saas ipsec 区别

互联网的快速发展极大地促进了信息资源的交流。与此同时，人们越来越关注频繁的安全和保密问题。企业内部或企业之间的安全通信环境必须通过建立自己的通信干道或租用电缆和光缆来构建ISDN(Integrated Services DigitalNetwork，综合业务数字网)或DDN(Digital DataNetwork，数字数据网)等技术构建企业专用网络。如果要保证安全性和可靠性，获得高性能专用网络，成本巨大，普通企业难以承受。所以，计划(Virtual PrivateNetwork，虚拟专用网络)是在这种背景下产生的，其技术要点是在公共网络上建立专用网络。虚拟专用网络的意义在于整个方案网络的任何两个节点之间的连接，而不是基于网络服务提供商提供的网络和帧中继的逻辑网络。

组网作为实现高原理不同的两种方案技术(Multi-Protocol Label Switching， 方案与多协议标签交换)IPSec(互联网Protocol Security，由于特网协议的安全性) 方案各有优缺点，需要在特定的应用场景中灵活选择。

2 组网 方案技术高原理

IP路由技术部署灵活，二层交换相当方便，采用了组网 方案ATM(Asynchronous TransferMode，异步传输模式)VPI(Virtual Path Identifier，虚路径标识符/VCI(Virtual ChannelIdentifier，虚通道标识符)交换思想，综合IP路由技术和二层交换的两个优点。IP网络本是面向无连接的网络，但在组网方案网络中，路由信息由IGP(Interior Gateway Protocol，内部网关协议)，BGP(Border GatewayProtocol，收集和生成边界网关协议等路由协议，然后为特定的路由表项添加标签，在一定程度上增加了面向连接的属性QoS(Quality of Service，保证服务质量，满足不同类型的服务QoS要求。

2.1 组网网络架构

组网网络的基本组成单元是LSR(Label Switching Router，标签交换路由器)，连接用户网络的LSR称为边缘LSR(也称为LER)，该区域不直接连接到用户网络LSR称为核心LSR。域内LSR组网用于通信，边缘原因LER与传统IP适应技术。

组网网络的进入节点称为Ingress，出节点称为Egress，中间转发节点称为Transit。沿着一系列系列包沿着一系列LSR这一系列传输LSR就构成了LSP(Label Switching Path，标签交换路径)。

组网网络内部运行OSPF、ISIS、EIGRP等待内部路由协议，建立网络内部邻居关系。但由于组网网络中的所有报纸都会有标签，因此需要标签分发协议(如LDP)与IGP结合，为每一个IGP的IP前缀分配标签并分发给所有LSR邻居。

组网的基本工作流程如下：

(1)LDP每合内部路由协议，由协议LSR有业务需求的FEC(Forwarding Equivalence Class，建立相应的路由表和标签映射表。

(2)Ingress对接收到的分组数据包进行三层分析，确定分组所属FEC，打标签后，形成组网标签数据包，发送至Transit中转节点。

(3)Transit节点不分析三层数据包，而是读取分组标签，根据当地标签转发表分组转发。

(4)在Egress去掉节点上的标签，还原为IP离开组网络进行后续转发的数据包。

2.2 基于组网的方案

典型的组网 方案网络包括以下三种类型的网元：

(1)PE：与用户的服务提供商边缘路由器CE设备直连。PE负责用户的管理，建立LSP连接、创建和管理VRF(Virtual Routing Forwarding，方案路由转发)。

(2)P：不与服务提供商网络中的骨干路由器CE直接连接，只有网络标签数据包转发能力，根据外部标签转发报纸，不参与方案用户的添加、删除和删除VRF创建和维护表项。

(3)CE：用户网络边缘设备，服务提供商PE设备直接连接，负责发布本地路由PE设备上，但CE无需支持网络组合，也无法感知到方案的存在。