【導(dǎo)讀】以Inter為代表的全球信息化浪潮日益高漲。目前,TCP/IP幾乎是所有網(wǎng)。針對這些問題,IPSec可有效地保護(hù)IP數(shù)據(jù)報的安全,它提供了一。目前許多電信運(yùn)營商采用IPSec隧道加密技術(shù),在寬帶業(yè)務(wù)的。安全保障服務(wù),贏得了廣大商用客戶的青睞。IPSecVPN網(wǎng)絡(luò),并對該網(wǎng)絡(luò)進(jìn)行了實際測試。

　　

【正文】 1 1 0 . 1 3 3 . 3C E AC E BE 1 1 0 . 0 . 5 . 1 / 2 4E 0 1 7 2 . 1 6 . 0 . 1 0 / 3 0E 1 1 0 . 0 . 3 1 / 2 4E 3 / 2 / 01 9 2 . 1 6 8 . 0 . 1 7 / 3 0E 1 / 0 / 31 9 2 . 1 6 8 . 0 . 1 8 / 3 0E 1 / 0 / 11 9 2 . 1 6 8 . 0 . 1 4 / 3 9E 3 / 3 / 01 9 2 . 1 6 8 . 0 . 1 3 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 5 / 3 0E 0 1 7 2 . 1 6 . 0 . 6 / 3 0E 2 / 2 / 01 7 2 . 1 6 . 0 . 9 / 3 0北 京 總 部深 圳 分 部 圖 61 MPSL VPN網(wǎng)絡(luò)拓?fù)鋱D 關(guān)鍵配置代碼 1． PEA路由器配置 27 router id mpls lsr id //配置 mpls lsr id此處用和 router id一致的Loopback地址 ! mpls ldp //啟動 MPLS LDP協(xié)議 ! ip vrf vpntest //配置 vrf，其中 vpntest為 vrf名稱 rd 100:1 //rd為標(biāo)識符，結(jié)構(gòu)為自治系統(tǒng)編號： VPN站點(diǎn)編號 routetarget export 100:1 routetarget import 100:1 ! interface Ether2/2/0 description TO_RouterCEA ip vrf forwarding vpntest //VPN 站點(diǎn)連接 CE路由器接口 啟動 vrf forwarding ip address interface Ether3/2/0 description TO_RouterNE80_P ip address mpls ldp enable //與 P路由器連接的接口 啟動 MPLS LDP協(xié)議 ! interface LoopBack7/0/0 ip address ! router bgp 100 //配置 BGP協(xié)議 ! addressfamily ipv4 vrf vpntest //此模式為配置 EBGP和 CE路由器通過BGP協(xié)議來傳遞 VPN站點(diǎn)的路由 redistribute static redistribute connected no synchronization neighbor remoteas 65000 28 exitaddressfamily ! addressfamily vpnv4 //此模式為配置 vpnv4 iBGP路由，用于在 PE之間傳播 MBGP VPN路由 no synchronization neighbor remoteas 100 neighbor nexthopself neighbor updatesource LoopBack7/0/0 exitaddressfamily ! router ospf //PE、 P路由器路由通過 IGP路由協(xié)議傳播 work area redistribute static redistribute connected 2． 配置 NE80 作為 P路由器只做標(biāo)簽轉(zhuǎn)發(fā) router id mpls lsr id mpls ldp ! interface Ether1/0/1 description TO_RouterPEB negotiation auto no shutdown ip address mpls ldp enable //與 PEB路由器連接的接口啟動 MPLS LDP協(xié)議 ! interface Ether1/0/3 description TO_RouterPEA negotiation auto no shutdown ip address 29 mpls ldp enable //與 PEA路由器連接的接口啟動 MPLS LDP協(xié)議 ! interface LoopBack0 ip address ! router ospf work area redistribute connected redistribute static 3． CEA路由器配置（ VPN用戶路由器） router id interface Ether0 //用于和 PEA路由器連接 speed auto duplex auto no loopback ip address ! interface Ether1 //接入 VPN用戶局域網(wǎng) speed auto duplex auto no loopback ip address ! router bgp 65000 //配置 EBGP路由，與 PE路由器之間傳遞 VPN用戶路由 redistribute static redistribute connected neighbor remoteas 100 ! 