通信互联网技术考试IPSecVPN与MPLSVPN的比较[2]

另一个考虑是CPE设备，一个供应商需要确保所有的CPE之间能够兼容。最简单的方案是在每个位置使用同一种CPE设备。但这并不总是可行的。在许多场合中，用户打算重用自己的CPE.对于DSL,同一种CPE设备并没有在所有不同的CLEC设备之间进行过测试。

虽然兼容性目前不是个大问题。但在使用IPSec协议时仍需要考虑。

对于IPSecVPN来说，配置将成为问题，供应商必须配置好每个IPSec隧道。配置单一的一个IPSec隧道不成问题。但网络节点数量增大时，就会产生问题。在建立全网状的布局时，情况最糟，上例中，配置一个由21个节点组成的网络需费时数天。对于服务供应商来说，

曰常维护的难度也很大。

安全性也是需要考虑的。每个CPE可以连接到公共的Internet,并且依赖IPSec隧道来进行站点间的数据传输。这样，每个CPE设备都必须采取诸如防火墙这样的安全措施，以便保护每个位置的安全。每个防火墙需要对供应商开放，以便访问有关设备，这本身将是个安全隐患。当网络规模增大时，管理每个防火墙将变得很困难。例如，带有100个节点的VPN,需要100个防火墙。一旦每次需要修改防火墙策略时，该VPN中的所有100个防火墙都要重新设置。

与IPSecVPN不同，MPLSVPN不依靠封装和加密技术，MPLSVPN依靠转发表和数据包的标记来创建一个安全的VPN。

MPLSVPN中，客户站点运行的是IP.它们并不需要MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中，路由识别器对应同每个客户站点的连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路、DSL等这样的物理连接。路由识别器在PE路由器中被配置，是设置VPN站点工作的一部分，它并不在客户设备上进行配置，对于客户来说是透明的。

每个MPLSVPN具有自己的路由表，这样客户可以重叠使用地址且互不影响。对用RFC1918建议进行寻址的多种客户来说，上述特点很有用处。例如，任何数量的客户都可以在其MPLSVPN中，使用地址为10.X.X.X的网络。MPLSVPN的一个最大的优点是CPE设备不需要智能化。因为所有的VPN功能是在核心网络中实现的，且对CPE是透明的。CPE并不需要理解VPN,同时也不需要支持IPSec.这意味着客户可以使用价格便宜的CPE,或者甚至可以继续使用己有的CPE。

时延被降到最低，这是因为数据包不再经过封装或者加密。加密之所以不再需要，是因为MPLSVPN可以创建一个专用网，它同帧中继网络具备的安全性很相似。因为不需要隧道，所以要创建一个全网状的VPN也将变得很容易。事实上，缺省的配置是全网状布局。站点直接连到PE,之后可以到达VPN中的任何其他站点。如果不能连通到中心站点，远程站点之间仍然能够相互通信。

配置MPLSVPN网络的设备也变得容易了，仅需配置核心网络，不需访问CPE一旦配置好一个站点，在配置其他站点时无需重新配置。因为添加新的站点时，仅需改变所连到的PE的配置。

在MPLSVPN中，安全性可以得到容易地实现。一个封闭的VPN具有内在的安全性，因为它不与Public Internet相连。如果需要访问Internet,则可以建立一个通道，在该通道上，可放置一个防火墙，这样就对整个VPN提供安全的连接。管理起来也很容易，因为对于整个VPN来说，只需要维护一种安全策略。

MPLSVPN的另一个好处是对于一个远程站点，仅需要一个连接即可。例如，带有一个中心站点和10个远程站点的传统帧中继网，每个远程站点需要一个帧中继PVC（一直性虚电路），即需要10个PVC.而在MPLSVPN中，仅需要在中心站点位置建立一个PVC,这就降低了网络的成本。

返回目录：通信工程师考试培训互联网技术重点汇总

编辑相关推荐：

初级通信工程师考试电信网概述汇总

2013年通信工程师考试学习在线辅导

通信考试终端与业务通信员工职业规范

通信专业实务互联网技术数据通信基础教程

互联网技术考试局域网和城域网汇总

[1]  [2]