有很多种方法可以实现VPN。目前大家经常看到的有MPLS、IPSEC、L2tp/pp2p、SSL等类型。以下分别对MPLS的工作原理进行概述。

　　MPLS的工作原理及MPLSVPN技术的特点

　　MPLSVPN是一种基于MPLS技术的IPVPN，是在网络路由和交换设备上应用MPLS(MultiprotocolLabelSwitching，多协议标记交换)技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络(IPVPN)。这种基于标记的IP路由选择方法，要求在整个交换网络中间所有的路由器都识别这个标签，运营商需要大笔投资建立全局的网络。而且跨越不同运营商之间，如果没有协调好，标签无法交换。

　　标记是一个能够被路由器识别理解的数据位，可以被用来代表逐跳式或者显式路由，并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等各类信息。MPLS可以提供每个IP数据包一个标记，将之与IP数据包封装于新的MPLS数据包，由此决定IP数据包的传输路径以及优先顺序，而与MPLS兼容的路由器会在将IP数据包按相应路径转发之前仅读取该MPLS数据包的包头标记，无须再去读取每个IP数据包中的IP地址位等信息。

　　IP包在边界路由器分配一个标记。自此，MPLS设备就会自始至终查看这些标记信息，将这些有标记的包交换至其目的地。由于路由处理减少，网络的等待时间也就随之缩短，而可伸缩性却有所增加。MPLS数据包的服务质量类型可以由MPLS边界路由器根据IP包的各种参数来确定，如IP的源地址、目的地址、端口号、TOS值等参数。

　　以大家比较好理解的物流系统作比喻。MPLS是在包裹上面打上一个特定的标签，要求整个物流系统的搬运环节都能够理解这个标签的意义，然后根据这个标签发送这个包裹。即使这个物流系统再繁忙，这类包裹的传输质量能够得到保证。但是这是有前提条件的，要求所有的搬运环节(搬运工)能够理解包裹的含义，例如:1314信箱。并且能够理解加急、紧急等不同的字眼，不同的物流公司(对应不同的运营商)，由于标签不统一，直接互通就很困难。

　　对于到达同一目的地的IP包，可根据其TOS值的要求来建立不同的转发路径，以达到其对传输质量的要求。同时，通过对特殊路由的管理，还能有效地解决网络中的负载均衡和拥塞问题。当网络中出现拥塞时，MPLS可实时建立新的转发路由来分散流量以缓解网络拥塞。

　　MPLSVPN的优点和缺点

　　MPLSVPN能够利用公用骨干网络强大的传输能力，为企业构建内部网络/Internet，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。目前，在基于IP的网络中，MPLS具有很多优点，也有明显的缺点。

　　(1)降低了成本

　　MPLS简化了ATM与IP的集成技术，使L2和L3技术有效地结合起来，降低了成本，保护了用户的前期投资。与专线相比，降低了成本。

　　不过这种降低成本是相对的，由于电信运营商建设网络的成本很高，因此MPLS的运营成本也不低。

　　(2)提高了资源利用率，提高了网络速度

　　由于在网内使用标签交换，用户各个点的局域网可以使用重复的IP地址，提高了IP资源利用率。由于使用标签交换，缩短了每一跳过程中地址搜索的时间，减少了数据在网络传输中的时间，提高了网络速度。

　　(3)高可靠，业务综合能力强

　　采用MPLS作为通道机制实现透明报文传输，MPLS的LSP具有与帧中继和ATMVCC(VirtualChannelConnection，虚通道连接)类似的高可靠性。

　　网络能够提供数据、语音、视频相融合的能力。

　　(4)MPLS具有QoS保证

　　用户可以根据自己不同的业务需求，通过在CE侧的配置，来赋予不同的QoS等级。通过这种QoS技术，保证了网络的服务质量。

　　相对于其优点，MPLS的缺点也是明显的:

