簡單來說,IPSEC是壹種協議,或者說是壹個框架。基於該安全協議實現遠程接入,即為IPSEC 。
優勢:IPSEC 的應用歷時悠久,技術和相應的設備也都很成熟;同時,其利用對稱、非對稱密鑰和摘要算法,再配合身份認證、加密、完整性校驗等手段,能夠在較大程度上保障安全性。
劣勢:由於IPSEC 需要在互聯網環境中創建加密虛擬隧道,因此其網絡質量和穩定性不可控;同時也由於其穿越了互聯網,因此存在被旁路監聽的風險。
方案2:SDH專線
SDH即Synchronous Digital Hierarchy(同步數字體系)專線,也叫數字專線,目前各大運營商針對企業組網所提供的主要業務產品。
SDH基本等同於利用光纖直連兩個分支機構(當然在實際應用中,中間鏈路多為運營商提供,且存在復用的情況)。示意圖如下:
優勢:網絡質量穩定、部署簡單、技術成熟、維護成本低、安全性高
劣勢:如中心點出現問題,將影響分支間的互訪;而如果希望增加冗余度,可選擇在分支機構之間也部署專線,但勢必會增加成本。
方案3:MPLS
技術原理:MPLS 采納了ATM(Asynchronous Transfer Mode,異步傳輸模式)的VPI(Virtual Path Identifier,虛路徑標識符)/VCI(Virtual Channel Identifier,虛通道標識符)交換思想,綜合了IP路由技術和二層交換的兩種優點。IP網絡本是面向無連接的網絡,但在MPLS 網絡中,路由信息由IGP(Interior Gateway Protocol,內部網關協議)、BGP(Border Gateway Protocol,邊界網關協議)等路由協議進行收集並生成路由表,而後為特定的路由表項添加標簽,這就增加了面向連接的屬性,在某種程度上提供了QoS保證,滿足不同類型服務的QoS要求。
架構組成:典型的MPLS 網絡中包含以下3種類型的網元
(1)PE:服務提供商邊緣路由器,與用戶的CE設備直連。PE負責管理用戶,建立LSP連接,創建和管理VRF(Virtual Routing Forwarding,路由轉發表)。
(2)P:服務提供商網絡中的骨幹路由器,不與CE直連,只需具備MPLS標簽數據包轉發能力,根據外層標簽進行報文轉發,不參與用戶的添加刪除和VRF表項的創建維護工作。
(3)CE:用戶網絡邊緣設備,與服務提供商的PE設備直連,負責將本地路由發布到PE設備上,但CE無須支持MPLS,也感知不到的存在。
從圖中可以看出來,MPLS-模式下,各分支見並非直連,也沒有所謂的中心分支節點,而是全部就近接入到POP節點,從而打通到MPLS骨幹網的鏈路。
優點:
分支節點就近接入,節約本地專線費用,避免因跨地區、跨運營商等網絡不穩定因素;
地址隔離和路由隔離能夠抵抗黑客攻擊及標記欺騙;
設備接入方面相對便捷,客戶只需將CE設備連接到運營商的網絡邊緣設備即可