VPN技術(shù)的淺析比較

-.zVPN技術(shù)的淺析與比較摘要：利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)〔VPN〕。本文首先介紹了VPN的根本概念及開展概況，然后從業(yè)務(wù)需求、平安性、可靠性、可擴(kuò)展性、QoS保障等方面對基于網(wǎng)的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN三種技術(shù)依次進(jìn)展了介紹，最后對這三種VPN技術(shù)的應(yīng)用場合及優(yōu)缺點(diǎn)等進(jìn)展了綜合比較。關(guān)鍵詞：VPN；網(wǎng)；TCP/IP；IPSec；MPLS中圖：TN915.85AnalysingandparingofVPNTechnologyGAOCheng-zhi,ZHANGPing-bo(The28thResearchInstituteofChinaElectronicsTechnologyGroupCorporation,Nanjing210007,China)Abstract:VPNisvitualprivatenetworkbasedonpublicnetwork.Atfirst,thisarticleintroducesthedefinitionanddevelopmentofVPNandthendescribes3kindsofVPNtechnology(VPNbasedontelephonenetwork,VPNbasedontraditionalTCP/IPnetworkandVPNbasedonMPLSnetwork)inthewayofrequirements,security,reliability,e*pansibilityandQoS.Atlast,theauthorparesapplicationsituation,strongpointanddisadvantageofthe3VPNtechnology.Keywords:VPN;TelephoneNetwork;TCP/IP;IPSec;MPLS0引言利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬私有網(wǎng)絡(luò)〔VPN，VirtualPrivateNetwork〕。它向使用者提供一般專用網(wǎng)所具有的功能，但本身卻不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)，也可以說虛擬專用網(wǎng)是一種邏輯上的專用網(wǎng)絡(luò)[1]。“虛擬〞說明它在構(gòu)成上有別于實(shí)在的物理網(wǎng)路，但對使用者來說，在功能上則與實(shí)在的專用網(wǎng)完全一樣。VPN技術(shù)開展至今，先后出現(xiàn)了基于網(wǎng)(基于傳統(tǒng)電路交換的網(wǎng))的VPN、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN以及基于MPLS網(wǎng)絡(luò)的VPN等技術(shù)。下面將分別對這三種典型的VPN技術(shù)進(jìn)展闡述。1基于網(wǎng)的VPN技術(shù)網(wǎng)中的VPN技術(shù)是指通過公共網(wǎng)絡(luò)資源提供應(yīng)用戶專用網(wǎng)的功能，使具有這項(xiàng)業(yè)務(wù)的用戶具有在同一個(gè)程控交換機(jī)的功能，比方專用編號(hào)方案、呼叫等待、呼叫保持、網(wǎng)內(nèi)通信等等。網(wǎng)中的VPN技術(shù)主要應(yīng)用于話音業(yè)務(wù)。1.1業(yè)務(wù)需求網(wǎng)中的VPN技術(shù)目前已得到廣泛應(yīng)用。目前運(yùn)營商大力推廣的集團(tuán)用戶業(yè)務(wù)是基于網(wǎng)的VPN技術(shù)的一個(gè)典型應(yīng)用。通過VPN技術(shù)在現(xiàn)有網(wǎng)上建立一個(gè)邏輯話路專用網(wǎng)，將集團(tuán)內(nèi)部的固定用戶編制成一個(gè)虛擬專用網(wǎng)，其中的每一個(gè)用戶均可以使用短互相呼叫并享受網(wǎng)內(nèi)用戶本地通話的優(yōu)惠，實(shí)現(xiàn)集團(tuán)用戶間便捷、智能溝通。1.2平安性網(wǎng)基于電路交換技術(shù)，基于網(wǎng)的VPN在提供語音效勞的過程中通過公共交換網(wǎng)〔PSTN〕實(shí)現(xiàn)電路交換過程[2]，當(dāng)連接建立后在用戶通話期間提供一條專用的物理路徑，該路徑專用于通話雙方間的連接。