VPN技術(shù)的淺析比較

-.zVPN技術(shù)的淺析與比較摘要：利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私人專(zhuān)用網(wǎng)絡(luò)稱(chēng)為虛擬私有網(wǎng)絡(luò)〔VPN〕。本文首先介紹了VPN的根本概念及開(kāi)展概況，然后從業(yè)務(wù)需求、平安性、可靠性、可擴(kuò)展性、QoS保障等方面對(duì)基于網(wǎng)的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN三種技術(shù)依次進(jìn)展了介紹，最后對(duì)這三種VPN技術(shù)的應(yīng)用場(chǎng)合及優(yōu)缺點(diǎn)等進(jìn)展了綜合比較。關(guān)鍵詞：VPN；網(wǎng)；TCP/IP；IPSec；MPLS中圖：TN915.85AnalysingandparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,e*pansibilityandQoS.Atlast,theauthorparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私人專(zhuān)用網(wǎng)絡(luò)稱(chēng)為虛擬私有網(wǎng)絡(luò)〔VPN，VirtualPrivateNetwork〕。它向使用者提供一般專(zhuān)用網(wǎng)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)，也可以說(shuō)虛擬專(zhuān)用網(wǎng)是一種邏輯上的專(zhuān)用網(wǎng)絡(luò)[1]?！疤摂M〞說(shuō)明它在構(gòu)成上有別于實(shí)在的物理網(wǎng)路，但對(duì)使用者來(lái)說(shuō)，在功能上則與實(shí)在的專(zhuān)用網(wǎng)完全一樣。VPN技術(shù)開(kāi)展至今，先后出現(xiàn)了基于網(wǎng)(基于傳統(tǒng)電路交換的網(wǎng))的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN等技術(shù)。下面將分別對(duì)這三種典型的VPN技術(shù)進(jìn)展闡述。1基于網(wǎng)的VPN技術(shù)網(wǎng)中的VPN技術(shù)是指通過(guò)公共網(wǎng)絡(luò)資源提供應(yīng)用戶(hù)專(zhuān)用網(wǎng)的功能，使具有這項(xiàng)業(yè)務(wù)的用戶(hù)具有在同一個(gè)程控交換機(jī)的功能，比方專(zhuān)用編號(hào)方案、呼叫等待、呼叫保持、網(wǎng)內(nèi)通信等等。網(wǎng)中的VPN技術(shù)主要應(yīng)用于話音業(yè)務(wù)。1.1業(yè)務(wù)需求網(wǎng)中的VPN技術(shù)目前已得到廣泛應(yīng)用。目前運(yùn)營(yíng)商大力推廣的集團(tuán)用戶(hù)業(yè)務(wù)是基于網(wǎng)的VPN技術(shù)的一個(gè)典型應(yīng)用。通過(guò)VPN技術(shù)在現(xiàn)有網(wǎng)上建立一個(gè)邏輯話路專(zhuān)用網(wǎng)，將集團(tuán)內(nèi)部的固定用戶(hù)編制成一個(gè)虛擬專(zhuān)用網(wǎng)，其中的每一個(gè)用戶(hù)均可以使用短互相呼叫并享受網(wǎng)內(nèi)用戶(hù)本地通話的優(yōu)惠，實(shí)現(xiàn)集團(tuán)用戶(hù)間便捷、智能溝通。1.2平安性網(wǎng)基于電路交換技術(shù)，基于網(wǎng)的VPN在提供語(yǔ)音效勞的過(guò)程中通過(guò)公共交換網(wǎng)〔PSTN〕實(shí)現(xiàn)電路交換過(guò)程[2]，當(dāng)連接建立后在用戶(hù)通話期間提供一條專(zhuān)用的物理路徑，該路徑專(zhuān)用于通話雙方間的連接。這條專(zhuān)用的物理路徑使通話的平安性能夠得到充分的保障。1.3可靠性目前網(wǎng)中的核心設(shè)備程控?cái)?shù)字交換機(jī)一般采用大規(guī)模集成電路或?qū)Ｓ眉呻娐?，并通常采用冗余技術(shù)。此外程控交換機(jī)能借助于故障診斷技術(shù)對(duì)故障自動(dòng)地進(jìn)展檢測(cè)和定位，從而能夠及時(shí)地發(fā)現(xiàn)和排除故障。因此基于網(wǎng)的VPN具有很高的可靠性[3]。1.4可擴(kuò)展性網(wǎng)一般具有簡(jiǎn)單而方便的擴(kuò)容能力。交換系統(tǒng)一般采用模塊化的硬件和軟件設(shè)計(jì)，這樣可以做到在增加模塊的情況下，實(shí)現(xiàn)簡(jiǎn)單而方便的系統(tǒng)擴(kuò)容。