我國的Internet接入發展非常迅速，有人認為MPLS具有不利于Internet發展，可能好多人還不了解Internet接入發展中遇到的問題，沒有關系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。從技術上看，基于多協議標記交換(MPLS)的VPN存在風險，并且對骨干網管理提出嚴峻挑戰。因此，越來越多的專家強調多協議標記交換(MPLS)是一項由Cisco公司、Juniper Networks公司以及AT&T公司等網絡業領先廠商支持的下一代傳輸流管理技術。但是，現在不斷有專家加入到反對MPLS的行列中。最近，又有兩位AT&T試驗室的著名Internet接入究人員加入到反對陣營中。這兩位研究人員是：安全權威Steve Bellovin和網絡運行專家Randy Bush，他們警告說，部署基于MPLS的VPN的公司會面臨潛在的安全和保密問題，MPLS對Internet接入骨干網提供商的網絡管理提出了嚴峻挑戰。

Bush認為，MPLS VPN是“銷售路由器的最佳途徑，但是它們大大增加了Internet接入核心的復雜性�！盉ellovin指出，MPLS VPN不能自動地加密數據，“大多數安全漏洞是人為錯誤造成的。在使用MPLS VPN的情況下，網絡管理人員可能會出現配置錯誤，導致失去通信的保密性�！痹陂_發MPLS的標準制定組織Internet接入工程任務組（IETF）中，Bush和Bellovin分別擔任領導工作。事實上，MPLS列入到日前在倫敦舉行的IETF會議議程中。在會上，IETF分為批評派和支持派。

MPLS最強硬的支持者包括Cisco公司和Juniper Networks公司，這兩家公司認為: 基于MPLS的VPN提供了足夠的安全性，并且部署費用比Bush和Bellovin支持的替代技術更低。MPLS是一種使傳輸商可以將包括幀中繼和ATM技術在內的不同類型的數據流融合到一條運行IP的骨干線路上的協議。MPLS彌補了Internet在提交差別服務類型通信時沒有承諾的方式。IETF于1999年定稿的MPLS標準正在由包括AT&T在內的多家服務提供商實現著: AT&T利用該協議支持一項基于IP的幀中繼服務， MPLS VPN也頗有希望成為IBM（加拿大）和Candian Life Assurance等公司的網絡所使用的策略技術。

Bush和Bellovin批評說，由于運營商可以直接在Internet接入骨干網上傳送幀中繼或ATM傳輸流，因此MPLS不是必需的。Bush表示：“如果我有純IP內核的話，就不需要MPLS。”盡管這兩位IETF領導人不喜歡MPLS，但是他們卻將最尖銳的批評指向了MPLS VPN。Bush認為，基于第二層的MPLS VPN存在的可伸縮性問題比第三層的MPLS VPN上的問題少。Bellovin則推薦使用IPSec的VPN。Bush和Bellovin尤其指責了一項在1999年由兩位Cisco公司工程師發表的一份IETF信息文件RFC 2547中提出的建立MPLS VPN的技術。

Bush尖銳地指出：“MPLS是一種性病，它不會要我們的命。但是RFC 2547 VPN卻是致命的，它不能擴展，從而不能夠滿足Internet接入五年后的需要，它會毀了企業的網絡。”RFC 2547描述了一種利用運行在Internet接入骨干網路由器上的邊緣網關協議(BGP)來傳播MPLS VPN信息的技術。在采用這種辦法時，ISP必須管理每個MPLS VPN的特殊BGP路由表，并在接入VPN的每個位置上保存這張路由表的一部分。

今天，多數ISP管理一張BGP路由表，這已經是一項困難的任務。Bush說：“對于網絡運營商來說，管理一張路由表就夠頭痛了，而現在卻讓他們管理幾千張這樣的路由表。”隨著主表中表項數量的增加，BGP路由表變得越來越龐大，難于使用。為了幫助解決這種擴展問題，Juniper公司開發了一種代替RFC 2547的技術：將管理特殊VPN路由表的任務推給客戶。Juniper在一個叫做MPLS Circuit Cross Connect的產品中支持這種MPLS VPN，并且該公司將這種概念作為一項標準草案提交給IETF。Cisco公司也向IETF建議了類似的方法。新方法使MPLS VPN建立在開放系統互聯模型的第二層結構上，而不是像RFC 2547協議在第三層上。在設計上，這類VPN可以發送類似MPLS上的幀中繼和ATM等的傳統數據流。Bush認為，第二層上的MPLS VPN存在的可伸縮性問題比原來第三層上的MPLS VPN要少。

Bellovin指出，這兩種方法存在許多安全風險。由于信息不能自動被加密，因此如果誤發給他人就會造成信息泄漏。如果連接中斷，MPLS VPN也容易造成信息泄露。Bellovin說：“MPLS VPN具有非常差的故障排除模式，因為終點是由服務提供商建立的，所以企業客戶無法控制。”Bellovin推薦采用IP安全協議(IPSec)的VPN。IPSec是一項IETF開發的、具有內置加密功能的隧道技術。在采用IPSec的情況下，如果通信誤發到另一個人手中，這個人也無法閱讀信息。另外，由于客戶自己處理IPSec功能，因此，IPSec給骨干網路由器造成的壓力也很小。

業界更多的反對聲音
 
Bush和Bellovin并不是惟一表示對MPLS VPN安全性和可伸縮性擔心的人。Metomedia Fiber Networks公司一位高級網絡設計師Vijay Gill說：“RFC 2547是一場史無前例的大噩夢。”同Bush一樣，Gill建議選用第二層上的MPLS VPN，因為“它們更簡單，并且我們不必再去應付客戶路由表�！�

CIMI公司總裁Thomas Nolle預測，運行在Internet接入上的MPLS VPN將不會得到普及。但是他說運行在獨立的專用IP網絡上的MPLS VPN(如AT&T的服務)可以變得更安全，有可能取得成功。Nolle說：“任何作為替代幀中繼或加密隧道的技術來研究MPLS VPN的大型機構，現在應當認識到這項技術不能為它們提供支持�！盡PLS VPN也有自己的擁護者。他們認為，基于RFC 2547的MPLS VPN更具可伸縮性，它與使用幀中繼或ATM的VPN一樣安全。Cisco公司的Bruce Davie說，RFC 2547 VPN涉及到的配置工作量比IPSec VPN要少，而且這種負擔是由ISP而非客戶來承擔的。Davie認為: “基于MPLS的VPN部署費用比IPSec VPN要低得多�！敝劣诎踩�性問題，Davie說：“幾百萬人對幀中繼中的類似安全水平感到相當滿意，MPLS提供了同樣的安全性�！