通信互聯(lián)網(wǎng)技術(shù)考試IPSecVPN與MPLSVPN的比較[2]

另一個(gè)考慮是CPE設(shè)備，一個(gè)供應(yīng)商需要確保所有的CPE之間能夠兼容。最簡(jiǎn)單的方案是在每個(gè)位置使用同一種CPE設(shè)備。但這并不總是可行的。在許多場(chǎng)合中，用戶打算重用自己的CPE.對(duì)于DSL,同一種CPE設(shè)備并沒有在所有不同的CLEC設(shè)備之間進(jìn)行過(guò)測(cè)試。

雖然兼容性目前不是個(gè)大問題。但在使用IPSec協(xié)議時(shí)仍需要考慮。

對(duì)于IPSecVPN來(lái)說(shuō)，配置將成為問題，供應(yīng)商必須配置好每個(gè)IPSec隧道。配置單一的一個(gè)IPSec隧道不成問題。但網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量增大時(shí)，就會(huì)產(chǎn)生問題。在建立全網(wǎng)狀的布局時(shí)，情況最糟，上例中，配置一個(gè)由21個(gè)節(jié)點(diǎn)組成的網(wǎng)絡(luò)需費(fèi)時(shí)數(shù)天。對(duì)于服務(wù)供應(yīng)商來(lái)說(shuō)，

曰常維護(hù)的難度也很大。

安全性也是需要考慮的。每個(gè)CPE可以連接到公共的Internet,并且依賴IPSec隧道來(lái)進(jìn)行站點(diǎn)間的數(shù)據(jù)傳輸。這樣，每個(gè)CPE設(shè)備都必須采取諸如防火墻這樣的安全措施，以便保護(hù)每個(gè)位置的安全。每個(gè)防火墻需要對(duì)供應(yīng)商開放，以便訪問有關(guān)設(shè)備，這本身將是個(gè)安全隱患。當(dāng)網(wǎng)絡(luò)規(guī)模增大時(shí)，管理每個(gè)防火墻將變得很困難。例如，帶有100個(gè)節(jié)點(diǎn)的VPN,需要100個(gè)防火墻。一旦每次需要修改防火墻策略時(shí)，該VPN中的所有100個(gè)防火墻都要重新設(shè)置。

與IPSecVPN不同，MPLSVPN不依靠封裝和加密技術(shù)，MPLSVPN依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN。

MPLSVPN中，客戶站點(diǎn)運(yùn)行的是IP.它們并不需要MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中，路由識(shí)別器對(duì)應(yīng)同每個(gè)客戶站點(diǎn)的連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路、DSL等這樣的物理連接。路由識(shí)別器在PE路由器中被配置，是設(shè)置VPN站點(diǎn)工作的一部分，它并不在客戶設(shè)備上進(jìn)行配置，對(duì)于客戶來(lái)說(shuō)是透明的。

每個(gè)MPLSVPN具有自己的路由表，這樣客戶可以重疊使用地址且互不影響。對(duì)用RFC1918建議進(jìn)行尋址的多種客戶來(lái)說(shuō)，上述特點(diǎn)很有用處。例如，任何數(shù)量的客戶都可以在其MPLSVPN中，使用地址為10.X.X.X的網(wǎng)絡(luò)。MPLSVPN的一個(gè)最大的優(yōu)點(diǎn)是CPE設(shè)備不需要智能化。因?yàn)樗械腣PN功能是在核心網(wǎng)絡(luò)中實(shí)現(xiàn)的，且對(duì)CPE是透明的。CPE并不需要理解VPN,同時(shí)也不需要支持IPSec.這意味著客戶可以使用價(jià)格便宜的CPE,或者甚至可以繼續(xù)使用己有的CPE。

時(shí)延被降到最低，這是因?yàn)閿?shù)據(jù)包不再經(jīng)過(guò)封裝或者加密。加密之所以不再需要，是因?yàn)镸PLSVPN可以創(chuàng)建一個(gè)專用網(wǎng)，它同幀中繼網(wǎng)絡(luò)具備的安全性很相似。因?yàn)椴恍枰淼?，所以要?jiǎng)?chuàng)建一個(gè)全網(wǎng)狀的VPN也將變得很容易。事實(shí)上，缺省的配置是全網(wǎng)狀布局。站點(diǎn)直接連到PE,之后可以到達(dá)VPN中的任何其他站點(diǎn)。如果不能連通到中心站點(diǎn)，遠(yuǎn)程站點(diǎn)之間仍然能夠相互通信。

配置MPLSVPN網(wǎng)絡(luò)的設(shè)備也變得容易了，僅需配置核心網(wǎng)絡(luò)，不需訪問CPE一旦配置好一個(gè)站點(diǎn)，在配置其他站點(diǎn)時(shí)無(wú)需重新配置。因?yàn)樘砑有碌恼军c(diǎn)時(shí)，僅需改變所連到的PE的配置。

在MPLSVPN中，安全性可以得到容易地實(shí)現(xiàn)。一個(gè)封閉的VPN具有內(nèi)在的安全性，因?yàn)樗慌cPublic Internet相連。如果需要訪問Internet,則可以建立一個(gè)通道，在該通道上，可放置一個(gè)防火墻，這樣就對(duì)整個(gè)VPN提供安全的連接。管理起來(lái)也很容易，因?yàn)閷?duì)于整個(gè)VPN來(lái)說(shuō)，只需要維護(hù)一種安全策略。

MPLSVPN的另一個(gè)好處是對(duì)于一個(gè)遠(yuǎn)程站點(diǎn)，僅需要一個(gè)連接即可。例如，帶有一個(gè)中心站點(diǎn)和10個(gè)遠(yuǎn)程站點(diǎn)的傳統(tǒng)幀中繼網(wǎng)，每個(gè)遠(yuǎn)程站點(diǎn)需要一個(gè)幀中繼PVC（一直性虛電路），即需要10個(gè)PVC.而在MPLSVPN中，僅需要在中心站點(diǎn)位置建立一個(gè)PVC,這就降低了網(wǎng)絡(luò)的成本。

返回目錄：通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總

編輯相關(guān)推薦：

初級(jí)通信工程師考試電信網(wǎng)概述匯總

2013年通信工程師考試學(xué)習(xí)在線輔導(dǎo)

通信考試終端與業(yè)務(wù)通信員工職業(yè)規(guī)范

通信專業(yè)實(shí)務(wù)互聯(lián)網(wǎng)技術(shù)數(shù)據(jù)通信基礎(chǔ)教程

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

[1]  [2]