如何选择你所需的×××产品

 

对于那些跨地区的单位来讲，长期面临着如何组建本身的广域网的问题。传统的专线接入方式经济与维护负担过大。所以，这些单位不约而同的将眼光放在了×××技术上。目前，流行着两种既各具特色又具备必定互补性的×××架构，这两种×××就是基于IPSec 的×××和采用MPLS（Multiprotocol Label Switching，多协议标记交换）技术的×××。这其中IPSec ××× 因为发展的时间比较长，技术也较为成熟，因此市面上基于此技术的×××产品较为常见。但因为各家产品互有优劣，服务水平也参差不齐，使得用户在部署×××时难以抉择。

 

在选择IPSec ×××产品时，结合用户自身的需求以及经济实力。最主要应从如下几个方面考虑：

 

1、性能：

 

一、新建隧道数

新建隧道数的高低是反映IPSec ××× 产品性能的一个重要指标。

 

二、加解密速度

这是影响×××产品性能的最主要因素，一般它的表现形式为×××通道的吞吐量。性能较高的千兆产品吞吐量能够达到5~6G。

 

三、×××通道数目

×××通道数目最主要与用户的网络规模相关，用户在考虑扩展的前提下，能够选择合适的数目，以节约成本。

 

2、功能：

 

一、×××产品的互通

这是IPSec ×××产品目前存在的最大的问题，因为没有统一的官方机构制定标准，各个厂家的产品实现方式各有不一样，因此互通也无从谈起。这就形成了用户在购买一家的产品后，没法再使用其它家产品，对于用户的网络扩充带来极大的不便。因此在选择×××产品时，要关注其支持的加密算法种类以及认证方式。目前，经常使用的加密算法种类有：DES、3DES、AES、CAST、Blowfish以及国密办认证的硬件加密卡；经常使用的认证方式为：共享密钥、RSA、X.509证书等。

 

二、×××穿越NAT

若是×××产品是放在NAT网关以后，用户就必须选择可以穿越NAT的×××产品。目前，大多数的产品穿越NAT使用的都是UDP封装数据包的方法。

 

三、动态IP对动态IP的×××

随着ADSL产品的普及，不少单位在分支机构间选用了PPPoE这种拨号上网的方式。因为拨号上网是动态得到IP，就给×××通道的创建带来问题。目前经常使用的技术有两种：1、经过自有的×××控制协议实现。2、经过中间静态结点周转。

 

四、×××通道自动检测

若是×××通道的中间链路出现问题，×××产品必需支持自动检测通道、自动创建、恢复通道的功能。

 

五、QoS

用户会利用×××开展各类业务，因为带宽所限，不一样的任务就会有不一样的优先级。同时，某些业务必须保证明时性，这样用户就对×××中的QoS有了具体的需求。

 

3、易用性：

 

一、 配置简单化

因为IPSec协议自己比较复杂，因此配置IPSec ×××通常都比较繁锁，须要有专门的技术人员来实施。用户在选择时，尽可能挑选配置较为简单的产品，为×××的实施以及维护带来便利。

 

二、诊断快速化

    在×××的实施过程当中，常常会遇到各类各样的问题。这就须要×××产品有很好的诊断方法或工具。

 

三、自有的×××客户端

通常的厂商在出售×××设备时，每每都会配有自已开发的×××客户端。为移动远程用户的×××接入带来便利。

 

IPSec ×××虽然具备不少优势，但它也并不是无懈可击。因为加解密以及×××通道协商过程的存在，严重的影响了×××的性能。虽然特有的硬件加速设备能够减轻这一影响，但又势必形成成本的增长，并且不必定能达到理想的效果。同时，因为IPSec ×××是利用公众网创建私有网，不免会受到***的***。

 

同IPSec ×××不一样，MPLS ×××不依靠封装和加密技术，MPLS ×××依靠转发表和数据包的标记来建立一个安全的×××。目前，中国网通已经在全国范围内开展了这项业务。

 

MPLS的运做原理是提供每一个IP数据包一个标记，并由此决定数据包的路径以及优先级。与MPLS兼容的路由器在将数据包转送到其路径前，仅读取数据包标记，无须读取每一个数据包的IP地址以及标头（所以网络速度便会加快），而后将所传送的数据包置于Frame Relay或ATM的虚拟电路上，并迅速将数据包传送至终点的路由器，进而减小数据包的延迟，同时由Frame Relay及ATM交换器所提供的QoS对所传送的数据包加以分级，于是大幅提高网络服务品质，并提供更多样化的服务。下图为MPLS ×××的实现示意图。

 

 

MPLS ×××只要求用户把它们的客户设备(CE)简单地链接到运营商的网络边缘设备(PE)就能够了，运营商同时负责二层的数据传输工做和三层的路由工做，这种三层MPLS ×××对客户的要求比较低，客户负担较小，但这种作法的问题之一是常见的可扩展性问题。若是运营商把这种业务看做替代全部形式的零售传输业务，如Frame Relay PVC,ATM PVC甚至T1租用线的×××，那么毫无疑问，运营商必须考虑到可能链接成百或甚至上千个×××客户的PE路由器的可扩展性问题。由于运营商负责×××客户的路由，运营商的×××路由系统把每一个×××客户的完整路由信息都抽取到每一个PE路由器中，同时客户则不会作路由聚合来帮助运营商减轻PE的负担。所以在这种×××中，运营商PE路由器的负担可能会比较重，PE路由表的规模是一个很现实的问题。同时，不一样的运营商之间的MPLS ×××目前还不能互通，这对于MPLS ×××的普及也极为不利。

 

综上所述，IPSec ×××与MPLS ×××各有千秋，同时还具有互补性。因为MPLS ×××仍是个新兴技术，基于多种缘由，在至关长的时间里，MPLS ×××还不能彻底取代IPSec ×××，但MPLS ×××应该是×××技术发展的趋势。在短时间内最可能出现的状况是IPSec ×××和MPLS ×××这两种IP ×××技术有机地组合在起来，发挥各自的优势，更好的为用户提供安全可靠的×××服务。