這條專用的物理路徑使通話的平安性能夠得到充分的保障。1.3可靠性目前網(wǎng)中的核心設(shè)備程控?cái)?shù)字交換機(jī)一般采用大規(guī)模集成電路或?qū)Ｓ眉呻娐?，并通常采用冗余技術(shù)。此外程控交換機(jī)能借助于故障診斷技術(shù)對故障自動(dòng)地進(jìn)展檢測和定位，從而能夠及時(shí)地發(fā)現(xiàn)和排除故障。因此基于網(wǎng)的VPN具有很高的可靠性[3]。1.4可擴(kuò)展性網(wǎng)一般具有簡單而方便的擴(kuò)容能力。交換系統(tǒng)一般采用模塊化的硬件和軟件設(shè)計(jì)，這樣可以做到在增加模塊的情況下，實(shí)現(xiàn)簡單而方便的系統(tǒng)擴(kuò)容。因此基于網(wǎng)的VPN的擴(kuò)容可以通過增加硬件和軟件模塊來實(shí)現(xiàn)，有些情況下甚至只需要改變軟件配置就可以實(shí)現(xiàn)。1.5QoS保障QoS的英文全稱為"QualityofService"，中文名為“效勞質(zhì)量〞。由于網(wǎng)是基于電路交換的，當(dāng)電路連接建立后就保證或者說確定了QoS。因此基于網(wǎng)的VPN能夠提供一種嚴(yán)格的、有保證的QoS保障。2基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)在傳統(tǒng)TCP/IP網(wǎng)絡(luò)上建立的虛擬專用網(wǎng)〔以下簡稱IPVPN〕主要是指通過共享的TCP/IP網(wǎng)絡(luò)〔通常是Internet〕建立一條平安穩(wěn)定的通路，它可以使遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的合作伙伴和企業(yè)內(nèi)部的網(wǎng)絡(luò)建立平安可靠的連接，并且能夠進(jìn)展平安可靠的數(shù)據(jù)通信。如圖1所示。圖1基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN對于IPVPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個(gè)關(guān)鍵技術(shù)。目前有兩種類型的隧道協(xié)議：一種是二層隧道協(xié)議，用于傳輸二層〔七層OSI協(xié)議中的數(shù)據(jù)鏈路層〕網(wǎng)絡(luò)協(xié)議；另一種是三層隧道協(xié)議，用于傳輸三層〔七層OSI協(xié)議中的網(wǎng)絡(luò)層〕網(wǎng)絡(luò)協(xié)議。二層隧道協(xié)議主要有三種：PPTP〔PointtoPointTunnelingProtocol，點(diǎn)對點(diǎn)隧道協(xié)議〕、L2F〔Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議〕和L2TP〔Layer2TunnelingProtocol，二層隧道協(xié)議〕。其中L2TP結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來越多的組織和公司的支持，是目前使用最廣泛的VPN二層隧道協(xié)議。三層隧道協(xié)議目前應(yīng)用得最廣泛的是IPSec〔IPSecurity〕[4]。IPSec是一組開放協(xié)議的總稱，特定的通信方之間在網(wǎng)絡(luò)層通過加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。2.1業(yè)務(wù)需求IPVPN一般是應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)擴(kuò)*的一種方案，IPVPN技術(shù)的出現(xiàn)能使企業(yè)節(jié)省大量建立專用通信網(wǎng)的費(fèi)用，大大利用了現(xiàn)有的網(wǎng)絡(luò)資源，并且利于維護(hù)和管理，便于擴(kuò)大業(yè)務(wù)。隨著IPVPN的興起，用戶和運(yùn)營商都將目光轉(zhuǎn)向了這種極具競爭力和市場前景的VPN。對用戶而言，IPVPN可以非常方便地替代租用線路來連接計(jì)算機(jī)或局域網(wǎng)，同時(shí)還可以提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，大大降低了本錢；對效勞提供商而言，IPVPN則是其擴(kuò)大業(yè)務(wù)*圍、保持競爭力和客戶忠誠度、降低本錢和增加利潤的重要手段。