许多公司热情赞扬VPN是在因特网上实施安全网络的最佳方法。VPN变得如此热门,以至今天的用户面临五六种实施方案可供选择。
作者:论坛管理 来源:zdnet安全频道 2009年1月5日
关键字: MPLS
许多公司热情赞扬VPN是在因特网上实施安全网络的最佳方法。VPN变得如此热门,以至今天的用户面临五六种实施方案可供选择。例如,VPN的组建可以通过独立的VPN控制程序、作为服务器操作系统一部分的VPN软件或通过路由器、防火墙中的VPN软件。你还可以雇一家服务提供商来部署与管理VPN。 VPN现在已经被中小型组织所采用。中小型企业之所以需要VPN,原因与大公司完全一样:通过因特网安全地把远程点连接起来,并通过因特网安全地实现远程访问。
那么MPLS如何适应所有这些要求呢?MPLS是IETF近期完成的一项协议,它提供两个令人满意且与生俱来的好处:
首先,IP包进入基于MPLS的网络时,它会给IP包加上标记(即标签),路由器的每个中间节点不用去深入分析每个包的IP报头,就能作出转发与处理的决定。这意味着信息包流能以极快速度通过基于MPLS的WAN基础设施传送。
其次,MPLS采用的标签还可以用来辨别IP信息包流(以便获得适当的服务级别处理),把同一物理链路上的数据包与传送的其他内容安全地隔离开来。
最近我们利用思科的IOS Versions12.0和12.1,评估了MPLS在从低端的1750到高档的12000 GSR共五六种路由器平台上的安全性能(详细介绍这项测试的一份报告可以从www.mier.com免费下载。)我们得出结论:因为MPLS标记技术隐藏了真实的IP地址以及信息包流的其他内容,它能提供至少相当于帧中继和ATM等Layer 2级的数据安全保护。事实上,基于MPLS的信息流的隔离可以看作是等同于虚拟局域网的广域网——局域网上的数据流通过IEEE 802.1p和802.1q标签隔离开来。
如果不加密,MPLS就不能实现使用三重数据加密标准的IPSec VPN一样的安全级别。然而,三重数据加密标准增加的处理功能增加了延迟时间,对通过加密VPN管道的信息流量也有很大的影响。
MPLS并不会影响IPSec VPN的推广。一家使用服务商提供的MPLS标记VPN处理通信量的公司似乎没有什么技术理由不再采用IP安全协议的安全技术,包括加密。的确,两种技术的结合很有可能为今天基于因特网的数据传输提供所能获得的最佳总体安全方案。