《IPSec VPNSSL VPN和MPLS VPN的介绍与比较》由会员分享,可在线阅读,更多相关《IPSec VPNSSL VPN和MPLS VPN的介绍与比较(7页珍藏版)》请在金锄头文库上搜索。
1、细心整理IPSec VPN、SSL VPN和MPLS VPN的介绍及比拟 随着信息化向纵深开展,解决信息孤岛、促进信息沟通、进展信息资源的共建共享以及最终提高信息系统的应用实效已经成为各部门、各系统信息化开展的一个努力方向。因此,许多单位都有将移动用户、分支机构以及商业伙伴等连入到内部网络并促进信息应用的现实需求,在许多状况下,构建虚拟专网是一种即有较高的平安性又不须要昂扬的建立本钱的最正确方案。目前,常见的VPN主要包括IPSec VPN、SSL VPN和MPLS VPN这三类VPN。浙江省党校系统虚拟专网就是属于MPLS VPN。这三类VPN即有许多的一样点,又有不少的差异性,本文将从较直
2、观的角度对这三类VPN进展初步的介绍及比拟。一、IPSec VPN、SSL VPN和MPLS VPN的介绍IPSec VPN通过在两站点间创立隧道供应干脆非代理方式接入,实现对整个网络的透亮访问。它是在网络层实现数据加密和验证,可以供应访问限制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放爱惜以及有限的数据流机密性保证等效劳。IPsec加密后的数据包照旧是一般的IP数据包,它是工作在第三层即网络层中。作为网络层的平安标准,IPSec为IP协议供应了一整套的平安机制,IPSec在网络层供应的平安效劳对任何IP上层协议及应用进程透亮,IPSec VPN是Intemet上供应平安保
3、障最通用的方法。SSL平安套接层协议是一种在Internet上保证发送信息平安的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议如HTTP、Telnet和FTP等和TCP/IP协议之间进展数据交换的平安机制,为TCP/IP连接供应数据加密、效劳器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三局部。握手协议负责确定用于客户机和效劳器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。将SSL及VPN有机结合产生了SSL VPN应用,SSL VPN指的是运用者利用阅读器内建的S
4、SL封包处理功能,用阅读器连接公司内部SSL VPN效劳器,然后透过网络封包转向的方式,让运用者可以在远程计算机执行应用程序,读取公司内部效劳器数据。它接受标准的平安套接层对传输中的数据包进展加密,从而在应用层爱惜了数据的平安性。MPLS VPN结合了其次层的交换和第三层路由的特点,第三层的路由在网络的边缘实施,而在MPLS的网络核心那么工作在其次层。MPLS是一种特殊的转发机制,它为进入网络中的IP数据包支配标记,并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在,在网络内部MPLS在数据包所经过的路径沿途不是通过IP包头而是通过交换标记来实现转发,当数据包要退
5、出MPLS网络时,数据包被解开封装,接着遵照IP包的路由方式到达目的地。二、IPSec VPN、SSL VPN和MPLS VPN的比拟尽管IPSec、SSL和MPLS这三类VPN技术都能够在共享的根底网络设施上,向用户供应平安的网络连接,即实现虚拟专用网络的目的。但这三类VPN技术在许多方面还是有差异的。1、平安性方面IPSec VPN是在IP层上实现了加密、认证、访问限制等多种平安技术,极大地提高了TCP/IP 的平安性,在互联网中建立的平安通道很难被人篡改,是一种公认的平安的IP协议。但它在用户主机和内部网络局部存在较多的担忧全因素,简洁遭受黑客和病毒的入侵并进而影响整个网络。SSL VP
6、N建立的是一条会话层的通道,是基于应用的。通过SSL VPN, 用户的远程资源访问被严格的限制。对全部的用户, 不管他们在什么地方上网, 都供应了细粒化的访问权限限制。借助于SSL VPN技术,对应用程序和网络的访问限制可以依据须要由一般到特殊进展设置。MPLS VPN在平安性能方面是它劣势,MPLS VPN必需依靠路由协议来精确地传播可达性信息,完成及标记分发相关的工作。因此MPLS对路由协议的依靠性要高于IP网络,但是到目前为止,路由系统的故障还是一个很难解决和分析的问题。MPLS VPN接受路由隔离,地址隔离等手段供应抗攻击和欺瞒的方法,但传输的数据是明文的,存在较大的平安漏洞。2、网络