因此基于網(wǎng)的VPN的擴(kuò)容可以通過(guò)增加硬件和軟件模塊來(lái)實(shí)現(xiàn)，有些情況下甚至只需要改變軟件配置就可以實(shí)現(xiàn)。1.5QoS保障QoS的英文全稱(chēng)為"QualityofService"，中文名為“效勞質(zhì)量〞。由于網(wǎng)是基于電路交換的，當(dāng)電路連接建立后就保證或者說(shuō)確定了QoS。因此基于網(wǎng)的VPN能夠提供一種嚴(yán)格的、有保證的QoS保障。2基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)在傳統(tǒng)TCP/IP網(wǎng)絡(luò)上建立的虛擬專(zhuān)用網(wǎng)〔以下簡(jiǎn)稱(chēng)IPVPN〕主要是指通過(guò)共享的TCP/IP網(wǎng)絡(luò)〔通常是Internet〕建立一條平安穩(wěn)定的通路，它可以使遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、公司的合作伙伴和企業(yè)內(nèi)部的網(wǎng)絡(luò)建立平安可靠的連接，并且能夠進(jìn)展平安可靠的數(shù)據(jù)通信。如圖1所示。圖1基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN對(duì)于IPVPN來(lái)說(shuō)，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個(gè)關(guān)鍵技術(shù)。目前有兩種類(lèi)型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層〔七層OSI協(xié)議中的數(shù)據(jù)鏈路層〕網(wǎng)絡(luò)協(xié)議；另一種是三層隧道協(xié)議，用于傳輸三層〔七層OSI協(xié)議中的網(wǎng)絡(luò)層〕網(wǎng)絡(luò)協(xié)議。二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來(lái)越多的組織和公司的支持，是目前使用最廣泛的VPN二層隧道協(xié)議。三層隧道協(xié)議目前應(yīng)用得最廣泛的是IPSec〔IPSecurity〕[4]。IPSec是一組開(kāi)放協(xié)議的總稱(chēng)，特定的通信方之間在網(wǎng)絡(luò)層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。2.1業(yè)務(wù)需求IPVPN一般是應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)擴(kuò)*的一種方案，IPVPN技術(shù)的出現(xiàn)能使企業(yè)節(jié)省大量建立專(zhuān)用通信網(wǎng)的費(fèi)用，大大利用了現(xiàn)有的網(wǎng)絡(luò)資源，并且利于維護(hù)和管理，便于擴(kuò)大業(yè)務(wù)。隨著IPVPN的興起，用戶(hù)和運(yùn)營(yíng)商都將目光轉(zhuǎn)向了這種極具競(jìng)爭(zhēng)力和市場(chǎng)前景的VPN。對(duì)用戶(hù)而言，IPVPN可以非常方便地替代租用線路來(lái)連接計(jì)算機(jī)或局域網(wǎng)，同時(shí)還可以提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，大大降低了本錢(qián)；對(duì)效勞提供商而言，IPVPN則是其擴(kuò)大業(yè)務(wù)*圍、保持競(jìng)爭(zhēng)力和客戶(hù)忠誠(chéng)度、降低本錢(qián)和增加利潤(rùn)的重要手段。2.2平安性目前主流IPVPN上平安的遠(yuǎn)程通信是由L2TP和IPSec結(jié)合在一起實(shí)現(xiàn)的。這兩者彼此分工協(xié)作，L2TP協(xié)議專(zhuān)用來(lái)建立數(shù)據(jù)傳輸?shù)乃淼?，而IPSec協(xié)議則專(zhuān)門(mén)用來(lái)保護(hù)數(shù)據(jù)，為數(shù)據(jù)傳輸提供平安加密措施[5]。這一方式之所以成功，主要?dú)w功于IPSec這一平安技術(shù)。IPSec工作在七層OSI協(xié)議中的網(wǎng)絡(luò)層，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰(shuí)。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間、網(wǎng)絡(luò)平安網(wǎng)關(guān)之間或主機(jī)與網(wǎng)關(guān)之間。