4． 配置 PEB路由器，和 CEB之間通過靜態(tài)路由互聯(lián) hostname PEB router id 30 mpls lsr id mpls ldp ! ip vrf vpntest rd 100:1 routetarget export 100:1 routetarget import 100:1 ! interface Ether12/2/0 //用于和 CEB路由器連接 ip vrf forwarding vpntest ip address ! interface Ether13/2/0 //用于和 P路由器連接 ip address mpls ldp enable ! interface LoopBack7/0/0 ip address ! router bgp 100 ! addressfamily ipv4 vrf vpntest redistribute static redistribute connected no synchronization exitaddressfamily ! addressfamily vpnv4 no synchronization neighbor remoteas 100 neighbor nexthopself neighbor updatesource LoopBack7/0/0 31 exitaddressfamily ! router ospf work area redistribute connected redistribute static ! ip route vrf vpntest preference 60 //配置到 CEB路由器 VPN用戶網(wǎng)段地址靜態(tài)路由 5． 配置 CEB路由器 interface Ether0 //與 PEB路由器對接 ip address interface Ether1 //接入 VPN用戶局域網(wǎng) ip address ip route preference 60 //配置一條默認(rèn)路由 IPSec VPN與 MPLS VPN的 對 比 分析 MPLS VPN是一種基于 MPLS(Multiprotocol Label Switc hing,多協(xié)議標(biāo)記交換 )技術(shù)的 IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用 MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的 IP虛擬專用網(wǎng)絡(luò)（ IP VPN），可用來構(gòu)造寬帶的 Intra、 Extra，滿足多種靈活的業(yè)務(wù)需求。 MPLS有很多方面的優(yōu)點(diǎn)，其中主要的優(yōu)點(diǎn)就是采用了類似標(biāo)記交換和 IP交換的方式，可以充分利用 電信 交換網(wǎng)絡(luò)的硬件優(yōu)勢，相對簡化轉(zhuǎn)發(fā)處理，提高 IP包的轉(zhuǎn)發(fā)效率。 與 IPSec VPN比較， MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。下面從幾個方面對 MPLS VPN與 IPSEC VPN進(jìn)行對比。 1． 系統(tǒng)的可靠性 MPLS VPN是基于電信的網(wǎng)絡(luò)進(jìn)行構(gòu)建的，它的穩(wěn)定性相當(dāng)高。由于本身屬于電信的一項數(shù)據(jù)業(yè)務(wù)，它的帶寬是完全有保證的，也就是說，租用 MPLS鏈路，就 能夠得到相應(yīng)的數(shù)據(jù)帶寬。 從可靠性來說， MPLS有很強(qiáng)的優(yōu)勢。相當(dāng)于另外一種形式的專線。 32 IPSec VPN是完全基于 Inter構(gòu)建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設(shè)備的穩(wěn)定性。 從設(shè)備可靠性來看， IPSEC作為主流的 VPN協(xié)議，它的技術(shù)一般都比較完善。目前基于 IPSec的 VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運(yùn)行都能夠非常穩(wěn)定可靠。 目前 Inter的接入已經(jīng)非常普及，由于長期的投入建設(shè)，整個 Inter線路已經(jīng)達(dá)到了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦某一條線路 出錯，可以使用其他備份線路接入 Inter。