當前，兩種新興的VPN技術：BGP/MPLS VPN和IPSec VPN越來越受到人們的關注。本文分別討論了基于BGP/MPLS和IPSec來提供VPN業務的機制，評價了兩種VPN解決方案，為網絡管理者評估這兩種方案提出了指導方針。
1 簡介
目前，兩種既各具特點又具有一定互補性的VPN（虛擬專用網）架構正逐漸在提供新興服務的基礎網絡領域大行其道，這兩種VPN就是融BGP（邊界網關協議）和MPLS（多協議標記交換）技術的VPN和基于IPSec的VPN。
RFC 2547定義了允許服務提供商使用其IP骨干網為用戶提供VPN服務的一種機制。RFC 2547也被稱為BGP/MPLS VPN，因為BGP被用來在提供商骨干網中發布VPN路由信息，而MPLS被用來將VPN業務從一個VPN站點轉發至另一個站點。BGP/MPLS VPN能夠利用公用骨干網絡強大的傳輸能力，降低企業內部網絡/Internet的建設成本，極大地提高用戶網絡運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶和方便性的需要。
IPSec是由IETF 的IPSec 工作組定義的一種開放源代碼框架。IPSec 的工作組對數據源認證、數據完整性、重播保護、密鑰管理以及數據機密性等主要的有關方面定義了特定協議。IPSec通過激活系統所需要的安全協議、確定用于服務的算法及所要求的密鑰來提供安全服務。由于這些服務在IP層提供，能被更高層次的協議所利用（如TCP、UDP、ICMP、BGP等），并且對于應用程序和終端用戶來說是透明的，所以，應用和終端用戶不需要更改程序和進行安全方面的專門培訓，同時對現有網絡的改動也最小。
2 BGP/MPLS VPN體系結構
RFC 2547中定義了三種類型的路由器：CE（用戶網邊緣路由器）在用戶側為用戶所有，接收和分發用戶網絡路由，CE連接到提供商的PE（骨干網邊緣路由器）；PE處理VPN-IPv4路由，這是BGP/MPLS VPN的核心；位于骨干網核心的P（骨干網核心路由器）負責MPLS包的轉發。
VPN是若干個用戶站點的集合，而站點是VPN中一個孤立的IP網絡，比如可以是公司總部或分支機構等。用戶接入BGP/MPLS VPN的方式是每個站點提供一個或多個CE同骨干網PE的連接，每個站點在PE中由各個VRF（虛擬路由轉發實例）來表示，它包含了與一個站點相關的路由表、轉發表、接口、路由實例以及路由策略等。PE上的接口可以綁定到唯一一個VRF上，一個VRF也可以被綁定到多個接口上，但PE之間不能交換VRF信息。
當邊緣設備在兩個VPN站點使用相同的地址前綴，就會在路由解析時出現沖突，BGP/MPLS VPN使用VPN-IPv4地址族和MP-BGP（多協議擴展BGP）來解決這一問題。一個VPN-IPv4地址（12字節）是由8字節的RD（路由標示）和4字節的IPv4地址組成。這樣就可以把相同的地址前綴翻譯成不同的VPN-IPv4地址，也就可以分別為每個VPN站點生成與該VPN-IPv4地址對應的不同路由。
BGP/MPLS VPN中有兩種重要的數據流，一種是進行路由分發和LSP（標記轉發路徑）確定的控制流，另一種是用戶的VPN業務流。存在兩種控制機制，一種負責不同PE間路由信息的交換，另一種負責建立通過提供商骨干網的LSP。
