MPLS vpn和IPSEC VPN的比较( 转)

MPLS vpn和IPSEC VPN的比较( 转)
本文摘要
　电信的VPN是MPLS VPN，是一种基于MPLS(Multiprotocol Label Switc hing,多协议标记交换 )技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。
　　电信的VPN是MPLS VPN，是一种基于MPLS(Multiprotocol Label Switc hing,多协议标记交换 )技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。

　　MPLS VPN有它优越的一方面，但也有很大的缺点。下面从几个方面对MPLS VPN与IPSEC VPN进行对比。

　　一、系统的可靠性

　　MPLS VPN是基于电信的网络进行构建，本身属于电信的一项数据业务.，

　　IPSEC VPN是完全基于INTERNET构建的，因此它的可靠性依赖于两个方面：线路的可靠性和设备的稳定性。

　　从设备可靠性来看，IPSEC作为主流的VPN协议，它的技术比较完善。目前基于ipsec的vpn技术已经成熟，很多产品都能够运行非常稳定可靠。

　　目前Internet的接入已经非常普及，由于长期的投入建设，整个Internet线路已经达到了很高的水平，不仅带宽有保证，而且提供的接入方式多样。一旦某一条线路出错，可以使用其他备份线路接入internet。MPLS是依靠单一的电信运营商，如果运营商的网络出问题就等于整个网络的停用。IPSET由于随时可以使用的其他线路作备份，因此系统具有很强的容错能力。这一点，是MPLS链路无法达到的。

　　二、投入成本

　　从投入成本上分析，MPLS可以免除设备投资，但是大多数情况下，用户还是需要购买路由器之类的设备。

　　另外，MPLS长期的租金累计起来，也不是一个小数目，如果是国际链路，那么就会更加昂贵。

　　采用IPSEC VPN，是利用原来公网线路。但一次性设备投入比较大。但从长远看来，费用分摊以后，那么它的费用实际是比MPLS VPN要低很多。

　　三、接入方便性

　　MPLS VPN连接比较简单，只要求客户把客户设备(CE) 连接到运营商的网络边缘设备(PE)就可以了，运营商同时负责二层的数据传输工作和三层的路由工作，这种三层MPLS VPN对客户的要求比较低，客户负担较小，但这种做法常见的问题就是接入缺少灵活性。因为MPLS VPN是单一运营商提供的，跨运营商的连接常常存在很大问题，例如：联通提供的MPLS服务和电信提供的MPLS，彼此就很难连接。而大型客户往往在全国各地都有自己的分支机构，如果寄希望这些分支机构所在城市都有同一家运营商并且都提供MPLS VPN的服务，显然很不现实，特别是在偏远地区和移动用户。MPLS具有地域性，现在许多地方的MPLS服务没有推出。

　　IPSEC VPN则是完全利用互联网，做到了只要接入Internet，就可以利用IPSEC VPN来组建企业自己的网络。随着电信“最后一公里”技术的实现，Internet真的做到了无处不在。利用Internet的资源，采用IPSEC VPN技术可以非常方便的在全球范围内，组建企业的虚拟专网。

　　随着业务的不断发展，移动用户和在家办公的用户也越来越多，vpn客户端的支持也非常重要，使用IPSEC客户端可以让移动用户随时随地都能够跟企业内部进行信息交换。这点MPLS VPN显然是做不到的。对于接如点比较多的用户来说，特别分布广泛用户，对于用户来讲无论是从时间还是从资金的投入来讲都是不可接受的。

　　四、安全性

　　MPLS VPN采用路由隔离、地址隔离等多种手段提供了抗攻击和标记欺骗的手段，因此人们认为，MPLS VPN完全能够提供与FR/ATM 相类似的线路安全保证。

　　但是MPLS VPN也没有解决所有管理型的共享网络普遍存在的非法访问受保护的网络元、错误配置以及内部(包括核心)攻击等安全问题。例如在MPLS VPN传递数据，只是标记了端点路由，对数据本身并不提供加密的防护手段。因此MPLS VPN的安全性一般。

　　IPSec VPN 的显着特点就是它的安全性，这是它保证内部数据安全的根本。IPSEC VPN为了实现在Internet上安全的传递数据，采用了对称密钥、非对称密钥以及摘要算法等多种加密算法，通过身份认证、数据加密、数据完整性校验等多种方式保证接入的安全，保证的数据的私密性。

　　五、可管理性

　　由于MPLS VPN通讯关系是由运营商指定的，用户配置的灵活性并不高。同时，由于运营商的网络往往是由多家设备厂商组成的，这样即使是运营商，对VPN设备的管理实际上也是很困难的。

