MPLS VPN与IPSec VPN的优劣对比

【摘 要】企业内外通信的安全需求日益增长，催生出多种虚拟专用网技术。为了对MPLS VPN和IPSec VPN进行对比分析，从两者的技术原理和实现机制入手，通过对系统可靠性、安全性、接入便捷性、可扩展性、网络服务质量等方面进行研究，并分析使用场景，得出这两种VPN技术的优势短板和适用场合。

【关键词】MPLS IPSec VPN 标签交换 协议安全

doi：10.3969/j.issn.1006-1010.2016.12.005 中图分类号：TN929.53 文献标志码：A 文章编号：1006-1010（2016）12-0024-05

引用格式：陈柱，王烁. MPLS VPN与IPSec VPN的优劣对比[J]. 移动通信， 2016，40（12）： 24-28.

1 引言

互联网的快速发展大大促进了信息资源的交流，与此同时，人们对频繁出现的安全保密问题也愈加关注。通过传统的方式构建企业内部或企业之间的安全通信环境，必须通过自建通信干道或租用电缆和光缆，利用ISDN（Integrated Services Digital Network，综合业务数字网）或DDN（Digital Data Network，数字数据网）等技术构建企业专用网，若想在安全性和可靠性上得到保障，获得高性能的专用网，则开销巨大，普通企业难以承受。于是，VPN（Virtual Private Network，虚拟专用网）就在这种背景下产生了，它的技术要点是在公用网络上建立专用网络。虚拟专用网的含义就在于整个VPN网络的任意两个节点之间的连接，并不是依靠专网的端到端物理链路，取而代之的是建立在网络服务商所提供的因特网、帧中继等之上的逻辑网络。

作为两种实现原理不同的VPN技术，MPLS（Multi-Protocol Label Switching，多协议标签交换） VPN与IPSec（Internet Protocol Security，因特网协议安全性） VPN各有优劣，在特定的应用场景下需要灵活选用。

2 MPLS VPN技术原理

IP路由技术部署灵活，二层交换则具有相当的便捷性，MPLS VPN采纳了ATM（Asynchronous Transfer Mode，异步传输模式）的VPI（Virtual Path Identifier，虚路径标识符）/VCI（Virtual Channel Identifier，虚通道标识符）交换思想，综合了IP路由技术和二层交换的两种优点。IP网络本是面向无连接的网络，但在MPLS VPN网络中，路由信息由IGP（Interior Gateway Protocol，内部网关协议）、BGP（Border Gateway Protocol，边界网关协议）等路由协议进行收集并生成路由表，而后为特定的路由表项添加标签，这就增加了面向连接的属性，在某种程度上提供了QoS（Quality of Service，服务质量）保证，满足不同类型服务的QoS要求。

2.1 MPLS网络架构

如图1所示，MPLS网络的基本组成单元是LSR（Label Switching Router，标签交换路由器），连接用户网络的LSR称为边缘LSR（也称为LER），区域内部不与用户网络直连的LSR称为核心LSR。域内LSR之间使用MPLS进行通信，边缘由LER与传统IP技术进行适配。

MPLS网络的入节点称为Ingress，出节点称为Egress，中间转发节点称为Transit。被打上标签的分组数据包沿着一系列LSR进行传输，这一系列LSR就构成了LSP（Label Switching Path，标签交换路径）。

MPLS网络内部运行OSPF、ISIS、EIGRP等内部路由协议，建立网络内部邻居关系。但由于MPLS网络中所有的报文都会携带标签，因此需要标签分发协议（如LDP）与IGP结合，为每一条IGP的IP前缀分配标签并分发给所有的LSR邻居。

MPLS基本的工作过程如下：

（1）LDP结合内部路由协议，在每个LSR中为有业务需求的FEC（Forwarding Equivalence Class，转发等价类）建立相应的路由表和标签映射表。

