IPSec-VPN、SSL-VPN和MPLS-VPN的介绍与比较.doc

1、IPSec VPN、SSL VPN和MPLS VPN的介绍与比较 随着信息化向纵深发展，解决信息孤岛、促进信息交流、进行信息资源的共建共享以及最终提高信息系统的应用实效已经成为各部门、各系统信息化发展的一个努力方向。因此，许多单位都有将移动用户、分支机构以及商业伙伴等连入到内部网络并促进信息应用的现实需求，在许多情况下，构建虚拟专网是一种即有较高的安全性又不需要高昂的建设成本的最佳方案。 目前，常见的VPN主要包括IPSec VPN、SSL VPN和MPLS VPN这三类VPN。浙江省党校系统虚拟专网就是属于MPLS VPN。这三类VPN即有很多的相同点，又有不少的差异性，本文将从较

2、直观的角度对这三类VPN进行初步的介绍与比较。 一、IPSec VPN、SSL VPN和MPLS VPN的介绍 IPSec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问。它是在网络层实现数据加密和验证，可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务。IPsec加密后的数据包仍然是一般的IP数据包，它是工作在第三层即网络层中。作为网络层的安全标准，IPSec为IP协议提供了一整套的安全机制，IPSec在网络层提供的安全服务对任何IP上层协议及应用进程透明，IPSec VPN是Inteme

3、t上提供安全保障最通用的方法。 SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。将SSL与VPN有机结合产生了SSL VPN应用，SSL VPN指的

4、是使用者利用浏览器内建的SSL封包处理功能，用浏览器连接公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层对传输中的数据包进行加密，从而在应用层保护了数据的安全性。 MPLS VPN结合了第二层的交换和第三层路由的特点，第三层的路由在网络的边缘实施，而在MPLS的网络核心则工作在第二层。MPLS是一种特殊的转发机制，它为进入网络中的IP数据包分配标记，并通过对标记的交换来实现IP数据包的转发。标记作为IP包头在网络中的替代品而存在，在网络内部MPLS在数据包所经过的路径沿途不是通过IP包头而是通过交换

5、标记来实现转发，当数据包要退出MPLS网络时，数据包被解开封装，继续按照IP包的路由方式到达目的地。 二、IPSec VPN、SSL VPN和MPLS VPN的比较 尽管IPSec、SSL和MPLS这三类VPN技术都能够在共享的基础网络设施上，向用户提供安全的网络连接，即实现虚拟专用网络的目的。但这三类VPN技术在许多方面还是有差异的。 1、安全性方面 IPSec VPN是在IP层上实现了加密、认证、访问控制等多种安全技术，极大地提高了TCP/IP 的安全性，在互联网中建立的安全通道很难被人篡改，是一种公认的安全的IP协议。但它在用户主机和内部网络部分存在较多的不安全因素，容易遭受黑客

6、和病毒的入侵并进而影响整个网络。 SSL VPN建立的是一条会话层的通道，是基于应用的。通过SSL VPN, 用户的远程资源访问被严格的控制。对所有的用户, 不论他们在什么地方上网, 都提供了细粒化的访问权限控制。借助于SSL VPN技术,对应用程序和网络的访问控制可以根据需要由一般到特殊进行设置。 MPLS VPN在安全性能方面是它劣势，MPLS VPN必须依赖路由协议来准确地传播可达性信息，完成与标记分发相关的工作。因此MPLS对路由协议的依赖性要高于IP网络，但是到目前为止，路由系统的故障还是一个很难解决和分析的问题。MPLS VPN采用路由隔离，地址隔离等手段提供抗攻击和欺骗的方法

