vpn在大型企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究畢業(yè)論文（含外文翻譯）

1、<p>　　VPN在大型企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究</p><p><b>　　摘要：</b></p><p>　　隨著信息技術(shù)的高速發(fā)展，大型企業(yè)對計算機網(wǎng)絡(luò)的需求越來越高，促進了VPN技術(shù)快速的發(fā)展和應(yīng)用。VPN有著租用專線的安全的和因特網(wǎng)廉價的優(yōu)點。</p><p>　　本文具體分析了VPN技術(shù)的現(xiàn)狀和發(fā)展趨勢，介紹了VPN的產(chǎn)生、特

2、征和優(yōu)勢。詳細分析了大型企業(yè)對VPN的需求，結(jié)合實際應(yīng)用背景給出兩個解決方案，即基于IPSec VPN和MPLS VPN在大型企業(yè)中的部署方案，并詳細地給出了它們的設(shè)計和實現(xiàn)方法。最后對IPSec VPN與MPLS VPN二種方案的進行了對比分析，給出了它們各自的適用的場景。</p><p>　　關(guān)鍵詞：VPN；大型企業(yè)網(wǎng)絡(luò)；IPSec VPN；MPLS VPN</p><p>　　Res

3、earch of Application of VPN</p><p>　　in Large Enterprise Network</p><p>　　Abstract: </p><p>　　With the rapid development of the Information Technology, demand on network from large

4、enterprises becomes larger and larger. All of this promotes the rapid development and application of VPN technology. VPN has the advantage of security which leased line possesses and the advantage of inexpensiveness whic

5、h Internet possesses. </p><p>　　This paper analyzes the present situation and development trend of VPN technology, introduces the production, characteristics, advantages of the VPN. Then the paper analyzes t

6、he requirement of the VPN network construction of large enterprises. Afterward, two schemes are given according to practical background. One uses IPSec VPN, and the other uses MPLS VPN. The design and realization process

7、es of the two schemes are given in detail. At last, this paper compares the IPSec VPN and the MPLS VPN, a</p><p>　　Key words: VPN; Enterprise network; IPSec VPN; MPLS VPN</p><p><b>　　目 錄&

8、lt;/b></p><p><b>　　1 緒論1</b></p><p>　　1.1 研究背景1</p><p>　　1.2 技術(shù)發(fā)展現(xiàn)狀1</p><p>　　1.3 本文主要研究的內(nèi)容4</p><p>　　1.4 本文的結(jié)構(gòu)安排4</p><p>

9、　　2 VPN的分類和技術(shù)概要5</p><p>　　2.1 VPN概述5</p><p>　　2.2 VPN的分類7</p><p>　　3大型企業(yè)網(wǎng)絡(luò)的VPN需求分析9</p><p>　　4 大型企業(yè)VPN方案設(shè)計與實現(xiàn)10</p><p>　　4.1 IPSec VPN方案的設(shè)計與實現(xiàn)10</

10、p><p>　　4.2 MPLS VPN方案的設(shè)計與實現(xiàn)13</p><p>　　5 IPSec VPN與MPLS VPN的對比分析20</p><p><b>　　6 總結(jié)24</b></p><p><b>　　參考文獻25</b></p><p><b>

11、　　致謝26</b></p><p><b>　　1 緒論</b></p><p><b>　　1.1 研究背景</b></p><p>　　進入二十一世紀后，傳統(tǒng)語音業(yè)務(wù)的年增長率較低，只有5-10%，與之相比較，數(shù)據(jù)業(yè)務(wù)(如Internet等)的年增長率很高，為20-30%. Internet業(yè)務(wù)量持續(xù)的

12、指數(shù)增長是數(shù)據(jù)通信業(yè)務(wù)量如此高速、持續(xù)增長的最直接動力。這對整個網(wǎng)絡(luò)的技術(shù)模式、整體架構(gòu)乃至當今知識經(jīng)濟的內(nèi)涵來說，都有著深遠的影響。隨著網(wǎng)絡(luò)經(jīng)濟的不斷發(fā)展，各個企業(yè)對建設(shè)自己的網(wǎng)絡(luò)，提出的要求也不斷變高，要求網(wǎng)絡(luò)具備更好靈活性、經(jīng)濟性、擴展性等是其主要表現(xiàn)。VPN具有獨有的優(yōu)勢，在通信技術(shù)大發(fā)展的背景下，對它密切關(guān)注的企業(yè)數(shù)量也不斷增多了。虛擬私有網(wǎng)絡(luò)(Virtual Private Network，VPN)簡單來說，就是利用公共網(wǎng)絡(luò)

13、來完成私有專用網(wǎng)絡(luò)的構(gòu)建。組建VPN，使得在公共網(wǎng)絡(luò)也能提供安全性和可管理性等，就像是企業(yè)自己的私有網(wǎng)絡(luò)一樣。</p><p>　　隨著企業(yè)網(wǎng)及政府網(wǎng)應(yīng)用的日益廣泛，網(wǎng)絡(luò)范圍也在不斷擴大，跨地區(qū)跨城市，甚至是跨國家的網(wǎng)絡(luò)日益增多，這導(dǎo)致了對網(wǎng)絡(luò)要求也越來越高。采用傳統(tǒng)廣域網(wǎng)建立跨區(qū)域的企業(yè)或政府專網(wǎng)，往往需要租用昂貴的數(shù)字專線。而在此同時，Internet日益普及，已經(jīng)遍布世界各地，并且都是聯(lián)通的，但由于Inte

14、rnet是開放的網(wǎng)絡(luò)，如果企業(yè)或政府的信息要通過Internet進行傳輸，肯定存在著許多安全問題。因此如何利用現(xiàn)有的Internet網(wǎng)絡(luò)來安全地建立企業(yè)或政府的專有網(wǎng)絡(luò)，就成了現(xiàn)在網(wǎng)絡(luò)應(yīng)用上的最急需解決的問題。</p><p>　　如今，企業(yè)信息化是所有企業(yè)發(fā)展的必經(jīng)之路，特別是大型企業(yè)。企業(yè)信息化，可以大大提高企業(yè)的工作效率，減少企業(yè)的運營成本。</p><p>　　大型企業(yè)的特點是規(guī)模