（2）Ingress节点对接收到的分组数据包进行三层解析，判定分组所属的FEC，打上标签后形成MPLS标签数据包，送至Transit节点进行中转。

（3）Transit节点不对数据包进行三层解析，而是读取分组的标签，根据本地的标签转发表进行分组转发。

（4）在Egress节点上去除标签，还原为IP数据包，离开MPLS网络进行后续转发。

2.2 基于MPLS的VPN

如图2所示，典型的MPLS VPN网络中包含以下3种类型的网元：

（1）PE：服务提供商边缘路由器，与用户的CE设备直连。PE负责管理VPN用户，建立LSP连接，创建和管理VRF（Virtual Routing Forwarding，VPN路由转发表）。

（2）P：服务提供商网络中的骨干路由器，不与CE直连，只需具备MPLS标签数据包转发能力，根据外层标签进行报文转发，不参与VPN用户的添加删除和VRF表项的创建维护工作。

（3）CE：用户网络边缘设备，与服务提供商的PE设备直连，负责将本地路由到PE设备上，但CE无须支持MPLS，也感知不到VPN的存在。

3 IPSec VPN技术原理

3.1 协议实现

IPSec作为一种框架架构，其标准是开放的，使用加密的安全服务，在IP网络上进行保密而安全的通讯。IPSec协议主要由三部分组成，其中包括AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）以及用于网络认证和加密的一些其它算法。其中，AH协议和ESP协议保障数据传输的安全，IKE协议则用于交换和管理在VPN中使用的加密密钥。

AH协议可以提供数据源认证（接收方在接收时会验证信息，确认信息发送者的身份）、完整性校验和防报文重放（重放是指攻击者发送一个目的主机已接收过的包来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的安全性）等功能，它能保护数据的完整性，免受黑客攻击篡改。然而由于协议自身机制，AH无法有效防止窃听，因此适合非机密数据的传输。其工作原理是在数据包的IP包头之后添加身份验证报文头，对数据提供完整性保护。常用于AH的认证算法有MD5（Message-Digest Algorithm 5，消息摘要算法第五版）和SHA-1（Secure Hash Algorithm，安全哈希算法）。

ESP协议主要用于数据加密、源认证、完整性校验和防报文重放。该协议在数据包的IP 包头后面添加报文头，并在数据包后面追加报文尾，将用户数据进行加密后封装到IP数据包中，使数据机密性得到保证，DES（Data Encryption Standard，数据加密标准）、3DES、AES（Advanced Encryption Standard，高级加密标准）是ESP协议中常用到的加密算法。

在IP通信的真实场合中，既可单独选用以上两种协议中的一种，也可根据实际安全需求，结合这两种协议的优点灵活使用。从提供的认证服务性能方面看，AH协议强于ESP协议。当两种协议同时使用时，常用的封装方式为先后进行ESP封装和AH封装，形成的报文结构从内到外依次是原始IP报文、ESP头、AH头和外部IP头。

3.2 封装模式

IPSec协议封装模式如下：

（1）隧道模式：计算AH或ESP头时要用到整个IP数据包，经过ESP加密的用户数据和AH、ESP头将被封装在一个新的IP数据包中。一般情况下，两个安全网关之间的通讯会选用隧道模式。

（2）传输模式：计算AH或ESP头时只用到传输层数据，经过ESP加密的用户数据和AH、ESP头将被放置在原IP包头后面。一般情况下，两台主机之间或主机和安全网关之间会选用传输模式。

3.3 IPSec VPN应用场景

IPSec VPN的应用场景可以分为：

（1）Site-to-Site（站点到站点模式，也称为网关到网关）：如图3所示，3个机构分布在互联网的3个不同接入点，相互之间利用网关建立VPN隧道进行数据传输，实现安全互联。

