传统VPN与MPLS VPN对比分析

贺军



传统VPN与MPLS VPN对比分析

贺军

晋城无烟煤矿业集团有限责任公司通信分公司，山西 晋城 048006

随着近几年我国科学技术的快速发展，传统的VPN技术已经不能满足当前社会发展的需求，因此，新的MPLS VPN应运而生，并且已经在很多企业得到应用。基于此，对传统VPN与MPLS VPN之间的属性进行了相应的分析研究，以便能够使人们对这两者有着更为清晰的认识和了解。

VPN技术；MPLS VPN技术；工作原理

1 MPLS技术概述

MPLS技术并不能说一种新的产物，因为其既不属于第二层也不属于第三层。”多协议”有两层含义：一是支持如IPv4、IPv6、IPX、APpleTalk等多种网络层协议，二是兼容多种链路层协议技术，如帧中继、以太网、ATM、PPP等。MPLS采用与ATM差不多的交换技术进行转发，而MPLS的控制部分则兼容现有的IP路由协议，这样既可以很好的发挥网络层路由选择的灵活性，又能够充分利用链路层快速交换的优质、高效[1]。

MPLS技术在无连接的“Best Effort”IP网络中，引入了面向连接的优势。它涉及的范围很广泛，有如RIP、OSPF、BGP、IS-IS等路由技术，标签分发及交换等信令监控、虚拟专用网络、流量工程（Traffic Engincer，TE）、服务质量控制（QOS）等等。

2 传统VPN与MPLS VPN对比分析

2.1 虚拟专用网VPN技术

VPN（Virtual Private Network）提指一种专用网络，构造在公共网络上。传递私有信息时，需要利用共享的通信基础设施，应用了加密和认证技术，建立起的一个相对封闭的、逻辑上专用的网络在相互通信的节点之间，VPN虽然不是一个独立的实际网络，但却具有专用网络的所有功能。VPN是在实际网络（或物理网络）上建立的功能性网络，采用专网组网方式，是逻辑上的专用网络，使用与专用网相同的策略，向用户提供专用网络所有的功能。VPN可以在互联网（Internet）、帧中继（FR）、异步传输模式（ATM）等基础上构建。

2.1.1 VPN的划分

（1）按照实现技术进行划分

①覆盖型（Overlay）。类似于静态路由，覆盖型VPN的配置和部署需要手工来完成，而且具有很多问题，无法反应网络的实时变化。一旦VPN中对某个用户进行增加或者删除，整个路由表都会受到影响，维护工作量大，不适宜部署在大规模网络中。

②对等型（peer-to-peer）。即CE-to-PE，交换专用网络路由信息，是在CE（用户端）与PE（服务供应商端）之间，然后在公共网络中由PE路由器向其他PE路由器传播。按照协议实现类型进行划分，参照051标准参考模型可以分为：a.第-层VPN：包括SONET，ISDN，Tl，El等；b.第二层VPN：包括帧中继（Frame Relay）、异步传输模式（ATM）等；c.第三层VPN：包括IP安全（IP Security）、通用路由封装协议（GRE）等；d.第七层VPN：采用安全套接层协议（Security Socket Layer，SSL），SSL建立在应用层上，实用于用户端，它是一种高层安全协议。

（2）按照发起方式进行划分

当一个企业用户要建立一个虚拟专用网络时，既可以通过用户端来实现，也可以由服务供应商来实现，甚至可以由服务供应商和用户共同来实现：

①基于用户端设备的VPN（CPE-VPN）。VPN网关设备由用户自己设置并维护，在公司总部与各个分支机构之间建立VPN连接，为了保障数据传输的安全性，可以采用加密技术。显著特点是：VPN的实现对网络是透明的，Internet不需要再进行变动和以及不用对设备进行新的投资。

②基于服务供应商网络的VPN（PP-VPN）。VPN网关设备是在公共数据网络上进行设置，通过第二层隧道技术，根据具体的VPN要求，建立完全的或不完全的虚拟专用网的网络结构。VPN连接的建立完全由服务供应商负责，对用户透明，用户的管理可以灵活地由用户和服务供应商共同管理。由于服务供应商提供并管理网关设备，可以给多个企业用户同时提供VPN服务。

2.1.2 VPN具有的基本属性

①安全性：采用隧道加密技术、流量分离控制、数据分组认证、用户认证以及访问控制等安全措施，保证商业上重要的数据流能够保持其机密性。

②服务质量（QOS）：通过变动带宽速率实现网络拥塞管理，保障重要的或对延迟非常敏感的数据流量具有优先通过权[2]。

③可管理性：VPN的管理主要包括安全管理、设备管理、配置管理、访问控制列表管理等方面。VPN的管理目标是减小网络风险、具有高扩展性、经济性、高可靠性。实现既满足远程互联要求，又可以在一定程度上防止黑客攻击，还能够根据各种服务类别进行管理约束。

2.2 基于MPLS的VPN

运用MPLS在虚拟主干网中转发数据分组的VPN被称为MPLS VPN。MPLS VPN目前有Martini草案和Kompeller草案两个技术流派。MPLS的用途是转发数据，但要通过其他协议来实现路径的建立。

MPLS VPN依据扩展方式可以划分为基于BGP扩展实现的MVPS-VPN和基于LDP扩展实现的VPN。

MPLS VPN依据是否有PE设备参与VPN路由可以划分为MPLS L2 VPN和MPLS L3 VPN。其中MPLS L2 VPN在第二层使用，既可以称作透明的局域网服务TLS，又可以称作虚拟专用局域网服务VPLS，无论怎么称呼其目的并非是要建立一个隔离的网络，而是要扩展现有的第二层VPN服务，从而实现在专用IP网络传输业务。而另外的MPLS L3 VPN在第三层使用，也可以称为MPLS/BGP VPN。在骨干网中MPLS用于转发数据包，而BGP则用于分发路由。可以说MVPS-VPN拥有比较广泛的应用，讨论三层BGP/MPLS VPN技术是本文的主要内容。

3 结论

综上所述，相比较于传统的VPN技术来说，MPLS VPN技术其动态的隧道建立机制、高效的标签转发方式、丰富灵活的业务规划和接入能力及良好的可扩展性脱颖而出，作为最适用的网络虚拟化技术而得到广泛应用。

[1]许明.MPLS-VPN环境中数据安全隐患分析与防护[J].电脑知识与技术，2015（28）：56-58.

[2]钟灿雄.基于MPLS与BGP的VPN构建与应用研究[J].湖南邮电职业技术学院学报，2014（2）：58-63.

TP393.1

A

1009-6434（2016）03-0004-01