15、很大，有多個分部或者分公司，它們之間需要信息的交流，這些信息一般都是一些敏感的信息，有的涉及到企業(yè)的商業(yè)秘密，若不小心被泄露，被截獲，后果不堪設(shè)想。</p><p>　　如何將企業(yè)的總部和分部連接起來，并且保證它們之間交換的數(shù)據(jù)的保密性、完整性，以及使連接成本不像專線那么高？為了解決這個問題，VPN（Virtual Private Network，虛擬專用網(wǎng)）就應(yīng)運而生了。</p><p>

16、;　　因特網(wǎng)有廉價的優(yōu)點，但是不安全；專線安全，但比較昂貴。VPN結(jié)合了因特網(wǎng)和專用網(wǎng)的優(yōu)點，同時也彌補了兩者的缺點。</p><p>　　1.2 技術(shù)發(fā)展現(xiàn)狀</p><p>　　近十年，VPN已從電話公司僅僅提供語音業(yè)務(wù)發(fā)展到了提供數(shù)據(jù)/語音混合，甚至多媒體業(yè)務(wù)。相應(yīng)的技術(shù)也從基于DDN,幀中繼(Frame Relay), ATM發(fā)展到了IP VPN，直至現(xiàn)在的MPLS VPN。<

17、;/p><p>　　SSL VPN市場近些年來一直保持著快速增長的勢頭，在今年4月IT調(diào)研公司Frost & Sullivan發(fā)布的2010年中國SSL VPN市場分析報告中可以看到，中國SSL VPN市場在過去的一年里保持了10.3%的健康增長。這其中，對于安全接入的需求增長起到了非常重要的促進作用。</p><p>　　SSL VPN市場現(xiàn)狀：政府和大中型企業(yè)等需求顯著</p

18、><p>　　近幾年來，各級政府對于信息化建設(shè)的投入一直在大幅度增加，這其中，無論是社保醫(yī)療網(wǎng)絡(luò)的建設(shè)，還是財務(wù)稅收信息化的建設(shè)，每個垂直分支都在大踏步地邁進信息化時代，在此背景之下，各級政府對其網(wǎng)絡(luò)的穩(wěn)定具有非常高的要求，SSL VPN在這些方面具有較強的先天優(yōu)勢，從而獲得了政府行業(yè)更多的政策性支持；另外一方面，對于保密性質(zhì)較高的政府網(wǎng)絡(luò)來說，防黑防盜是一個長期的課題，SSL VPN產(chǎn)品突出的安全性能也更容易受到用

19、戶的青睞。</p><p>　　大型企業(yè)和中型企業(yè)方面，其往往具有信息化程度高、跨地域業(yè)務(wù)多和外包合作多的特點。這與政府行業(yè)更多是單純跨地域的網(wǎng)絡(luò)連通具有一定的差異。為了保證在不同網(wǎng)絡(luò)、不同地域機構(gòu)之間的業(yè)務(wù)連續(xù)性，相當數(shù)量的用戶都選擇了比較安全穩(wěn)定的SSL VPN產(chǎn)品。</p><p>　　從未來市場增長的角度來看，移動終端和私有云的大規(guī)模發(fā)展也會對SSL VPN市場的增長起到一個巨大的

20、促進作用。</p><p>　　國外研究IPsec VPN較早，從1995年開始，IETF著手研究制定了一套用于保護IP通信的IPsec安全協(xié)議族，1998年制訂了IP安全框架. IPsec提供既可用于IPv4也可用于IPv6的安全性機制，它是工Pv6的一個組成部分，也是IPv4的一個可選擴展協(xié)議。通過實現(xiàn)和擴展工Psec協(xié)議族，國外廠商紛紛推出了面向不同市場的IPsecVPN產(chǎn)品。除擁有IPsec VPN基本的

21、加密、認證等功能外，還和防火墻、IDS等設(shè)備融合，形成了具有VPN功能的網(wǎng)絡(luò)安全設(shè)備。為滿足不同的用戶需求，各廠商還推出了擁有獨特功能的IPsec VPN，例如Cisco支持其專有Hub-and-Spoke技術(shù)的VPN。IPsec VPN技術(shù)的長足發(fā)展，還促使產(chǎn)生了許多開放源代碼的IPsec VPN軟件。</p><p>　　國內(nèi)IPsec VPN已有數(shù)年的研究發(fā)展歷史。初期主要是通過研究、分析國外開源VPN軟件

22、，模仿國外大公司軟件功能的做法推出產(chǎn)品.隨著技術(shù)積累沉淀，國內(nèi)網(wǎng)絡(luò)安全公司也開始研發(fā)具有自主知識產(chǎn)權(quán)、獨特功能的IPsec VPN產(chǎn)品.特別是在加密算法、認證方式、NAT穿越等適應(yīng)國內(nèi)網(wǎng)絡(luò)發(fā)展現(xiàn)狀的技術(shù)領(lǐng)域中獲得了長足進步。</p><p>　　MPLS VPN業(yè)務(wù)近幾年引起了全球運營業(yè)的普遍關(guān)注。國外大的運營商如AT&T, sprint, Verizon, Bellsouth, NTT都己經(jīng)開始應(yīng)用MP

23、LS網(wǎng)絡(luò)。我國運營商中最早推出MPLS VPN業(yè)務(wù)的是中國網(wǎng)通，推出時間為2002年6月。隨著市場前景的日益看好，中國電信、中國鐵通也開始提供這項服務(wù)。此外，一些跨國運營商也開始關(guān)注中國市場，圍繞MPLS VPN業(yè)務(wù)的競爭正在中國市場上逐漸升溫。</p><p>　　作為網(wǎng)絡(luò)之國的美國，美國政府非常重視MPLS VPN技術(shù)的發(fā)展。2004年初，美國全國性運營商sprint推出針對企業(yè)用戶的MPLS VPN業(yè)務(wù)。至

24、此，sprint己經(jīng)擁有了數(shù)據(jù)網(wǎng)互聯(lián)方面所有的服務(wù)產(chǎn)品，包括舊有的傳統(tǒng)專用線、幀中繼、ATM,IP接入等等。在接下來的兩年里，sprint希望在自己的專有IP網(wǎng)和全球IP平臺上都采用MPLS VPN技術(shù)，并且集成以前的Internet接入和遠程接入服務(wù)。</p><p>　　MPLS VPN在我國己經(jīng)進入市場成長期，越來越多的運營商會提供相應(yīng)的產(chǎn)品，有兩個方面的經(jīng)驗可以借鑒：一是國外同行的運營經(jīng)驗，二是國內(nèi)同行和

