1、IPSec VPN、SSL VPN和 MPLS VPN的介紹與比較隨著信息化向縱深進展,解決信息孤島、 促進信息溝通、進行信息資源的共建共享以及最終提高信息系統的應用實效已經成為各部門、各系統信息化進展的一個努力方向；因此,許多單位都有將移動用戶、分支機構以及商業伙伴等連入到內部網絡并促進信息應用的現實需求,在許多情形下,構建虛擬專網是一種即有較高的安全性又不需要昂揚的建設成本的正確方案；目前, 常見的 VPN主要包括 IPSec VPN、SSLVPN和 MPLSVPN 這三類 VPN；浙江省黨校系統虛擬專網就是屬于 MPLS VPN；這三類 VPN 即有許多的相同點,又有不少的差異性,本文將

2、從較直觀的角度對這三類 較；VPN 進行初步的介紹與比一、 IPSec VPN、SSLVPN和 MPLS VPN的介紹 IPSec VPN通過在兩站點間創建隧道供應直接（非代理 方式）接入,實現對整個網絡的透亮拜望；它是在網絡層實 現數據加密和驗證,可以供應拜望把握、數據源的驗證、無 連接數據的完整性驗證、數據內容的隱秘性、抗重放愛惜以 及有限的數據流隱秘性保證等服務；IPsec 加密后的數據包 仍然是一般的 IP 數據包,它是工作在第三層即網絡層中；作為網絡層的安全標準,IPSec 為 IP 協議供應了一整套的安全機制,IPSec 在網絡層供應的安全服務對任何 IP 上層協議及應用進程透亮,

3、IPSec VPN 是 Intemet 上供應安全保證最通用的方法；SSL（安全套接層）協議是一種在Internet上保證發送信息安全的通用協議；它處于應用層；SSL 用公鑰加密通過SSL 連接傳輸的數據來工作；SSL 協議指定了在應用程序協議（如 HTTP、Telnet 據交換的安全機制,為和 FTP等）和 TCP/IP 協議之間進行數 TCP/IP 連接供應數據加密、服務器認證以及可選的客戶機認證；SSL 協議包括握手協議、記錄協議以及警告協議三部分；握手協議負責確定用于客戶機和服務器之間的會話加密參數；記錄協議用于交換應用數據；警告協議用于在發生錯誤時終止兩個主機之間的會話；將SSL與

4、VPN有機結合產生了SSL VPN應用, SSL VPN指的是使用者利用瀏覽器內建的 SSL封包處理功能,用瀏覽器連接公司內部 SSL VPN服務器,然后透過網絡封包轉向的方式,讓使用者可以在遠程運算機執行應用程序,讀取公司內部服務器數據；它接受標準的安全套接層對傳輸中的數據包進行加密,從而在應用層愛惜了數據的安全性；MPLS VPN結合了其次層的交換和第三層路由的特點,第三層的路由在網絡的邊緣實施,而在MPLS的網絡核心就工作在其次層； MPLS是一種特殊的轉發機制,它為進入網絡中的 IP 數據包支配標記,并通過對標記的交換來實現 IP 數據包的轉發；標記作為IP 包頭在網絡中的替代品而存在

5、,在網絡內部 MPLS在數據包所經過的路徑沿途不是通過 IP 包頭而是通過交換標記來實現轉發,當數據包要退出 MPLS網絡時,數據包被解開封裝,連續依據 的地；IP 包的路由方式到達目二、 IPSec VPN、SSLVPN和 MPLS VPN的比較 盡管 IPSec、SSL和 MPLS這三類 VPN技術都能夠在共享 的基礎網絡設施上,向用戶供應安全的網絡連接,即實現虛擬專用網絡的目的；但這三類 異的；1、安全性方面VPN技術在許多方面仍是有差IPSec VPN是在 IP 層上實現了加密、認證、拜望把握等多種安全技術,極大地提高了TCP/IP 的安全性,在互聯網中建立的安全通道很難被人篡改,是一

6、種公認的安全的 IP協議；但它在用戶主機和內部網絡部分存在較多的擔憂全因素,簡潔遭受黑客和病毒的入侵并進而影響整個網絡；SSL VPN 建立的是一條會話層的通道,是基于應用的；通過 SSL VPN, 用戶的遠程資源拜望被嚴格的把握；對全部的用戶 , 不論他們在什么地方上網, 都供應了細粒化的訪問權限把握；借助于 SSL VPN 技術 , 對應用程序和網絡的訪問把握可以依據需要由一般到特殊進行設置；MPLS VPN在安全性能方面是它劣勢,MPLS VPN必需依賴路由協議來精確地傳播可達性信息,完成與標記分發相關的工作；因此MPLS對路由協議的依靠性要高于IP 網絡,但是到目前為止,路由系統的故障