7、效劳质量QoS方面MPLS VPN是建立在骨干网之上,在网络效劳质量方面具有最好的效果,MPLS可以指定数据包传送的先后依次,运用标记交换,网络路由器只须要判别标记后即可进展转送处理,在根本程度上变更了传统IP网络逐跳路由、IGP路由会聚、路由表过长、尽力传送等问题。MPLS VPN具有优先权和QoS保证,MPLS标签使效劳供应商可以区分出流量甚至业务,准许它们具有不同的优先权。IPSec VPN保证的是端点到端点的网络传输通道的平安,端点处的加密和解密须要另外的硬件和软件处理实力,而这将增加用户和性能的开销。由于协议须要在报前添加自己的数据报,假如新生成的数据报的长度超过网络的最大可传输单元
8、的长度,该数据报将被分割成多个数据报,增加不必要的网络延迟时间。另外,当传输流被加密以后,由于标示QoS的比特不能为网络路由器所读取,所以QoS很难得到保证,网络就不能在应用层区分业务流并支配不同的业务水平。SSL VPN同IPSec 类似,一方面,传输中经过SSL加密隧道及身份认证会降低传输效率,另一方面SSL VPN也是承载在公众互联网上,因此QoS也无法得到保证。3、应用领域和便捷性方面IPSec VPN须要安装客户端才能运用,IPSec VPN的连接性会受到网络地址转换的影响,同时须要先完成客户端配置才能建立通信信道,因此当用户较多时,用户的培训和软件的安装维护都比拟麻烦。IPSec位
9、于协议栈的网络层,IPSec VPN连接后就如同内网的用户,可以运用全部基于IP协议的效劳,因此应用领域较广。SSL VPN那么干脆运用WEB阅读器,无需安装客户端软件,运用和维护都很便利。但SSL VPN只能应用于基于WEB的应用系统、文件共享和E-mail等。MPLS VPN配置完成后,内网用户如同在同一网络中,无需安装客户端软件,可以说对用户的要求为零。MPLS VPN可以实现全部基于IP的应用,同时由于它具有很好的QoS,因此可以运行语音、视频等远程通信等效劳。4、扩展性方面MPLS VPN供应商可简洁地将MPLS VPN配置成全网状构造,企业只需将用户端路由器CE及运营商核心路由器P
10、E以各种方式相连,CE上不需做困难配置,也不须要很高的硬件配置。当有新的CE参与时,只需在CE和PE上作简洁的配置即可。同时,由于标签代替了地址,用户可以接着运用原来的专用地址,不须要做改动。IPSec VPN技术本身的特性确定了它通常不能支持困难的网络,这是因为它们须要解决穿越防火墙、IP地址冲突等问题。IPSec VPN 在部署时,要考虑企业全网的拓扑构造,假如增加新的设备,往往要变更网络构造,从而造成IPSec VPN 的可扩展性比拟差。SSL VPN是为移动性而设计的,它基于Web进展访问,使许多设备可以通过支持SSL协议的标准阅读器访问企业内部网络,一些非传统设备也可以随时随地访问接
11、入,扩展性很好。5、经济性方面SSL VPN有最好的经济性,这是因为SSL VPN只须要中心节点放置一台硬件设备,就可以实现全部用户的远程平安访问限制。IPSec VPN在每增加一个须要访问的分支,就须要添加一个硬件设备。对一个成长型的公司来说,随着IT建立规模的扩大,要不断购置新的设备来满足须要。MPLS VPN尽管比租用专线可以较大地节约本钱,但须要一次性工程费、VPLS资源费以及本地接入费用等。综合来看,本钱是大于IPSec VPN和SSL VPN。三、总结依据以上分析,IPSec VPN、SSL VPN和MPLS VPN这三类VPN各具特色,互有长短。IPSec VPN适合于作为网关对网关VPN连接的解决方案。SSL VPN主要面对为大量用户供应有限访问,适合作为一种远程接入方案。而MPLS VPN在支持QoS方面具有自然的优势,适合于网络效劳质量要求较高的状况。总之,我们可以依据实际需求选择最正确VPN方式。此外, IPSec VPN、SSL VPN和MPLS VPN也不是互斥的,有效地结合应用多类VPN将可能取得更好的效果。