25、自己的經(jīng)驗教訓(xùn)?？偟膩碚f，首先，運營商一定要結(jié)合其他的VPN技術(shù)，如租用線、IP VPN、幀中繼、ATM來提供滿足不同用戶不同需求的整體解決方案；二是要確保運營質(zhì)量，如可靠性、QoS等;三是要努力降低網(wǎng)絡(luò)操作維護的復(fù)雜度，提高網(wǎng)絡(luò)的利用率，優(yōu)化網(wǎng)絡(luò)資源的使用;四是要加強和內(nèi)容提供商的合作，特別注意及時引入新業(yè)務(wù)吸引用戶。運營商相繼推出MPLS VPN服務(wù)，可能產(chǎn)生的最主要問題是特殊安全需求和互聯(lián)互通問題。</p><

26、p>　　在我國，因為在公共信息基礎(chǔ)平臺上發(fā)展專有網(wǎng)絡(luò)已是大勢所趨，唯一讓用戶擔(dān)心的是安全性。實際上，MPLS VPN針對一般用戶，己經(jīng)可以提供虛電路級的安全性。但是在特殊要求的場合，比如公安、國防領(lǐng)域、電子交易、傳送敏感信息、商業(yè)文件時，用戶需要更加安全的保障措施。所以在吸引此類傳統(tǒng)的專網(wǎng)用戶時，運營商應(yīng)該著力應(yīng)對，提出更值得信賴的解決方案，比如IPSec加MPLS VPN。MPLS VPN應(yīng)是未來VPN實現(xiàn)技術(shù)的趨勢與主流。&l

27、t;/p><p>　　1.3 本文主要研究的內(nèi)容</p><p>　　本文主要研究怎么對大型企業(yè)網(wǎng)絡(luò)中使用的VPN的應(yīng)用方案進行規(guī)劃、設(shè)計與實現(xiàn)。本文也分析研究了VPN技術(shù)原理，深入地探討了MPLS VPN技術(shù)的原理和它的優(yōu)點。</p><p>　　1.4 本文的結(jié)構(gòu)安排</p><p>　　本論文分為四個部分。</p><p

28、>　　第一部分緒論部分，對VPN技術(shù)的研究背景及現(xiàn)狀做了個簡單的介紹。</p><p>　　第二部分介紹了VPN的技術(shù)概要，和VPN的分類。</p><p>　　第三部分講述了大型企業(yè)的VPN需求分析。</p><p>　　第四部分詳細IPSec VPN和MPLS VPN這兩種解決方案，包括組網(wǎng)背景、網(wǎng)絡(luò)拓撲、IP地址規(guī)劃和關(guān)鍵配置代碼。</p>

29、<p>　　第五部分是IPSec VPN實現(xiàn)方案與MPLS VPN實現(xiàn)方案的比較。</p><p>　　第六部分是對本論文的總結(jié)。</p><p>　　2 VPN的分類和技術(shù)概要</p><p>　　本章主要介紹了VPN的分類和基本概念和原理。</p><p><b>　　2.1 VPN概述</b></

30、p><p>　　2.1.1 VPN的產(chǎn)生</p><p>　　隨著社會的發(fā)展，IT技術(shù)越來越多地影響現(xiàn)代企業(yè)的業(yè)務(wù)流程，如企業(yè)資源規(guī)劃、基于IP網(wǎng)絡(luò)的語音、基于IP網(wǎng)絡(luò)的會議和教學(xué)活動等IT技術(shù)，為企業(yè)的自動化辦公和信息的獲取提供了構(gòu)架。隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展，越來越多的企業(yè)的分布范圍日益擴大，合作伙伴日益增多，公司員工的移動性也不斷增加。這使得企業(yè)迫切需要借助電信運營商網(wǎng)絡(luò)連接企業(yè)總部和分支機

31、構(gòu)，組成自己的企業(yè)網(wǎng)，同時使移動辦公人員能在企業(yè)以外的地方方便地接入企業(yè)內(nèi)部網(wǎng)絡(luò)。</p><p>　　最初，電信運營商是以租賃專線(Leased Line)的方式為企業(yè)提供二層鏈路，這種方式的主要缺點是：</p><p><b>　　1.建設(shè)時間長</b></p><p><b>　　2.價格昂貴</b></p&g

32、t;<p><b>　　3.難于管理</b></p><p>　　此后，隨著ATM(Asynchronous Transfer Mode)和幀中繼(Frame Relay)技術(shù)的興起，電信運營商轉(zhuǎn)而使用虛電路方式為客戶提供點到點的二層連接，客戶再在其上建立自己的三層網(wǎng)絡(luò)以承載IP等數(shù)據(jù)流。虛電路方式與租賃專線相比，運營商網(wǎng)絡(luò)建設(shè)時間短、價格低，能在不同專網(wǎng)之間共享運營商的網(wǎng)絡(luò)結(jié)

33、構(gòu)。</p><p>　　這種傳統(tǒng)專網(wǎng)的不足在于：</p><p>　　1.依賴于專用的介質(zhì)(如ATM或FR)：為提供基于ATM的VPN服務(wù)，運營商需要建立覆蓋全部服務(wù)范圍的ATM網(wǎng)絡(luò)：為提供基于FR的VPN服務(wù)，又需要建立覆蓋全部服務(wù)范圍的FR網(wǎng)絡(luò)。網(wǎng)絡(luò)建設(shè)成本高。</p><p>　　2.速率較慢：不能滿足當前Internet應(yīng)用對于速率的要求。</p&g

34、t;<p>　　3.部署復(fù)雜：向已有的私有網(wǎng)絡(luò)加入新的站點時，需要同時修改所有接入此站點的邊緣節(jié)點的配置。</p><p>　　傳統(tǒng)專網(wǎng)的應(yīng)用，促使了企業(yè)效益的日益增長，但傳統(tǒng)專網(wǎng)難以滿足企業(yè)對網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面的要求。這促使了一種新的替代方案的產(chǎn)生—在現(xiàn)有IP網(wǎng)絡(luò)上模擬傳統(tǒng)專網(wǎng)：這種新的解決方案就是虛擬專用網(wǎng)VPN(Virtual Private Network)。<