2.2平安性目前主流IPVPN上平安的遠(yuǎn)程通信是由L2TP和IPSec結(jié)合在一起實(shí)現(xiàn)的。這兩者彼此分工協(xié)作，L2TP協(xié)議專用來建立數(shù)據(jù)傳輸?shù)乃淼?，而IPSec協(xié)議則專門用來保護(hù)數(shù)據(jù)，為數(shù)據(jù)傳輸提供平安加密措施[5]。這一方式之所以成功，主要?dú)w功于IPSec這一平安技術(shù)。IPSec工作在七層OSI協(xié)議中的網(wǎng)絡(luò)層，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間、網(wǎng)絡(luò)平安網(wǎng)關(guān)之間或主機(jī)與網(wǎng)關(guān)之間。其目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的平安。IPSec的主要工作有數(shù)據(jù)驗(yàn)證、數(shù)據(jù)完整和信任。數(shù)據(jù)驗(yàn)證主要確保接收的數(shù)據(jù)與發(fā)出的數(shù)據(jù)一樣，并且確保發(fā)送數(shù)據(jù)者的真實(shí)性；數(shù)據(jù)完整主要確保數(shù)據(jù)在傳輸過程中沒有被篡改；信任主要確認(rèn)通信雙方的相互信任關(guān)系，防止冒名者的通信，通常使用加密來確立信任。IPSec平安體系包括以下三個(gè)根本協(xié)議：身份認(rèn)證報(bào)頭協(xié)議〔AH〕：AH協(xié)議提供信息源驗(yàn)證和完整性保證，它通過在數(shù)據(jù)**參加“數(shù)字簽名〞對用戶進(jìn)展認(rèn)證。AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^程中無論多小的變化被加載，數(shù)據(jù)**的數(shù)字簽名都能把它檢測出來。平安加載封裝協(xié)議(ESP)：ESP提供加密機(jī)制，通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)展平安加密，嚴(yán)格保證傳輸信息的**性。目前最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕。密鑰管理協(xié)議〔ISAKMP〕：ISAKMP提供雙方交流時(shí)的共享平安信息。它包括密鑰確定和密鑰分發(fā)兩個(gè)方面。密鑰管理包括手工和自動(dòng)兩種方式。2.3可靠性IPVPN構(gòu)建于公用網(wǎng)之上，不同于傳統(tǒng)的專線廣域網(wǎng)，其受控性大大降低，故IPVPN可靠而穩(wěn)定地運(yùn)行是建立VPN時(shí)必需考慮的問題。目前主流的IPVPN是基于INTERNET構(gòu)建的，因此它的可靠性依賴于兩個(gè)方面：線路的可靠性和設(shè)備的穩(wěn)定性。從設(shè)備可靠性來看，目前IPVPN技術(shù)已經(jīng)相當(dāng)成熟，很多產(chǎn)品的運(yùn)行都能夠非常穩(wěn)定可靠。從線路的可靠性來看，目前Internet的接入已經(jīng)非常普及，由于長期的投入建立，整個(gè)Internet線路質(zhì)量已經(jīng)到達(dá)了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦*一條線路出錯(cuò)，可以使用其他備份線路接入Internet。由于隨時(shí)可以使用其他線路作備份，因此系統(tǒng)具有很強(qiáng)的容錯(cuò)能力。2.4可擴(kuò)展性IPVPN利用Internet的資源，可以非常方便地在全球*圍內(nèi)，組建企業(yè)的虛擬專網(wǎng),不需要改變效勞提供商任何網(wǎng)絡(luò)構(gòu)造就可以完成相應(yīng)效勞的配置。但是IPVPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)錁?gòu)造，大規(guī)模部署需要制定相應(yīng)方案并且協(xié)同解決關(guān)鍵分支機(jī)構(gòu)、關(guān)鍵管理和對等配置等各個(gè)方面出現(xiàn)的問題。如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，則IPVPN就要重新部署，因此造成IPVPN的可擴(kuò)展性比較差，并且組建及維護(hù)本錢較高。2.5QoS保障IPVPN利用了Internet的資源建立虛擬專用網(wǎng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速開展，人們對網(wǎng)絡(luò)的要求也越來越高。