（2）End-to-End（端到端模式，也称为PC到PC）：IPSec会话保护两个企业网Site的PC之间的通信。

（3）End-to-Site（端到站点模式，也称为PC到网关）：两个企业网Site的PC之间的通信由一地的网关和另一地的PC之间的IPSec回话进行保护。

4 两种VPN的优劣对比

4.1 系统可靠性

MPLS VPN建构在运营商的基础网络之上，稳定性有较好的保证。由于本身属于运营商的数据业务，租用MPLS链路后，运营商将保证相应的数据带宽。从可靠性来说，MPLS相当于某种意义上的专线。

而IPSec VPN则完全不同，它建构在因特网之上，其可靠性取决于通信线路是否可靠以及设备是否稳定。IPSec是目前网络应用中较为主流的VPN协议，技术水平相对比较完善，基于IPSec VPN技术的许多设备的运行都非常稳定可靠。目前因特网覆盖范围日益拓宽，运营商长期的投入建设也大大提高了整个因特网线路的服务水平，带宽得到充分保证，接入方式也更加多样化。在单条线路发生故障时，可以使用备份线路进行数据传输。在单一线路可靠性方面IPSec虽然赶不上MPLS，但由于存在其它线路作为故障备份，在容错方面又有较高的保障。

4.2 安全性

在MPLS VPN网络中，地址隔离和路由隔离能够抵抗黑客攻击及标记欺骗，因此能够达到帧中继或ATM相类似水平的线路安全保证。然而，MPLS VPN并没有解决管理型共享网络普遍存在的安全隐患：受保护的网络元可能遭遇非法访问、网络设备上出现错误配置以及网络内部攻击。在MPLS VPN中传输数据时，协议只是标记了端点的路由，对数据本身并不进行加密，数据实际上处于明文传输状态，从这一点来看，MPLS VPN的安全性并不高。此外，MPLS VPN基于LSP进行数据传输，LSP的本地有效性可以在很大程度上抵御欺骗攻击。BGP的主要功能是在VPN中传递路由信息，但其独有的扩展Community属性增大了错误路由引入的难度。从这方面来看，MPLS的数据有效性更高。

IPSec VPN为了保证数据传输的安全，采用了对称密钥、非对称密钥和摘要算法，又利用身份认证、数据加密、数据完整性校验等手段，以此保证接入安全和数据私密性。另一方面，IPSec传输数据的环境是因特网，虽然潜在的攻击者无法直接读取传输的数据，但是却可以通过在路由表中加入特定路由条目来旁路数据，因此同样存在安全漏洞。

4.3 接入便捷性

MPLS VPN在设备接入方面相对便捷，客户只需将CE设备连接到运营商的网络边缘设备（也称PE设备），运营商负责二层数据传输和三层路由工作，客户无需进行繁杂的配置。采用这种架构，客户的负担较小，也无需经常应对排错的工作。然而这种模式下的网络接入并不灵活，因为MPLS VPN往往是由单一的运营商提供的，跨运营商的连接通常并不顺畅，不同运营商提供的MPLS服务彼此很难互联互通。而大型客户的分支机构往往遍布全国各地，如果希望在不同的城市接入同一家运营商且都提供MPLS VPN服务，在现实中实现难度非常大，尤其是对于偏远地区和移动用户。

而IPSec VPN则不同，完全架构在因特网之上，只要接入因特网，就可以组建企业专用网络，运营商的骨干网络无需承担业务相关功能。用户可以随时随地享受服务，而且随着电信网络“最后一公里”技术的大力推进，因特网获得了空前普及。利用因特网的资源，采用IPSec VPN技术就能十分便捷地组建企业的虚拟专网。随着业务的拓展，移动用户将日益增多，使用IPSec客户端可以让移动用户与企业内部网络进行快速便捷的信息交互，极大地提高生产力。

4.4 可扩展性

由于IPSec VPN受到本身技术特性的局限，而且实际部署过程中常会遇到穿越防火墙、IP地址冲突等问题，因此通常无法支持复杂网络。在部署IPSec VPN时，首先要结合企业网络的拓扑结构进行网络规划，当新的设备接入时，网络结构又得进行相应的调整，大大降低了IPSec VPN的可扩展性。