　　(1)价格高

　　相对于使用IPsec通过Internet组网，MPLS的代价比较高。相当于一种准专线。

　　(2)接入比较麻烦

　　并不是所有的地方都能够提供接入。

　　(3)跨运营商不便，由于现在运营商之间还有很多协调工作没有完成。而且大家都知道，中国的电信巨头之间，向来以相互不合作出名。

　　从以上总结可以看出，MPLS适应比较高端的大型用户。

　从简单而言，SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。

　　几乎所有的主流商业浏览器都集成了SSL，实施SSLVPN不需要再安装额外的软件。绝大多数SSLVPN的生产厂商都通过“signedplugins”提供其他的功能，“signedplugins”可以跟随浏览器自动传输给客户端。

　　SSL实现了客户端0安装，0配置。因此其功能和应用也受到限制。它适合PC-WebServer模式，就是大量的移动用户通过浏览器访问Web服务器，有的SSLVPN还对ftp、telnet等进行了扩充，增强了其可用性，即便如此，充其量是实现了PC-to-Lan的功能。适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在保护范围、认证方式、应用程序类型上限制很多。而IPsecVPN则提供第三层IP的可达性，可以保证任何基于tcp/ip的程序运行。

　　如果就网络联通而言，即使不使用SSLVPN，企业也能够实现Web应用，大不了我直接把服务器放置在Internet上，其他用户明文直接访问好了。有了一个SSLVPN设备，相当于在服务器之前作了一个代理，客户端要和服务器连接，就要通过这个代理的认证，而且从客户端到SSLVPN之间，数据是加密的。这样，internet上的黑客无法通过抓取数据包分析通讯信息。并且SSLVPN一般能够支持虚拟主机应用，这样，一个IP地址可以访问N个服务器。

　　SSL优点和缺点都很明显。

　　优点:

　　(1)方便，实施SSLVPN只需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。

　　(2)容易维护，SSLVPN维护起来也简单。出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。

　　(3)安全，SSL是一个安全协议，数据是全程加密传输的。另外，由于SSL网关隔离了内部服务器和客户端，只留下一个Web浏览接口，客户端的大多数病毒木马感染不到内部服务器。而IPsecVPN就不一样，实现的是IP级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过VPN一样能够传播。

　　当然，SSLVPN的缺点也是很明显的:

　　(1)应用受限。一般都用于B/S模式。其他应用程序，象ftp/telnet等等有的SSLVPN能够支持。一般的C/S程序是不能直接应用的，因此SSLVPN市场始终没有火暴起来。这个缺点是致命的，所以现在很多SSLVPN也试图把IPsec融入进去，通过客户端安装一个软件，虚拟一个VPN的IP地址，实现PC-TO-Lan的IP级的连接。华盾公司(www.huadun.com.cn)也提供这样的产品，和美国array合作的。

　　(2)只能实现星形的PC-SSL-SERVERs的应用模式。星形、树型结构都不能支持。

　　(3)价格比较高。目前比较知名的高端SSLVPN，价格都在几十万以上。价格很低的国产VPN，在很多性能和应用可靠性上面，距离还比较大。

　　(4)安全认证方式很单一，都是使用证书方式。，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSecVPN认证方式更为灵活(口令、RADIUS、令牌等)。

　　(5)SSLVPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源(主机、数据库)进行访问控制和安全审计，这也是用户最为关心的一点。

　　为了克服以上的毛病，SSL开发商也作了很多工作，力图向IPSEC融合。兼容支持，而IPsec厂家也在后续的产品中间，陆续增加SSL的支持。我在公司下一代Ipsec产品规划的时候，已经把SSL的支持列入研究计划。

　　如果希望能够运行各种应用程序，并且建立LAN-to-Lan的VPN，IPsec还是主流的解决方案。我所在的华盾公司(www.huadun.com.cn)，同时有SSL和IPsec产品线，结果大型用户无一例外全部使用IPSEC产品。SSL的销售额，目前为止还不能养活配套的销售和工程师。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: