2022年IPSecVPNSSLVPN和MPLSVPN的介绍与比较

1、IPSec VPN、SSL VPN和 MPLS VPN的介绍与比较随着信息化向纵深进展,解决信息孤岛、 促进信息沟通、进行信息资源的共建共享以及最终提高信息系统的应用实效已经成为各部门、各系统信息化进展的一个努力方向；因此,许多单位都有将移动用户、分支机构以及商业伙伴等连入到内部网络并促进信息应用的现实需求,在许多情形下,构建虚拟专网是一种即有较高的安全性又不需要昂扬的建设成本的正确方案；目前, 常见的 VPN主要包括 IPSec VPN、SSLVPN和 MPLSVPN 这三类 VPN；浙江省党校系统虚拟专网就是属于 MPLS VPN；这三类 VPN 即有许多的相同点,又有不少的差异性,本文将

2、从较直观的角度对这三类 较；VPN 进行初步的介绍与比一、 IPSec VPN、SSLVPN和 MPLS VPN的介绍 IPSec VPN通过在两站点间创建隧道供应直接（非代理 方式）接入,实现对整个网络的透亮拜望；它是在网络层实 现数据加密和验证,可以供应拜望把握、数据源的验证、无 连接数据的完整性验证、数据内容的隐秘性、抗重放爱惜以 及有限的数据流隐秘性保证等服务；IPsec 加密后的数据包 仍然是一般的 IP 数据包,它是工作在第三层即网络层中；作为网络层的安全标准,IPSec 为 IP 协议供应了一整套的安全机制,IPSec 在网络层供应的安全服务对任何 IP 上层协议及应用进程透亮,

3、IPSec VPN 是 Intemet 上供应安全保证最通用的方法；SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议；它处于应用层；SSL 用公钥加密通过SSL 连接传输的数据来工作；SSL 协议指定了在应用程序协议（如 HTTP、Telnet 据交换的安全机制,为和 FTP等）和 TCP/IP 协议之间进行数 TCP/IP 连接供应数据加密、服务器认证以及可选的客户机认证；SSL 协议包括握手协议、记录协议以及警告协议三部分；握手协议负责确定用于客户机和服务器之间的会话加密参数；记录协议用于交换应用数据；警告协议用于在发生错误时终止两个主机之间的会话；将SSL与

4、VPN有机结合产生了SSL VPN应用, SSL VPN指的是使用者利用浏览器内建的 SSL封包处理功能,用浏览器连接公司内部 SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程运算机执行应用程序,读取公司内部服务器数据；它接受标准的安全套接层对传输中的数据包进行加密,从而在应用层爱惜了数据的安全性；MPLS VPN结合了其次层的交换和第三层路由的特点,第三层的路由在网络的边缘实施,而在MPLS的网络核心就工作在其次层； MPLS是一种特殊的转发机制,它为进入网络中的 IP 数据包支配标记,并通过对标记的交换来实现 IP 数据包的转发；标记作为IP 包头在网络中的替代品而存在

5、,在网络内部 MPLS在数据包所经过的路径沿途不是通过 IP 包头而是通过交换标记来实现转发,当数据包要退出 MPLS网络时,数据包被解开封装,连续依据 的地；IP 包的路由方式到达目二、 IPSec VPN、SSLVPN和 MPLS VPN的比较 尽管 IPSec、SSL和 MPLS这三类 VPN技术都能够在共享 的基础网络设施上,向用户供应安全的网络连接,即实现虚拟专用网络的目的；但这三类 异的；1、安全性方面VPN技术在许多方面仍是有差IPSec VPN是在 IP 层上实现了加密、认证、拜望把握等多种安全技术,极大地提高了TCP/IP 的安全性,在互联网中建立的安全通道很难被人篡改,是一

6、种公认的安全的 IP协议；但它在用户主机和内部网络部分存在较多的担忧全因素,简洁遭受黑客和病毒的入侵并进而影响整个网络；SSL VPN 建立的是一条会话层的通道,是基于应用的；通过 SSL VPN, 用户的远程资源拜望被严格的把握；对全部的用户 , 不论他们在什么地方上网, 都供应了细粒化的访问权限把握；借助于 SSL VPN 技术 , 对应用程序和网络的访问把握可以依据需要由一般到特殊进行设置；MPLS VPN在安全性能方面是它劣势,MPLS VPN必需依赖路由协议来精确地传播可达性信息,完成与标记分发相关的工作；因此MPLS对路由协议的依靠性要高于IP 网络,但是到目前为止,路由系统的故障

