当前，由于侧重点不同，VPN 可以分为两类：一类侧重于网络层的信息保护，提供各种加密安全机制以便灵活地支持认证、完整性、访问控制和密码服务，保证信息传送过程中的保密性和不可篡改性。这类协议包括IPSec、PPTP 、 L2TP 等等。其中，IPSec 己经成为国际标准的协议，并得到几乎所有主流安全厂商的支持，如 Cisco、Checkpoint、Netscreen 等等。主要的应用领域为各种涉及信息安全和加密的应用，如金融、证券、地税、财政、工商、商检、信息中心、科委等各部门，上下级机构传送敏感的信息、建设安全 OA 系统、召开保密视频会议、保证业务流程中数据的机密性与完整性。另一类 VPN 技术以 MPLS 技术为代表，主要考虑的问题是如何保证网络的服务质量（QoS） 。通过定义资源预留协议、QoS 协议和主机行为，来保证网络服务的水平，如时延、带宽等等。VPN 服务目的是在共享的基础网络设施上，向用户提供安全的网络连接。合理和实用的VPN 解决方案应能够抗拒非法入侵、防范网络阻塞，而且应能保证安全、稳定的网络通信。同时，VPN 还应该具有良好的可管理性、可伸缩性等特征。目前，MPLS VPN 和 IPSec VPN两种技术架构正逐渐被应用于新兴电讯服务的基础网络领域在理论上，MPLS VPN，在 RFC 2547 定义了允许服务提供商使用其 IP 骨干网为用户提供VPN 服务的一种机制。RFC 2547 也被称为 MPLS VPN，因为 BGP 被用来在提供商骨干网中发布 VPN 路由信息，而 MPLS 被用来将 VPN 业务从一个 VPN 站点转发至另一个站点。MPLS VPN 能够利用公用骨干网络强大的传输能力，降低企业内部网络/Internet 的建设成本，极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要。IPSec 是由 IETF 的 IPSec 工作组定义的一种开放源代码框架。IPSec 的工作组对数据源认证、数据完整性、重播保护、密钥管理以及数据机密性等主要的有关方面定义了特定协议。IPSec 通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。由于这些服务在 IP 层提供，能被更高层次的协议所利用（如 TCP、UDP、ICMP、BGP等） ，并且对于应用程序和终端用户来说是透明的，所以，应用和终端用户不需要更改程序和进行安全方面的专门培训，同时对现有网络的改动也最小。2 MPLS VPN 体系结构RFC 2547 中定义了三种类型的路由器：CE（用户网边缘路由器）在用户侧为用户所有，接收和分发用户网络路由，CE 连接到提供商的 PE（骨干网边缘路由器） ；PE 处理 VPN-IPv4 路由，这是 MPLS VPN 的核心；位于骨干网核心的 P（骨干网核心路由器）负责 MPLS 包的转发。VPN 是若干个用户站点的集合，而站点是 VPN 中一个孤立的 IP 网络，比如可以是公司总部或分支机构等。用户接入 MPLS VPN 的方式是每个站点提供一个或多个 CE 同骨干网 PE 的连接，每个站点在 PE 中由各个 VRF（虚拟路由转发实例）来表示，它包含了与一个站点相关的路由表、转发表、接口、路由实例以及路由策略等。PE 上的接口可以绑定到唯一一个VRF 上，一个 VRF 也可以被绑定到多个接口上，但 PE 之间不能交换 VRF 信息。当边缘设备在两个 VPN 站点使用相同的地址前缀，就会在路由解析时出现冲突，MPLS VPN使用 VPN-IPv4 地址族和 MP-BGP（多协议扩展 BGP）来解决这一问题。一个 VPN-IPv4 地址（12 字节）是由 8 字节的 RD（路由标示）和 4 字节的 IPv4 地址组成。这样就可以把相同的地址前缀翻译成不同的 VPN-IPv4 地址，也就可以分别为每个 VPN 站点生成与该 VPN-IPv4地址对应的不同路由。