其目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的平安。IPSec的主要工作有數(shù)據(jù)驗(yàn)證、數(shù)據(jù)完整和信任。數(shù)據(jù)驗(yàn)證主要確保接收的數(shù)據(jù)與發(fā)出的數(shù)據(jù)一樣，并且確保發(fā)送數(shù)據(jù)者的真實(shí)性；數(shù)據(jù)完整主要確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改；信任主要確認(rèn)通信雙方的相互信任關(guān)系，防止冒名者的通信，通常使用加密來(lái)確立信任。IPSec平安體系包括以下三個(gè)根本協(xié)議：身份認(rèn)證報(bào)頭協(xié)議〔AH〕：AH協(xié)議提供信息源驗(yàn)證和完整性保證，它通過(guò)在數(shù)據(jù)**參加“數(shù)字簽名〞對(duì)用戶(hù)進(jìn)展認(rèn)證。AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)**的數(shù)字簽名都能把它檢測(cè)出來(lái)。平安加載封裝協(xié)議(ESP)：ESP提供加密機(jī)制，通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)展平安加密，嚴(yán)格保證傳輸信息的**性。目前最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕。密鑰管理協(xié)議〔ISAKMP〕：ISAKMP提供雙方交流時(shí)的共享平安信息。它包括密鑰確定和密鑰分發(fā)兩個(gè)方面。密鑰管理包括手工和自動(dòng)兩種方式。2.3可靠性IPVPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專(zhuān)線廣域網(wǎng)，其受控性大大降低，故IPVPN可靠而穩(wěn)定地運(yùn)行是建立VPN時(shí)必需考慮的問(wèn)題。目前主流的IPVPN是基于INTERNET構(gòu)建的，因此它的可靠性依賴(lài)于兩個(gè)方面：線路的可靠性和設(shè)備的穩(wěn)定性。從設(shè)備可靠性來(lái)看，目前IPVPN技術(shù)已經(jīng)相當(dāng)成熟，很多產(chǎn)品的運(yùn)行都能夠非常穩(wěn)定可靠。從線路的可靠性來(lái)看，目前Internet的接入已經(jīng)非常普及，由于長(zhǎng)期的投入建立，整個(gè)Internet線路質(zhì)量已經(jīng)到達(dá)了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦*一條線路出錯(cuò)，可以使用其他備份線路接入Internet。由于隨時(shí)可以使用其他線路作備份，因此系統(tǒng)具有很強(qiáng)的容錯(cuò)能力。2.4可擴(kuò)展性IPVPN利用Internet的資源，可以非常方便地在全球*圍內(nèi)，組建企業(yè)的虛擬專(zhuān)網(wǎng),不需要改變效勞提供商任何網(wǎng)絡(luò)構(gòu)造就可以完成相應(yīng)效勞的配置。但是IPVPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)錁?gòu)造，大規(guī)模部署需要制定相應(yīng)方案并且協(xié)同解決關(guān)鍵分支機(jī)構(gòu)、關(guān)鍵管理和對(duì)等配置等各個(gè)方面出現(xiàn)的問(wèn)題。如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，則IPVPN就要重新部署，因此造成IPVPN的可擴(kuò)展性比較差，并且組建及維護(hù)本錢(qián)較高。2.5QoS保障IPVPN利用了Internet的資源建立虛擬專(zhuān)用網(wǎng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速開(kāi)展，人們對(duì)網(wǎng)絡(luò)的要求也越來(lái)越高。越來(lái)越多地對(duì)帶寬、延遲與抖動(dòng)敏感的、實(shí)時(shí)性強(qiáng)的語(yǔ)音、圖象等重要數(shù)據(jù)需要在IPVPN上傳輸，因此對(duì)網(wǎng)絡(luò)的能力和資源要求也越來(lái)越高，同時(shí)引入了如何保證效勞質(zhì)量〔QoS〕的問(wèn)題。解決這個(gè)問(wèn)題的一個(gè)途徑是增加網(wǎng)絡(luò)的帶寬，但帶寬增加畢竟是有限的，而且代價(jià)昂貴，它只能在一定程度上緩解這個(gè)問(wèn)題。