您好,欢迎访问山东渔翁信息技术股份有限公司官方网站
渔翁信息

专注密码硬件研发生产定制

咨询热线: 400-6686-188

产品中心

热门产品

联系我们

咨询热线:400-6686-188

市场合作:孙经理:13806311977

售后服务:房经理:0631-5651692

邮箱:support@fisherman-it.com

地址:济南市高新区齐鲁软件园F座

新闻中心 您的位置:首页 > 新闻中心 >

VPN网络演进

文章出处:渔翁信息作者:渔翁信息人气:发表时间:2019-03-14 16:36


1.演进的前提与必要性

随着宽带网络的发展,企业级用户这一新的宽带客户资源,将成为运营商最激烈的争抢对象。宽带商务时代,最重要的不是能为企业提供多快多好的宽带,而在于怎样用宽带来提升企业竞争力,尽现宽带快捷、方便的优势。因此网络质量将成为电信运营商留住客户的硬伤。

传统VPN在实现VPN扩展性、安全性、管理和维护、QoS保证和流量工程等方面有明显的先天不足,不能充分地满足客户需要。因此,急需对它进行改造、升级。

为了解决以上一些问题,MPLS VPN就出现了。它不仅弥补了传统IP网络、帧中继和ATM网络的劣势,还具备了信息传输安全性、实时性、宽频带、方便性和较低建设成本的优点,能很好地适应用户对VPN业务的需求。从网络层次上看,它可分为基于MPLS的二层VPN,即MPLS L2 VPN和基于MPLS的三层VPN,即MPLS L3 VPN。

另外,在网络演进的过程中,要综合考虑多种VPN方案相结合,为用户给出更好的、满足要求的VPN解决方案。

2.演进的成本与代价

网络的成本主要体现为部署成本和运营成本。MPLS L2 VPN不仅对PE的要求比较简单,且在PE之间无需运行BGP协议;即使对跨域的MPLS L2 VPN,用BGP做跨域标签分配工具比单纯用LDP更易实现,有更好的网络扩展性。因此,MPLS L2 VPN网络部署较容易,从而部署成本较低。

由于MPLS L2 VPN网络管理和维护比较容易,对运营管理与维护人员的技术要求也较低,因而MPLS L2 VPN网络的运营管理与维护成本都较低。

3.演进的目标与方向

由于MPLS L3 VPN的实现机制问题,其网络的运营管理和维护及运营商边界路由器要存储许多客户路由信息引起的扩展性问题等,导致了MPLS L3 VPN的网络部署难度和成本、运营成本都相对更高。为此,虽然IETF不断地提升了MPLS L3 VPN,但在如今技术与网络条件都不完备的情况下,MPLS L3 VPN的应用只能定位在中小企业VPN用户,否则将大大增加运营商的投资风险。

相反,MPLS L2 VPN的优越性能使其为了VPN技术的新亮点。MPLS L2 VPN不仅能避免VPN网络已有的性能问题,从而达到电信运营商的业务需求,而且具备对现有网络设备的兼容性和向下一代VPN网络演进的先进性。可以预见,随着其技术的快速成熟和标准的确定,MPLS L2 VPN技术一定会成为未来VPN技术的主流。

MPLS L2 VPN技术体现了将来构建VPN网络技术的发展方向,是基于MPLS的二层组网技术把二层交换的高效性与三层路由的灵活性有机结合的产物。它的优越技术特征和广泛的应用优势使运营商可对市场需求做出快速、灵活的反应,从而大大降低了运营商的投资风险。

PLS L2 VPN不仅能满足当前电信运营商需求的现实性,且有随业务发展而演进的先进性。由于如今MPLS还未遇到竞争技术,因此,MPLS L2 VPN是电信运营商已有VPN网络向下一代演进最合理的选择。

另外在隧道协议方面,如今主流为IPSec VPN与和SSL VPN技术,但是这两种技术也有不足,所以业界厂商也在考虑开发新的加密隧道技术,结合IPSec VPN和SSL VPN的优点,提高VPN传送数据的安全性。

第一代SSL VPN以Check Point为代表(主要在Nokia产品中),其安全程度、传输效率、防火墙/代理服务的穿透能力、移动方便性都胜出了传统的IPSec VPN,大有代替IPSec之势,然而,从本质来说,这一种SSL VPN是根本无法代替IPSec的,首先,它只能加密某些特定的应用,并不能从根本上对整个操作系统的通信加密;其次,目前这一代SSL VPN只对Web应用有效,而大多数企业应用并不在Web上。通常情况下,当应用第一代的SSL VPN时,可不用安装相应的客户软件,这样省了安装软件的麻烦,但也增加了对应用的支持特性不足。为什么不改良并开发有Mini client客户端的SSL VPN软件以充分增强其在Gate Way-Gate Way方式应用的特性且用IPSec的优良特性呢?

日前,有专家预测了新一代SSL VPN的发展趋势,且叫它为第二代SSL VPN。该SSL VPN保留第一代的各种优点,弥补SSL VPN的不足之处。其原理是在第一代SSL VPN加入IPSec的一些设计优点,采用虚拟网络设备技术在Socket层(IPSec是在网络层)拦截,并通过SSL加密隧道发至对方,并解密和还原。其优点是在Socket层工作且用SSL加密认证传输,所以效率明显比IPSec高,也克服了第一代SSL VPN不能对整个操作系统的通信加密认证的缺点。同时也能兼容各种非Web应用程序,且没有VPN和防火墙/代理服务器的矛盾了。

因为结合了IPSec与SSL两者优秀的特性,能看到此SSL VPN可实现更多优良特性,包括任何B/S、C/S方式的应用都可无障碍地运行于安全的保护之中;支持更多的操作系统,Mini Client甚至可被装入PDA中,以确保移动应用安全;更高的安全特性,用SSL加密/认证及传输,保证每个节点本身的安全/健壮特性,端点的安全性得以增强;权限集中管理并统一下发;安全穿透防火墙代理服务器等,提供无障碍的远程访问连接;降低企业内部防病毒等方面的隐性威胁;Gate Way-Gateway方式的安全通信因为Mini client的使用也得到了充分的发挥。

下一篇:qos业务模型 上一篇:MPLS VPN的发展趋势
  1. 一键分享到

返回顶部