首頁(yè) > 通信工程師 > 互聯(lián)網(wǎng)技術(shù) > 通信互聯(lián)網(wǎng)技術(shù)考試IPSecVPN與MPLSVPN的比較[1]

通信互聯(lián)網(wǎng)技術(shù)考試IPSecVPN與MPLSVPN的比較[1]

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯：xerxes123 2013-05-29

希賽網(wǎng)公眾號(hào) 點(diǎn)擊領(lǐng)取通信工程師備考資料

摘要：點(diǎn)擊通信工程師考試在線輔導(dǎo)招生點(diǎn)擊通信工程師專業(yè)培訓(xùn)面授班招生點(diǎn)擊閱讀2013年通信工程師考試大綱點(diǎn)擊了解2013年通信工程師考試指定教材通信工程師報(bào)名及通信工程師成績(jī)查詢專題2012年全國(guó)初級(jí)中級(jí)通信工程師考試成績(jī)查詢5.6.3IPSecVPN與MPLSVPN的比較VPN的服務(wù)目的就是在共享的基礎(chǔ)公共網(wǎng)絡(luò)上向用戶提供

點(diǎn)擊通信工程師考試在線輔導(dǎo)招生

點(diǎn)擊通信工程師專業(yè)培訓(xùn)面授班招生

點(diǎn)擊閱讀2013年通信工程師考試大綱

點(diǎn)擊了解2013年通信工程師考試指定教材

通信工程師報(bào)名及通信工程師成績(jī)查詢專題

2012年全國(guó)初級(jí)中級(jí)通信工程師考試成績(jī)查詢

5.6.3 IPSecVPN與MPLSVPN的比較

VPN的服務(wù)目的就是在共享的基礎(chǔ)公共網(wǎng)絡(luò)上向用戶提供網(wǎng)絡(luò)連接，不僅如此，VPN連接應(yīng)使得用戶獲得等同于專有網(wǎng)絡(luò)的通信體驗(yàn)》合理和實(shí)用的VPN解決方案應(yīng)能抗拒非法入侵，防范網(wǎng)絡(luò)阻塞，而且應(yīng)能安全、及時(shí)地交付用戶的重要數(shù)據(jù)。在實(shí)現(xiàn)這些功能的同時(shí)，VPN還應(yīng)該具有良好的可管理性。綜上所述，VPN的基本屬性分成了5個(gè)類別（見表5-8）。

MTU定義了在連接中傳輸?shù)臄?shù)據(jù)包的最大長(zhǎng)度。如果一個(gè)數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU值，只要DF位（不分割位）未被置位，該數(shù)據(jù)包將會(huì)被分割成兩個(gè)長(zhǎng)度更小的數(shù)據(jù)包。如果DF位被置位，該數(shù)據(jù)包將被丟棄，并發(fā)送一條ICMP信息給數(shù)據(jù)包的發(fā)送源端。一旦該數(shù)據(jù)包到達(dá)了CPEB端，它將被解封和解密，此處又增加了延遲時(shí)間。最后，CPEB把該數(shù)據(jù)包轉(zhuǎn)發(fā)到計(jì)算機(jī)B。

總的延遲時(shí)間取決于所涉及的CPE的個(gè)數(shù)。低端的CPE設(shè)備通常用軟件實(shí)現(xiàn)所有的IPsec功能，因而其速度最慢。價(jià)格貴些的CPE用硬件實(shí)現(xiàn)IPsec功能。一般來(lái)說(shuō)，性能越好，其價(jià)格越貴。

從上述例子中可以容易了解到IPSecVPN是網(wǎng)絡(luò)的一種覆蓋類型。它位于另一種IP網(wǎng)絡(luò)的上層。由于是一種覆蓋，在每個(gè)站點(diǎn)之間必須建立一個(gè)隧道，這就導(dǎo)致了網(wǎng)絡(luò)的低效。下面介紹兩種網(wǎng)絡(luò)布局結(jié)構(gòu)：中心輻射布局和全網(wǎng)絡(luò)布局。

中心輻射布局由一個(gè)中心站點(diǎn)同許多遠(yuǎn)程站點(diǎn)相連。這是IPSec網(wǎng)的最實(shí)用的布局。位于中心站點(diǎn)位置的CPE通常非常昂貴，其價(jià)格同相連的遠(yuǎn)程站點(diǎn)的數(shù)目有關(guān)。每個(gè)遠(yuǎn)程站點(diǎn)建立同中心站點(diǎn)相連的IPSec隧道。如果有20個(gè)遠(yuǎn)程站點(diǎn)，就會(huì)建立20個(gè)到中心站點(diǎn)的IPSec隧道。

該模式對(duì)于遠(yuǎn)程到遠(yuǎn)程之間的通信不是最優(yōu)的。任何數(shù)據(jù)包，如果從一個(gè)遠(yuǎn)程站點(diǎn)發(fā)送到另外一個(gè)遠(yuǎn)程站點(diǎn)，需要先通過(guò)中心站點(diǎn)，需要中心站點(diǎn)實(shí)現(xiàn)解封、解密、判定轉(zhuǎn)發(fā)路徑、加密、封裝等一系列步驟。這對(duì)于在遠(yuǎn)程站點(diǎn)中已經(jīng)進(jìn)行的封裝/加密工作來(lái)說(shuō)，是多余的。

實(shí)際上，數(shù)據(jù)包經(jīng)過(guò)兩個(gè)IPSec隧道的傳輸，延遲時(shí)間大大地增加了，超過(guò)了兩個(gè)站點(diǎn)之間直接通信時(shí)數(shù)據(jù)包的延遲時(shí)間。

顯然，解決這個(gè)問(wèn)題的方案是建立一個(gè)全網(wǎng)狀布局。但該類型的布局存在不少缺點(diǎn)。最大的缺點(diǎn)是可擴(kuò)充性。對(duì)于全網(wǎng)狀I(lǐng)PSec網(wǎng)絡(luò)，需要支持的隧道的數(shù)量隨著站點(diǎn)的數(shù)目呈幾何級(jí)數(shù)增加。例如，對(duì)于一個(gè)21個(gè)站點(diǎn)構(gòu)成的全網(wǎng)狀布局網(wǎng)絡(luò)（一個(gè)中心站點(diǎn)和20個(gè)遠(yuǎn)程站點(diǎn)），需要建立210個(gè)IPSec隧道。每個(gè)站點(diǎn)需要配置能夠處理20個(gè)IPSec隧道的CPE,

這意味著每個(gè)站點(diǎn)需要價(jià)格更為昂貴的CPE設(shè)備。從某種意義上講，建立一個(gè)全網(wǎng)狀布局是不現(xiàn)實(shí)的。想象一下由100個(gè)站點(diǎn)組成的VPN,它將需要建立4950個(gè)隧道。

[1] [2]