MPLS VPN 中有两种重要的数据流，一种是进行路由分发和 LSP（标记转发路径）确定的控制流，另一种是用户的 VPN 业务流。存在两种控制机制，一种负责不同 PE 间路由信息的交换，另一种负责建立通过提供商骨干网的 LSP。路由分发基于 BGP 的扩展共同体属性，以目的路由为基准进行过滤。当一条 VPN 路由插入到 BGP 中后， VPN 路由目标扩展共同体属性就与其相关联，这些都来源于路由学习建立的VRF 相关 BGP 出口列表。每一个 PE 也包含与每一个 VRF 对应的入口列表，入口列表类似于路由器中允许接入 VRF 的 ACL 定义。例如，PE 中某一条特定 VRF 的入口列表包含目的接口 A 和 C，但不包含 B，则包含接口 A 和 C 的 VPN 路由能够接入 VRF，B 的则不能。VPN 隧道的 LSP 的建立可以通过 LDP 或 RSVP 来完成。LDP 在 PE 之间建立尽力而为的LSP，当 VPN 需要 QoS 时，则必须通过 RSVP 建立具有 QoS 能力的路由 LSP。路由器 CE1 向 CE2 所在的网络发送数据。首先转发到默认网关 PE1，PE1 在与站点 1 对应的 VRF 中进行路由查询，PE2 广播的到站点 2 的路由对应标记 5，同时查询 BGP 的下一跳路由，PE1 查找到 PE2 的路由 LSP 在转发分组到特定分组之前需加标记 100，即入口路由器P1 在分组上加两个标记，栈底的 5 使 PE2 将分组转发到特定 CE，栈顶的 100 用来在网络中转发分组。分组在路由器 P1 处交换标记，用标记 2 替代 100，P2 作为 LSP 的倒数第 2 个路由器在转发分组到 PE2 前弹出栈顶标记，PE2 利用栈底标记 5 来标识下一跳的 CE，弹出标记 5 后将IPv4 包转发到 CE2。3 MPLS VPN 特点MPLS VPN 为安全的点到点通信提供了一种可选的方案，它是具有与 ATM/FR 虚电路的 VPN相同安全级别的 VPN。MPLS VPN 建立了几种内部机制来保障安全性。VPN-IPv4 地址可以使不同的 VPN 在地址前缀重叠时保持独立。路由分离通过使连接到 PE 的用户站点对应不同的 VRF 来实现，并且，在 BGP 扩展共同体属性中，通过使用唯一标示符在 BGP 路由更新过程中进一步保证路由分离。当正确地配置了地址空间和路由分离后，MPLS VPN 就能够提供同二层 VPN，如 ATM/FR VPN 同样的安全性。此时要想通过 MPLS 云侵入其他 VPN 是不可能的，除非经过了特定的配置。这些安全机制存在于提供商网络的内部，提供商核心网络的结构对用户来说是不可见的。CE 知道下一跳的 PE 路由，却不能得到任何核心 P 路由，因此，用户不能获得核心网络结构的情况，这就能保护潜在的攻击者使用这些信息进行拒绝服务、欺骗、会话窃取等攻击。可能出现欺骗用户空间的情况，然而，因为每一个 VRF 都对应一个或多个指向用户的接口，要想在 VPN 中欺骗 IP 地址，攻击者必须在用户侧。如果 VPN 用户能够采取措施保障内部站点的安全性，则这种情况不会发生。由此考虑，MPLS VPN 能够提供与 IPSec 相同级别的安全性。PE 和 CE 之间物理链路的存在和与之相关的 PE 中对应的 VRF 取代了认证 VPN 端点的必要性，因为他们必须与站点保持正确的物理连接。也可能出现欺骗 MPLS 标记的情况，然而，有两种解决的方法，一种是 CE 与 PE 之间的接口是 IP 接口，任何 LSP 都不包含这些接口，正确配置的 PE 应丢弃从 CE 来的 MPLS 流量。另一种方法是对于每一个 P 来说标记仅具有本地意义，这意味着攻击者不仅要获得提供商的物理接入，还要在特定位置用欺骗标记来接入特定 VPN，这几乎不可能办到。并且提供商的安全策略应该能够这样做。与 MPLS VPN 安全性有关的最大问题是当有多个 VRF 和目标通信者时配置提供商网络的复杂性，对于好多提供商来说，管理众多 BGP 路由表并保持好的连通性是很困难的，因为一张表的改变会影响很多其他表。