一、MPLS VPN与IPSec VPN比较

　　目前，VPN（virtual private network，虚拟专用网络）架构正逐渐在提供新兴服务的基础网络领域大行其道。融BGP（Border gateway protocol，边界网关协议）和MPLS（Multi-protocol label switching，多协议标签交换）技术的MPLS VPN和基于IPSec的VPN倍受关注。这两种VPN既有各自的特点又具有一定的互补性。

　　1.1  IPSec协议特点

　　IPSec是由IETF的IPSec工作组定义的一种开放源代码框架。IPSec的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面定义了特定协议。IPSec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在IP层提供，能被更高层次的协议所利用（如TCP、UDP、ICMP、BGP等），并且对于应用程序和终端用户来说是透明的，所以，应用和终端用户不需要更改程序和进行安全方面的专门培训，同时对现有网络的改动也最小。

　　1.2  MPLS VPN技术特点

　　MPLS VPN能够利用公用骨干网络强大的传输能力，降低企业内部网络Internet的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽带和方便性的需要。

　　MPLS VPN为安全的点到点通信提供了一种可选的方案，它是具有与ATM/FR虚电路的VPN相同安全级别的VPN.MPLS VPN建立了几种内部机制来保障安全性。这些安全机制存在于提供商网络的内部，提供商核心网络的结构对用户来说是不可见的。因此，用户不能获得核心网络结构的情况，这就能保护潜在的攻击者使用这些信息进行拒绝服务、欺骗、会话窃取等攻击。

　　因此，我们可以认为，MPLS VPN能够提供与IPSec相同级别的安全性。

　　1.3   比较MPLS VPN与IPSec VPN的技术参数

　　在站点与站点之间实施VPN时，网络管理者应该综合比较MPLS VPN和IPSec VPN两种方案，下面的参数用来比较这两种解决方案。

　　1） 数据机密性：IPSec VPN通过强大的加密算法来保障数据的机密性，MPLS VPN通过在提供商物理站点间定义一条唯一的数据通道来加强数据的机密性，这可以禁止攻击者非法获得数据拷贝，除非他们在提供商的网络上放置镜像器。尽管MPLS VPN使数据被窃取的机会最小化，但IPSec通过加密可以提供更好的数据机密性。第三种方案是采用IPSec over MPLS VPN，这样显然可以保证更高水平的数据机密性。

　　2） 数据完整性：IPSec使用散列算法来保证数据的完整性，对于MPLS VPN来说，没有什么根本的方法来保障数据的完整性，然而，通过地址空间隔离和路由信息，防止不熟练的攻击者对数据的添加、删改还是有一定的效果的。

　　3） 数据有效性：IPSec基于Internet进行数据传输，尽管攻击者不能读取数据，但攻击者可以通过在Internet路由表中加入错误路由来旁路数据。MPLS VPN基于LSP来传输数据，因LSP仅有本地意义，欺骗攻击很难实现。BGP用于在VPN中传递路由信息，然而，BGP扩展共同体属性使错误路由的引入相当困难，因此，从这点上说，MPLS VPN能够提供更好的数据有效性。

　　4） Internet接入：大多数IPSec VPN基于Internet传输数据，因此，大多数IPSec VPN体系结构允许VPN接入到所连的站点。在MPLS VPN体系结构中却很难实现这一点，在MPLS VPN接入Internet方案中，通常选择分离的Internet连接来保障整个VPN的安全性。

　　5） 远程接入：尽管很多提供商支持远程接入，但对MPLS VPN来说并不是本来这样，并且，他们要么要求远程接入的用户在相同的提供商网络中，要么提供商必须实施相同级别的MPLS VPN.从这一点来看，IPSec在提供远程接入方面有优越性。

　　6） 可扩展性：IPSec VPN难以扩展。因配置方面的要求，IPSec通常是点到点的连接，MPLS VPN由提供商配置，能够轻易地实现全网状的网络结构，并且，MPLS VPN还允许网络管理者利用MPLS的特性如QoS，因此在企业环境中MPLS VPN比IPSec VPN更具扩展性。

　　MPLS VPN和IPSec VPN具有各自的优点，MPLS VPN扩展性好，能够提供更好的数据有效性，而IPSec VPN能够保障更好的数据机密性和完整性。两种VPN都难以配置，每一种方案都应考虑应用简便，然而，对于点到点连接，两种方案都成立，用户在实施时应仔细分析两种方案的优缺点，选择最适合自己的。

　　二、MPLS VPN典型案例

　　互联通的某一客户是国际知名的软件提供商。该客户的总部位于美国，在日本、中国的北京、香港和台湾分别设有分支机构。

　　2.1 网络需求

　　各分公司与美国总部之间能够相互访问各种数据，带宽为2M；

　　各分公司之间可以相互访问，带宽为2M.

　　2.2 网络规划

　　采用MPLS VPN的组网方式，骨干网为运营商的骨干网络；

　　各分公司和总部的接入设备包括具有普通路由功能的路由器；

　　各分公司和总部接入到骨干网的边缘设备带宽为2M，接入方式为光纤接入。

　　2.3 组网图

【责任编辑:Star】