7、但传输的数据是明文的，存在较大的安全漏洞。 2、网络服务质量（QoS）方面 MPLS VPN是建立在骨干网之上，在网络服务质量方面具有最好的效果，MPLS可以指定数据包传送的先后顺序，使用标记交换，网络路由器只需要判别标记后即可进行转送处理，在根本程度上改变了传统IP网络逐跳路由、IGP路由汇聚、路由表过长、尽力传送等问题。MPLS VPN具有优先权和QoS保证，MPLS标签使服务提供商可以区分出流量（甚至业务），准许它们具有不同的优先权。 IPSec VPN保证的是端点到端点的网络传输通道的安全，端点处的加密和解密需要另外的硬件和软件处理能力，而这将增加用户和性能的开销。由于协议需要

8、在报前添加自己的数据报，如果新生成的数据报的长度超过网络的（最大可传输单元）的长度，该数据报将被分割成多个数据报，增加不必要的网络延迟时间。另外，当传输流被加密以后，由于标示QoS的比特不能为网络路由器所读取，所以QoS很难得到保证，网络就不能在应用层区分业务流并分配不同的业务水平。 SSL VPN同IPSec 类似，一方面，传输中经过SSL加密隧道与身份认证会降低传输效率，另一方面SSL VPN也是承载在公众互联网上，因此QoS也无法得到保证。 3、应用领域和便捷性方面 IPSec VPN需要安装客户端才能使用，IPSec VPN的连接性会受到网络地址转换的影响，同时需要先完成客户端配

9、置才能建立通信信道，因此当用户较多时，用户的培训和软件的安装维护都比较麻烦。IPSec位于协议栈的网络层，IPSec VPN连接后就如同内网的用户，可以使用所有基于IP协议的服务，因此应用领域较广。 SSL VPN则直接使用WEB浏览器，无需安装客户端软件，使用和维护都很方便。但SSL VPN只能应用于基于WEB的应用系统、文件共享和E-mail等。 MPLS VPN配置完成后，内网用户如同在同一网络中，无需安装客户端软件，可以说对用户的要求为零。MPLS VPN可以实现所有基于IP的应用，同时由于它具有很好的QoS，因此可以运行语音、视频等远程通信等服务。 4、扩展性方面 MPLS

10、VPN提供商可简单地将MPLS VPN配置成全网状结构，企业只需将用户端路由器（CE）与运营商核心路由器（PE）以各种方式相连，CE上不需做复杂配置，也不需要很高的硬件配置。当有新的CE加入时，只需在CE和PE上作简单的配置即可。同时，由于标签代替了地址，用户可以继续使用原来的专用地址，不需要做改动。 IPSec VPN技术本身的特性决定了它通常不能支持复杂的网络，这是因为它们需要解决穿越防火墙、IP地址冲突等问题。IPSec VPN 在部署时，要考虑企业全网的拓扑结构，如果增添新的设备，往往要改变网络结构，从而造成IPSec VPN 的可扩展性比较差。 SSL VPN是为移动性而设计的，

11、它基于Web进行访问，使许多设备可以通过支持SSL协议的标准浏览器访问企业内部网络，一些非传统设备也可以随时随地访问接入，扩展性很好。 5、经济性方面 SSL VPN有最好的经济性，这是因为SSL VPN只需要中心节点放置一台硬件设备，就可以实现所有用户的远程安全访问控制。 IPSec VPN在每增加一个需要访问的分支，就需要添加一个硬件设备。对一个成长型的公司来说，随着IT建设规模的扩大，要不断购买新的设备来满足需要。 MPLS VPN尽管比租用专线可以较大地节省成本，但需要一次性工程费、VPLS资源费以及本地接入费用等。综合来看，成本是大于IPSec VPN和SSL VPN。 三、总结 根据以上分析，IPSec VPN、SSL VPN和MPLS VPN这三类VPN各具特色，互有长短。IPSec VPN适合于作为网关对网关VPN连接的解决方案。SSL VPN主要面向为大量用户提供有限访问，适合作为一种远程接入方案。而MPLS VPN在支持QoS方面具有天然的优势，适合于网络服务质量要求较高的情况。总之，我们可以根据实际需求选择最佳VPN方式。此外， IPSec VPN、SSL VPN和MPLS VPN也不是互斥的，有效地结合应用多类VPN将可能取得更好的效果。