科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道MPLS VPN与传统专网比较

MPLS VPN与传统专网比较

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

传统专网的安全性保证主要来自其"闭合用户群"特性。MPLS VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。

作者:中国IT实验室 2007年9月14日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

安全性

传统专网的安全性保证主要来自其"闭合用户群(CUG)"特性。它不向用户暴露运营商的网络结构,提供的是透明传输,因此可限制来自用户侧的DoS等攻击。

MPLS VPN由于采用了路由隔离、地址隔离和信息隐藏等多种手段,提供了抗攻击和标记欺骗的手段,因此MPLS VPN完全能够提供与ATM/FR VPN相类似的安全保证。

扩展性

传统的专网是在运营商网络之上构建的覆盖型网络,因此在实现用户节点间的全网状通信时,会存在N平方的扩展性问题。不过由于中国目前企业网互联以分级式星形结构为主,企业分支接入点也不会特别多,现在遇到的扩展性问题还不是很明显。

MPLS VPN则具有很强的扩展性。一方面MPLS网络中可以容纳的VPN数目很大,另一方面在用户节点数目上由于借助于BGP协议进行成员的分配和管理,同一个VPN中的用户节点数不受限制,容易扩充,并可以实现任何节点与任何其它节点的直接通信。特别是在实现用户节点间的全网状通信时不需要逐条配置用户节点间的电路,用户侧只需要一个端口/一条线路接入网络,避免了N平方的扩展性问题。

拓扑灵活性

由于是点对点连接,传统专网的逻辑拓扑调整起来相对比较复杂。对于用户来说可能需要新增、删除电路,修改路由配置。运营商也要在网络侧对电路相应地新增、删除并需要逐条配置,维护工作量较大。

MPLS VPN可以通过网络侧参数的调整,很容易实现用户节点间的星形、全网状以及其它任何形式的逻辑拓扑,以满足用户对内部节点间管理上的要求。这一逻辑拓扑调整不需要用户侧新增任何线路或修改任何配置,完全可在网络侧完成,对用户完全透明,有效地减少了用户的维护工作量。

网络可靠性

网络的可靠性主要靠资源的冗余度来实现。由于在前几年ATM建设热潮中全球绝大部分大型电信运营商都建成了自己比较完备的ATM网,因此ATM网多路由、富余的传输资源基本上都可以满足专线网络的可靠性要求。通过ATM网的信令和路由体系,在ATM网内部中继线中断时,现在ATM/FR PVC和基于电路仿真的DDN都可以通过自动切换/迂回路由保护业务电路。但由于ATM产品种类特别多,至少在目前还无法很好地实现异种ATM网络之间的电路自动切换/迂回路由。而传统的基于电路交叉连接的DDN电路则一般不具备电路自动切换/迂回路由能力,它可以依靠SDH环提供线路保护,但无法摆脱DDN设备出故障时带来的网络设备单点故障。

由于全球基于互联网的IP基础设施非常发达,因此依托它来开展MPLS VPN业务,自然就具有大带宽、多节点、多路由、充裕的网络和传输资源来保证网络的可靠性。当互联网内部中继线中断时,MPLS VPN的流量与普通互联网流量一起依据IGP迂回到其它电路上,这一过程完全依靠IGP的收敛自动完成,对用户完全透明,在广域网传输中不存在单点故障。

QoS/CoS

QoS(服务质量)是随ATM一起诞生的,可以说ATM天生就很好地支持QoS。但随着带宽的迅速增加和价格急剧下降,是否需要用AIM这么复杂的带宽控制机制来保证QoS也还是有争论,不少人就认为采用"无限带宽"的办法也一样简单有效,FR也可以较好地支持QoS,DDN和数字电路则只能提供固定的QoS。

MPLS VPN可以使用LDP或RSVP在运营商网络中建立和维护的LSP在广域网上传输数据。运营商如果使用LDP建立"尽力满足"的LSP,那么LSP将选择"尽力满足"的业务路由。这时MPLS VPN可以通过差别服务(CoS)、流量整形和服务级别来保证一定的流量性能。如果运营商希望为LSP分配带宽或使用流量工程来为LSP选择特定路径,则可使用RSVP。基于RSVP的LSP支持QoS保证和特定的流量工程对象,但RSVP在互联网上作为运营协议几乎还没有成功的案例,其管理的复杂性甚至可能影响到现有互联网的网络管理,因此要提供完全支持QoS的MPLS VPN还有待时日。但由于MPLS VPN可以用"无限带宽"的方式来达到一定QoS,业界对于是否需要通过复杂的RSVP等技术实现严格的QoS来保证语音,图像等实时数据的传输也有些争议,因为那可能会使IP路由器做得比ATM交换机还要复杂。

网络维护管理

从用户自身网络的维护管理来看,传统专网要求用户维护一个广域网,较高档次的设备和多而复杂的线路也可能会增加维护管理的复杂性和难度,而且工作量大,对技术人员的要求也非常高。用户需要在广域网的建设上投入极大的精力,甚至需要投入数名资深工程师的大量工作时间。但好处是用户完全可以自主控制自己的路由,网络简单、可靠、带宽有保证。随着专线费用的下调,带宽便宜的结果是对于那些拥有一定技术人才和资金的大中企业用户,由于内部网络互联是主要需求,加上对网络安全、性能、可靠性可能有较高要求,他们也可能仍然愿意选择DDN、FR、ATM等专线组网方式,以获得更大的自主性。同时,对于那些接入点很少甚至只是点对点通信的用户来说,租用一两条价格实惠的DDN或FR电路,甚至采用ADSL接入的ATM PVC电路组网倒也不失为一种简单、明智的选择。

