从技术上看,基于多协议标记交换(MPLS)的VPN存在风险,并且对骨干网管理提出严峻挑战。因此,越来越多的专家强调——
多协议标记交换(MPLS)是一项由Cisco公司、Juniper Networks公司以及AT&T公司等网络业领先厂商支持的下一代传输流管理技术。但是,现在不断有专家加入到反对MPLS的行列中。最近,又有两位AT&T试验室的著名Inte.net研究人员加入到反对阵营中。
这两位研究人员是:安全权威Steve Bellovin和网络运行专家Randy Bush,他们警告说,部署基于MPLS的VPN的公司会面临潜在的安全和保密问题,MPLS对Internet骨干网提供商的网络管理提出了严峻挑战。
Bush认为,MPLS VPN是“销售路由器的最佳途径,但是它们大大增加了Internet核心的复杂性。”Bellovin指出,MPLS VPN不能自动地加密数据,“大多数安全漏洞是人为错误造成的。在使用MPLS VPN的情况下,网络管理人员可能会出现配置错误,导致失去通信的保密性。”
在开发MPLS的标准制定组织Internet工程任务组(IETF)中,Bush和Bellovin分别担任领导工作。事实上,MPLS列入到日前在伦敦举行的IETF会议议程中。在会上,IETF分为批评派和支持派。
MPLS最强硬的支持者包括Cisco公司和Juniper Networks公司,这两家公司认为: 基于MPLS的VPN提供了足够的安全性,并且部署费用比Bush和Bellovin支持的替代技术更低。
MPLS是一种使传输商可以将包括帧中继和ATM技术在内的不同类型的数据流融合到一条运行IP的骨干线路上的协议。MPLS弥补了Internet在提交差别服务类型通信时没有承诺的方式。IETF于1999年定稿的MPLS标准正在由包括AT&T在内的多家服务提供商实现着: AT&T利用该协议支持一项基于IP的帧中继服务, MPLS VPN也颇有希望成为IBM(加拿大)和Candian Life Assurance等公司的网络所使用的策略技术。
Bush和Bellovin批评说,由于运营商可以直接在Internet骨干网上传送帧中继或ATM传输流,因此MPLS不是必需的。Bush表示:“如果我有纯IP内核的话,就不需要MPLS。”
尽管这两位IETF领导人不喜欢MPLS,但是他们却将最尖锐的批评指向了MPLS VPN。Bush认为,基于第二层的MPLS VPN存在的可伸缩性问题比第三层的MPLS VPN上的问题少。Bellovin则推荐使用IPSec的VPN。
Bush和Bellovin尤其指责了一项在1999年由两位Cisco公司工程师发表的一份IETF信息文件RFC 2547中提出的建立MPLS VPN的技术。
Bush尖锐地指出:“MPLS是一种性病,它不会要我们的命。但是RFC 2547 VPN却是致命的,它不能扩展,从而不能够满足Internet五年后的需要,它会毁了企业的网络。”
RFC 2547描述了一种利用运行在Internet骨干网路由器上的边缘网关协议(BGP)来传播MPLS VPN信息的技术。在采用这种办法时,ISP必须管理每个MPLS VPN的特殊BGP路由表,并在接入VPN的每个位置上保存这张路由表的一部分。
今天,多数ISP管理一张BGP路由表,这已经是一项困难的任务。Bush说:“对于网络运营商来说,管理一张路由表就够头痛了,而现在却让他们管理几千张这样的路由表。”随着主表中表项数量的增加,BGP路由表变得越来越庞大,难于使用。
为了帮助解决这种扩展问题,Juniper公司开发了一种代替RFC 2547的技术:将管理特殊VPN路由表的任务推给客户。Juniper在一个叫做MPLS Circuit Cross Connect的产品中支持这种MPLS VPN,并且该公司将这种概念作为一项标准草案提交给IETF。
Cisco公司也向IETF建议了类似的方法。新方法使MPLS VPN建立在开放系统互联模型的第二层结构上,而不是像RFC 2547协议在第三层上。在设计上,这类VPN可以发送类似MPLS上的帧中继和ATM等的传统数据流。
Bush认为,第二层上的MPLS VPN存在的可伸缩性问题比原来第三层上的MPLS VPN要少。
Bellovin指出,这两种方法存在许多安全风险。由于信息不能自动被加密,因此如果误发给他人就会造成信息泄漏。如果连接中断,MPLS VPN也容易造成信息泄露。
Bellovin说:“MPLS VPN具有非常差的故障排除模式,因为终点是由服务提供商建立的,所以企业客户无法控制。”
Bellovin推荐采用IP安全协议(IPSec)的VPN。IPSec是一项IETF开发的、具有内置加密功能的隧道技术。在采用IPSec的情况下,如果通信误发到另一个人手中,这个人也无法阅读信息。另外,由于客户自己处理IPSec功能,因此,IPSec给骨干网路由器造成的压力也很小。
业界更多的反对声音——
Bush和Bellovin并不是惟一表示对MPLS VPN安全性和可伸缩性担心的人。Metomedia Fiber Networks公司一位高级网络设计师Vijay Gill说:“RFC 2547是一场史无前例的大噩梦。”同Bush一样,Gill建议选用第二层上的MPLS VPN,因为“它们更简单,并且我们不必再去应付客户路由表。”
CIMI公司总裁Thomas Nolle预测,运行在Internet上的MPLS VPN将不会得到普及。但是他说运行在独立的专用IP网络上的MPLS VPN(如AT&T的服务)可以变得更安全,有可能取得成功。
Nolle说:“任何作为替代帧中继或加密隧道的技术来研究MPLS VPN的大型机构,现在应当认识到这项技术不能为它们提供支持。”
MPLS VPN也有自己的拥护者。他们认为,基于RFC 2547的MPLS VPN更具可伸缩性,它与使用帧中继或ATM的VPN一样安全。
Cisco公司的Bruce Davie说,RFC 2547 VPN涉及到的配置工作量比IPSec VPN要少,而且这种负担是由ISP而非客户来承担的。Davie认为: “基于MPLS的VPN部署费用比IPSec VPN要低得多。”
至于安全性问题,Davie说:“几百万人对帧中继中的类似安全水平感到相当满意,MPLS提供了同样的安全性。”
Davie补充说,对安全感到担心的公司可以在利用MPLS VPN发送信息前对信息进行加密。
不过,Davie证实说,Cisco公司正在开发一项名为通用传输接口的封装技术,这项技术将使网络管理人员无需MPLS就可直接在IP上发送帧中继或ATM数据包。
Davie说:“因为MPLS大大偏离了Internet结构,所以才有一些人认为应当不惜一切代价阻止它。”
关于MPLS VPN的争论在继续——
像Bush和Bellovin这类Internet工程师支持保持Internet骨干网的简单性和非智能性,而将复杂性和智能性放在网络边缘和客户端。但MPLS则与这种方法大相径庭。
另一方面,电话服务提供商习惯于以更集中的方式提供服务和一条更聪明的骨干网。他们喜欢MPLS是源于它与帧中继和ATM这类传统的数据通信技术非常接近。 (网讯)