拥有不同的优先权。MPLS可以指定数据包传送的先后顺序,由于它使用标记交换,网络路由器只需要判别标记后即可进行转送处理,在根本程度上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。
MPLS VPN提供商可简单地将MPLS VPN配置成全网状结构,各接入单位只需将用户端路由器(CE)与运营商核心路由器(PE)以各种方式相连,CE上不需做复杂配置,也不需要很高的硬件配置。当有新的CE加入时,只需在CE和PE上做简单的配置即可。同时,由于数据传输过程中使用标签代替了原IP地址的功能,因此,各接入单位可以继续使用原有的专用地址,即不需要重新改动单位内部原有的IP地址方案。当完成PE和CE的配置后,所有接入单位的用户如同在同一网络中,并且无需安装专用的客户端软件就可以实现资源的共建共享。MPLS VPN可以实现所有基于IP的应用服务,同时由于它具有很好的QoS,因此还可以提供语音、视频等服务。可见,在这3类VPN技术中,MPLS VPN的网络扩展性最好。
基于MPLS构建的VPN网络中,要求网络边缘设备(PE)和核心路由设备(P)都支持MPLS的基本功能,CE设备可以不必支持MPLS。这是因为在主干网中MPLS VPN必须依赖路由协议来准确地传播可达性信息,完成与标记分发等相关工作。
MPLS VPN网络建设初期,每个建设单位(包括分支机构)通常需要添置接入交换机(或路由器)、防火墙等一次性工程费用、VPLS(虚拟专用局域网业务)资源费和本地接入费用等。综合来看,其建设成本大于IPSec VPN和SSL VPN。
综上所述,IPSec VPN、SSL VPN和MPLS VPN3类主流VPN技术在相关方面的异同点如7-6所示。