東莞專線互連VPN業務,IPSec,MPLS VPN-東莞宏翔網絡科技有限公司

專線互連VPN業務

隨著Internet的快速增長，Internet的傳輸速率越來越高，接入費用日益降低，這使得越來越多的企業開始采用Internet作為企業內聯網的傳輸平臺，特別是在一些跨地區跨國性的大中企業里正得到廣泛應用。VPN的定義非常廣泛，因此，目前市場上出現了很多的VPN產品，實現VPN的方法也有很多種。但就計算機網絡來說，其實現VPN所選用的層次，可以有網絡層VPN、數據鏈路層VPN等。網絡層VPN多采用IP協議，而數據鏈路層VPN則由ATM或幀中繼虛電路來實現。隨著技術的發展，通過IP層實現VPN已成為目前業界主流。® VPN是通過整合國內外基礎電信網絡資源，由寰宇科技自主研發而建設的自有的寬帶VPN通信網絡服務平臺，可支持高速的數據傳輸、語音、傳真及視頻會議等服務，安全可靠又極具成本效益。

MPLS VPN企業虛擬網絡服務

隨著應用的不斷深入，MPSL VPN技術開始受到國內企業用戶的重視。許多企業都可以利用該技術實現安全的遠程通信。目前，寰宇科技的MPLS VPN產品已經比較成熟，并形成了完善的解決方案。

MPLS VPN

MPLS VPN基于寬帶IP網絡，采用MPLS(多協議標記交換)技術，在公司IP網絡上構建企業IP專網，實現數據、語音、圖像多業務寬帶連接，并結合差別服務、流量工程等相關技術，為用戶提供高質量的服務。

高安全性：MPLS作為通道機制實現透明報文傳輸，MPLS的IP包傳遞過程中具有標志性的標簽交換路徑（LSP）

可擴充性：各個MPLS沒有明確的點以點連接，同一VPN中的用戶很容易擴展

服務的多樣性：提供數據、語音和視頻等多種服務

強大的管理功能：采用集中管理的方式，業務配置與調度統一平臺

可移植性強：MPLS在客戶端沒有對路由的局限，在利用不同的功能時不需在客戶端作更改

低價優質的服務：

線路費用：比專線租用節約成本

設備費用：只須配備客戶端設備，不需專門的VPN網關

管理費用：用戶不必進行專門管理維護

MPLS VPN應用的優勢

MPLS VPN因其技術優勢成為大型專網的首要選擇，我們簡單對MPLS VPN和FR VPN進行比較。

1.良好的組網能力

MPLS VPN有良好的擴展性和靈活性，對于建設大型專網，用戶若使用FR組網時，需要N×（N－1）/2 條專線，但是MPLS VPN 可以用最簡單的接入滿足全網型網絡的要求。

2.建設和維護費用少

對于 MPLS VPN而言，與FR VPN比較有良好的經濟性：網絡的建設費用和維護費用比FR VPN低，而且對于接入端的設備要求也比FR VPN低。

3.支持多種接入手段

MPLS VPN可以使用專線DDN、FR、ATM、Ethernet、xDSL、無線等接入手段，并且擁有私有IP地址。

4.良好的安全特性

由于MPLS VPN采取了動態路由和靜態路由相結合的方法尋址，建立了連接后，數據就在特定“Channel”上傳輸，所以對于VPN網外側用戶而言，VPN網是不可登錄的。

5.對QoS的保證

MPLS VPN依靠RSVP協議、優先權、區別服務和CAR來保證QoS；而FR VPN由于其本身的特點決定了不可能提供QoS保證。

6.可靠的帶寬保證

寰宇科技的MPLS VPN提供N×64K～155M的大范圍接入帶寬，而FR VPN最大帶寬只提供到2M。MPLS VPN提供優先級，在專網上共劃分六個傳輸級別，以對應不同的用戶，確保優先級最高的用戶帶寬。

® FR VPN

® FR VPN是寰宇科技采用FR（Frame Relay）和ATM技術，實現企業分支機構間廣域連接、提供虛擬專用網服務的交換平臺。特點如下：

◇ 高可靠性：建立在® VPN之上的FR網具有很高的可靠性

◇ 公平地分配共享帶寬：FR技術允許多個用戶共享網絡，可以使用戶充分利用網絡資源，節約通信費用

◇ 超值的帶寬服務：在FR技術中，用戶預定的是約定信息速率(簡稱CIR), 而實際使用過程中用戶可以高于CIR的速率發送數據，卻不必承擔額外的費用。

IPSec VPN——全球通信網絡整合服務

一．IPSec標準概述

IPSec是一整套協議包而不只是一個單獨的協議，這一點對于我們認識IPSec是很重要的。IPSec協議把多種安全技術集合到一起，從而建立起一個安全、可靠的隧道。在IPSec安全體系結構中包括了3個最基本的協議：AH（Authentication Header）協議為IP包提供信息源驗證和完整性保證；ESP（Encapsulating Security Payload）協議提供加密保證；密鑰管理協議（ISAKMP）提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的算法。

二．IPSec的作用

IPSec通過激活系統所需要的安全協議、確定用于服務的算法及所要求的密鑰來提供安全服務。IPSec可用來保護一條或多條介于主機之間、安全網關之間或主機和安全網關之間的數據通道。

IPSec所能提供的安全服務集包括訪問控制、無連接完整性、數據源認證、重播保護（各部分的序列完整）、機密性（加密）以及有限傳輸流量的機密性。由于這些服務在IP層提供，能被更高層次的協議所利用（如：TCP、UDP、ICMP、BGP等），并且對于應用程序和終端用戶來說是透明的，所以，應用和終端用戶不需要更改程序和進行安全方面的專門培訓。

三．IPSec實現機制

IPSec通過提供下列服務來保護通過公共IP網絡傳送的私有數據：

● 訪問控制:訪問控制是指防止未經授權對資源進行訪問。IPSec中，需要進行訪問控制的資源通常指主機中的數據和計算能力、安全網關內的本地網及其帶寬。IPSec使用身份認證機制進行訪問控制。

● 數據源認證:數據源認證對數據來源所聲明的身份進行驗證，通常與無連接數據完整性相結合。IPSec使用消息鑒別機制實現數據源認證服務。

● 機密性和有限傳輸流量的機密性:相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容。有限傳輸流量的機密性服務是指防止對通信的外部屬性（源地址、目的地址、消息長度和通信頻率等）的泄露，從而使攻擊者無法對網絡流量進行分析，推導其中的傳輸頻率、通信者身份、數據包大小、數據流標識符等信息。

● 無連接完整性和抗重播:無連接完整性服務對單份數據包是否被修改進行檢查，而對數據包的到達順序不作要求。IPSec使用數據源認證機制實現無連接完整性服務。IPSec的抗重播服務，亦稱為部分序號完整性服務，是指防止攻擊者截取和復制IP包，然后發送到目的地。IPSec根據IPSec頭中的序號字段，使用滑動窗口原理，實現抗重播服務。