保證效勞質(zhì)量的另一種有效的手段是通過(guò)擁塞管理、擁塞防止、流量整形等策略對(duì)網(wǎng)絡(luò)上的流量進(jìn)展管理，以解決不斷增長(zhǎng)的流量需求帶來(lái)的問(wèn)題。以擁塞管理為例，當(dāng)擁塞發(fā)生時(shí)，可以采取一定的策略對(duì)報(bào)文進(jìn)展調(diào)度，決定哪些報(bào)文可以?xún)?yōu)先發(fā)送、哪些報(bào)文可以被丟棄,這種管理策略叫做擁塞管理。擁塞管理可通過(guò)以下幾種隊(duì)列調(diào)度方法來(lái)實(shí)現(xiàn)：先進(jìn)先出隊(duì)列〔FIFO，F(xiàn)irstInFirstOutQueueing〕、優(yōu)先隊(duì)列〔PQ，PriorityQueueing〕、定制隊(duì)列〔CQ，CustomQueueing〕等。3基于MPLS網(wǎng)絡(luò)的VPN技術(shù)MPLS(Multi-protocolLabelSwitching,多協(xié)議標(biāo)記交換)屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的高速網(wǎng)絡(luò)交換標(biāo)準(zhǔn)[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3等網(wǎng)絡(luò)設(shè)備公司所主導(dǎo)。它吸收了ATM的VPI/VCI交換的一些思想，無(wú)縫地繼承了IP路由技術(shù)的靈活性和二層交換的簡(jiǎn)捷性，在面向無(wú)連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過(guò)采用MPLS建立“虛連接〞的方法，為IP網(wǎng)絡(luò)增加了一些管理和運(yùn)營(yíng)的手段。在解決企業(yè)互聯(lián)，提供各種新業(yè)務(wù)方面，MPLSVPN越來(lái)越被運(yùn)營(yíng)商看好，成為網(wǎng)絡(luò)運(yùn)營(yíng)商提供增值業(yè)務(wù)的重要手段[7]。MPLSVPN的根本組成如圖2所示。圖2基于MPLS網(wǎng)絡(luò)的VPNMPLSVPN的根本構(gòu)成單元是MPLS核心路由器LSR,由LSR構(gòu)成的網(wǎng)絡(luò)稱(chēng)為MPLS域。位于MPLS域邊緣、連接其它用戶(hù)網(wǎng)絡(luò)的LSR稱(chēng)為邊緣LSR(LER，LabeledEdgeRouter)，域內(nèi)部的LSR稱(chēng)為核心LSR。LSR之間使用MPLS技術(shù)進(jìn)展通信，MPLS域的邊緣由LER與傳統(tǒng)IP技術(shù)進(jìn)展適配。在MPLS域中，通過(guò)MPLS信令(如LDP，LabelDistributeProtocol，標(biāo)簽分配協(xié)議)建立好MPLS標(biāo)記交換通道(LabelSwitchedPath，簡(jiǎn)稱(chēng)LSP〕，數(shù)據(jù)沿著LSP傳送，其中的入口LER稱(chēng)為Ingress，出口稱(chēng)為Egress，中間的節(jié)點(diǎn)則稱(chēng)為T(mén)ransit。數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，在入口LER對(duì)IP包進(jìn)展分類(lèi)，根據(jù)分類(lèi)結(jié)果選擇相應(yīng)的LSP，打上相應(yīng)的標(biāo)記，中間路由器在收到MPLS報(bào)文以后直接根據(jù)MPLS報(bào)頭的標(biāo)記進(jìn)展轉(zhuǎn)發(fā)，而不用再通過(guò)IP報(bào)文頭的IP地址查找。在LSP出口LER，去掉MPLS標(biāo)簽，復(fù)原為IP包。由MPLSVPN的根本組成可以看出，MPLS可以看做是一種面向連接的技術(shù)，它的運(yùn)作原理是為每個(gè)IP數(shù)據(jù)包提供一個(gè)標(biāo)記，并由此決定數(shù)據(jù)包的路徑及優(yōu)先級(jí)。因?yàn)樵趯?shù)據(jù)包轉(zhuǎn)發(fā)的過(guò)程中，僅需讀取數(shù)據(jù)包標(biāo)記，無(wú)需讀取每個(gè)數(shù)據(jù)包的IP地址和標(biāo)頭，所以數(shù)據(jù)包傳輸?shù)难舆t被大大減小，網(wǎng)絡(luò)速度自然就快了很多。同時(shí)由于可以對(duì)所傳送的數(shù)據(jù)包加以分級(jí)，因而能大幅度提升網(wǎng)絡(luò)質(zhì)量，并可提供更多樣化的效勞。