内容提要
虚拟专用网(VPN )在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用。目前构建VPN的技术主要分为两大类：即Overlay VPN 和IP VPN (MPLS VPN)。Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密， 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 ， 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 ， 而 且 ， 既 然 数 据 是 放 在 隧 道 中 传 送 ， 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。与 overlay VPN 相 比 ， 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 ， 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 ， 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 ， 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 ， 而 帧 中 继 VPN 提 供 数 据 的 传 输 ， 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模式 的 转 变 。
本文首先介绍了Overlay VPN与MPLS VPN的区别，然后介绍了MPLS VPN的工作过程，最后总结了MPLS VPN优越性。

VPN 在 21 世 纪 将 会 被 服 务 提 供 商 广 泛 应 用 。 服 务 提 供 商 受 到 挑 战 ： 他 们 的 用 户 要 求 建 立 网 络 ， 可 以 将 专 用 inanet 扩 展 到 分 支 办 公 室 。 这 些 基 于 IP 的 应 用 要 求 保 密 性 、 QoS 和 点 到 点 的 连 接 性 。 用 户 要 求 易 于 使 用 的 服 务 与 局 域 inanet 无 缝 结 合 。 服 务 提 供 商 提 供 的 VPN 服 务 必 须 具 有 高 扩 展 性 、 性 价 比 高 、 满 足 用 户 广 泛 的 需 求 ， 他 们 必 须 提 供 低 耗 费 的 、 可 管 理 的 服 务 来 吸 引 新 的 市 场， 为 增 值 服 务 奠 定 基 础 。
帧 中 继 和 提 供 多 服 务 的 ATM 可 提 供 保 密 性 和 CoS， 而 IP 可 以 带 来 端 到 端 的 连 接 性 。 服 务 供 应 商 能 够 利 用 MPLS 来 建 立 一 套 完 全 崭 新 的 级 别 。 基 于 MPLS 的 IP VPN 是 面 向 非 连 接 的 IP 网 络 ， 同 样 可 以 象 帧 中 继 和 提 供 IP 服 务 级 别 一 样 具 有 保 密 性 。 因 为 基 于 MPLS 的 VPN 使 运 行 更 为 有 效 ， 提 供 商 能 够 为 用 户 提 供 低 耗 费 、 可 管 理 的 IP 服 务 。
IP VPN 具 有 丰 富 的 特 性 可 以 应 用 ， 服 务 提 供 商 需 要 一 些 特 性 来 区 分 不 同 类 型 的 IP 应 用 ， 用 以 提 供 保 密 性 和 IP QoS ， 与 overlay IP 隧 道 、 帧 中 继 或 ATM 相 比 ， 更 为 简 单 。
1. Overlay VPN与MPLS VPN
Overlay VPN 要 求 在 帧 中 继 、 ATM 或 IP 网 络 上 建 立 隧 道 或 加 密， 这 种 方 案 是 建 立 在 点 到 点 连 接 的 基 础 上 的 ， 需 要 对 每 条 隧 道 或 VC进 行 单 独 的 配 置 ， 而 且 ， 既 然 数 据 是 放 在 隧 道 中 传 送 ， 电 路 不 了 解 自 己 传 送 的 是 哪 种 类 型 的 数 据 。 这 种 解 决 方 案 是 以 连 接 为 中 心 的 ， 而 用 户 需 要 购 买 的 是 一 个 网 络 。
VPN 网 络 必 须 能 够 通 过 应 用 类 型 得 知 数 据 类 型 ， 如 语 音 、 重 要 的 应 用 或 电 子 邮 件 。 网 络 可 以 很 容 易 地 根 据 VPN 区 分 数 据 类 型， 而 不 用 配 置 复 杂 的 、 点 到 点 的 连 接 。 进 一 步 来 说 ， 网 络 需 要 具 有 通 晓 VPN 的 能 力 ， 使 得 服 务 提 供 商 能 够 很 容 易 地 将 用 户 和 服 务 分 组 ， 提 供 用 户 所 需 的 服 务 。 这 是 VPN 具 备 的 最 基 本 功 能 。 MPLS 是 一 项 将 VPN 通 晓 性 带 入 交 换 式 或 路 由 式 网 络 的 技 术 ， 它 使 得 服 务 提 供 商 能 够 迅 速 、 有 效 地 在 同 一 个 网 络 结 构 中 建 立 各 种 大 小 的 VPN 。
与 overlay VPN 相 比 ， 基 于 MPLS 的 网 络 能 够 将 数 据 流 分 开 ， 无 需 建 立 隧 道 或 加 密 即 可 提 供 保 密 性 ， 基 于 MPLS 的 网 络 以 网 络 到 网 络 的 方 式 提 供 保 密 性 ， 如 同 帧 中 继 以 连 接 到 连 接 的 方 式 提 供 保 密 性。 基 于 MPLS 的 网 络 为 用 户 提 供 服 务 ， 而 帧 中 继 VPN 提 供 数 据 的 传 输 ， 这 将 支 持 服 务 提 供 商 实 现 从 面 向 传 输 的 模 式 到 面 向 服 务 的 模 的 转 变 。
虚 拟 专 用 网 是 今 年 来 兴 起 的 一 项 新 的 增 值 业 务 ， 对 于 又 有 建 网 需 求 ， 又 不 愿 投 入 精 力 和 资 金 的 大 型 企 业 用 户 来 说 ， 这 种 VPN 业 务 正 符 合 其 需 求 。 而 通 常 VPN 用 户 对 网 络 的 基 本 要 求 是 ： 保 证 数 据 安 全 性 ， 网 络 操 作 的 简 便 性 以 及 网 络 的 可 扩 展 性 。 在 传 统 的 VPN 技 术 中 ， 第 二 层 VPN 满 足 了 VPN 用 户 的 安 全 性 需 求 ， 因 此 ， 安 全 的 需 要 正 是 目 前 构 建 内 部 网 的 公 司 只 使 用 租 用 线 路 或 帧 中 继 链 来 连 接 各 站 点 的 原 因。但 是第 二 层 VPN 完 全 是 点 到 点 的 连 接 ， 建 网 复 杂 ， 一 旦 有 新 的 用 户 加 入 网 络 ， 无 论 用 户 方 还 是 网 络 方 都 需 要 进 行 很 大 的 修 改 ， 增 强 许 多 工 作 量 ， 同 时 网 络 的 可 扩 展 性 也 及 受 限 制。 MPLS VPN 不 仅 满 足 VPN 用 户 对 安 全 性 的 要 求， 还 简 化 了 网 络 和 用 户 方 的 工 作 量， 可 以 建 立 任 意 的 连 接 ， 具 有 很 好 的 网 络 可 扩 展 性 。 第 二 层 VPN 与 第 三 层 VPN 的 比 较 见 图1和图2所示。

图 1 第 二 层 VPN