MPLS由服务提供商配置，能够轻易实现全网状的网络架构，企业只需将本端的CE连接至运营商的PE，对CE的硬件配置要求不高，也不用做大量复杂的配置。当业务扩展需要新的CE加入时，CE和PE上只需进行简单的配置更改。另外，由于标签代替了地址，原有的专用地址可以继续沿用，无须进行更改，并且MPLS VPN网络中还可以配置QoS以保障服务质量。相比IPSec VPN，MPLS VPN在企业中的应用具备更高的扩展性。

4.5 网络服务质量

MPLS VPN依托于骨干网，具有更高的网络服务质量。在传统IP网络中，路由表过长、尽力服务、内部路由协议的路由汇聚往往会带来一系列的问题，增加运维负担。但MPLS可以调节数据包传送的顺序，路由器根据标签进行判别后即可将数据转发，在某种程度上解决了上述难题。MPLS VPN可以进行优先权区分，利用QoS保障服务质量，数据包携带的标签可用于流量区分，甚至是业务区分，通过不同的优先级来满足不同的需求。

在网络传输通道中，IPSec VPN保证的是端到端的安全，端点处需要额外的加解密过程，这将增加软硬件处理能力和用户设备的性能开销。数据流经过加密后，路由器将无法辨识标示QoS的比特位，保证服务质量也就无从谈起。

5 结束语

本文通过对MPLS VPN和IPSec VPN的技术原理及应用场景进行分析，结合多方面的特点对比，可以看出：MPLS VPN具有较高的可扩展性，能灵活提供QoS服务，而IPSec VPN利用因特网，接入更为便捷；MPLS VPN利用运营商网络获得专线级别的服务，而IPSec VPN则利用日益普及的因特网来实现备份容错；在安全性方面，MPLS VPN和IPSec VPN各有优劣，拥有独特的安全机制，也存在各自的安全隐患。在不同的应用环境中，需要根据企业具体需求灵活选用合适的VPN，才能获得真正适合企业的专用网。

参考文献：

[1] 童样，张水平，李有峰，等. 基于MPLS的VPN互访技术[J]. 计算机工程与设计， 2014，35（9）： 3018-3023.

[2] 吕承民，谢永强，李武，等. VPN网络设计及性能分析[J]. 贵州师范大学学报： 自然科学版， 2014，32（1）： 81-85.

[3] 蒋东毅，吕述望，罗晓广. VPN的关键技术分析[J]. 计算机工程与应用， 2003，39（15）： 173-177.

[4] 周志龙，熊建设，李敏，等. 基于MPLS的区分服务技术实现VPN[J]. 中国数据通信， 2002，4（7）： 34-37.

[5] 朱玉峰. 基于IPSec的L2 VPN研究与设计[J]. 中国新通信， 2013（16）： 77-79.

[6] 王春燕，唐宝民. VPN介绍及其安全性问题探讨[J]. 中国新通信， 2008（5）： 11-13.

[7] 冯根，陈彬. MPLS VPN在企业云计算中的应用研究[J]. 中国新通信， 2014（21）： 50-51.

[8] 顾华忠. 面向运营的MPLS VPN网络设计研究[J]. 中国新通信， 2013（9）： 92-93.

[9] 谢志坚，谢冬青，周洲仪. 基于IP数据包加密的VPN虚拟专用网络安全结构[J]. 计算机工程， 2001，27（3）： 45-46.

[10] 陈军华，王忠民. BGP/MPLS VPN实现原理[J]. 计算机工程， 2006，32（23）： 124-126.

作者简介

陈柱：学士毕业于广东工业大学自动控制专业，现任职于中国联合网络通信有限公司广东省分公司网络建设部，从事移动通信网的规划、优化和研究工作。

王烁：学士毕业于华南理工大学信息工程专业，现任职于广州杰赛科技股份有限公司，从事核心网和数据专业的规划设计工作。