　　IPSEC VPN通过数字证书等技术手段，实现了对整个VPN网络的“集中认证、统一监控、分级管理”的管理模式，既充分保障了整个网络的安全性，有效减轻了网络管理人员的负担，同时对技术力量比较薄弱的分支机构真正实现的设备的“零管理”。同时通过技术手段可以控制不同VPN设备之间的通信关系，充分体现了用户对VPN网络的可管理性。IPSEC可以牢牢的把网络放在自己手中，可以通过中心接点对整个网络的遥控。

　　最后，我们可以列出一个表格，总体比较MPLS和IPSEC两种vpn技术。

　　MPLSIPSEC(over internet)备注

　　接入方式电信isp链路到户任何连接到Internet的方式，包括小区宽带、移动上网、adsl、电话拨号等等显然后者能够更方便接入。

　　成本一次投入比较低，长期投入比较高一次投入比较高，长期投入很低。基本在企业的原有上网线路上运行，不需要增加另外接入。

　　稳定性稳定性很高，但是备份线路基本没有。稳定性依赖于接入链路，但是存在多种接入方式可以备份。

　　安全加密依赖于运营商的网络隔离IPsec自身强大的安全功能IPSET的VPN隧道更好些

　　移动客户端支持很难支持支持很好

　　运营管理模式电信或者ISP提供服务客户自行管理维护，与外部完全隔离。

　　应用性具有地域性，运营商分别建立MPLS网络。利用INTERNET。

摘自：http://net.zdnet.com.cn/security_zone/2011/0326/2024638.shtml

虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中，我们将试图解释两种特定的VPN类型，即IPSec VPN和SSL VPN，以及这两种类型应该如何选择。

然而，在深入研究这两个不同类型之前，需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用户，是试图在家或者其他公共场所访问公司资源的公司雇员，以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之间建立一个加密通道的方式，利用公共长途IP网络来进行数据传输，这些远程站点包括雇员的笔记本电脑或者第三方系统。

关键技术

当前，最为普及的两种VPN技术分别是基于传统网络安全协议(IPsec)的VPN技术和安全套接字层(SSL)VPN技术，前者主要作用于网络层，而后者主要作用于应用层。它们的不同之处在于：使用的底层技术不同，所服务的功能不同，以及潜在的VPN安全风险不同。

IPsec最初的设计是提供点到点的，在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下，客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层，网络层)，并可以用来传输任何基于IP的协议报文，而不用理会应用程序所产生的流量。随着移动办公时代的到来，IPsec已经得到扩展，用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。

另一方面，SSL VPN在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样，SSL VPN可以被看做一个应用程序代理，远程用户使用浏览器就可以以某种粒度访问公司的特定资源，而不再需要安装客户端。

优势与劣势

IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关：任何基于IP的协议都能够通过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路，是一个相当有吸引力的替代品。它也可以作为一个备份链路，即在连接远程站点和中央办公室的主租用线路或专用线路崩溃时起作用。

然而，IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密，同时还基本上把公司网络拓展到任何远程用户，但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立，远程用户通常可以访问公司的任何资源，就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手机和家用电脑等非托管的IT设备访问公司资源，所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权，而且不能保证这些设备符合通常在托管设备上实施的安全水平。

另外，IPsec也需要更多的维护。除了需要建立终止通道的设备，还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下，还需要特殊的配置确保IPsec与NAT设置充分协调。

相比之下，SSL VPNs从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL VPNs还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种合规要求。SSL VPNs还具备在连接到企业的远程设备上运行主机合规性检查的能力，以验证它们配置了合适的安全软件，并安装了最新的补丁。

但这并非意味着SSL VPNs就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时，SSL VPN不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL VPNs是不同的。许多SSL VPNs通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下，在远程设备成功通过SSL VPN设备的验证后，相关的安装会准确无误的实现，但是值得注意的是，ActiveX和Java都有其自身的安全缺陷，这也是攻击者通常试图利用的一点。

IPsec VPN还是SSL VPN?

在企业中，每种VPN方案都有其用处。理想情况下，因为SSL和IPsec VPNs服务于不同的目的且具有优势互补的特点，所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。这种情况下，粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加，这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问控制能力，审核和日志记录，以及安全策略控制等因素至关重要的移动办公情况下，企业应该主要使用SSL VPNs作为远程访问方案。但是请记住，不管你的VPN选择或特定需要如何，一个VPN必须更新，测试并进行性能检测，而且它是作为利用综合性策略和各种网络安全技术的深度防护战略的一部分。