VPN(Virtual Private Network，虛擬專用網)是指將在物理上分布于不同區域的網絡通過公用骨干網絡連接成的邏輯上的虛擬子網，它采用數據加密技術、身份認證技術、隧道技術和密鑰管理技術等關鍵技術實施通信保護，防止通信信息被泄露、篡改和復制。

　　當前，隨著VPN技術的日趨成熟，已經有越來越多的企業和機構采用VPN技術來構建自己的虛擬專用網絡以達到靈活擴展自身內部網絡、連接跨區域分支網絡等目的。與傳統的物理專用網絡相比，VPN具有組網成本低、通信安全、管理方便、擴展性強、可靠的服務質量(QoS)等特點。

　　按照實現技術的不同，VPN可分為PPTP(Point-to-Point Tunneling Protocol)，L2TP(Layer 2 Tunneling Protocol)，MPLS(Multi-Protocol Label Switch)、IPSec(Internet Protocol Security)與SSL(Secure Sockets Layer)等幾種。其中，基于MPLS技術的VPN與基于IPSec協議及SSL協議的VPN是目前應用最為廣泛的三種VPN解決方案。

　　下面分別對這三種技術進行比較與分析。

1 IPSec VPN與MPLS VPN及SSL VPN的工作原理

　　1.1 IPSec VPN

　　IPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列規范，它提供私有信息通過公用網的安全保障。IPSec組件包括安全協議認證頭(AH)和封裝安全載荷(ESP)、密鑰交換(IKE)、安全聯盟(SA)及加密和驗證算法等。IPSec是在網絡層實現數據加密和驗證，提供端到端的網絡安全方案，可以提供訪問控制、數據源的驗證、無連接數據的完整性驗證，數據內容的機密性、抗重防保護以及有限的數據流機密性保證等服務。

　　IPSec協議為IPv4與IPv6提供可互操作的、高質量的、基于加密體制的安全方案。它包括訪問控制、無連接的完整性、數據源認證、防止重播攻擊、信息加密與流量保密等安全服務。所有這些服務都建立在IP層，并保護上層的協議。這些服務通過使用兩個安全協議：認證頭AH[RFC2402]和封裝安全載荷ESP[RFC2406]，以及通過使用加密密鑰管理過程和協議來實現。

　　IPSec VPN是一項成熟的技術，目前有許多基于硬件的解決方案來保障它的高性能，是遠程辦公室點對點互聯的優選方案。

　　1.2 MPLS VPN

　　MPLS(Multi-Protocol Label Switching，多協議標簽交換)是由Cisco提出的新一代IP骨干網絡交換標準，介于第二層和第三層之間的交換技術，所以它既可以兼容多種鏈路層技術，又能支持多種網絡層的協議，實現了邊緣的路由和核心的交換。

　　MPLS VPN是一種基于MPLS技術的VPN，在網絡路由與交換設備上使用MPLS技術，應用標簽交換，通過LSP將私有網絡的不同分支聯結起來，并結合傳統的路由技術。適用于多點到多點的連接。MPLS作為骨干網絡的一種路由轉發的新模式，必須由LSR(Label Switch Router，標簽交換路由器)構建，普通路由器無法完成。如果網絡規模比較大。則可能需要較多的LSR。

　　1.3 SSL VPN

　　SSL(Secure Socket Layer，安全套接層)協議是由網景(Netscape)公司提出的基于Web的安全協議，它是一種在Internet上保證發送信息安全的通用協議，處于應用層。SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了一種在應用程序協議(如HTTP、Telnet，SMTP和FTP等)與TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議，記錄協議以及警告協議三部分。握手協議負責確定用于客戶機與服務器間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。盡管SSL協議并非為實現VPN而設計，但SSL對VPN實現所需的數據加密、身份認證與密鑰管理等關鍵技術提供了良好的支持。