路由分發基于BGP的擴展共同體屬性，以目的路由為基準進行過濾。當一條VPN路由插入到BGP中后，VPN路由目標擴展共同體屬性就與其相關聯，這些都來源于路由學習建立的VRF相關BGP出口列表。每一個PE也包含與每一個VRF對應的入口列表，入口列表類似于路由器中允許接入VRF的ACL定義。例如，PE中某一條特定VRF的入口列表包含目的接口A和C，但不包含B，則包含接口A和C的VPN路由能夠接入VRF，B的則不能。 VPN隧道的LSP的建立可以通過LDP或RSVP來完成。LDP在PE之間建立盡力而為的LSP，當VPN需要QoS時，則必須通過RSVP建立具有QoS能力的路由LSP。
路由器CE1向CE2所在的網絡發送數據。首先轉發到默認網關PE1，PE1在與站點1對應的VRF中進行路由查詢，PE2廣播的到站點2的路由對應標記5，同時查詢BGP的下一跳路由，PE1查找到PE2的路由LSP在轉發分組到特定分組之前需加標記100，即入口路由器P1在分組上加兩個標記，棧底的5使PE2將分組轉發到特定CE，棧頂的100用來在網絡中轉發分組。
分組在路由器P1處交換標記，用標記2替代100，P2作為LSP的倒數第2個路由器在轉發分組到PE2前彈出棧頂標記，PE2利用棧底標記5來標識下一跳的CE，彈出標記5后將IPv4包轉發到CE2。
3 BGP/MPLS VPN特點
BGP/MPLS VPN為安全的點到點通信提供了一種可選的方案，它是具有與ATM/FR虛電路的VPN相同安全級別的VPN。BGP/MPLS VPN建立了幾種內部機制來保障安全性。VPN-IPv4地址可以使不同的VPN在地址前綴重疊時保持獨立。
路由分離通過使連接到PE的用戶站點對應不同的VRF來實現，并且，在BGP擴展共同體屬性中，通過使用唯一標示符在BGP路由更新過程中進一步保證路由分離。當正確地配置了地址空間和路由分離后，BGP/MPLS VPN就能夠提供同二層VPN，如ATM/FR VPN同樣的安全性。此時要想通過MPLS云侵入其他VPN是不可能的，除非經過了特定的配置。
這些安全機制存在于提供商網絡的內部，提供商核心網絡的結構對用戶來說是不可見的。CE知道下一跳的PE路由，卻不能得到任何核心P路由，因此，用戶不能獲得核心網絡結構的情況，這就能保護潛在的攻擊者使用這些信息進行拒絕服務、欺騙、會話竊取等攻擊。
可能出現欺騙用戶空間的情況，然而，因為每一個VRF都對應一個或多個指向用戶的接口，要想在VPN中欺騙IP地址，攻擊者必須在用戶側。如果VPN用戶能夠采取措施保障內部站點的安全性，則這種情況不會發生。由此考慮，BGP/MPLS VPN能夠提供與IPSec相同級別的安全性。PE和CE之間物理鏈路的存在和與之相關的PE中對應的VRF取代了認證VPN端點的必要性，因為他們必須與站點保持正確的物理連接。
也可能出現欺騙MPLS標記的情況，然而，有兩種解決的方法，一種是CE與PE之間的接口是IP接口，任何LSP都不包含這些接口，正確配置的PE應丟棄從CE來的MPLS流量。另一種方法是對于每一個P來說標記僅具有本地意義，這意味著攻擊者不僅要獲得提供商的物理接入，還要在特定位置用欺騙標記來接入特定VPN，這幾乎不可能辦到。并且提供商的安全策略應該能夠這樣做。
與BGP/MPLS VPN安全性有關的最大問題是當有多個VRF和目標通信者時配置提供商網絡的復雜性，對于好多提供商來說，管理眾多BGP路由表并保持好的連通性是很困難的，因為一張表的改變會影響很多其他表。
BGP/MPLS VPN比傳統的二層或基于IPSec的VPN更經濟，BGP/MPLS VPN的另一個優點是它的可擴展性，二層或IPSec VPN是點到點的，因此，星型結構是擴展時最常用的結構，而提供商可簡單地將BGP/MPLS VPN配置成全網狀結構，這不僅能方便地排出內部路由故障，還能夠極大簡化提供潛在的敏感應用，如語音和視頻。BGP/MPLS VPN還能夠提供與MPLS網絡同等級的QoS保障。