3.1業(yè)務(wù)需求MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運(yùn)作、商務(wù)活動(dòng)頻繁、數(shù)據(jù)通信量大、對(duì)網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如網(wǎng)絡(luò)公司、IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等，這類(lèi)企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)較多，通常將到達(dá)幾十個(gè)以上。而像城域網(wǎng)這樣的網(wǎng)絡(luò)環(huán)境，業(yè)務(wù)類(lèi)型多樣、業(yè)務(wù)流向流量不確定，也特別適合使用MPLS。目前許多大的VPN網(wǎng)絡(luò)設(shè)備供應(yīng)商都已把注意力轉(zhuǎn)移到支持MPLSVPN技術(shù)的設(shè)備開(kāi)發(fā)上來(lái)。3.2平安性為了保證數(shù)據(jù)傳輸?shù)钠桨残?，MPLSVPN技術(shù)采用的主要手段如下：〔1〕地址空間和路由獨(dú)立在MPLSVPN中，不同的VPN之間，地址空間是完全獨(dú)立的，這樣就保證了*一VPN中的數(shù)據(jù)包不至于到達(dá)其他VPN中具有同樣地址的主機(jī)；〔2〕隱藏MPLS核心構(gòu)造MPLSVPN不會(huì)暴露任何不必要的信息給外界，包括其VPN用戶(hù)，這樣將使網(wǎng)絡(luò)攻擊變得十分困難；〔3〕攻擊防*在設(shè)計(jì)MPLSVPN和配置路由協(xié)議時(shí)充分考慮被攻擊的可能性，并采取措施降低這種風(fēng)險(xiǎn)?！?〕防火墻技術(shù)一個(gè)封閉的MPLSVPN具有內(nèi)在的平安性，因?yàn)樗煌琍ublicInternet相連。如果需要Internet，則可以建立一個(gè)通道，在該通道上，可放置一個(gè)防火墻，這樣就可對(duì)整個(gè)VPN提供平安的連接。

但是MPLSVPN技術(shù)沒(méi)有解決所有共享網(wǎng)絡(luò)普遍存在的非法受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等平安問(wèn)題[8]。例如在MPLSVPN傳遞數(shù)據(jù)時(shí)，只是標(biāo)記了端點(diǎn)路由，對(duì)數(shù)據(jù)本身并不提供加密的防護(hù)手段。3.3可靠性MPLSVPN的可靠性主要靠資源的冗余度來(lái)實(shí)現(xiàn)。由于全球基于互聯(lián)網(wǎng)的根底設(shè)施非常興旺，因此依托它來(lái)開(kāi)展MPLSVPN業(yè)務(wù)，自然就具有大帶寬、多節(jié)點(diǎn)、多路由、充裕的網(wǎng)絡(luò)和傳輸資源來(lái)保證網(wǎng)絡(luò)的可靠性。當(dāng)互聯(lián)網(wǎng)內(nèi)部中繼線中斷時(shí)，MPLSVPN的流量與普通互聯(lián)網(wǎng)流量一起迂回到其它鏈路上，這一過(guò)程完全自動(dòng)完成，對(duì)用戶(hù)完全透明。此外MPLSVPN的可靠性還依賴(lài)于設(shè)備的可靠性。幾乎業(yè)界所有網(wǎng)絡(luò)設(shè)備廠商和技術(shù)專(zhuān)家都參與了MPLS技術(shù)標(biāo)準(zhǔn)的制定工作，越來(lái)越多的廠商都有了MPLSVPN相關(guān)的設(shè)備，設(shè)備的可靠性也能夠得到保證。3.4可擴(kuò)展性MPLSVPN一般由效勞提供商配置，由于不需要點(diǎn)對(duì)點(diǎn)的對(duì)等性，因而在增加節(jié)點(diǎn)和客戶(hù)數(shù)量方面具有高度的可擴(kuò)展性。典型的MPLS-VPN能夠支持在同一網(wǎng)絡(luò)上部署上萬(wàn)個(gè)VPN組；另一方面，在同一VPN中的用戶(hù)節(jié)點(diǎn)數(shù)不受限制，容易擴(kuò)大，并可以實(shí)現(xiàn)任何節(jié)點(diǎn)與任意其它節(jié)點(diǎn)的直接通信。MPLSVPN可以非常容易地配置來(lái)適應(yīng)公司的增長(zhǎng)和變更，例如，當(dāng)一個(gè)新的站點(diǎn)被增加到VPN時(shí)，僅僅需要建立在新站點(diǎn)和提供者邊界之間的本地對(duì)等，并不需要在其他的現(xiàn)存站點(diǎn)重新配置，贏得了重要的優(yōu)化本錢(qián)節(jié)約[9]。3.5QoS保障MPLSVPN上的QoS保障主要靠流量工程技術(shù)來(lái)實(shí)現(xiàn)。