當(dāng)前，由于側(cè)重點(diǎn)不同，VPN可以分為兩類(lèi)：
一類(lèi)側(cè)重于網(wǎng)絡(luò)層的信息保護(hù)，提供各種加密安全機(jī)制以便靈活地支持認(rèn)證、完整性、訪問(wèn)控制和密碼服務(wù)，保證信息傳送過(guò)程中的保密性和不可篡改性。這類(lèi)協(xié)議包括IPSec、PPTP、L2TP等等。其中，IPSec己經(jīng)成為國(guó)際標(biāo)準(zhǔn)的協(xié)議，并得到幾乎所有主流安全廠商的支持，如Cisco、Checkpoint、Netscreen等等。主要的應(yīng)用領(lǐng)域?yàn)楦鞣N涉及信息安全和加密的應(yīng)用，如金融、證券、地稅、財(cái)政、工商、商檢、信息中心、科委等各部門(mén)，上下級(jí)機(jī)構(gòu)傳送敏感的信息、建設(shè)安全OA系統(tǒng)、召開(kāi)保密視頻會(huì)議、保證業(yè)務(wù)流程中數(shù)據(jù)的機(jī)密性與完整性。
另一類(lèi)VPN技術(shù)以MPLS技術(shù)為代表，主要考慮的問(wèn)題是如何保證網(wǎng)絡(luò)的服務(wù)質(zhì)量（QoS）。通過(guò)定義資源預(yù)留協(xié)議、QoS協(xié)議和主機(jī)行為，來(lái)保證網(wǎng)絡(luò)服務(wù)的水平，如時(shí)延、帶寬等等。
VPN服務(wù)目的是在共享的基礎(chǔ)網(wǎng)絡(luò)設(shè)施上，向用戶(hù)提供安全的網(wǎng)絡(luò)連接。合理和實(shí)用的VPN解決方案應(yīng)能夠抗拒非法入侵、防范網(wǎng)絡(luò)阻塞，而且應(yīng)能保證安全、穩(wěn)定的網(wǎng)絡(luò)通信。同時(shí)，VPN還應(yīng)該具有良好的可管理性、可伸縮性等特征。目前，MPLS VPN和IPSec VPN兩種技術(shù)架構(gòu)正逐漸被應(yīng)用于新興電訊服務(wù)的基礎(chǔ)網(wǎng)絡(luò)領(lǐng)域
在理論上，MPLS VPN，在RFC 2547定義了允許服務(wù)提供商使用其IP骨干網(wǎng)為用戶(hù)提供VPN服務(wù)的一種機(jī)制。RFC 2547也被稱(chēng)為MPLS VPN，因?yàn)锽GP被用來(lái)在提供商骨干網(wǎng)中發(fā)布VPN路由信息，而MPLS被用來(lái)將VPN業(yè)務(wù)從一個(gè)VPN站點(diǎn)轉(zhuǎn)發(fā)至另一個(gè)站點(diǎn)。MPLS VPN能夠利用公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力，降低企業(yè)內(nèi)部網(wǎng)絡(luò)/Internet的建設(shè)成本，極大地提高用戶(hù)網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性，同時(shí)能夠滿(mǎn)足用戶(hù)對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶和方便性的需要。
IPSec是由IETF 的IPSec 工作組定義的一種開(kāi)放源代碼框架。IPSec 的工作組對(duì)數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性、重播保護(hù)、密鑰管理以及數(shù)據(jù)機(jī)密性等主要的有關(guān)方面定義了特定協(xié)議。IPSec通過(guò)激活系統(tǒng)所需要的安全協(xié)議、確定用于服務(wù)的算法及所要求的密鑰來(lái)提供安全服務(wù)。由于這些服務(wù)在IP層提供，能被更高層次的協(xié)議所利用（如TCP、UDP、ICMP、BGP等），并且對(duì)于應(yīng)用程序和終端用戶(hù)來(lái)說(shuō)是透明的，所以，應(yīng)用和終端用戶(hù)不需要更改程序和進(jìn)行安全方面的專(zhuān)門(mén)培訓(xùn)，同時(shí)對(duì)現(xiàn)有網(wǎng)絡(luò)的改動(dòng)也最小。
2 MPLS VPN體系結(jié)構(gòu)
