如何選擇你所需的×××產品

 

對於那些跨地區的單位來講，長期面臨着如何組建本身的廣域網的問題。傳統的專線接入方式經濟與維護負擔過大。所以，這些單位不約而同的將眼光放在了×××技術上。目前，流行着兩種既各具特色又具備必定互補性的×××架構，這兩種×××就是基於IPSec 的×××和採用MPLS（Multiprotocol Label Switching，多協議標記交換）技術的×××。這其中IPSec ××× 因爲發展的時間比較長，技術也較爲成熟，因此市面上基於此技術的×××產品較爲常見。但因爲各家產品互有優劣，服務水平也參差不齊，使得用戶在部署×××時難以抉擇。

 

在選擇IPSec ×××產品時，結合用戶自身的需求以及經濟實力。最主要應從如下幾個方面考慮：

 

1、性能：

 

一、新建隧道數

新建隧道數的高低是反映IPSec ××× 產品性能的一個重要指標。

 

二、加解密速度

這是影響×××產品性能的最主要因素，一般它的表現形式爲×××通道的吞吐量。性能較高的千兆產品吞吐量能夠達到5~6G。

 

三、×××通道數目

×××通道數目最主要與用戶的網絡規模相關，用戶在考慮擴展的前提下，能夠選擇合適的數目，以節約成本。

 

2、功能：

 

一、×××產品的互通

這是IPSec ×××產品目前存在的最大的問題，因爲沒有統一的官方機構制定標準，各個廠家的產品實現方式各有不一樣，因此互通也無從談起。這就形成了用戶在購買一家的產品後，沒法再使用其它家產品，對於用戶的網絡擴充帶來極大的不便。因此在選擇×××產品時，要關注其支持的加密算法種類以及認證方式。目前，經常使用的加密算法種類有：DES、3DES、AES、CAST、Blowfish以及國密辦認證的硬件加密卡；經常使用的認證方式爲：共享密鑰、RSA、X.509證書等。

 

二、×××穿越NAT

若是×××產品是放在NAT網關以後，用戶就必須選擇可以穿越NAT的×××產品。目前，大多數的產品穿越NAT使用的都是UDP封裝數據包的方法。

 

三、動態IP對動態IP的×××

隨着ADSL產品的普及，不少單位在分支機構間選用了PPPoE這種撥號上網的方式。因爲撥號上網是動態得到IP，就給×××通道的創建帶來問題。目前經常使用的技術有兩種：1、經過自有的×××控制協議實現。2、經過中間靜態結點週轉。

 

四、×××通道自動檢測

若是×××通道的中間鏈路出現問題，×××產品必需支持自動檢測通道、自動創建、恢復通道的功能。

 

五、QoS

用戶會利用×××開展各類業務，因爲帶寬所限，不一樣的任務就會有不一樣的優先級。同時，某些業務必須保證明時性，這樣用戶就對×××中的QoS有了具體的需求。

 

3、易用性：

 

一、 配置簡單化

因爲IPSec協議自己比較複雜，因此配置IPSec ×××通常都比較繁鎖，須要有專門的技術人員來實施。用戶在選擇時，儘可能挑選配置較爲簡單的產品，爲×××的實施以及維護帶來便利。

 

二、診斷快速化

    在×××的實施過程當中，常常會遇到各類各樣的問題。這就須要×××產品有很好的診斷方法或工具。

 

三、自有的×××客戶端

通常的廠商在出售×××設備時，每每都會配有自已開發的×××客戶端。爲移動遠程用戶的×××接入帶來便利。

 

IPSec ×××雖然具備不少優勢，但它也並不是無懈可擊。因爲加解密以及×××通道協商過程的存在，嚴重的影響了×××的性能。雖然特有的硬件加速設備能夠減輕這一影響，但又勢必形成成本的增長，並且不必定能達到理想的效果。同時，因爲IPSec ×××是利用公衆網創建私有網，不免會受到***的***。

 

同IPSec ×××不一樣，MPLS ×××不依靠封裝和加密技術，MPLS ×××依靠轉發表和數據包的標記來建立一個安全的×××。目前，中國網通已經在全國範圍內開展了這項業務。

 

MPLS的運做原理是提供每一個IP數據包一個標記，並由此決定數據包的路徑以及優先級。與MPLS兼容的路由器在將數據包轉送到其路徑前，僅讀取數據包標記，無須讀取每一個數據包的IP地址以及標頭（所以網絡速度便會加快），而後將所傳送的數據包置於Frame Relay或ATM的虛擬電路上，並迅速將數據包傳送至終點的路由器，進而減小數據包的延遲，同時由Frame Relay及ATM交換器所提供的QoS對所傳送的數據包加以分級，於是大幅提高網絡服務品質，並提供更多樣化的服務。下圖爲MPLS ×××的實現示意圖。

 

 

MPLS ×××只要求用戶把它們的客戶設備(CE)簡單地鏈接到運營商的網絡邊緣設備(PE)就能夠了，運營商同時負責二層的數據傳輸工做和三層的路由工做，這種三層MPLS ×××對客戶的要求比較低，客戶負擔較小，但這種作法的問題之一是常見的可擴展性問題。若是運營商把這種業務看做替代全部形式的零售傳輸業務，如Frame Relay PVC,ATM PVC甚至T1租用線的×××，那麼毫無疑問，運營商必須考慮到可能鏈接成百或甚至上千個×××客戶的PE路由器的可擴展性問題。由於運營商負責×××客戶的路由，運營商的×××路由系統把每一個×××客戶的完整路由信息都抽取到每一個PE路由器中，同時客戶則不會作路由聚合來幫助運營商減輕PE的負擔。所以在這種×××中，運營商PE路由器的負擔可能會比較重，PE路由表的規模是一個很現實的問題。同時，不一樣的運營商之間的MPLS ×××目前還不能互通，這對於MPLS ×××的普及也極爲不利。

 

綜上所述，IPSec ×××與MPLS ×××各有千秋，同時還具有互補性。因爲MPLS ×××仍是個新興技術，基於多種緣由，在至關長的時間裏，MPLS ×××還不能徹底取代IPSec ×××，但MPLS ×××應該是×××技術發展的趨勢。在短時間內最可能出現的狀況是IPSec ×××和MPLS ×××這兩種IP ×××技術有機地組合在起來，發揮各自的優勢，更好的爲用戶提供安全可靠的×××服務。