因此單一線路可靠性雖然沒有 MPLS高，由于隨時可以使用的其他線路作備份，因此系統(tǒng)具有很強(qiáng)的容錯能力。這一點(diǎn)，是 MPLS鏈路無法達(dá)到的。 2． 投入成本 從投入成本上分析， MPLS可以免除設(shè)備投資，但是大多數(shù)情況下，用戶還是需要購買路由器之類的設(shè)備。 另外， MPLS長期的租金累計起來，也不是一個小數(shù)目， 例如 512K的帶寬，每個月需要上千元到幾千元的網(wǎng)絡(luò)租用費(fèi)，如果是國際鏈路，就會更加昂貴。 但同樣 512K的 Inter接入費(fèi)用，以普通的 ADSL為例，現(xiàn)在在大 多數(shù)城市只需要 100～ 200 元左右。采用 IPSec VPN，一次性設(shè)備投入比較大。但從長遠(yuǎn)看來，費(fèi)用分?jǐn)傄院?，那么它的費(fèi)用實際是比 MPLS VPN要低很多。 3． 接入方便性 MPLS VPN連接比較簡單，只要求客戶把客戶設(shè)備 (CE) 連接到運(yùn)營商的網(wǎng)絡(luò)邊緣設(shè)備 (PE)就可以了，運(yùn)營商同時負(fù)責(zé)二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層 MPLS VPN對客戶的要求比較低，客戶負(fù)擔(dān)較小，但這種做法常見的問題就是接入的靈活性。因為 MPLS VPN是單一運(yùn)營商提供的，跨運(yùn)營商的連接常常存在很大問題，例如：聯(lián)通提供的 MPLS服務(wù)和電信提供的 MPLS，彼此就很難連接。而大型客戶往往在全國各地都有自己的分支機(jī)構(gòu)，如果寄希望這些分支機(jī)構(gòu)所在城市都有同一家運(yùn)營商并且都提供 MPLS VPN的服務(wù)，顯然很不現(xiàn)實，特別是在偏遠(yuǎn)地區(qū)和移動用戶。因此 MPLS更適合在城域網(wǎng)中，或者象中國電信這樣大型的全國性的運(yùn)營商中使用。 IPSec VPN則是完全利用互聯(lián)網(wǎng)，做到了只要接入 Inter，就可以利用IPSEC VPN來組建企業(yè)自己的網(wǎng)絡(luò)。其屬于端到端服務(wù)，不需要骨干網(wǎng)絡(luò)承擔(dān)業(yè)務(wù)相關(guān)功能。響應(yīng)市場變化的速度快捷，可以在現(xiàn)有的任何 IP網(wǎng)絡(luò) 上部 33 署。用戶可在任意位置使用。隨著電信“最后一公里”技術(shù)的實現(xiàn)， Inter真的做到了無處不在。利用 Inter的資源，采用 IPSEC VPN技術(shù)可以非常方便地在全球范圍內(nèi)，組建企業(yè)的虛擬專網(wǎng)。 隨著業(yè)務(wù)的不斷發(fā)展，移動用戶和在家辦公的用戶也越來越多， VPN客戶端的支持也非常重要，使用 IPSec客戶端可以讓移動用戶隨時隨地都能夠跟企業(yè)內(nèi)部進(jìn)行信息交換。這一點(diǎn) MPLS VPN顯然是做不到的。 4． 安全性 MPLS VPN采用路由隔離、地址隔離等多種手段提供了抗攻擊和標(biāo)記欺騙的手段，因此人們認(rèn)為， MPLS VPN完全能夠提供與 FR/ATM 相類似的線路安全保證。 但是 MPLS VPN也沒有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問受保護(hù)的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部 (包括核心 )攻擊等安全問題。例如在MPLS VPN傳遞數(shù)據(jù)，只是標(biāo)記了端點(diǎn)路由，對數(shù)據(jù)本身并不提供加密的防護(hù)手段。因此 MPLS VPN的安全性一般。 IPSec VPN 的顯著特點(diǎn)就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。 IPSEC VPN為了實現(xiàn)在 Inter上安全的傳遞數(shù)據(jù)，采用了對稱密鑰、非對稱密鑰以及摘要算法等多種加密算法， 通過身 份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性校驗等多種方式保證接入的安全 ，保證的數(shù)據(jù)的私密性。 5． 可管理性 由于 MPLS VPN通訊關(guān)系是由運(yùn)營商指定的，用戶配置的靈活性并不高。同時，由于運(yùn)營商的網(wǎng)絡(luò)往往是由多家設(shè)備廠商組成的，這樣即使是運(yùn)營商，對 VPN設(shè)備的管理實際上也是很困難的。 用于實現(xiàn)在 MPLS VPN上可治理的中心服務(wù)這些新的技術(shù)使第三層 MPLS VPN體系結(jié)構(gòu)更為簡單