丹尼尔和约翰都对你的问题给出了很好的回答；我将添加一些在阅读问题时想到的实用内容。

请记住，关于MPLS VPN的安全性的许多讨论都是通过通常提供给帧中继和ATM VPN 的信任来进行的。

MPLS安全吗？

最终，安全问题归结为一个未提出的问题，即“您信任谁来处理您的业务关键数据？”

• 如果答案是“没人”，那么您必须通过加密的 VPN 覆盖您的数据
• 如果您信任您的MPLS VPN提供商，则无需加密您的数据

为什么不在 MPLS 上运行 VPN 呢？

在最常见的用法中，MPLS是一个 VPN，但它是一个未加密的 VPN。当您提到“VPN”时，我假设您指的是加密的 VPN，例如PPTP、IPSec或SSL VPN 。但是，如果您需要VPN 内部的强加密、数据完整性或身份验证，则 rfc4381 MPLS VPN 安全，第 5.2 节建议在MPLS VPN内部加密。

但是，加密的 VPN 本身并非没有问题。他们通常患有：

• 基础设施的额外费用
• 吞吐量/可扩展性限制（由于硬件加密的复杂性）
• 人员/培训的额外费用
• 通过加密 VPN 调试问题时增加平均修复时间
• 增加管理开销（即维护 PKI）
• 技术困难，例如较低的TCP MSS ，以及PMTUD经常出现的问题
• 链接效率较低，因为您有加密 VPN 的封装开销（这已经在MPLS VPN的开销之内）

没有人可以窃听交通吗？

是的，无论您是否认为您可以信任您的提供商，窃听都是很有可能的。我将引用rfc4381 MPLS VPN 安全，第 7 节：

就 MPLS 核心内部的攻击而言，所有 [未加密] VPN 类（BGP/MPLS、FR、ATM）都有相同的问题：如果攻击者可以安装嗅探器，他就可以读取所有 VPN 中的信息，如果攻击者可以访问核心设备，他可以执行大量攻击，从数据包欺骗到引入新的对等路由器。服务提供商可以使用上述许多预防措施来加强核心的安全性，但 BGP/MPLS IP VPN 架构的安全性取决于服务提供商的安全性。如果服务提供商不受信任，那么完全保护 VPN 免受来自 VPN 服务“内部”的攻击的唯一方法是在顶部、CE 设备或其他设备上运行 IPsec。

我会提到最后一点，这只是一个实际问题。有人可能会争辩说，如果您要在基本的互联网服务上使用加密的 VPN，那么使用MPLS VPN是没有意义的；我不同意这个想法。通过 MPLS VPN 加密 VPN 的优势在于与一家提供商合作：

• 在您解决问题时（端到端）
• 为保证服务质量
• 提供服务

我假设您在谈论 MPLS VPN。MPLS VPN 比常规 Internet 连接更安全，它基本上就像一条虚拟租用线路。但是它不运行加密。因此，除非有人错误配置了 VPN，否则它不会被窃听，但如果您携带敏感流量，它仍然应该被加密。这种 VPN 没有经过身份验证，因此它是一个专用网络，但没有像 IPSEC 那样经过身份验证和加密。如果有人可以物理访问您的网络，他们可以嗅探数据包。

对于常规 VPN，我假设您的意思是 IPSEC。IPSEC 根据您运行的模式进行身份验证和加密。因此，如果有人拿到了数据包，他们应该仍然无法读取它们。

最常见定义中的“VPN”并不一定意味着安全。MPLS 也是如此，这两个术语经常结合使用（参见“MPLS VPN”），因为 MPLS 的某些方面可以提供与传统 VPN 相似的功能（AToMPLS、EoMPLS、TDMoMPLS 等）。

完全可以在加密的 VPN 隧道上运行 MPLS，并在 MPLS 电路上运行加密的 VPN 流量。MPLS 本身并不“安全”，但它主要用于传输服务，其中底层协议可以是安全的。

通常，您描述的场景可能是由于组织希望从两个独立的提供商那里获得不同的连接，而其中一个提供商不提供 MPLS 服务。