越來越多地對帶寬、延遲與抖動(dòng)敏感的、實(shí)時(shí)性強(qiáng)的語音、圖象等重要數(shù)據(jù)需要在IPVPN上傳輸，因此對網(wǎng)絡(luò)的能力和資源要求也越來越高，同時(shí)引入了如何保證效勞質(zhì)量〔QoS〕的問題。解決這個(gè)問題的一個(gè)途徑是增加網(wǎng)絡(luò)的帶寬，但帶寬增加畢竟是有限的，而且代價(jià)昂貴，它只能在一定程度上緩解這個(gè)問題。保證效勞質(zhì)量的另一種有效的手段是通過擁塞管理、擁塞防止、流量整形等策略對網(wǎng)絡(luò)上的流量進(jìn)展管理，以解決不斷增長的流量需求帶來的問題。以擁塞管理為例，當(dāng)擁塞發(fā)生時(shí)，可以采取一定的策略對報(bào)文進(jìn)展調(diào)度，決定哪些報(bào)文可以優(yōu)先發(fā)送、哪些報(bào)文可以被丟棄,這種管理策略叫做擁塞管理。擁塞管理可通過以下幾種隊(duì)列調(diào)度方法來實(shí)現(xiàn)：先進(jìn)先出隊(duì)列〔FIFO，F(xiàn)irstInFirstOutQueueing〕、優(yōu)先隊(duì)列〔PQ，PriorityQueueing〕、定制隊(duì)列〔CQ，CustomQueueing〕等。3基于MPLS網(wǎng)絡(luò)的VPN技術(shù)MPLS(Multi-protocolLabelSwitching,多協(xié)議標(biāo)記交換)屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的高速網(wǎng)絡(luò)交換標(biāo)準(zhǔn)[6]，由IETF(InternetEngineeringTaskForce)所提出，由Cisco、ASCEND、3等網(wǎng)絡(luò)設(shè)備公司所主導(dǎo)。它吸收了ATM的VPI/VCI交換的一些思想，無縫地繼承了IP路由技術(shù)的靈活性和二層交換的簡捷性，在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接〞的方法，為IP網(wǎng)絡(luò)增加了一些管理和運(yùn)營的手段。在解決企業(yè)互聯(lián)，提供各種新業(yè)務(wù)方面，MPLSVPN越來越被運(yùn)營商看好，成為網(wǎng)絡(luò)運(yùn)營商提供增值業(yè)務(wù)的重要手段[7]。MPLSVPN的根本組成如圖2所示。圖2基于MPLS網(wǎng)絡(luò)的VPNMPLSVPN的根本構(gòu)成單元是MPLS核心路由器LSR,由LSR構(gòu)成的網(wǎng)絡(luò)稱為MPLS域。位于MPLS域邊緣、連接其它用戶網(wǎng)絡(luò)的LSR稱為邊緣LSR(LER，LabeledEdgeRouter)，域內(nèi)部的LSR稱為核心LSR。LSR之間使用MPLS技術(shù)進(jìn)展通信，MPLS域的邊緣由LER與傳統(tǒng)IP技術(shù)進(jìn)展適配。在MPLS域中，通過MPLS信令(如LDP，LabelDistributeProtocol，標(biāo)簽分配協(xié)議)建立好MPLS標(biāo)記交換通道(LabelSwitchedPath，簡稱LSP〕，數(shù)據(jù)沿著LSP傳送，其中的入口LER稱為Ingress，出口稱為Egress，中間的節(jié)點(diǎn)則稱為Transit。數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，在入口LER對IP包進(jìn)展分類，根據(jù)分類結(jié)果選擇相應(yīng)的LSP，打上相應(yīng)的標(biāo)記，中間路由器在收到MPLS報(bào)文以后直接根據(jù)MPLS報(bào)頭的標(biāo)記進(jìn)展轉(zhuǎn)發(fā)，而不用再通過IP報(bào)文頭的IP地址查找。在LSP出口LER，去掉MPLS標(biāo)簽，復(fù)原為IP包。由MPLSVPN的根本組成可以看出，MPLS可以看做是一種面向連接的技術(shù)，它的運(yùn)作原理是為每個(gè)IP數(shù)據(jù)包提供一個(gè)標(biāo)記，并由此決定數(shù)據(jù)包的路徑及優(yōu)先級(jí)。因?yàn)樵趯?shù)據(jù)包轉(zhuǎn)發(fā)的過程中，僅需讀取數(shù)據(jù)包標(biāo)記，無需讀取每個(gè)數(shù)據(jù)包的IP地址和標(biāo)頭，所以數(shù)據(jù)包傳輸?shù)难舆t被大大減小，網(wǎng)絡(luò)速度自然就快了很多。