35、/p><p>　　VPN是依靠Internet服務(wù)提供商ISP (Internet Service Provider)和網(wǎng)絡(luò)服務(wù)提供商NSP(Network Service Provider)在公共網(wǎng)絡(luò)中建立的虛擬專用通信網(wǎng)絡(luò)。</p><p>　　2.1.2 VPN的特征</p><p>　　VPN具有以下兩個基本特征：</p><p>　　

36、1.專用(Private)：對于VPN用戶，使用VPN與使用傳統(tǒng)專網(wǎng)沒有區(qū)別。VPN與底層承載網(wǎng)絡(luò)之間保持資源獨立，即VPN資源不被網(wǎng)絡(luò)中非該VPN的用戶所使用；且VPN能夠提供足夠的安全保證，確保VPN內(nèi)部信息不受外部侵擾。</p><p>　　2.虛擬(Virtual)：VPN用戶內(nèi)部的通信是通過公共網(wǎng)絡(luò)進行的，而這個公共網(wǎng)絡(luò)同時也可以被其他非VPN用戶使用，VPN用戶獲得的只是一個邏輯意義上的專網(wǎng)。這個公共

37、網(wǎng)絡(luò)稱為VPN骨干網(wǎng)(VPN Backbone)。</p><p>　　利用VPN的專用和虛擬的特征，可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)。這種邏輯隔離的網(wǎng)絡(luò)應(yīng)用豐富：可以用在解決企業(yè)內(nèi)部的互連、相同或不同辦事部門的互連：也可以用來提供新的業(yè)務(wù)，如為IP電話業(yè)務(wù)專門開辟一個VPN，以此解決IP網(wǎng)絡(luò)地址不足、QoS保證、以及開展新的增值服務(wù)等問題。</p><p>　　在解決企業(yè)互連和

38、提供各種新業(yè)務(wù)方面，VPN，尤其是MPLS VPN，越來越被運營商看好，成為運營商在IP網(wǎng)絡(luò)提供增值業(yè)務(wù)的重要手段。</p><p>　　2.1.3 VPN的優(yōu)勢</p><p>　　從客戶角度看，VPN和傳統(tǒng)的數(shù)據(jù)專網(wǎng)相比具有如下優(yōu)勢：</p><p>　　1.安全：在遠端用戶、駐外機構(gòu)、合作伙伴、供應(yīng)商與公司總部之間建立可靠的連接，保證數(shù)據(jù)傳輸?shù)陌踩?。這對于

39、實現(xiàn)電子商務(wù)或金融網(wǎng)絡(luò)與通訊網(wǎng)絡(luò)的融合特別重要。</p><p>　　2.廉價：利用公共網(wǎng)絡(luò)進行信息通訊，企業(yè)可以用更低的成本連接遠程辦事機構(gòu)、出差人員和業(yè)務(wù)伙伴。</p><p>　　3.支持移動業(yè)務(wù)：支持駐外VPN用戶在任何時間、任何地點的移動接入，能夠滿足不斷增長的移動業(yè)務(wù)需求。</p><p>　　4.服務(wù)質(zhì)量保證：構(gòu)建具有服務(wù)質(zhì)量保證的VPN(如MPLS

40、VPN)，可為VPN用戶提供不同等級的服務(wù)質(zhì)量保證。從運營商角度看，VPN具有如下優(yōu)勢：</p><p>　　5.可運營：提高網(wǎng)絡(luò)資源利用率，有助于增加ISP的收益。</p><p>　　6.靈活：通過軟件配置就可以增加、刪除VPN用戶，無需改動硬件設(shè)施。在應(yīng)用上具有很大靈活性。</p><p>　　7.多業(yè)務(wù)：SP在提供VPN互連的基礎(chǔ)上，可以承攬網(wǎng)絡(luò)外包、業(yè)務(wù)外

41、包、客戶化專業(yè)服務(wù)的多業(yè)務(wù)經(jīng)營。</p><p>　　VPN以其獨具特色的優(yōu)勢贏得了越來越多的企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，從而更多地致力于企業(yè)的商業(yè)目標的實現(xiàn)。另外，運營商可以只管理、運行一個網(wǎng)絡(luò)，并在一個網(wǎng)絡(luò)上同時提供多種服務(wù)，如Best-effort IP服務(wù)、VPN、流量工程、差分服務(wù)(Diffserv)，從而減少運營商的建設(shè)、維護和運行費用。</p><p>

42、　　VPN在保證網(wǎng)絡(luò)的安全性、可靠性、可管理性的同時提供更強的擴展性和靈活性。在全球任何一個角落，只要能夠接入到Internet，即可使用VPN。</p><p>　　2.2 VPN的分類</p><p>　　VPN可按業(yè)務(wù)類型和實現(xiàn)技術(shù)兩個角度進行分類。</p><p>　　2.2.1 按VPN的業(yè)務(wù)類型劃分</p><p>　　根據(jù)服務(wù)類

43、型，VPN業(yè)務(wù)大致分為三類：接入VPN（Access VPN）、內(nèi)聯(lián)網(wǎng)VPN(Intranet VPN)和外聯(lián)網(wǎng)VPN（Extranet VPN）。通常情況下內(nèi)聯(lián)網(wǎng)VPN是專線VPN。</p><p>　　（1）接入VPN：這是企業(yè)出差員工通過公網(wǎng)遠程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的VPN方式。遠程用戶一般是一臺計算機，而不是網(wǎng)絡(luò)，因此組成的VPN是一種主機到網(wǎng)絡(luò)的拓撲模型。</p><p>　?。?）

44、內(nèi)聯(lián)網(wǎng)VPN：這是企業(yè)的總部與分支機構(gòu)之間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)，這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以對等的方式連接起來所組成的VPN。</p><p>　　（3）外聯(lián)網(wǎng)VPN：這是企業(yè)在發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)間通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。這是一種網(wǎng)絡(luò)到網(wǎng)絡(luò)以不對等的方式連接起來所組成的VPN（主要在安全策略上有所不同）。</p><p>　　2.2.2 按VPN的實現(xiàn)技術(shù)劃分<