7、仍是一个很难解决和分析的问题； MPLS VPN接受路由隔离,地址隔离等手段供应抗攻击和欺诈的方法,但传输的数据是明文的,存在较大的安全漏洞；2、网络服务质量（QoS）方面 MPLS VPN是建立在骨干网之上,在网络服务质量方面具有最好的成效, MPLS可以指定数据包传送的先后次序,使用标记交换,网络路由器只需要判别标记后即可进行转送处理,在根本程度上转变了传统IP 网络逐跳路由、 IGP 路由汇聚、路由表过长、尽力传送等问题；MPLS VPN具有优先权和 QoS保证, MPLS标签使服务供应商可以区分出流量（甚至业 务）,准许它们具有不同的优先权；IPSec VPN保证的是端点到端点的网络传

8、输通道的安全,端点处的加密和解密需要另外的硬件和软件处理才能,而这 将增加用户和性能的开销；由于协议需要在报前添加自己的 数据报,假如新生成的数据报的长度超过网络的（最大可传 输单元）的长度,该数据报将被分割成多个数据报,增加不 必要的网络推迟时间；另外,当传输流被加密以后,由于标 示 QoS的比特不能为网络路由器所读取,所以 QoS很难得到 保证,网络就不能在应用层区分业务流并支配不同的业务水平；SSL VPN同 IPSec 类似,一方面,传输中经过 SSL加密隧道与身份认证会降低传输效率,另一方面SSL VPN也是承载在公众互联网上,因此 QoS也无法得到保证；3、应用领域和便利性方面IP

9、Sec VPN需要安装客户端才能使用,IPSec VPN的连接性会受到网络地址转换的影响,同时需要先完成客户端配置才能建立通信信道,因此当用户较多时,用户的培训和软件的安装爱惜都比较麻烦；IPSec 位于协议栈的网络层,IPSec VPN连接后就如同内网的用户,可以使用全部基于 IP 协议的服务,因此应用领域较广；SSL VPN就直接使用WEB浏览器,无需安装客户端软件,使用和爱惜都很便利；但 SSL VPN只能应用于基于 WEB的应用系统、文件共享和 E-mail 等；MPLS VPN配置完成后,内网用户如同在同一网络中,无需安装客户端软件,可以说对用户的要求为零；MPLS VPN可以实现全

10、部基于 IP 的应用, 同时由于它具有很好的 QoS,因此可以运行语音、视频等远程通信等服务；4、扩展性方面MPLS VPN供应商可简洁地将MPLS VPN配置成全网状结构,企业只需将用户端路由器（CE）与运营商核心路由器 （PE）以各种方式相连, CE上不需做复杂配置,也不需要很高的硬件配置；当有新的CE加入时,只需在CE和 PE上作简洁的配置即可；同时,由于标签代替了地址,用户可以连续使用 原先的专用地址,不需要做改动；IPSec VPN 技术本身的特性准备了它通常不能支持复杂 的网络, 这是由于它们需要解决穿越防火墙、IP 地址冲突等 问题； IPSec VPN 在部署时,要考虑企业全网

11、的拓扑结构,假如增加新的设备,往往要转变网络结构,从而造成 IPSec VPN 的可扩展性比较差；SSL VPN是为移动性而设计的,它基于 Web进行拜望,使许多设备可以通过支持SSL协议的标准浏览器拜望企业内部网络,一些非传统设备也可以随时随地拜望接入,扩展性 很好；5、经济性方面SSL VPN有最好的经济性,这是由于SSL VPN只需要中心节点放置一台硬件设备,就可以实现全部用户的远程安全 拜望把握；IPSec VPN 在每增加一个需要拜望的分支,就需要添加 一个硬件设备；对一个成长型的公司来说,随着 IT 建设规 模的扩大,要不断购买新的设备来中意需要；MPLS VPN尽管比租用专线可以较大地节省成本,但需要 综合来看,一次性工程费、 VPLS资源费以及本地接入费用等；成本是大于 IPSec VPN 和 SSL VPN；三、总结 依据以上分析, IPSec VPN、SSL VPN和 MPLSVPN这三类VPN 各具特色,互有长短；关 VPN连接的解决方案；IPSec