RFC 2547中定義了三種類(lèi)型的路由器：CE（用戶(hù)網(wǎng)邊緣路由器）在用戶(hù)側(cè)為用戶(hù)所有，接收和分發(fā)用戶(hù)網(wǎng)絡(luò)路由，CE連接到提供商的PE（骨干網(wǎng)邊緣路由器）；PE處理VPN-IPv4路由，這是MPLS VPN的核心；位于骨干網(wǎng)核心的P（骨干網(wǎng)核心路由器）負(fù)責(zé)MPLS包的轉(zhuǎn)發(fā)。
VPN是若干個(gè)用戶(hù)站點(diǎn)的集合，而站點(diǎn)是VPN中一個(gè)孤立的IP網(wǎng)絡(luò)，比如可以是公司總部或分支機(jī)構(gòu)等。用戶(hù)接入MPLS VPN的方式是每個(gè)站點(diǎn)提供一個(gè)或多個(gè)CE同骨干網(wǎng)PE的連接，每個(gè)站點(diǎn)在PE中由各個(gè)VRF（虛擬路由轉(zhuǎn)發(fā)實(shí)例）來(lái)表示，它包含了與一個(gè)站點(diǎn)相關(guān)的路由表、轉(zhuǎn)發(fā)表、接口、路由實(shí)例以及路由策略等。PE上的接口可以綁定到唯一一個(gè)VRF上，一個(gè)VRF也可以被綁定到多個(gè)接口上，但PE之間不能交換VRF信息。
當(dāng)邊緣設(shè)備在兩個(gè)VPN站點(diǎn)使用相同的地址前綴，就會(huì)在路由解析時(shí)出現(xiàn)沖突，MPLS VPN使用VPN-IPv4地址族和MP-BGP（多協(xié)議擴(kuò)展BGP）來(lái)解決這一問(wèn)題。一個(gè)VPN-IPv4地址（12字節(jié)）是由8字節(jié)的RD（路由標(biāo)示）和4字節(jié)的IPv4地址組成。這樣就可以把相同的地址前綴翻譯成不同的VPN-IPv4地址，也就可以分別為每個(gè)VPN站點(diǎn)生成與該VPN-IPv4地址對(duì)應(yīng)的不同路由。
MPLS VPN中有兩種重要的數(shù)據(jù)流，一種是進(jìn)行路由分發(fā)和LSP（標(biāo)記轉(zhuǎn)發(fā)路徑）確定的控制流，另一種是用戶(hù)的VPN業(yè)務(wù)流。存在兩種控制機(jī)制，一種負(fù)責(zé)不同PE間路由信息的交換，另一種負(fù)責(zé)建立通過(guò)提供商骨干網(wǎng)的LSP。
路由分發(fā)基于BGP的擴(kuò)展共同體屬性，以目的路由為基準(zhǔn)進(jìn)行過(guò)濾。當(dāng)一條VPN路由插入到BGP中后，VPN路由目標(biāo)擴(kuò)展共同體屬性就與其相關(guān)聯(lián)，這些都來(lái)源于路由學(xué)習(xí)建立的VRF相關(guān)BGP出口列表。每一個(gè)PE也包含與每一個(gè)VRF對(duì)應(yīng)的入口列表，入口列表類(lèi)似于路由器中允許接入VRF的ACL定義。例如，PE中某一條特定VRF的入口列表包含目的接口A和C，但不包含B，則包含接口A和C的VPN路由能夠接入VRF，B的則不能。
VPN 隧道的LSP的建立可以通過(guò)LDP或RSVP來(lái)完成。LDP在PE之間建立盡力而為的LSP，當(dāng)VPN需要QoS時(shí)，則必須通過(guò)RSVP建立具有QoS能力的路由LSP。
路由器CE1向CE2所在的網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。首先轉(zhuǎn)發(fā)到默認(rèn)網(wǎng)關(guān)PE1，PE1在與站點(diǎn)1對(duì)應(yīng)的VRF中進(jìn)行路由查詢(xún)，PE2廣播的到站點(diǎn)2的路由對(duì)應(yīng)標(biāo)記5，同時(shí)查詢(xún)BGP的下一跳路由，PE1查找到PE2的路由LSP在轉(zhuǎn)發(fā)分組到特定分組之前需加標(biāo)記100，即入口路由器P1在分組上加兩個(gè)標(biāo)記，棧底的5使PE2將分組轉(zhuǎn)發(fā)到特定CE，棧頂?shù)?00用來(lái)在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)分組。
分組在路由器P1處交換標(biāo)記，用標(biāo)記2替代100，P2作為L(zhǎng)SP的倒數(shù)第2個(gè)路由器在轉(zhuǎn)發(fā)分組到PE2前彈出棧頂標(biāo)記，PE2利用棧底標(biāo)記5來(lái)標(biāo)識(shí)下一跳的CE，彈出標(biāo)記5后將IPv4包轉(zhuǎn)發(fā)到CE2。