45、/p><p>　　目前，主流的VPN技術(shù)有IPSec VPN、SSL VPN、MPLS VPN。</p><p>　　IPSec VPN是一個應(yīng)用廣泛、開放的VPN安全協(xié)議技術(shù)，它提供了如何讓保密性強的數(shù)據(jù)在開放的網(wǎng)絡(luò)中傳輸?shù)陌踩珯C制。它工作在網(wǎng)絡(luò)層，為數(shù)據(jù)傳輸過程提供安全保護，主要手段是對數(shù)據(jù)進行加密和對數(shù)據(jù)收發(fā)方進行身份認證。IPSec VPN技術(shù)可以設(shè)置成在兩種模式下運行，一種是隧道模式

46、，把IPv4數(shù)據(jù)包封裝在安全的IP幀中進行傳輸，但這種方式系統(tǒng)開銷比較大；另一種模式是傳輸模式，隱藏路由信息，提供端到端的安全保護。</p><p>　　SSL VPN也是一種在Internet上確保信息安全收發(fā)的通用協(xié)議技術(shù)，位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，以可靠的傳輸協(xié)議(如TCP)為根基，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，為網(wǎng)絡(luò)的連接提供服務(wù)器認證、可選的客戶認證、SSL鏈路上的

47、數(shù)據(jù)完整性保證、保密性保證。目前，SSL VPN也廣泛被應(yīng)用于各種瀏覽器中，使用者利用瀏覽器內(nèi)的SSL封裝包處理功能，用瀏覽器連接單位內(nèi)網(wǎng)的SSL VPN服務(wù)器，通過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，從而讓遠程計算機執(zhí)行任務(wù)，讀取單位內(nèi)網(wǎng)上的信息。</p><p>　　多協(xié)議標簽交換MPLS VPN是一種面向連接的技術(shù)，通過MPLS信令建立好MPLS標記交換通道LSP，數(shù)據(jù)轉(zhuǎn)發(fā)時在網(wǎng)絡(luò)的入口處對信息進行分類，網(wǎng)絡(luò)設(shè)備中根據(jù)分類

48、選擇相應(yīng)的交換通道LSP，并打上相應(yīng)的標簽，再轉(zhuǎn)發(fā)時直接根據(jù)報頭的標簽轉(zhuǎn)發(fā)，不再通過IP地址查找，在LSP出口處，卸掉標簽，還原為原來的IP數(shù)據(jù)包。它是一種快速數(shù)據(jù)包交換和路由的體系，通過標簽交換路徑將私有的網(wǎng)絡(luò)的不同分支聯(lián)系起來，從而形成一套虛擬的統(tǒng)一的網(wǎng)絡(luò)。基于這種交換和路由的特點，它的路由工作在網(wǎng)絡(luò)的第三層，而核心任務(wù)工作在第二層。</p><p>　　3大型企業(yè)網(wǎng)絡(luò)的VPN需求分析</p>

49、<p>　　隨著經(jīng)濟全球化步伐的加快，跨國、跨地區(qū)的企業(yè)收購和合并日益增多。每家公司的分支機構(gòu)的分布也越來越廣，公司各分支機構(gòu)之間為了共享商業(yè)數(shù)據(jù)，需要將各分支機構(gòu)之間聯(lián)網(wǎng)，在保證數(shù)據(jù)存儲和傳輸安全的前提下共享數(shù)據(jù)，同時解決方案盡可能的要減少投入和降低使用成本。</p><p>　　分析這些需要聯(lián)網(wǎng)的企業(yè)用戶的需求特點，可以歸納為以下幾點：</p><p>　　1）分支機構(gòu)彼此分

50、布不同地點</p><p>　　2）需要共享大量的商業(yè)數(shù)據(jù)，對接入帶寬有一定的要求</p><p>　　3）必須保證數(shù)據(jù)在傳輸過程中的安全性。過去的企業(yè)網(wǎng)絡(luò)，多以封閉式的專線連接為主， 其主要原因就是考慮數(shù)據(jù)傳輸?shù)陌踩浴Ｈ粼诎踩圆荒鼙槐Ｕ系臓顩r下，一旦企業(yè)重要資料被他人所竊取，將對企業(yè)造成難以彌補的損失</p><p><b>　　4）解決方案低成本&

51、lt;/b></p><p>　　VPN技術(shù)就是在這個背景下應(yīng)運而生的，VPN的出現(xiàn)滿足了企業(yè)用戶的需求。</p><p>　　VPN的基本思路就是充分利用現(xiàn)有的公共IP網(wǎng)，通過隧道技術(shù)，將公網(wǎng)虛擬成專用網(wǎng)，同時免除了昂貴的專線租用費用。</p><p>　　4 大型企業(yè)VPN方案設(shè)計與實現(xiàn)</p><p>　　4.1 IPSec VP

52、N方案的設(shè)計與實現(xiàn)</p><p>　　4.1.1 組網(wǎng)背景</p><p>　　有一公司的總部在北京，在上海有一分部，北京總部內(nèi)部采用私有IP地址，但要接入Internet，且對外的Web服務(wù)器Server0，要讓一般用戶可以從Internet訪問。北京總部與上海分部之間，要求建立站點間的VPN。即通過私有IP地址可以互相訪問。北京總部有多個公用IP（200.0.0.0--200.0.0

53、.15，Server0對外的IP地址為200.0.0.8，即從公網(wǎng)的一臺電腦上ping 200.0.0.8可以ping通server0）。實現(xiàn)北京總部各部門間的網(wǎng)絡(luò)的廣播流量相互隔離，網(wǎng)絡(luò)互通。在路由器上配置路由協(xié)議，使用網(wǎng)絡(luò)可以互通。上海分部內(nèi)部也使用私有IP地址，通過NAT訪問Internet。北京總部與上海分部之間，要求建立站點間的VPN。即通過私有IP地址可以互相訪問。</p><p>　　4.1.2 網(wǎng)

54、絡(luò)拓撲</p><p>　　圖4.1 IPSec VPN網(wǎng)絡(luò)拓撲圖</p><p>　　4.1.3 IP地址規(guī)劃</p><p>　　在北京總部的交換機上劃分5個VLAN</p><p>　　表4.1 北京總部VLAN劃分</p><p>　　上海分部Server2 IP：172.16.1.1</p>&

55、lt;p>　　某一外網(wǎng)PC IP：202.202.202.1</p><p>　　4.1.4 關(guān)鍵配置代碼</p><p>　　1）北京總部內(nèi)部采用私有IP地址，但要接入Internet，且對外的Web服務(wù)器Server0，要讓一般用戶可以從Internet訪問。設(shè)分配給總部有多個公用IP（假設(shè)為200.0.0.0---200.0.0.15，Server0對外的IP地址為200.0.

