‍

MPLS与IPSEC VPN：哪一种适合您

对于企业来说，虚拟专用网络是至关重要的要求，因为它们将关键任务和敏感的流量分配到远程位置。越来越多的客户正在寻找确保流量安全并将企业范围扩展到地理位置分散的机制。IPSEC已经存在了很长一段时间，并且由大多数服务提供商提供，作为一种将Internet上的流量通过隧道传输到提供商不存在的区域的机制。MPLS本身已经存在了好几年，但是现在正被服务提供商广泛部署。本文将研究IPSEC和MPLS之间的异同，并提供有关何时应在另一种上使用的见解。

VPN的目标是通过共享基础结构提供连接，该连接既安全又具有成本效益，可作为专用私有网络(如帧中继或ATM)使用。另外，VPN解决方案必须是可扩展的，高度可用的并且易于管理。所需的其他功能可能是服务质量。

IPSEC在IP层提供数据包的安全传输，包括数据包的身份验证和加密。这是通过使用身份验证标头(AH)和封装IPSEC协议的安全性有效载荷(ESP)功能来完成的。IPSEC利用所谓的传输和隧道模式。两者之间的区别在于，在传输模式下，仅对IP有效负载进行加密，而在隧道模式下，对整个IP数据报进行加密。

MPLS还在IP层上提供数据包的安全传输。但是，MPLS VPN没有提供固有的加密功能。客户的流量通过虚拟隧道(称为标签交换路径)进行处理。客户必须依靠服务提供商来确保数据是安全的，并且对于共享同一基础结构的其他客户不可见。

这些技术中的每一种都允许客户通过共享的IP基础结构提供到远程分散位置的连接。尽管IPSEC确实提供了加密和身份验证，但是在性能上存在折衷。IPSEC隧道可以起源于路由器本身，也可以卸载到舷外集中器。当IPSEC隧道起源于路由器时，会对路由器的性能产生重大影响。在选择将启动IPSEC隧道的路由平台时，必须考虑到这一点。除了对性能的影响外，还会在IP云中配置，维护和管理IPSEC隧道带来额外的管理开销。在大型IPSEC部署中，IPSEC密钥分发，密钥管理和对等配置可能会变得过于复杂。

另一方面，MPLS为IP主干提供了一个通用接口，该主干通过IP云处理虚拟隧道设置。对边缘路由器没有性能影响，实际上任何通用路由器都可以在边缘使用。MPLS骨干网的安全性限制是许多企业客户普遍关心的问题，但迄今为止，尚未在MPLS核心中看到安全性缺陷。MPLS的一个重大缺点是，提供者如果不与其他提供者的MPLS产品建立伙伴关系就无法提供MPLS服务。

大多数提供商向位于其足迹之外的客户提供IPSEC隧道。对边缘路由器没有性能影响，实际上任何通用路由器都可以在边缘使用。MPLS骨干网的安全性限制是许多企业客户普遍关心的问题，但迄今为止，尚未在MPLS核心中看到安全性缺陷。MPLS的一个重大缺点是，提供者如果不与其他提供者的MPLS产品建立伙伴关系，就无法在区域外提供MPLS服务(这是可能的，但难以部署)。大多数提供商向位于其足迹之外的客户提供IPSEC隧道。对边缘路由器没有性能影响，实际上任何通用路由器都可以在边缘使用。

MPLS骨干网的安全性限制是许多企业客户普遍关心的问题，但迄今为止，尚未在MPLS核心中看到安全性缺陷。

MPLS的一个重大缺点是，提供者如果不与其他提供者的MPLS产品建立伙伴关系，就无法在区域外提供MPLS服务(这是可能的，但难以部署)。大多数提供商向位于其足迹之外的客户提供IPSEC隧道。MPLS的一个重大缺点是，提供者如果不与其他提供者的MPLS产品建立伙伴关系就无法提供MPLS服务。大多数提供商向位于其足迹之外的客户提供IPSEC隧道。MPLS的一个重大缺点是，提供者如果不与其他提供者的MPLS产品建立伙伴关系就无法提供MPLS服务。大多数提供商向位于其足迹之外的客户提供IPSEC隧道。

总之，MPLS和IPSEC VPN提供了许多相同的功能。是否使用MPLS或IPSEC VPN的选择取决于部署的规模以及提供服务的提供商的范围。管理和成本是必须评估的重要因素。通常，如果大客户选择MPLS，则IPSEC可能会用于扩展范围。如果需要加密，则MPLS不是可行的选择。