Daniel 和 John 都很好地回答了你的问题；我只会添加一些在我阅读问题时想到的实际内容。

请记住，关于MPLS VPN安全性的许多讨论都是通过通常提供给帧中继和ATM VPN的信任来实现的。

MPLS 安全吗？

最终，安全问题归结为一个未提出的问题，即“您信任谁来处理您的业务关键数据？”

• 如果答案是“没人”，那么您必须通过加密的 VPN 覆盖您的数据
• 如果您信任您的MPLS VPN提供商，则无需加密您的数据

为什么不在 MPLS 上运行 VPN？

最常见的用法是，MPLS是一种 VPN，但它是一种未加密的 VPN。当您提到“VPN”时，我假设您指的是加密的 VPN，例如PPTP、IPSec或SSL VPN。但是，如果您需要在 VPN 内部进行强加密、数据完整性或身份验证，rfc4381 MPLS VPN 安全性第 5.2 节建议在MPLS VPN内部进行加密。

然而，加密的 VPN 本身并非没有问题。他们通常遭受：

• 基础设施的额外费用
• 吞吐量/可扩展性限制（由于硬件加密的复杂性）
• 人员/培训的额外费用
• 通过加密 VPN 调试问题时增加了平均修复时间
• 增加管理开销（即维护 PKI）
• 技术难题，例如较低的TCP MSS，以及PMTUD经常出现的问题
• 链接效率较低，因为您有加密 VPN 的封装开销（这已经在MPLS VPN的开销内）

没有人可以窃听流量吗？

是的，窃听是很有可能的，无论您是否认为您可以信任您的提供商。我将引用rfc4381 MPLS VPN 安全，第 7 节：

就 MPLS 核心内部的攻击而言，所有 [未加密] VPN 类（BGP/MPLS、FR、ATM）都有相同的问题：如果攻击者可以安装嗅探器，他就可以读取所有 VPN 中的信息，如果攻击者可以访问核心设备，他可以执行大量攻击，从数据包欺骗到引入新的对等路由器。服务提供商可以使用上面概述的许多预防措施来加强核心的安全性，但 BGP/MPLS IP VPN 架构的安全性取决于服务提供商的安全性。如果服务提供商不受信任，则完全保护 VPN 免受来自 VPN 服务“内部”攻击的唯一方法是在顶部、CE 设备或其他设备上运行 IPsec。

我要提最后一点，这只是一个实际问题。有人可能会争辩说，如果您要在基本互联网服务上使用加密 VPN，那么使用MPLS VPN没有意义；我不同意这个观点。通过 MPLS VPN 的加密 VPN 的优势在于与一个提供商合作：

• 在您解决问题时（端到端）
• 为保证服务质量
• 提供服务

我假设您在谈论 MPLS VPN。MPLS VPN 比普通的 Internet 连接更安全，它基本上就像一条虚拟租用线路。但是它不运行加密。因此，除非有人错误配置 VPN，否则它不会被窃听，但如果您携带敏感流量，它仍应加密。这种 VPN 没有经过身份验证，因此它是一个专用网络，但没有像 IPSEC 那样经过身份验证和加密。如果有人可以物理访问您的网络，他们可以嗅探数据包。

对于常规 VPN，我假设您指的是 IPSEC。IPSEC 的身份验证和加密取决于您运行的模式。因此，如果有人拿到了数据包，他们应该仍然无法读取它们。

最常见定义中的“VPN”并不一定意味着安全。MPLS 也是如此，这两个术语经常结合使用（参见“MPLS VPN”），因为 MPLS 的某些方面可以提供与传统 VPN（AToMPLS、EoMPLS、TDMoMPLS 等）类似的功能。

完全有可能通过加密的 VPN 隧道运行 MPLS，并通过 MPLS 电路运行加密的 VPN 流量。MPLS 本身并不“安全”，但同样主要用于传输服务，其中底层协议可以是安全的。

通常，您描述的场景可能是由于组织希望来自两个独立提供商的不同连接，而其中一个提供商不提供 MPLS 服务。