56、0.8，即從公網(wǎng)IP地址的PC2上ping 200.0.0.8可以ping通server0）。</p><p><b>　　這要用到兩條NAT</b></p><p>　　①使內(nèi)網(wǎng)機子可以訪問外網(wǎng)</p><p>　　access-list 101 deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.2

57、55.255</p><p>　　access-list 101 permit ip 192.168.0.0 0.0.255.255 any</p><p>　　ip nat inside source list 101 interface FastEthernet0/1 overload</p><p>　?、谑咕W(wǎng)絡(luò)可以訪問Server0</p>&

58、lt;p>　　ip nat inside source static 192.168.77.1 200.0.0.8</p><p>　　2）實現(xiàn)北京總部各部門間的網(wǎng)絡(luò)的廣播流量相互隔離，網(wǎng)絡(luò)互通，但同時要求各技術(shù)部、銷售部的計算機不能主動訪問財務(wù)部的服務(wù)器與計算機。</p><p>　　這要利用VLAN來進行廣播流量的分隔，并通過三層交換機來實現(xiàn)VALN間的互連</p>

59、<p>　?、儆胿lan命令建立vlan</p><p>　　②用int range switchport access vlan 把接口加入vlan</p><p>　?、墼賗nt vlan</p><p>　?、躨p addr給vlan分配IP地址。</p><p>　　3）上配置路由協(xié)議，使用網(wǎng)絡(luò)可以互通。</p>

60、;<p><b>　　在路由器用OSPF</b></p><p>　　router ospf 1</p><p>　　network 0.0.0.0 255.255.255.255 area 0</p><p>　　4）上海分部內(nèi)部也使用私有IP地址，通過NAT訪問Internet。但北京總部與上海分部之間，要求建立站點間的VPN

61、。即通過私有IP地址可以互相訪問。</p><p>　?。?）Router0上的VPN配置</p><p>　　access-list 111 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p>&

62、lt;b>　　encr 3des</b></p><p><b>　　hash md5</b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 203.203.203.2</p><p>　　cryp

63、to ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto map tom 10 ipsec-isakmp </p><p>　　set peer 203.203.203.2</p><p>　　set transform-set tim </p><p>　　match

64、 address 111</p><p>　　interface FastEthernet0/1</p><p>　　crypto map tom</p><p>　　ip route 172.16.1.0 255.255.255.0 200.0.0.16</p><p>　?。?）Router3上的VPN配置</p><

65、p>　　access-list 111 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255</p><p>　　crypto isakmp policy 10</p><p><b>　　encr 3des</b></p><p><b>　　hash md5<

66、/b></p><p>　　authentication pre-share</p><p>　　crypto isakmp key 2046 address 200.0.0.1</p><p>　　crypto ipsec transform-set tim esp-3des esp-md5-hmac</p><p>　　crypto

67、 map tom 10 ipsec-isakmp </p><p>　　set peer 200.0.0.1</p><p>　　set transform-set tim </p><p>　　match address 111</p><p>　　interface FastEthernet0/0</p><p>

68、　　crypto map tom</p><p>　　ip route 0.0.0.0 0.0.0.0 203.203.203.1</p><p>　　從PC0（192.168.1.1）上可以ping通Server2（172.16.1.1）（證明可從北京總部訪問上海分部，VPN配置成功）</p><p>　　圖4.2 從PC0到Server2可ping通</p

69、><p>　　4.2 MPLS VPN方案的設(shè)計與實現(xiàn)</p><p>　　4.1.1 組網(wǎng)背景</p><p>　　某大型公司除了北京的主要分支點以外，在深圳也有分部。</p><p>　　客戶對信息系統(tǒng)的應(yīng)用相對于同行比較超前，目前，OA、郵件、語音等系統(tǒng)都己成為主要的應(yīng)用。OA、語音等系統(tǒng)需要實時的數(shù)據(jù)交換，而且數(shù)據(jù)的交換量較大，依靠原有的

70、網(wǎng)絡(luò)連接，經(jīng)常會帶來數(shù)據(jù)堵塞，速度太慢，系統(tǒng)不能真正的發(fā)揮效益。應(yīng)用超前、網(wǎng)絡(luò)接入的滯后，嚴重影響了系統(tǒng)應(yīng)用能力的提升。</p><p>　　隨著業(yè)務(wù)的不斷發(fā)展，客戶為改造現(xiàn)有語音數(shù)據(jù)綜合通信網(wǎng)絡(luò)并配合即將上馬的企業(yè)ERP系統(tǒng)的應(yīng)用，需要與多個分支機構(gòu)的業(yè)務(wù)點相互連接，建立一個單獨的靈活的符合企業(yè)運用要求的通達全球的數(shù)據(jù)通信網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，并能獲得優(yōu)良的網(wǎng)絡(luò)服務(wù)質(zhì)量保證。</p>

71、<p>　　由于MPLS VPN有與其它的實現(xiàn)技術(shù)有著成本低、靈活性和擴展性好、安全性高、支持QoS、適用于較大的企事業(yè)單位等諸多優(yōu)點，所以選擇MPLS作為VPN的實現(xiàn)技術(shù)。</p><p>　　4.2.2 網(wǎng)絡(luò)拓撲</p><p>　　圖4.3 MPSL VPN網(wǎng)絡(luò)拓撲圖</p><p>　　4.2.3 IP地址規(guī)劃</p><p&

72、gt;<b>　　見圖4.3。</b></p><p>　　4.2.4 關(guān)鍵配置代碼</p><p>　?。?）PE-A路由器配置</p><p>　　router id 192.168.255.2</p><p>　　mpls lsr id 192.168.255.2 //配置mpls lsr id此處用和rout

73、er id一致的Loopback地址</p><p><b>　　! </b></p><p>　　mpls ldp //啟動MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　ip vrf vpntest //配置vrf，其中vpntest為vrf名稱<

74、/p><p>　　rd 100:1 //rd為標識符，結(jié)構(gòu)為自治系統(tǒng)編號：VPN站點編號</p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　! </b></p><p&g

