數(shù)據(jù)業(yè)務(wù)正蓬勃發(fā)展，相關(guān)的網(wǎng)絡(luò)技術(shù)也不斷推陳岀新。作為一個(gè)企業(yè)，如 何在五花八門的組網(wǎng)技術(shù)中選擇最適合自己需求的技術(shù)至關(guān)重要。這樣就要求企業(yè)的技術(shù)人員要了解各種組網(wǎng)技術(shù)的優(yōu)缺點(diǎn)。目前提供企業(yè)網(wǎng)互聯(lián)業(yè)務(wù)的專線 市場主要是由基于DDN、幀中繼(FR), AIM等傳統(tǒng)專線技術(shù)的構(gòu)成。但隨著MPLS VPN新技術(shù)的推出，一些ISP相繼開始提供商業(yè)MPLS VPN服務(wù)，也有一些企業(yè)已經(jīng)開始考慮將MPLS VPN作為組網(wǎng)的選擇。

雖然MPLS VPN在國內(nèi)起步，但支持者認(rèn)為MPLS VPN將給企業(yè)網(wǎng)領(lǐng)域帶來一場無與倫比的革命，并且將構(gòu)筑出下一代企業(yè)網(wǎng)的雛形，甚至業(yè)內(nèi)有了不少關(guān)于MPLS將取代SDH、FR成為多服務(wù)基礎(chǔ)設(shè)施核心的討論。我們通過深入研究MPLS VPN技術(shù)特點(diǎn)，對傳統(tǒng)專線技術(shù)與MPLS VPN技術(shù)的利與弊進(jìn)行全面比較，說明為什么目前的MPLS VPN技術(shù)更能滿足企業(yè)組建一個(gè)安全可靠穩(wěn)定的專網(wǎng)。
 
網(wǎng)絡(luò)技術(shù)不斷涌現(xiàn)，數(shù)據(jù)業(yè)務(wù)的快速發(fā)展。作為一個(gè)企業(yè)，如何選擇最適合他們需要的是必不可少的多種網(wǎng)絡(luò)技術(shù)。這就對網(wǎng)絡(luò)構(gòu)建者提出了新的要求，必須要了解各種網(wǎng)絡(luò)技術(shù)的優(yōu)點(diǎn)和缺點(diǎn)。目前提供互聯(lián)網(wǎng)服務(wù)的企業(yè)網(wǎng)絡(luò)市場主要 是由傳統(tǒng)電路租用的方式架構(gòu)網(wǎng)絡(luò)環(huán)境，根據(jù)幀中繼、ATM等方式。

隨著新技術(shù)推陳岀新，ISP們陸續(xù)開始提供商業(yè)網(wǎng)絡(luò)服務(wù)，用戶群體也開始考慮構(gòu)建一個(gè)可擴(kuò)展的虛擬專用網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)在全球的擴(kuò)張，很多人認(rèn)為，這種組網(wǎng)模式會給跨域公司的企業(yè)網(wǎng)絡(luò)帶來了前所未有的革命，并將建立下一代網(wǎng)絡(luò)企業(yè)網(wǎng)絡(luò)的雛形，進(jìn)而以往的技術(shù)將被替代，VPN成為討論的核心服務(wù)基礎(chǔ)設(shè)施。深入研究網(wǎng)絡(luò)技術(shù)的特點(diǎn)，優(yōu)點(diǎn)和缺點(diǎn)傳統(tǒng)租用線路和網(wǎng)絡(luò)技術(shù)進(jìn)行了全面的比較表明為什么目前的網(wǎng)絡(luò)技術(shù)更好地滿足企業(yè)建立一個(gè)安全、可靠和穩(wěn)定的私人網(wǎng)絡(luò)。

安全性比較。傳統(tǒng)的網(wǎng)絡(luò)安全保障的特征是基于封閉用戶組。它沒有顯現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的互聯(lián)網(wǎng)服務(wù)供應(yīng)商的用戶，僅提供透傳通路，并因此限制了用戶側(cè)的分區(qū)攻擊（DOS 攻擊）。MPLS-VPN網(wǎng)絡(luò)中，地址空間是完全獨(dú)立的，是不會向外部世界公開任何 不必要的信息，包括它的用戶，這將使網(wǎng)絡(luò)攻擊變得非常困難，從一個(gè)VPN攻擊其他網(wǎng)絡(luò)或核心網(wǎng)絡(luò)，幾乎是不可能的。

在網(wǎng)絡(luò)中，數(shù)據(jù)包轉(zhuǎn)發(fā)是基于標(biāo)簽?zāi)Ｊ?附在PE路由器，而不是目標(biāo)的地址。PE路由器不能接受一個(gè)數(shù)據(jù)包從CE路由器，任何帶有標(biāo)記的數(shù)據(jù)包將被丟棄，因此，在網(wǎng)絡(luò)中的攻擊，通過標(biāo)記欺騙的是不可能的。但是發(fā)送到核心網(wǎng)絡(luò)數(shù)據(jù)包的端口地址，仍有可能被欺騙，然而由于每個(gè)VPN都有獨(dú)有的VRF,并且PE路由器相對獨(dú)立，因此，這種攻擊只會影響 源發(fā)欺騙的地址，并沒有增加任何風(fēng)險(xiǎn)。

MPLS VPN網(wǎng)絡(luò)的安全性由于傳統(tǒng)的組網(wǎng)模式。路由隔離技術(shù)被應(yīng)用于MPLS VPN組網(wǎng)，同時(shí)應(yīng)用了地址分離和信息隱藏和其他手段，提供了抗攻擊和標(biāo)記欺騙的手段，通過研究，我們發(fā)現(xiàn)MPLS網(wǎng)絡(luò)可以提供與幀中繼，SDH, ATM等同的 安全保證能力。基本上全部共享網(wǎng)絡(luò)普遍存在的非法訪問受保護(hù)的網(wǎng)元、配置異常以及核心攻擊等安全隱患，在MPLS VPN網(wǎng)絡(luò)中也得到了一定程度的解決。

因此骨干網(wǎng)絡(luò)沒有維護(hù)任何VPN路由的職責(zé)，它僅通過標(biāo)簽交換，就可以達(dá)到與二層的SDH技術(shù)相當(dāng)?shù)陌踩?。各VPN路由在邊緣PE路由器上通過VRF隔離——從一個(gè)VPN將不被允許也不會發(fā)生入侵另一個(gè)VPN或者核心的現(xiàn)象,這使得MPLS VPN在一定意義上超越了傳統(tǒng)組網(wǎng)模式。

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。

 

更多相關(guān)內(nèi)容推薦：
MPLS組網(wǎng)方案
MPLS的概念是什么？