简单来说,IPSEC是一种协议,或者说是一个框架。基于该安全协议实现远程接入,即为IPSEC 。
优势:IPSEC 的应用历时悠久,技术和相应的设备也都很成熟同时,其利用对称、非对称密钥和摘要算法,再配合身份认证、加密、完整性校验等手段,能够在较大程度上保障安全性。
劣势:由于IPSEC 需要在互联网环境中创建加密虚拟隧道,因此其网络质量和稳定性不可控同时也由于其穿越了互联网,因此存在被旁路监听的风险。
方案2:SDH专线
SDH即Synchronous Digital Hierarchy(同步数字体系)专线,也叫数字专线,目前各大运营商针对企业组网所提供的主要业务产品。
SDH基本等同于利用光纤直连两个分支机构(当然在实际应用中,中间链路多为运营商提供,且存在复用的情况)。示意图如下:
优势:网络质量稳定、部署简单、技术成熟、维护成本低、安全性高
劣势:如中心点出现问题,将影响分支间的互访而如果希望增加冗余度,可选择在分支机构之间也部署专线,但势必会增加成本。
方案3:MPLS
技术原理:MPLS 采纳了ATM(Asynchronous Transfer Mode,异步传输模式)的VPI(Virtual Path Identifier,虚路径标识符)/VCI(Virtual Channel Identifier,虚通道标识符)交换思想,综合了IP路由技术和二层交换的两种优点。IP网络本是面向无连接的网络,但在MPLS 网络中,路由信息由IGP(Interior Gateway Protocol,内部网关协议)、BGP(Border Gateway Protocol,边界网关协议)等路由协议进行收集并生成路由表,而后为特定的路由表项添加标签,这就增加了面向连接的属性,在某种程度上提供了QoS保证,满足不同类型服务的QoS要求。
架构组成:典型的MPLS 网络中包含以下3种类型的网元
(1)PE:服务提供商边缘路由器,与用户的CE设备直连。PE负责管理用户,建立LSP连接,创建和管理VRF(Virtual Routing Forwarding,路由转发表)。
(2)P:服务提供商网络中的骨干路由器,不与CE直连,只需具备MPLS标签数据包转发能力,根据外层标签进行报文转发,不参与用户的添加删除和VRF表项的创建维护工作。
(3)CE:用户网络边缘设备,与服务提供商的PE设备直连,负责将本地路由发布到PE设备上,但CE无须支持MPLS,也感知不到的存在。
从图中可以看出来,MPLS-模式下,各分支见并非直连,也没有所谓的中心分支节点,而是全部就近接入到POP节点,从而打通到MPLS骨干网的链路。
优点:
分支节点就近接入,节约本地专线费用,避免因跨地区、跨运营商等网络不稳定因素
地址隔离和路由隔离能够抵抗黑客攻击及标记欺骗
设备接入方面相对便捷,客户只需将CE设备连接到运营商的网络边缘设备即可
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)