75、t;　　interface Ethernet2/2/0</p><p>　　description TO_Router-CE-A</p><p>　　ip vrf forwarding vpntest //VPN站點連接CE路由器接口啟動vrf forwarding </p><p>　　ip address 172.16.0.9 255.255.255.252

76、</p><p>　　interface Ethernet3/2/0</p><p>　　description TO_Router-NE80_P </p><p>　　ip address 192.168.0.17 255.255.255.252</p><p>　　mpls ldp enable //與P路由器連接的接口啟動MP

77、LS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface LoopBack7/0/0 </p><p>　　ip address 192.168.255.2 255.255.255.255</p><p><b>　　!</b></p><

78、p>　　router bgp 100 //配置BGP協(xié)議 </p><p><b>　　!</b></p><p>　　address-family ipv4 vrf vpntest //此模式為配置EBGP和CE路由器通過BGP協(xié)議來傳遞 VPN站點的路由</p><p>　　redistribute static</

79、p><p>　　redistribute connected</p><p>　　no synchronization</p><p>　　neighbor 172.16.0.10 remote-as 65000</p><p>　　exit-address-family </p><p><b>　　! <

80、;/b></p><p>　　address-family vpnv4 //此模式為配置vpnv4 iBGP路由，用于在PE之間傳播MBGP VPN路由</p><p>　　no synchronization </p><p>　　neighbor 192.168.255.1 remote-as 100</p><p>　　n

81、eighbor 192.168.255.1 next-hop-self</p><p>　　neighbor 192.168.255.1 update-source LoopBack7/0/0</p><p>　　exit-address-family</p><p><b>　　!</b></p><p>　　rout

82、er ospf //PE、P路由器路由通過IGP路由協(xié)議傳播</p><p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　?。?）配置NE8

83、0 作為P路由器只做標簽轉(zhuǎn)發(fā)</p><p>　　router id 192.168.255.3</p><p>　　mpls lsr id 192.168.255.3</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p&g

84、t;　　interface Ethernet1/0/1 </p><p>　　description TO_Router-PE-B</p><p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.14 255.255.255.252</p

85、><p>　　mpls ldp enable //與PE-B路由器連接的接口啟動MPLS LDP協(xié)議</p><p><b>　　!</b></p><p>　　interface Ethernet1/0/3 </p><p>　　description TO_Router-PE-A</p>

86、;<p>　　negotiation auto</p><p>　　no shutdown</p><p>　　ip address 192.168.0.18 255.255.255.252</p><p>　　mpls ldp enable //與PE-A路由器連接的接口啟動MPLS LDP協(xié)議</p><p>

87、<b>　　!</b></p><p>　　interface LoopBack0</p><p>　　ip address 192.168.255.3 255.255.255.255</p><p><b>　　!</b></p><p>　　router ospf</p><

88、p>　　network 192.168.0.0 0.0.255.255 area 0.0.0.0 </p><p>　　redistribute connected </p><p>　　redistribute static</p><p>　　（3）CE-A路由器配置（VPN用戶路由器）</p><p>　　router id

89、172.16.0.10</p><p>　　interface Ethernet0 //用于和PE-A路由器連接</p><p>　　speed auto</p><p>　　duplex auto</p><p>　　no loopback</p><p>　　ip address 172.16.0.10 2

90、55.255.255.252</p><p><b>　　!</b></p><p>　　interface Ethernet1 //接入VPN用戶局域網(wǎng)</p><p>　　speed auto</p><p>　　duplex auto </p><p>　　no loopback&l

91、t;/p><p>　　ip address 10.0.5.1 255.255.255.0</p><p><b>　　!</b></p><p>　　router bgp 65000 //配置EBGP路由，與PE路由器之間傳遞VPN用戶路由</p><p>　　redistribute static </p

92、><p>　　redistribute connected</p><p>　　neighbor 172.16.0.9 remote-as 100</p><p><b>　　!</b></p><p>　　（4）配置PE-B路由器，和CE-B之間通過靜態(tài)路由互聯(lián)</p><p>　　hostname

93、 PE-B</p><p>　　router id 192.168.255.1</p><p>　　mpls lsr id 192.168.255.1</p><p><b>　　mpls ldp</b></p><p><b>　　!</b></p><p>　　ip vr

94、f vpntest</p><p><b>　　rd 100:1</b></p><p>　　route-target export 100:1</p><p>　　route-target import 100:1</p><p><b>　　!</b></p><p>　

95、　interface Ethernet12/2/0 //用于和CE-B路由器連接 </p><p>　　ip vrf forwarding vpntest</p><p>　　ip address 172.16.0.5 255.255.255.252</p><p><b>　　!</b></p><p>　

96、　interface Ethernet13/2/0 //用于和P路由器連接 </p><p>　　ip address 192.168.0.13 255.255.255.252</p><p>　　mpls ldp enable</p><p><b>　　!</b></p><p>　　interface Loop

97、Back7/0/0 </p><p>　　ip address 192.168.255.1 255.255.255.255</p><p><b>　　!</b></p><p>　　router bgp 100</p><p><b>　　!</b></p><p>　　a

98、ddress-family ipv4 vrf vpntest</p><p>　　redistribute static</p><p>　　redistribute connected </p><p>　　no synchronization</p><p>　　exit-address-family</p><p&g

99、t;<b>　　!</b></p><p>　　address-family vpnv4</p><p>　　no synchronization</p><p>　　neighbor 192.168.255.2 remote-as 100</p><p>　　neighbor 192.168.255.2 next-ho

100、p-self</p><p>　　neighbor 192.168.255.2 update-source LoopBack7/0/0 </p><p>　　exit-address-family </p><p><b>　　!</b></p><p>　　router ospf</p><p>

101、;　　network 192.168.0.0 0.0.255.255 area 0.0.0.0</p><p>　　redistribute connected </p><p>　　redistribute static</p><p><b>　　!</b></p><p>　　ip route vrf vpnt

102、est 10.0.3.0 255.255.255.0 172.16.0.6 preference 60 //配置到CE-B路由器VPN用戶網(wǎng)段地址靜態(tài)路由</p><p>　?。?）配置CE-B路由器</p><p>　　interface Ethernet0 //與PE-B路由器對接</p><p>　　ip address 172.16

103、.0.6 255.255.255.252</p><p>　　interface Ethernet1 //接入VPN用戶局域網(wǎng)</p><p>　　ip address 10.0.3.1 255.255.255.0</p><p>　　ip route 0.0.0.0 0.0.0.0 172.16.0.5 preference 60 //配置一條默認路由&

