通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  大将

注册:2005-5-935

爱心徽章,06年为希望小学奉献爱心纪念徽章 3G承载网技术专家

跳转到指定楼层
1#
发表于 2008-1-13 10:14:00 |只看该作者 |倒序浏览
<span class="bold">MPLS不利于Internet发展</span><br/><br/><div class="t_msgfont" id="message128429">从技术上看,基于多<a href="http://www.qqread.com/z/protocol/index.html" target="_blank"><font color="#0000ff">协议</font></a>标记交换(<u><b><font color="#ff0000">MPLS</font></b></u>)的VPN存在风险,并且对骨干网管理提出严峻挑战。因此,越来越多的专家强调—— <br/>  <br/><table class="t_table" cellspacing="0" width="1%" align="center"><tbody><tr><td></td><td></td><td></td></tr><tr><td></td><td><table class="t_table" cellspacing="0" align="center"><tbody><tr><td><br/></td></tr></tbody></table></td><td></td></tr><tr><td></td><td></td><td></td></tr></tbody></table>  多协议标记交换(<u><b><font color="#ff0000">MPLS</font></b></u>)是一项由<a href="http://www.qqread.com/cisco/index.html" target="_blank"><font color="#0000ff">Cisco</font></a>公司、Juniper Networks公司以及AT&amp;T公司等网络业领先厂商支持的下一代传输流管理技术。但是,现在不断有专家加入到反对<u><b><font color="#ff0000">MPLS</font></b></u>的行列中。最近,又有两位AT&amp;T试验室的著名Internet研究人员加入到反对阵营中。 <br/>  <br/>  这两位研究人员是:安全权威Steve Bellovin和网络运行专家Randy Bush,他们警告说,部署基于<u><b><font color="#ff0000">MPLS</font></b></u>的VPN的公司会面临潜在的安全和保密问题,<u><b><font color="#ff0000">MPLS</font></b></u>对Internet骨干网提供商的<a href="http://www.qqread.com/keywords/network-manage.html" target="_blank"><font color="#0000ff">网络管理</font></a>提出了严峻挑战。 <br/>  <br/>  Bush认为,<u><b><font color="#ff0000">MPLS</font></b></u> VPN是“销售<a href="http://www.qqread.com/route/index.html" target="_blank"><font color="#0000ff">路由器</font></a>的最佳途径,但是它们增加了Internet核心的复杂性。”Bellovin指出,<u><b><font color="#ff0000">MPLS</font></b></u> VPN不能自动地<a href="http://www.qqread.com/keywords/encryption.html" target="_blank"><font color="#0000ff">加密</font></a>数据,“大多数安全漏洞是人为错误造成的。在使用<u><b><font color="#ff0000">MPLS</font></b></u> VPN的情况下,网络管理人员可能会出现配置错误,导致失去<a href="http://www.qqread.com/z/telecom/index.html" target="_blank"><font color="#0000ff">通信</font></a>的保密性。” <br/>  <br/>  在开发<u><b><font color="#ff0000">MPLS</font></b></u>的标准制定组织Internet工程任务组(IETF)中,Bush和Bellovin分别担任领导工作。事实上,<u><b><font color="#ff0000">MPLS</font></b></u>列入到日前在伦敦举行的IETF会议议程中。在会上,IETF分为批评派和支持派。 <br/>  <br/>  <u><b><font color="#ff0000">MPLS</font></b></u>最强硬的支持者包括Cisco公司和Juniper Networks公司,这两家公司认为: 基于<u><b><font color="#ff0000">MPLS</font></b></u>的VPN提供了足够的安全性,并且部署费用比Bush和Bellovin支持的替代技术更低。 <br/>  <br/>  <u><b><font color="#ff0000">MPLS</font></b></u>是一种使传输商可以将包括帧中继和<a href="http://www.qqread.com/z/network/atm/index.html" target="_blank"><font color="#0000ff">ATM</font></a>技术在内的不同类型的数据流融合到一条运行IP的骨干线路上的协议。<u><b><font color="#ff0000">MPLS</font></b></u>弥补了Internet在提交差别服务类型通信时没有承诺的方式。IETF于1999年定稿的<u><b><font color="#ff0000">MPLS</font></b></u>标准正在由包括AT&amp;T在内的多家服务提供商实现着: AT&amp;T利用该协议支持一项基于IP的帧中继服务, <u><b><font color="#ff0000">MPLS</font></b></u> VPN也颇有希望成为IBM(加拿大)和Candian Life Assurance等公司的网络所使用的策略技术。 <br/>  <br/>  Bush和Bellovin批评说,由于运营商可以直接在Internet骨干网上传送帧中继或ATM传输流,因此<u><b><font color="#ff0000">MPLS</font></b></u>不是必需的。Bush表示:“如果我有纯IP内核的话,就不需要<u><b><font color="#ff0000">MPLS</font></b></u>。” <br/>  <br/>  尽管这两位IETF领导人不喜欢<u><b><font color="#ff0000">MPLS</font></b></u>,但是他们却将最尖锐的批评指向了<u><b><font color="#ff0000">MPLS</font></b></u> VPN。Bush认为,基于第二层的<u><b><font color="#ff0000">MPLS</font></b></u> VPN存在的可伸缩性问题比第三层的<u><b><font color="#ff0000">MPLS</font></b></u> VPN上的问题少。Bellovin则推荐使用IPSec的VPN。 <br/>  <br/>  Bush和Bellovin尤其指责了一项在1999年由两位Cisco公司工程师发表的一份IETF信息文件RFC 2547中提出的建立<u><b><font color="#ff0000">MPLS</font></b></u> VPN的技术。 <br/>  <br/>  Bush尖锐地指出:“<u><b><font color="#ff0000">MPLS</font></b></u>是一种性病,它不会要我们的命。但是RFC 2547 VPN却是致命的,它不能扩展,从而不能够满足Internet五年后的需要,它会毁了企业的网络。” <br/>  <br/>  RFC 2547描述了一种利用运行在Internet骨干网路由器上的边缘网关协议(BGP)来传播<u><b><font color="#ff0000">MPLS</font></b></u> VPN信息的技术。在采用这种办法时,ISP必须管理每个<u><b><font color="#ff0000">MPLS</font></b></u> VPN的特殊BGP路由表,并在接入VPN的每个位置上保存这张路由表的一部分。 <br/>  <br/>  今天,多数ISP管理一张BGP路由表,这已经是一项困难的任务。Bush说:“对于网络运营商来说,管理一张路由表就够头痛了,而现在却让他们管理几千张这样的路由表。”随着主表中表项数量的增加,BGP路由表变得越来越庞大,难于使用。 <br/>  <br/>  为了帮助解决这种扩展问题,Juniper公司开发了一种代替RFC 2547的技术:将管理特殊VPN路由表的任务推给客户。Juniper在一个叫做<u><b><font color="#ff0000">MPLS</font></b></u> Circuit Cross Connect的产品中支持这种<u><b><font color="#ff0000">MPLS</font></b></u> VPN,并且该公司将这种概念作为一项标准草案提交给IETF。 <br/>  <br/>  Cisco公司也向IETF建议了类似的方法。新方法使<u><b><font color="#ff0000">MPLS</font></b></u> VPN建立在开放系统互联模型的第二层结构上,而不是像RFC 2547协议在第三层上。在<a href="http://www.qqread.com/keywords/photoshop_e.html" target="_blank"><font color="#0000ff">设计</font></a>上,这类VPN可以发送类似<u><b><font color="#ff0000">MPLS</font></b></u>上的帧中继和ATM等的传统数据流。 <br/>  <br/>  Bush认为,第二层上的<u><b><font color="#ff0000">MPLS</font></b></u> VPN存在的可伸缩性问题比原来第三层上的<u><b><font color="#ff0000">MPLS</font></b></u> VPN要少。 <br/>  <br/>  Bellovin指出,这两种方法存在许多安全风险。由于信息不能自动被加密,因此如果误发给他人就会造成信息泄漏。如果连接中断,<u><b><font color="#ff0000">MPLS</font></b></u> VPN也容易造成信息泄露。 <br/>  <br/>  Bellovin说:“<u><b><font color="#ff0000">MPLS</font></b></u> VPN具有非常差的故障排除模式,因为终点是由服务提供商建立的,所以企业客户无法控制。” <br/>  <br/>  Bellovin推荐采用IP安全协议(IPSec)的VPN。IPSec是一项IETF开发的、具有内置加密功能的隧道技术。在采用IPSec的情况下,如果通信误发到另一个人手中,这个人也无法阅读信息。另外,由于客户自己处理IPSec功能,因此,IPSec给骨干网路由器造成的压力也很小。 <br/>  <br/>  业界更多的反对声音—— <br/>  <br/>  Bush和Bellovin并不是惟一表示对<u><b><font color="#ff0000">MPLS</font></b></u> VPN安全性和可伸缩性担心的人。Metomedia Fiber Networks公司一位高级网络设计师Vijay Gill说:“RFC 2547是一场史无前例的大噩梦。”同Bush一样,Gill建议选用第二层上的<u><b><font color="#ff0000">MPLS</font></b></u> VPN,因为“它们更简单,并且我们不必再去应付客户路由表。” <br/>  <br/>  CIMI公司总裁Thomas Nolle预测,运行在Internet上的<u><b><font color="#ff0000">MPLS</font></b></u> VPN将不会得到普及。但是他说运行在独立的专用IP网络上的<u><b><font color="#ff0000">MPLS</font></b></u> VPN(如AT&amp;T的服务)可以变得更安全,有可能取得成功。 <br/>  <br/>  Nolle说:“任何作为替代帧中继或加密隧道的技术来研究<u><b><font color="#ff0000">MPLS</font></b></u> VPN的大型机构,现在应当认识到这项技术不能为它们提供支持。” <br/>  <br/>  <u><b><font color="#ff0000">MPLS</font></b></u> VPN也有自己的拥护者。他们认为,基于RFC 2547的<u><b><font color="#ff0000">MPLS</font></b></u> VPN更具可伸缩性,它与使用帧中继或ATM的VPN一样安全。 <br/>  <br/>  Cisco公司的Bruce Davie说,RFC 2547 VPN涉及到的配置工作量比IPSec VPN要少,而且这种负担是由ISP而非客户来承担的。Davie认为: “基于<u><b><font color="#ff0000">MPLS</font></b></u>的VPN部署费用比IPSec VPN要低得多。” <br/>  <br/>  至于安全性问题,Davie说:“几百万人对帧中继中的类似安全水平感到相当满意,<u><b><font color="#ff0000">MPLS</font></b></u>提供了同样的安全性。” <br/>  <br/>  Davie补充说,对安全感到担心的公司可以在利用<u><b><font color="#ff0000">MPLS</font></b></u> VPN发送信息前对信息进行加密。 <br/>  <br/>  不过,Davie证实说,Cisco公司正在开发一项名为通用传输接口的封装技术,这项技术将使网络管理人员无需<u><b><font color="#ff0000">MPLS</font></b></u>就可直接在IP上发送帧中继或ATM数据包。 <br/>  <br/>  Davie说:“因为<u><b><font color="#ff0000">MPLS</font></b></u>偏离了Internet结构,所以才有一些人认为应当不惜一切代价阻止它。” <br/>  <br/>  关于<u><b><font color="#ff0000">MPLS</font></b></u> VPN的争论在继续—— <br/>  <br/>  像Bush和Bellovin这类Internet工程师支持保持Internet骨干网的简单性和非智能性,而将复杂性和智能性放在网络边缘和客户端。但<u><b><font color="#ff0000">MPLS</font></b></u>则与这种方法大相径庭。 <br/>  <br/>  另一方面,电话服务提供商习惯于以更集中的方式提供服务和一条更聪明的骨干网。他们喜欢<u><b><font color="#ff0000">MPLS</font></b></u>是源于它与帧中继和ATM这类传统的数据通信技术非常接近。</div>

举报本楼

本帖有 4 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-30 14:40 , Processed in 0.215153 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部