通信互联网技术考试IPSecVPN与MPLSVPN的比较[1]

点击通信工程师考试在线辅导招生

点击通信工程师专业培训面授班招生

点击阅读2013年通信工程师考试大纲

点击了解2013年通信工程师考试指定教材

通信工程师报名及通信工程师成绩查询专题

2012年全国初级中级通信工程师考试成绩查询

5.6.3 IPSecVPN与MPLSVPN的比较

VPN的服务目的就是在共享的基础公共网络上向用户提供网络连接，不仅如此，VPN连接应使得用户获得等同于专有网络的通信体验》合理和实用的VPN解决方案应能抗拒非法入侵，防范网络阻塞，而且应能安全、及时地交付用户的重要数据。在实现这些功能的同时，VPN还应该具有良好的可管理性。综上所述，VPN的基本属性分成了5个类别（见表5-8）。

MTU定义了在连接中传输的数据包的最大长度。如果一个数据包的长度超过了MTU值，只要DF位（不分割位）未被置位，该数据包将会被分割成两个长度更小的数据包。如果DF位被置位，该数据包将被丢弃，并发送一条ICMP信息给数据包的发送源端。一旦该数据包到达了CPEB端，它将被解封和解密，此处又增加了延迟时间。最后，CPEB把该数据包转发到计算机B。

总的延迟时间取决于所涉及的CPE的个数。低端的CPE设备通常用软件实现所有的IPsec功能，因而其速度最慢。价格贵些的CPE用硬件实现IPsec功能。一般来说，性能越好，其价格越贵。

从上述例子中可以容易了解到IPSecVPN是网络的一种覆盖类型。它位于另一种IP网络的上层。由于是一种覆盖，在每个站点之间必须建立一个隧道，这就导致了网络的低效。下面介绍两种网络布局结构：中心辐射布局和全网络布局。

中心辐射布局由一个中心站点同许多远程站点相连。这是IPSec网的最实用的布局。位于中心站点位置的CPE通常非常昂贵，其价格同相连的远程站点的数目有关。每个远程站点建立同中心站点相连的IPSec隧道。如果有20个远程站点，就会建立20个到中心站点的IPSec隧道。

该模式对于远程到远程之间的通信不是最优的。任何数据包，如果从一个远程站点发送到另外一个远程站点，需要先通过中心站点，需要中心站点实现解封、解密、判定转发路径、加密、封装等一系列步骤。这对于在远程站点中已经进行的封装/加密工作来说，是多余的。

实际上，数据包经过两个IPSec隧道的传输，延迟时间大大地增加了，超过了两个站点之间直接通信时数据包的延迟时间。

显然，解决这个问题的方案是建立一个全网状布局。但该类型的布局存在不少缺点。最大的缺点是可扩充性。对于全网状IPSec网络，需要支持的隧道的数量随着站点的数目呈几何级数增加。例如，对于一个21个站点构成的全网状布局网络（一个中心站点和20个远程站点），需要建立210个IPSec隧道。每个站点需要配置能够处理20个IPSec隧道的CPE,

这意味着每个站点需要价格更为昂贵的CPE设备。从某种意义上讲，建立一个全网状布局是不现实的。想象一下由100个站点组成的VPN,它将需要建立4950个隧道。

[1]  [2]