104、lt;/p><p>　　5 IPSec VPN與MPLS VPN的對比分析</p><p>　　MPLS VPN是一種基于MPLS(Multiprotocol Label Switc hing,多協(xié)議標記交換 )技術(shù)的IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IP VPN），可用來構(gòu)造寬帶的Int

105、ranet、Extranet，滿足多種靈活的業(yè)務(wù)需求。</p><p>　　MPLS有很多方面的優(yōu)點，其中主要的優(yōu)點就是采用了類似標記交換和IP交換的方式，可以充分利用電信交換網(wǎng)絡(luò)的硬件優(yōu)勢，相對簡化轉(zhuǎn)發(fā)處理，提高IP包的轉(zhuǎn)發(fā)效率。</p><p>　　與IPSec VPN比較，MPLS VPN有它優(yōu)越的一方面，但也并非處處完美。下面從幾個方面對MPLS VPN與IPSEC VPN進行對比

106、。</p><p><b>　　1）系統(tǒng)的可靠性</b></p><p>　　MPLS VPN是基于電信的網(wǎng)絡(luò)進行構(gòu)建的，它的穩(wěn)定性相當高。由于本身屬于電信的一項數(shù)據(jù)業(yè)務(wù)，它的帶寬是完全有保證的，也就是說，租用MPLS鏈路，就能夠得到相應(yīng)的數(shù)據(jù)帶寬。</p><p>　　從可靠性來說，MPLS有很強的優(yōu)勢。相當于另外一種形式的專線。</p

107、><p>　　IPSec VPN是完全基于Internet構(gòu)建的，因此它的可靠性依賴于兩個方面：線路的可靠性和設(shè)備的穩(wěn)定性。</p><p>　　從設(shè)備可靠性來看，IPSEC作為主流的VPN協(xié)議，它的技術(shù)一般都比較完善。目前基于IPSec的VPN技術(shù)已經(jīng)成熟，很多產(chǎn)品的運行都能夠非常穩(wěn)定可靠。</p><p>　　目前Internet的接入已經(jīng)非常普及，由于長期的投入建

108、設(shè)，整個Internet線路已經(jīng)達到了很高的水平，不僅帶寬有保證，而且提供的接入方式多樣。一旦某一條線路出錯，可以使用其他備份線路接入Internet。因此單一線路可靠性雖然沒有MPLS高，由于隨時可以使用的其他線路作備份，因此系統(tǒng)具有很強的容錯能力。這一點，是MPLS鏈路無法達到的。</p><p><b>　　2）投入成本</b></p><p>　　從投入成本上

109、分析，MPLS可以免除設(shè)備投資，但是大多數(shù)情況下，用戶還是需要購買路由器之類的設(shè)備。</p><p>　　另外，MPLS長期的租金累計起來，也不是一個小數(shù)目， 例如512K的帶寬，每個月需要上千元到幾千元的網(wǎng)絡(luò)租用費，如果是國際鏈路，就會更加昂貴。</p><p>　　但同樣512K的Internet接入費用，以普通的ADSL為例，現(xiàn)在在大多數(shù)城市只需要100～200元左右。采用IPSec

110、 VPN，一次性設(shè)備投入比較大。但從長遠看來，費用分攤以后，那么它的費用實際是比MPLS VPN要低很多。</p><p><b>　　3）接入方便性</b></p><p>　　MPLS VPN連接比較簡單，只要求客戶把客戶設(shè)備(CE) 連接到運營商的網(wǎng)絡(luò)邊緣設(shè)備(PE)就可以了，運營商同時負責(zé)二層的數(shù)據(jù)傳輸工作和三層的路由工作，這種三層MPLS VPN對客戶的要求

111、比較低，客戶負擔(dān)較小，但這種做法常見的問題就是接入的靈活性。因為MPLS VPN是單一運營商提供的，跨運營商的連接常常存在很大問題，例如：聯(lián)通提供的MPLS服務(wù)和電信提供的MPLS，彼此就很難連接。而大型客戶往往在全國各地都有自己的分支機構(gòu)，如果寄希望這些分支機構(gòu)所在城市都有同一家運營商并且都提供MPLS VPN的服務(wù)，顯然很不現(xiàn)實，特別是在偏遠地區(qū)和移動用戶。因此MPLS更適合在城域網(wǎng)中，或者象中國電信這樣大型的全國性的運營商中使用。

112、</p><p>　　IPSec VPN則是完全利用互聯(lián)網(wǎng)，做到了只要接入Internet，就可以利用IPSEC VPN來組建企業(yè)自己的網(wǎng)絡(luò)。其屬于端到端服務(wù)，不需要骨干網(wǎng)絡(luò)承擔(dān)業(yè)務(wù)相關(guān)功能。響應(yīng)市場變化的速度快捷，可以在現(xiàn)有的任何IP網(wǎng)絡(luò)上部署。用戶可在任意位置使用。隨著電信“最后一公里”技術(shù)的實現(xiàn)，Internet真的做到了無處不在。利用Internet的資源，采用IPSEC VPN技術(shù)可以非常方便地在全球范

113、圍內(nèi)，組建企業(yè)的虛擬專網(wǎng)。</p><p>　　隨著業(yè)務(wù)的不斷發(fā)展，移動用戶和在家辦公的用戶也越來越多，VPN客戶端的支持也非常重要，使用IPSec客戶端可以讓移動用戶隨時隨地都能夠跟企業(yè)內(nèi)部進行信息交換。這一點MPLS VPN顯然是做不到的。</p><p><b>　　4）安全性</b></p><p>　　MPLS VPN采用路由隔離、地

114、址隔離等多種手段提供了抗攻擊和標記欺騙的手段，因此人們認為，MPLS VPN完全能夠提供與FR/ATM 相類似的線路安全保證。 </p><p>　　但是MPLS VPN也沒有解決所有管理型的共享網(wǎng)絡(luò)普遍存在的非法訪問受保護的網(wǎng)絡(luò)元、錯誤配置以及內(nèi)部(包括核心)攻擊等安全問題。例如在MPLS VPN傳遞數(shù)據(jù)，只是標記了端點路由，對數(shù)據(jù)本身并不提供加密的防護手段。因此MPLS VPN的安全性一般。</p>