　　SSL VPN是工作在應用層(基于HTTP協議)與TCP層之間的，能夠提供安全的遠程接入。SSL VPN利用瀏覽器內建的安全套接層(SSL)封包處理功能，通過瀏覽器連回公司內部的SSLVPN服務器，然后通過網絡封包轉向的方式，令客戶可以在遠程計算機執行應用程序，讀取公司內部服務器數據。SSLVPN采用標準的安全套接層(SSL)對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。通過SSL VPN可以實現遠程訪問企業內部網絡的構架。

2 IPSec VPN，MPLS VPN與SSL VPN的比較及分析

　　2.1 安全性比較與分析
　　
　　IPSec VPN采用了對稱式(Symmetric)與非對稱式(Asymmetric)的加密算法以及摘要算法等。通過身份認證、數據加密、數據完整性校驗等多種方式保證了接入的安全性、數據的私密性，其安全性高。MPLS VPN采用路由與地址隔離以及信息隱藏等多種方法來抗攻擊與標記欺騙，但它并沒有解決所有管理型的共享網絡普遍存在的非法訪問受保護的網絡元、錯誤配置以及內部攻擊等安全問題。MPLS本身并未提供加密與驗證的安全功能，它可以集成IPSec協議以提供安全保護。因而其安全性一般。SSL VPN與IPSec VPN一樣，也采用了對稱式與非對稱式的加密算法執行加密作業，其安全通道是端到端的，通信端口少。因而降低了受外部黑客攻擊的可能性，并且受客戶端病毒感染的可能性也很小，故其安全性較高。

　　2.2 認證方式與管理的比較及分析

　　IPSec采用了因特網密鑰變換(Internet Key Exchange)方式，使用數字憑證(Digital Certificate)或者一組Secret Key做認證。對于IPSec VPN，由于一個新用戶節點的增加，刪除或修改均需要重新設置現有的所有節點，并在客戶端安裝復雜的軟件及配置。另外，IPSec VPN對客戶端采用的操作系統也具有較高的要求，不同的終端操作系統需要不同的客戶端軟件，其易管理性差。SSL僅能使用數字憑證，若都采用數字憑證來認證，SSL與IPSec在認證的安全等級上則沒有太大的差別。大多數廠商對SSL的認證均會建置硬件令牌(Token)以提升認證的安全性。在實際作業時，大多數人均在整個網段(Subset)上進行開發以避免太多的設定所帶來的麻煩。SSL可以設定不同的使用者以執行不同的應用系統，另外瀏覽器中也內置了SSL協議，客戶端不需要安裝軟件，不需要配置。因而，SSL在管理和設定上比IPSec簡單方便得多，便于管理。對于MPLS VPN，由于在同一VPN的成員之間不需要建立與維護連接，若有新成員加入，ISP僅需要告知用戶端的設備如何與網絡連接，并配置PE來識別來自CE的VPN成員，BGP便會自動更新相關配置，用戶不需要手動升級或改變自己的邊緣設備。MPLS VPN并不需要客戶端管理軟件，因而易于管理。

　　2.3 成本的比較

　　MPLS VPN對于用戶而言，其一次性投入的成本較低，但長期投入的資金比較高。對于IPSec VPN，在實施IPSec方案時不僅需要人工發放認證的材料，用戶還需要知道所使用的加密和認證算法，內網路由配置等諸多繁瑣事宜，還需要預裝客戶端軟件等。這些不便在大規模實施過程中給用戶帶來了難以負擔的工作量和費用，其投入的成本較高。由于SSL VPN客戶端則不需要安裝客戶端軟件，因為瀏覽器內置了SSL協議，其投入的成本最少。

3 結語

　　通過上述比較分析可看出，三種VPN技術各具特色，互有長短。IPSec VPN與SSL VPN這兩種VPN架構，從整體的安全等級來看，它們均能提供安全的遠程登入存取聯機。但SSL VPN在其易用性及安全層級上，均比IPSec VPN高。由于Internet的快速擴展，針對遠程安全登入的需求也日益增加。因此，在實際選擇VPN時，應根據實際需求，可以某種VPN技術為主，結合其他技術，充分發揮它們各自的優勢，讓VPN網絡為企業和員工提供更好的服務。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：主流VPN技術的比較與分析

本文網址：http://www.guhuozai8.cn/html/support/1112153970.html