IP/MPLS VPN的开展,讓用戶與運營商把目標盯向了極有競爭力和市場前景的VPN。對用戶而言,IP/MPLS VPN可極便捷地替換租用線與傳統的ATM幀中繼VPN連接計算機或LAN,也可给予租用線的備份、冗餘與峰值負載分擔等,節省費用明顯。對服務给予商來說,IP/MPLS VPN是將來增大業務範圍、維持競爭力與客戶粘性、減小成本、加大利潤的重要方法。

安全性保證是IP/MPLS VPN(以下都叫VPN)是否可取代租用線和傳統的ATM幀中繼VPN的關鍵因素(QoS保證也是)。雖說2000年2月Yankee group發表的研究報告指出傳統的ATM幀中繼VPN有嚴重的安全隱患,但ATM幀中繼VPN在安全性方面仍然享有很高的聲譽。與人們對ATM幀中繼VPN安全性特別信任的情況相反,儘管IP/MPLS VPN技術聲稱給出了安全性保證,但由於人們普遍認為IP網本身是不安全的,因此對基於IP/MPLS的VPN的安全性還有很大疑惑。

安全性是個複雜的系統問題,任何一個網絡系統僅靠VPN的安全通信是不會保證安全的。下面將從不同的VPN隧道技術與組網方式的角度來探討其安全性。

由用戶是否信任運營商及用戶數據的安全敏感程度,用戶可選擇由運營商给予安全性保障,也可選擇自己實施。

IP/MPLS VPN同時滿足這兩種實施方式。

1.用戶不信任運營商

當用戶不相信運營商给予的任何形式的安全服務時(如用戶的數據特別敏感),用戶應用防火牆及有安全隧道功能的用戶駐地設備(CPE)來實現IP/MPLS VPN。在此情況下,用戶負責所傳遞數據的安全性,VPN數據的安全性取決於用戶防火牆及所用隧道協議的安全性等多方面因素。和在傳統的ATM幀中繼VPN的中運營商只給出傳遞ATM信元或幀中繼幀的傳輸通道相似,運營商這時只傳遞IP/MPLS包的傳輸通道,沒有安全保證,隧道數據的安全性由用戶負責。

2.用戶信任運營商

傳統的基於幀中繼與ATM的VPN都假設運營商是可信任的,在IP/MPLS VPN的操作中,也能如此假設。在這種情況下,防火牆功能的给予及包傳輸的安全性保證都是運營商给予的。若是基於網絡的VPN,運營商負責運營商兩個邊緣設備(PE)間的安全性,不含用戶接入鏈路的安全性(這段鏈路一般是用戶專用的,通常認為是安全的)；若是基於用戶設備(CE)的VPN則運營商負責保證CE設備到PE設備間的安全性,包括了用戶接入鏈路的安全性,這是一種基於CE的管理型VPN。

在不同場合下,運營商可由需要用不同的安全等級。若運營商認為PE到PE或CE到CE的路徑原本是安全的,因為運營商有整個骨幹網基礎設施(VPN數據傳遞只在一個運營商的IP骨幹網中傳遞),或把部分骨幹網外包給另一個值得信賴的運營商(如可能是SONET/SDH電路、波長或光纖)，那麼就不大需要太高的安全機制(如IPSec)來給出骨幹網節點間的隧道安全服務。若VPN數據的傳遞跨多個運營商的骨幹網,那麼用高級別的安全機制就非常必要。