優(yōu)秀的MPLSVPN實(shí)現(xiàn)方案可以提供可伸縮的、穩(wěn)固的QoS機(jī)制，從而令效勞提供商可以提供具有保證的MPLSVPN效勞。流量工程是一種QoS機(jī)制，因?yàn)橛绊懢W(wǎng)絡(luò)QoS的最主要原因就是網(wǎng)絡(luò)存在擁塞，在一個(gè)沒(méi)有擁塞的網(wǎng)絡(luò)中，QoS是可以得到很好的保證的。而流量工程的作用就是調(diào)配網(wǎng)絡(luò)流量，使流量能夠避開(kāi)網(wǎng)絡(luò)擁塞點(diǎn)，從而到達(dá)均衡網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞的作用。MPLS流量工程就是在網(wǎng)絡(luò)中建立LSP(標(biāo)記交換通道)時(shí)，用對(duì)網(wǎng)絡(luò)流量進(jìn)展調(diào)度的方法實(shí)現(xiàn)網(wǎng)絡(luò)流量的均衡。通常在網(wǎng)絡(luò)中有一些鏈路飽滿甚至超負(fù)荷，另一些鏈路卻流量較少，在建立LSP的時(shí)候，繞開(kāi)負(fù)荷較大的鏈路，選擇負(fù)荷較小的鏈路，把流量轉(zhuǎn)到負(fù)荷較小的鏈路，這樣就能到達(dá)平衡網(wǎng)絡(luò)流量的目的。4三種VPN技術(shù)的綜合比較上文已經(jīng)分別對(duì)基于網(wǎng)的VPN技術(shù)、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)進(jìn)展了闡述。下面將對(duì)三種VPN技術(shù)進(jìn)展綜合比較，詳見(jiàn)下面的表格：表1三種VPN技術(shù)的綜合比較網(wǎng)VPNIPVPNMPLSVPN業(yè)務(wù)需求主要用于集團(tuán)內(nèi)部等話音業(yè)務(wù)主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)的擴(kuò)*和接入主要應(yīng)用于大型企業(yè)的分支機(jī)構(gòu)之間的數(shù)據(jù)業(yè)務(wù)聯(lián)網(wǎng)平安性基于電路交換，平安性能夠得到充分保障IPSec協(xié)議能夠充分保證數(shù)據(jù)傳輸?shù)钠桨残圆捎昧艘恍┓?攻擊的手段，但是由于對(duì)數(shù)據(jù)本身不提供加密，所以平安性一般可靠性采用冗余技術(shù)和故障自動(dòng)診斷技術(shù)，具有很高的可靠性依賴(lài)于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障依賴(lài)于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障可擴(kuò)展性具有簡(jiǎn)單而方便的可擴(kuò)展能力增加新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，可擴(kuò)展性較差增加新的節(jié)點(diǎn)非常容易，具有高度的可擴(kuò)展性QoS保障基于電路交換，能夠提供嚴(yán)格的、有保證的QoS保障采用擁塞管理等手段，能夠在一定程度上提供QoS保障采用MPLS流量工程技術(shù)，能夠提供可伸縮的、穩(wěn)固的QoS保障5完畢語(yǔ)無(wú)論是何種類(lèi)型的VPN，它們的中心思想是一定的：利用現(xiàn)有的公共網(wǎng)絡(luò)資源，通過(guò)一定方法建立專(zhuān)用網(wǎng)，即“公網(wǎng)專(zhuān)用〞，同時(shí)這個(gè)網(wǎng)絡(luò)是邏輯上的，不是實(shí)際的物理網(wǎng)絡(luò)，但是這種網(wǎng)絡(luò)的功能和實(shí)際物理上的專(zhuān)用網(wǎng)沒(méi)有什么不同，即“虛網(wǎng)實(shí)用〞[10]。三種類(lèi)型的VPN技術(shù)中，基于網(wǎng)絡(luò)的VPN技術(shù)主要用于話音業(yè)務(wù)，基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)主要用于數(shù)據(jù)業(yè)務(wù)，后兩種VPN技術(shù)各有優(yōu)缺點(diǎn)。隨著技術(shù)的開(kāi)展，目前在MPLSVPN上也可以采用IPSec技術(shù)，從而使其平安性得到了充分的保證。參考文獻(xiàn)：[1]AntonioLiotta,DanielH.Tyrode-Goilo,AdetolaOredope.OpenSourceMobileVPNsoverConvergedAll-IPNetworks[J].JournalofNetworkandSystemsManagement,2008,(2):163～181.[2]DeepMed