对采用MPLS VPN进行组网的用户来说,大量繁杂、技术含量高的广域网维护工作实际上已经由运营商承担了,因此用户需要维护的只是简单的设备,管理简单,工作量小,对技术人员的要求也低,用户可以把大部分精力放在局域网的建设、维护上。可以说MPLS VPN与传统专线组网方式最大的区别就在于它在极大地提高了用户网络管理效率的同时,大大降低了用户在网络管理方面投入的费用。而且由于MPLS VPN还可以向用户提供集成的互联网接入能力,这特别适合于缺乏专门技术人员而想尽量节省资金的那些以接入互联网为主,其次才是通过互联网访问公司内部网络的中小企业用户。

设备投资

从前期投入来看,传统专线组网一般采用多级星形网络拓扑,对设备性能要求相对较高,加上大量专用接口的使用,尤其是2M以上需采用价格昂贵的ATM或SDH接口,都使用户设备投资上升。

采用MPLS VPN组网,用户端设备可以采用普通路由器,甚至是带简单路由功能的交换机,然后租用运营商相应速率的VPN端口,就可享用互联网巨大的带宽和高速转发能力。尤其是在用户点多、专网规模较大的情况下,MPLS VPN组网就更具成本优势。

线路租费和带宽

传统专线提供带宽保证和一定QoS保证,运营商投资相对较大且只服务于数目有限的企业,导致线路租费相对较高。不过随着带宽资源越来越多、成本越来越低,专线租费的可承受性也受到越来越多的企业认可。

目前MPLS VPN使用的LSP是在Internet上以“Best effort”方式建立的,它基于“带宽无限”的思想,以经济的统计复用带宽方式保证用户QoS。由于IP的设备价格相对专线设备便宜,加上MPLS VPN是和广大互联网用户一起分担网络成本,因此MPLS VPN的线路租费从理论上来说肯定要比专线便宜。尤其是在跨长途网的MPLS VPN上可以节省电路资费同时共享巨大的传输带宽。

投资与建设

随着技术的发展,目前运营商建设的传统DDN、FR、ATM专网已经或逐渐迁移到ATM网这一物理网平台,这样运营商就只需对一个物理网进行投资和维护,可节省大量的资金和人力。同时这几年ATM设备的价格和带宽成本也下降得较快。外围价格很低的国产MUX、xDSL设备作为接入设备的使用,也有力地减低了DDN和FR电路的成本。这些都使得传统DDN、FR、ATM专网的建设成本下降很多。但由于ATM网的设备价格相对于IP设备还是高,而且它是一个主要面向高价值企业用户的专网,用户数量相对互联网这样的公共网络要少得多,因此它的建设成本如果分摊到用户身上就显得造价不菲。现在ATM网有一个技术发展方向是ATM/FR/DDN Over MPLS 0ver IP,如果能够实现才可能真正降低投资成本,不过那时需要多层协议转换的DDN、FR、ATM的市场竞争力肯定不如提供IP无缝连接的MPLS VPN了。SDH数字电路的建设成本要比ATM网低,而且其设备价格和带宽成本也下降得较快,但它毕竟提供的是点到点的专用电路,带宽成本肯定是无法和MPLS VPN抗衡。

MPLS VPN一般是利用现有的互联网核心路由器作为P路由器,仅需在外围增加象Cisco6509、Cisco7600这样的设备作为PE路由器来开放业务。目前PE路由器的设备价格相比ATM交换机要低,P路由器及骨干中继线路的成本也可以和众多互联网用户分摊,因此运营商的业务成本不会太高。不过作为一个共享的管理型IP网络,面对各种用户复杂的管理需求要提供各种复杂的网络管理策略,无疑要增加运营商的网络维护管理成本和复杂度。而且目前国内用户使用MPLS VPN一般都希望能采用城域网提供的LAN或ADSL宽带接入,因此MPLS VPN的业务成本也和城域网的建设和覆盖范围有很大关系。

业务发展

目前运营商发展MPLS VPN业务遇到的一个最大障碍是一些高端用户对MPLS VPN安全性的担心。的确,MPLS VPN目前无法解决所有管理型共享网络普遍存在的非法访问、错误配置以及内部(包括核心)攻击等安全问题。但现在的攻击主要是针对主机系统,一般认为运营商网络是可信赖的。如果用户不信赖运营商网络,也可在MPLS上再运行IPSec协议。事实上,这种担心可通过一些行业典型用户的实际应用,以事实来打消用户的顾虑。而对一些传统运营商也需要破除那种认为银行、证券等对安全要求较高的用户肯定不会使用MPLS VPN的观念。实际上现在有些运营商就已有了银行用户,而且也有运营商将自己的DCN网络构架在MPLS VPN之上。随着部分运营商的大力推销,目前MPLS VPN的市场份额增长很快。它非常适合数目众多的那些对价格较为敏感,但对带宽也有一定需求的中高速国内专线用户。对那些有长途传输需求或接人节点数目较多的低速用户,MPLS VPN可能也会有较大的吸引力。当然市场需求是复杂的,而ATM/FR到MPLS的转移也是一步一步地转移,在近几年里传统专线技术仍可凭借其高可靠性传输、有保证的性

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章