BGP/组网和IPSec网络技术区别
方案的服务目的就是在同享的基础公共网络上向用户提供网络连接,不但如此,方案连接应使得用户取得同等于专有网络的通讯体验。公道和实用的方案解决方案应能够抗拒非法入侵、防范网络阻塞,而且应能安全、及时地交付用户的重要数据,在实现这些功能的同时方案还应当具有良好的可管理性。在站点与站点之间实行方案时,网络管理者应当综合比较BGP/组网和IPSec方案两种方案,下面的参数用来比较这两种解决方案。
数据机密性:IPSec方案通过强大的加密算法来保障数据的机密性,BGP/组网通过在提供商物理站点间定义一条唯一的数据通道来加强数据的机密性,这可以制止攻击者非法取得数据拷贝,除非他们在提供商的网络上放置镜像器。虽然BGP/组网使数据被盗取的机会最小化,但IPSec通过加密可以提供更好的数据机密性。第三种方案是采取IPSecoverBGP/组网方案,这样明显可以保证更高水平的数据机密性。
数据完全性:IPSec使用散列算法来保证数据的完全性,对BGP/组网方案来讲,没有甚么根本的方法来保障数据的完全性,但是,通过地址空间隔离和路由信息,避免不熟练的攻击者对数据的添加、删改或有一定的效果的。
数据有效性:IPSec基于Internet进行数据传输,虽然攻击者不能读取数据,但攻击者可以通过在Internet路由表中加入毛病路由来旁路数据。BGP/组网方案基于LSP来传输数据,因LSP唯一本地意义,欺骗攻击很难实现。BGP用于在方案中传递路由信息,但是,BGP扩大共同体属性使毛病路由的引入相当困难,因此,从这点上说,BGP/组网能够提供更好的数据有效性。
Internet接入:大多数IPSec方案基于Internet传输数据,因此,大多数IPSec方案体系结构允许方案接入到所连的站点。在BGP/组网体系结构中却很难实现这一点,在BGP/组网方案接入Internet方案中,通常选择分离的Internet连接来保障全部方案的安全性。
远程接入:虽然很多提供商支持远程接入,但对BGP/组网方案来讲其实不是本来这样,并且,他们要末要求远程接入的用户在相同的提供商网络中,要末提供商一定要实行相同级别的BGP/组网方案。从这一点来看,IPSec在提供远程接入方面有优越性。
可扩大性:IPSec方案难以扩大。因配置方面的要求,IPSec通常是点到点的连接,BGP/组网由提供商配置,能够轻易地实现全网状的网络结构,并且,BGP/组网方案还允许网络管理者利用组网的特性如QoS,因此在企业环境中BGP/组网方案比IPSec方案更具扩大性。BGP/组网和IPSec方案具有各自的优点,BGP/组网方案扩大性好,能够提供更好的数据有效性,而IPSec方案能够保障更好的数据机密性和完全性。两种方案都难以配置,每种方案都应斟酌利用简便,但是,对点到点连接,两种方案都成立,用户在实行时应仔细分析两种方案的优势和劣势,选择最合适自己的。
