saas ipsec 区别
互联网的快速发展大大增进了信息资源的交换,与此同时,人们对频繁出现的安全保密问题也越发关註。通过传统的方式构建企业内部或企业之间的安全通讯环境,一定要通过自建通讯干道或租用电缆和光缆,利用ISDN(IntegratedServicesDigitalNetwork,综合业务数字网)或DDN(DigitalDataNetwork,数字数据网)等技术构建企业专用网,若想在安全性和可靠性上得到保障,取得高性能的专用网,则开消巨大,普通企业难以承受。因而,方案(VirtualPrivateNetwork,虚拟专用网)就在这类背景下产生了,它的技术要点是在公用网络上建立专用网络。虚拟专用网的含义就在于全部方案网络的任意两个节点之间的连接,其实不是依托专网的端到端物理链路,取而代之的是建立在网络公司所提供的因特网、帧中继等之上的逻辑网络。
作为两种实现塬理不同的方案技术,组网(MultiProtocolLabelSwitching,多协议标签交换)方案与IPSec(InternetProtocolSecurity,因特网协议安全性)方案各有优劣,在特定的利用场景下需要灵活选用。
2组网方案技术塬理
IP路由技术部署灵活,二层交换则具有相当的便捷性,组网方案采用了ATM(AsynchronousTransferMode,异步传输模式)的VPI(VirtualPathIdentifier,虚路径标识符)/VCI(VirtualChannelIdentifier,虚通道标识符)交换思想,综合了IP路由技术和二层交换的两种优点。IP网络本是面向无连接的网络,但在组网方案网络中,路由信息由IGP(InteriorGatewayProtocol,内部网关协议)、BGP(BorderGatewayProtocol,边界网关协议)等路由协议进行搜集并生成路由表,而后为特定的路由表项添加标签,这就增加了面向连接的属性,在某种程度上提供了QoS(QualityofService,服务质量)保证,满足不同类型服务的QoS要求。
2.1组网网络架构
组网网络的基本组成单元是LSR(LabelSwitchingRouter,标签交换路由器),连接用户网络的LSR称为边沿LSR(也称为LER),区域内部不与用户网络直连的LSR称为核心LSR。域内LSR之间使用组网进行通讯,边沿由LER与传统IP技术进行适配。
组网网络的入节点称为Ingress,出节点称为Egress,中间转发节点称为Transit。被打上标签的分组数据包沿着一系列LSR进行传输,这一系列LSR就构成了LSP(LabelSwitchingPath,标签交换路径)。
组网网络内部运行OSPF、ISIS、EIGRP等内部路由协议,建立网络内部邻居关系。但由于组网网络中所有的报文都会携带标签,因此需要标签分发协议(如LDP)与IGP结合,为每条IGP的IP前缀分配标签并分发给所有的LSR邻居。
组网基本的工作进程以下:
(1)LDP结合内部路由协议,在每一个LSR中为有业务需求的FEC(ForwardingEquivalenceClass,转发等价类)建立相应的路由表和标签映照表。
(2)Ingress节点对接收到的分组数据包进行叁层解析,判定分组所属的FEC,打上标签后构成组网标签数据包,送至Transit节点进行中转。
(3)Transit节点不对数据包进行叁层解析,而是读取分组的标签,根据本地的标签转发表进行分组转发。
(4)在Egress节点上去除标签,还塬为IP数据包,离开组网网络进行后续转发。
2.2基于组网的方案
典型的组网方案网络中包括以下3种类型的网元:
(1)PE:服务提供商边沿路由器,与用户的CE装备直连。PE负责管理方案用户,建立LSP连接,创建和管理VRF(VirtualRoutingForwarding,方案路由转发表)。
(2)P:服务提供商网络中的骨干路由器,不与CE直连,只需具有组网标签数据包转发能力,根据外层标签进行报文转发,不参与方案用户的添加删除和VRF表项的创建保护工作。
(3)CE:用户网络边沿装备,与服务提供商的PE装备直连,负责将本地路由发布到PE装备上,但CE不必支持组网,也感知不到方案的存在。
TikTok千粉号购买平台:https://tiktokusername.com/
TOP