簡單來說,IPSEC是壹個協議,或者說是壹個框架。基於這個安全協議實現遠程訪問就是IPSEC。
優點:IPSEC使用時間較長,技術和相應設備也比較成熟;同時,通過使用對稱和非對稱密鑰和摘要算法,並借助於身份認證、加密和完整性檢查,可以在很大程度上保證安全性。
缺點:由於IPSEC需要在互聯網環境下創建加密虛擬隧道,網絡質量和穩定性不可控;同時,由於穿越互聯網,存在被旁路攔截的風險。
方案二:SDH專線
SDH是同步數字體系(Synchronous Digital Hierarchy)專線,也叫數字專線。目前,各大運營商提供企業組網的主要業務產品。
SDH基本相當於用光纖直接連接兩個分支(當然在實際應用中,中間鏈路多由運營商提供,也有復用的情況)。示意圖如下:
優點:網絡質量穩定,部署簡單,技術成熟,維護成本低,安全性高。
缺點:如果中心點有問題,會影響分支機構之間的互訪;如果想增加冗余,可以選擇在分支機構之間部署專線,但必然會增加成本。
方案3: MPLS
技術原理:MPLS采用了ATM(異步傳輸模式)的VPI(虛擬路徑標識符)/VCI(虛擬通道標識符)的交換思想,綜合了IP路由技術和二層交換的優點。IP網絡本來是壹個無連接的網絡,但是在MPLS網絡中,通過IGP(內部網關協議)、BGP(邊界網關協議)等路由協議收集路由信息生成路由表,然後標記特定的路由表項,增加了面向連接的屬性,壹定程度上提供了QoS保證,滿足了不同類型業務的QoS需求。
架構組成:典型的MPLS網絡包括以下三種類型的網元。
(1)PE:服務提供商邊緣路由器,與用戶的ce設備直連。PE負責管理用戶,建立LSP連接,創建和管理VRF(虛擬路由轉發)。
(2)P:服務提供商網絡中的骨幹路由器,不與ce直連,只需要具備MPLS標簽包轉發能力,根據外層標簽轉發報文,不參與用戶的添加和刪除以及VRF條目的創建和維護。
(3)CE:用戶網絡的邊緣設備,直接與服務提供商的PE設備相連,負責向PE設備發布本地路由,但CE不需要支持MPLS,不知道它的存在。
從圖中可以看出,在MPLS- mode下,各個分支並不是直連的,也沒有所謂的中心分支節點,而是所有分支都連接到附近的POP節點,從而打開了到MPLS骨幹網的鏈路。
優勢:
分支節點就近連接,節省本地專線費用,避免跨區域、跨運營商等網絡不穩定因素;
地址隔離和路由隔離可以抵禦黑客攻擊和標簽欺騙;
設備接入相對方便,客戶只需將CE設備接入運營商的網絡邊緣設備即可。