同時(shí)由于可以對所傳送的數(shù)據(jù)包加以分級(jí)，因而能大幅度提升網(wǎng)絡(luò)質(zhì)量，并可提供更多樣化的效勞。3.1業(yè)務(wù)需求MPLSVPN適用于具有以下明顯特征的企業(yè)：高效運(yùn)作、商務(wù)活動(dòng)頻繁、數(shù)據(jù)通信量大、對網(wǎng)絡(luò)依靠程度高、有較多分支機(jī)構(gòu)，如網(wǎng)絡(luò)公司、IT公司、金融業(yè)、貿(mào)易行業(yè)、新聞機(jī)構(gòu)等，這類企業(yè)網(wǎng)的節(jié)點(diǎn)數(shù)較多，通常將到達(dá)幾十個(gè)以上。而像城域網(wǎng)這樣的網(wǎng)絡(luò)環(huán)境，業(yè)務(wù)類型多樣、業(yè)務(wù)流向流量不確定，也特別適合使用MPLS。目前許多大的VPN網(wǎng)絡(luò)設(shè)備供應(yīng)商都已把注意力轉(zhuǎn)移到支持MPLSVPN技術(shù)的設(shè)備開發(fā)上來。3.2平安性為了保證數(shù)據(jù)傳輸?shù)钠桨残裕琈PLSVPN技術(shù)采用的主要手段如下：〔1〕地址空間和路由獨(dú)立在MPLSVPN中，不同的VPN之間，地址空間是完全獨(dú)立的，這樣就保證了*一VPN中的數(shù)據(jù)包不至于到達(dá)其他VPN中具有同樣地址的主機(jī)；〔2〕隱藏MPLS核心構(gòu)造MPLSVPN不會(huì)暴露任何不必要的信息給外界，包括其VPN用戶，這樣將使網(wǎng)絡(luò)攻擊變得十分困難；〔3〕攻擊防*在設(shè)計(jì)MPLSVPN和配置路由協(xié)議時(shí)充分考慮被攻擊的可能性，并采取措施降低這種風(fēng)險(xiǎn)。〔4〕防火墻技術(shù)一個(gè)封閉的MPLSVPN具有內(nèi)在的平安性，因?yàn)樗煌琍ublicInternet相連。如果需要Internet，則可以建立一個(gè)通道，在該通道上，可放置一個(gè)防火墻，這樣就可對整個(gè)VPN提供平安的連接。

但是MPLSVPN技術(shù)沒有解決所有共享網(wǎng)絡(luò)普遍存在的非法受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部攻擊等平安問題[8]。例如在MPLSVPN傳遞數(shù)據(jù)時(shí)，只是標(biāo)記了端點(diǎn)路由，對數(shù)據(jù)本身并不提供加密的防護(hù)手段。3.3可靠性MPLSVPN的可靠性主要靠資源的冗余度來實(shí)現(xiàn)。由于全球基于互聯(lián)網(wǎng)的根底設(shè)施非常興旺，因此依托它來開展MPLSVPN業(yè)務(wù)，自然就具有大帶寬、多節(jié)點(diǎn)、多路由、充裕的網(wǎng)絡(luò)和傳輸資源來保證網(wǎng)絡(luò)的可靠性。當(dāng)互聯(lián)網(wǎng)內(nèi)部中繼線中斷時(shí)，MPLSVPN的流量與普通互聯(lián)網(wǎng)流量一起迂回到其它鏈路上，這一過程完全自動(dòng)完成，對用戶完全透明。此外MPLSVPN的可靠性還依賴于設(shè)備的可靠性。幾乎業(yè)界所有網(wǎng)絡(luò)設(shè)備廠商和技術(shù)專家都參與了MPLS技術(shù)標(biāo)準(zhǔn)的制定工作，越來越多的廠商都有了MPLSVPN相關(guān)的設(shè)備，設(shè)備的可靠性也能夠得到保證。3.4可擴(kuò)展性MPLSVPN一般由效勞提供商配置，由于不需要點(diǎn)對點(diǎn)的對等性，因而在增加節(jié)點(diǎn)和客戶數(shù)量方面具有高度的可擴(kuò)展性。典型的MPLS-VPN能夠支持在同一網(wǎng)絡(luò)上部署上萬個(gè)VPN組；另一方面，在同一VPN中的用戶節(jié)點(diǎn)數(shù)不受限制，容易擴(kuò)大，并可以實(shí)現(xiàn)任何節(jié)點(diǎn)與任意其它節(jié)點(diǎn)的直接通信。MPLSVPN可以非常容易地配置來適應(yīng)公司的增長和變更，例如，當(dāng)一個(gè)新的站點(diǎn)被增加到VPN時(shí)，僅僅需要建立在新站點(diǎn)和提供者邊界之間的本地對等，并不需要在其他的現(xiàn)存站點(diǎn)重新配置，贏得了重要的優(yōu)化本錢節(jié)約[9]。3.5QoS保障MPLSVPN上的QoS保障主要靠流量工程技術(shù)來實(shí)現(xiàn)。