7、仍是一個很難解決和分析的問題； MPLS VPN接受路由隔離,地址隔離等手段供應抗攻擊和欺詐的方法,但傳輸的數據是明文的,存在較大的安全漏洞；2、網絡服務質量（QoS）方面 MPLS VPN是建立在骨干網之上,在網絡服務質量方面具有最好的成效, MPLS可以指定數據包傳送的先后次序,使用標記交換,網絡路由器只需要判別標記后即可進行轉送處理,在根本程度上轉變了傳統IP 網絡逐跳路由、 IGP 路由匯聚、路由表過長、盡力傳送等問題；MPLS VPN具有優先權和 QoS保證, MPLS標簽使服務供應商可以區分出流量（甚至業 務）,準許它們具有不同的優先權；IPSec VPN保證的是端點到端點的網絡傳

8、輸通道的安全,端點處的加密和解密需要另外的硬件和軟件處理才能,而這 將增加用戶和性能的開銷；由于協議需要在報前添加自己的 數據報,假如新生成的數據報的長度超過網絡的（最大可傳 輸單元）的長度,該數據報將被分割成多個數據報,增加不 必要的網絡推遲時間；另外,當傳輸流被加密以后,由于標 示 QoS的比特不能為網絡路由器所讀取,所以 QoS很難得到 保證,網絡就不能在應用層區分業務流并支配不同的業務水平；SSL VPN同 IPSec 類似,一方面,傳輸中經過 SSL加密隧道與身份認證會降低傳輸效率,另一方面SSL VPN也是承載在公眾互聯網上,因此 QoS也無法得到保證；3、應用領域和便利性方面IP

9、Sec VPN需要安裝客戶端才能使用,IPSec VPN的連接性會受到網絡地址轉換的影響,同時需要先完成客戶端配置才能建立通信信道,因此當用戶較多時,用戶的培訓和軟件的安裝愛惜都比較麻煩；IPSec 位于協議棧的網絡層,IPSec VPN連接后就如同內網的用戶,可以使用全部基于 IP 協議的服務,因此應用領域較廣；SSL VPN就直接使用WEB瀏覽器,無需安裝客戶端軟件,使用和愛惜都很便利；但 SSL VPN只能應用于基于 WEB的應用系統、文件共享和 E-mail 等；MPLS VPN配置完成后,內網用戶如同在同一網絡中,無需安裝客戶端軟件,可以說對用戶的要求為零；MPLS VPN可以實現全

10、部基于 IP 的應用, 同時由于它具有很好的 QoS,因此可以運行語音、視頻等遠程通信等服務；4、擴展性方面MPLS VPN供應商可簡潔地將MPLS VPN配置成全網狀結構,企業只需將用戶端路由器（CE）與運營商核心路由器 （PE）以各種方式相連, CE上不需做復雜配置,也不需要很高的硬件配置；當有新的CE加入時,只需在CE和 PE上作簡潔的配置即可；同時,由于標簽代替了地址,用戶可以連續使用 原先的專用地址,不需要做改動；IPSec VPN 技術本身的特性準備了它通常不能支持復雜 的網絡, 這是由于它們需要解決穿越防火墻、IP 地址沖突等 問題； IPSec VPN 在部署時,要考慮企業全網

11、的拓撲結構,假如增加新的設備,往往要轉變網絡結構,從而造成 IPSec VPN 的可擴展性比較差；SSL VPN是為移動性而設計的,它基于 Web進行拜望,使許多設備可以通過支持SSL協議的標準瀏覽器拜望企業內部網絡,一些非傳統設備也可以隨時隨地拜望接入,擴展性 很好；5、經濟性方面SSL VPN有最好的經濟性,這是由于SSL VPN只需要中心節點放置一臺硬件設備,就可以實現全部用戶的遠程安全 拜望把握；IPSec VPN 在每增加一個需要拜望的分支,就需要添加 一個硬件設備；對一個成長型的公司來說,隨著 IT 建設規 模的擴大,要不斷購買新的設備來中意需要；MPLS VPN盡管比租用專線可以較大地節省成本,但需要 綜合來看,一次性工程費、 VPLS資源費以及本地接入費用等；成本是大于 IPSec VPN 和 SSL VPN；三、總結 依據以上分析, IPSec VPN、SSL VPN和 MPLSVPN這三類VPN 各具特色,互有長短；關 VPN連接的解決方案；IPSec