MPLS VPN 比传统的二层或基于 IPSec 的 VPN 更经济，MPLS VPN 的另一个优点是它的可扩展性，二层或 IPSec VPN 是点到点的，因此，星型结构是扩展时最常用的结构，而提供商可简单地将 MPLS VPN 配置成全网状结构，这不仅能方便地排出内部路由故障，还能够极大简化提供潜在的敏感应用，如语音和视频。MPLS VPN 还能够提供与 MPLS 网络同等级的QoS 保障。4 IPSec VPN 体系结构IPSec 通过选择特定的安全协议在 IP 层提供安全服务，确定服务所用的算法，为提供所需的业务增加加密密钥，IPSec 能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条“通道” 。本质上，IPSec 是为提供两个设备间的安全 IP 通路而指定的一系列协议。因 IPSec VPN 是基于设备的，而不是基于网络的，它比 MPLS VPN 在实施上提供了更大的灵活性，提供商无需对路由器进行额外的配置。IPSec VPN 可以在主机或站点之间通过安全网关实现。IPSec 使用两个协议来保障 IP 上的安全传输。AH（认证头）协议为 IP 数据报提供无连接的数据完整性和数据源身份认证，同时具有防重放攻击的能力。ESP（封装安全载荷）协议为IP 数据包提供加密机制，为数据流提供有限的机密性保护。IPSec 提供了两种不同的模式来传输加密数据：传输模式和隧道模式。通常情况下，传输模式只用于两台主机之间的安全通信，传输模式能够为两台主机间的每一次协议会话提供分离的通道，它插在 IP 头和有效载荷之间，保护的是 IP 包的有效载荷或者说是上层协议。隧道模式必须用在网关到网关的会话或主机到网关的会话。隧道模式为会话提供唯一的加密通道，为整个 IP 包提供保护，先为原始 IP 包增加 AH 或 ESP 字段，然后在外部增加一个新的 IP 头，指向目的 IPSec 网关。IPSec 没有指定必须使用何种加密和散列算法。通常的加密算法有 DES 和 3DES，散列算法有 MD5 和 SHA-1，Diffier-Hellman 被用来交换加密密钥。然而，因为 IPSec 并没有指定需要特定的加密和散列算法，它提供了一种方法供设备协商通用的策略。采用 SAC（安全联盟）的构建方案来确定双方使用的策略和会话密钥，SA 驻留在 SPD（安全策略数据库）中，VPN 网关查询 SPD 来确定如何处理从特定 VPN 隧道来的数据包，在转发前在包头添加SPI（安全策略标示符） ，接收端根据目的信息和 SPI 查询 SPD 对数据包进行解密/认证处理。IPSec 的一项重要的功能是交换加密后的数据，为了有效、准确地实现这一功能，必须进行加密密钥的交换。IKE（因特网密钥交换）协议是一个产生和交换密钥并协调 IPSec 参数的框架。IKE 在通信系统之间建立安全联盟，提供密钥确定、密钥管理的机制，将密钥协商的结果保留在 SA 中，供 AH 和 ESP 以后通信时使用。IKE 在两个端点间协商 SA 的过程包括两个阶段。阶段 1 用于两个对等实体建立一个安全的、已认证的通信通道，阶段 2 用于 IPSec 进行密钥和参数的协商。一个隧道模式的 VPN 组网，主机 A 发送最终目的地为主机 B 的数据到它的默认网关G1，G1 为 IPSec 网关和防火墙。它查询策略，确定到主机 B 的数据需加密；查询 SPD，没找到对应主机 B 所属网关的 SA，则 G1 和 G2 之间必须先建立 SA，G1 执行 IKE 阶段 1，之后 G1、G2 执行阶段 2，建立 SA，确定通信使用 3DES/SHA-1 加密和散列算法，插入各自的数据库，双方交换加密密钥，G1 对数据包进行加密并添加 SHA-1 散列值，G2 接收到分组，根据包头的 SPI 查询 SPD，检查散列值，对