建立在IP技术之上的虚拟专用网VPN因其低廉的远程通信成本和较高的安全性受到信息社会各界的普遍关注,VPN的服务目的就是在共享的网络上向用户提供专用的网络连接,VPN连接的质量至少等同于专业网络的通信保障,这种VPN模式正快速成为新一代网络服务的基础,电信运营商可从中获到新的利润增长点。既各具特点又有一定互补性的VPN架构正逐渐在网络的各个层面大显身手,在各种VPN方案中本文主要论述MP-BGP/MPLS、IPSEC、SSL等VPN技术,对其安全机制进行深入的探讨,分析了它们的相似之处、相互之间的差异以及各自的优缺点。指出基于IP网络的各种VPN进行有机结合实现安全层次各不相同的通信需求:在电信提供商的核心网络上架构MP-BGP/MPLS VPN,外围启用IPsec以及用户端使用SSL VPN技术;本文针对这一目标展开层层论述,评价这些VPN的解决方案,为网络管理者以及使用者评估以及最终的选择提供指导。本文首先描述多协议标记交换(MPLS)VPN技术的实现方式,通过标签分发协议(LDP)建立标签转发通道(LSP),在核心网络提供快速转发,采用标签交换技术隐藏MPLS VPN核心路由器的标识及路由,防止攻击PE路由器、P路由器、MPLS信令机制,拒绝标记欺骗;PE限制用户的流量,P采用单播反向路径转发(URPF)检查、设置过滤器、关闭ICMP等流控措施防范DoS攻击;之后介绍了扩展的边界网关协议(MP-BGP)的特点,MPLS VPN融合了MP-BGP技术后实现了PE-PE之间承载VPN成员关系,利用VRF使CE-PE间的连接相互独立,使地址空间和路由独立,防止攻击者通过CE向PE发送大规模的路由或路由变更数据包实施拒绝服务(DoS)攻击。然后分析MP-BGP / MPLS VPN自身的安全机制以及面临的安全问题,主要是自身协议的问题,提出加强其安全的措施:通过ACL包过滤安全管理PE、P等设备。路由协议如BGP要配有安全鉴定选项,所有的对等关系都要加以安全防护,对CE和PE设备间信令机制进行路由鉴权,即CE-PE间的BGP实现加密(如MD5)鉴权;PE-P标签分配协议LDP的加密(如MD5)鉴权以及P-P标签分配协议LDP的加密(如MD5)鉴权,防止引入虚假路由器参加标签的分配。由于BGP使用面向连接的TCP,可用TCP认证算法对MP-BGP消息的完整性进行保护,保证路由信息的安全可靠,确保在传输过程中没有被修改过。为了进一步实现MP-BGP/MPLS VPN两端网络的安全,随后介绍IPSec技术,提出MP-BGP/MPLS与IPSec相结合的方案:在MP-BGP/MPLS VPN网络上运行IPSec,通过头部鉴权(AH)及数据加密(ESP),保护数据的安全,防止内部攻击MPLS VPN网络;IPSec也可配置在CE设备上,对用户的数据安全有积极意义。之后分析IPSec的优缺点,指出复杂的IPSec在使用上带来诸多的不便之处。其后又介绍了SSL的技术特点,提出MP-BGP/MPLS与SSL相结合、以及IPSec和SSL相融合的方案,在应用程序协议(如Http)和TCP/IP协议之间提供数据安全性分层的机制,为TCP/IP连接提供数据加密,服务器认证,消息完整性等功能。最后指出必须对SSL+IPSec+MPLS VPN的安全模式按照实际的应用情况加以权衡选择。