優(yōu)秀的MPLSVPN實(shí)現(xiàn)方案可以提供可伸縮的、穩(wěn)固的QoS機(jī)制，從而令效勞提供商可以提供具有保證的MPLSVPN效勞。流量工程是一種QoS機(jī)制，因?yàn)橛绊懢W(wǎng)絡(luò)QoS的最主要原因就是網(wǎng)絡(luò)存在擁塞，在一個(gè)沒有擁塞的網(wǎng)絡(luò)中，QoS是可以得到很好的保證的。而流量工程的作用就是調(diào)配網(wǎng)絡(luò)流量，使流量能夠避開網(wǎng)絡(luò)擁塞點(diǎn)，從而到達(dá)均衡網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞的作用。MPLS流量工程就是在網(wǎng)絡(luò)中建立LSP(標(biāo)記交換通道)時(shí)，用對網(wǎng)絡(luò)流量進(jìn)展調(diào)度的方法實(shí)現(xiàn)網(wǎng)絡(luò)流量的均衡。通常在網(wǎng)絡(luò)中有一些鏈路飽滿甚至超負(fù)荷，另一些鏈路卻流量較少，在建立LSP的時(shí)候，繞開負(fù)荷較大的鏈路，選擇負(fù)荷較小的鏈路，把流量轉(zhuǎn)到負(fù)荷較小的鏈路，這樣就能到達(dá)平衡網(wǎng)絡(luò)流量的目的。4三種VPN技術(shù)的綜合比較上文已經(jīng)分別對基于網(wǎng)的VPN技術(shù)、基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)進(jìn)展了闡述。下面將對三種VPN技術(shù)進(jìn)展綜合比較，詳見下面的表格：表1三種VPN技術(shù)的綜合比較網(wǎng)VPNIPVPNMPLSVPN業(yè)務(wù)需求主要用于集團(tuán)內(nèi)部等話音業(yè)務(wù)主要應(yīng)用于企業(yè)內(nèi)部局域網(wǎng)的擴(kuò)*和接入主要應(yīng)用于大型企業(yè)的分支機(jī)構(gòu)之間的數(shù)據(jù)業(yè)務(wù)聯(lián)網(wǎng)平安性基于電路交換，平安性能夠得到充分保障IPSec協(xié)議能夠充分保證數(shù)據(jù)傳輸?shù)钠桨残圆捎昧艘恍┓?攻擊的手段，但是由于對數(shù)據(jù)本身不提供加密，所以平安性一般可靠性采用冗余技術(shù)和故障自動(dòng)診斷技術(shù)，具有很高的可靠性依賴于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障依賴于設(shè)備和公共網(wǎng)絡(luò)，可靠性能夠得到保障可擴(kuò)展性具有簡單而方便的可擴(kuò)展能力增加新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，可擴(kuò)展性較差增加新的節(jié)點(diǎn)非常容易，具有高度的可擴(kuò)展性QoS保障基于電路交換，能夠提供嚴(yán)格的、有保證的QoS保障采用擁塞管理等手段，能夠在一定程度上提供QoS保障采用MPLS流量工程技術(shù)，能夠提供可伸縮的、穩(wěn)固的QoS保障5完畢語無論是何種類型的VPN，它們的中心思想是一定的：利用現(xiàn)有的公共網(wǎng)絡(luò)資源，通過一定方法建立專用網(wǎng)，即“公網(wǎng)專用〞，同時(shí)這個(gè)網(wǎng)絡(luò)是邏輯上的，不是實(shí)際的物理網(wǎng)絡(luò)，但是這種網(wǎng)絡(luò)的功能和實(shí)際物理上的專用網(wǎng)沒有什么不同，即“虛網(wǎng)實(shí)用〞[10]。三種類型的VPN技術(shù)中，基于網(wǎng)絡(luò)的VPN技術(shù)主要用于話音業(yè)務(wù)，基于傳統(tǒng)TCP/IP網(wǎng)絡(luò)的VPN技術(shù)和基于MPLS網(wǎng)絡(luò)的VPN技術(shù)主要用于數(shù)據(jù)業(yè)務(wù)，后兩種VPN技術(shù)各有優(yōu)缺點(diǎn)。隨著技術(shù)的開展，目前在MPLSVPN上也可以采用IPSec技術(shù)，從而使其平安性得到了充分的保證。參考文獻(xiàn)：[1]AntonioLiotta,DanielH.Tyrode-Goilo,AdetolaOredope.OpenSourceMobileVPNsoverConvergedAll-IPNetworks[J].JournalofNetworkandSystemsManagement,2008,(2):163～181.[2]DeepMed