‍

IPVPN是通过隧道机制实现的，隧道机制可以提供一定的安全性，并且使VPN中分组的封装方式、地址信息与承载网络的封装方式、地址信息无关。目前常见的IPVPN技术有第二层隧道协议(L2TP)、IP安全协议(IPSec)、通用路由封装(GRE)协议和多协议标签交换(MPLS)协议。

L2TP

L2TP由RFC266定义，该协议定义了在包交换网络(包括IP、ATM、FR等)中封装链路层点到点协议(PPP)帧的方法。承载协议首选网络层的IP协议，也可以采用数据链路层的ATM或FR协议。L2TP可以支持多种拨号用户协议，如IP、IPX和AppleTalk等。

目前，L2TP及其相关的认证、计费系统已经比较成熟。基于L2TP的远程接入VPN业务开展得也比较广泛。该服务主要面向分散的、具有一定移动性的用户，一般是运营商提供接入设备，客户提供网关设备并进行管理，也可以委托运营商进行管理。

IPSec

IPSec属于第三层隧道协议，它是一组开放的网络安全协议的总称，在IP层提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。IPSec包括报文验证包头(AH)和封装安全载荷(ESP)两个安全协议。AH协议主要提供数据来源验证、数据完整性验证和防报文重放功能。ESP协议除具有AH协议的功能之外还提供对IP报文的加密功能。

IPSec可以单独使用，也可以和L2TP、GRE等隧道协议一起使用，为用户提供更大的灵活性和可靠性。

虽然IPSec和与之相关协议已基本完成标准化工作，但测试表明，目前不同厂家的IPSec设备还存在互操作性等问题，因此目前大规模部署使用IPSecVPN还存在困难。

MPLS协议

MPLS协议是在IP路由和控制协议的基础上，提供面向连接的交换。MPLS是一种完备的网络技术，实际上也是一种隧道技术，用它来建立VPN隧道十分容易，并且能够进行服务等级划分，保证服务质量，有效地利用网络的资源。

根据提供商边界(PE)设备是否参与客户的路由，MPLSVPN可以分为第三层VPN(Layer3MPLSVPN)和第二层VPN(Laye2MPLSVPN)两种。

Layer3MPLSVPN

Layer3MPLSVPN是一种基于路由方式的MPLSVPN解决方案，ITEFRFC2547中对这种VPN技术进行了描述。Layer3MPLSVPN也被称作BGP/MPLSVPN，其利用标签分发协议(LDP)在MPLS上进行路由，保证每个VPN都有一套单独的地址和路由转发信息(VRF)。

Layer3MPLSVPN

Layer2MPLSVPN的PE设备和CE设备之间没有路由交换，运营商仅向客户提供基于二层的网络功能。这种VPN可以支持的二层技术包括FR、ATMAAL5公共部分汇聚子层(CPCS)模式、ATM透明信元模式、以太网、以太网VLAN、高级数据链路控制(HDLC)、PPP、同步光网络(SONET)/SDH链路仿真服务等。二层VPN简化了运营商的网络结构和管理，但目前的标准尚不够成熟。