Что такое vpn и для чего он используется?

Протоколы и дизайн

В настоящее время для поддержки виртуальных локальных сетей наиболее часто используется протокол IEEE 802.1Q . IEEE 802.1 Рабочая группа определила этот метод мультиплексирования виртуальных локальных сетей в попытке обеспечить поддержку VLAN разных производителей . До введения стандарта 802.1Q существовало несколько проприетарных протоколов , таких как Cisco Inter-Switch Link (ISL) и 3Com Virtual LAN Trunk (VLT). Cisco также реализовала VLAN через FDDI, передавая информацию о VLAN в заголовке кадра IEEE 802.10 , вопреки целям стандарта IEEE 802.10.

Тегирование как ISL, так и IEEE 802.1Q выполняет явное тегирование — сам кадр помечается информацией о VLAN. ISL использует процесс внешней маркировки, который не изменяет кадр Ethernet, тогда как 802.1Q использует внутреннее поле кадра для маркировки и, следовательно, модифицирует базовую структуру кадра Ethernet. Эта внутренняя маркировка позволяет IEEE 802.1Q работать как на каналах доступа, так и на магистральных каналах с использованием стандартного оборудования Ethernet.

IEEE 802.1Q

Согласно IEEE 802.1Q максимальное количество VLAN в данной сети Ethernet составляет 4094 (4096 значений, предоставленных 12-битным полем VID минус зарезервированные значения на каждом конце диапазона, 0 и 4095). Это не налагает такого же ограничения на количество IP-подсетей в такой сети, поскольку одна VLAN может содержать несколько IP-подсетей. IEEE 802.1ad увеличивает количество поддерживаемых VLAN, добавляя поддержку нескольких вложенных тегов VLAN. IEEE 802.1aq (мост по кратчайшему пути) расширяет ограничение VLAN до 16 миллионов. Оба улучшения были включены в стандарт IEEE 802.1Q.

Связь между коммутаторами Cisco

Связь между коммутаторами (ISL) — это проприетарный протокол Cisco, используемый для соединения коммутаторов и поддержания информации о VLAN при передаче трафика между коммутаторами по магистральным каналам. ISL предоставляется как альтернатива IEEE 802.1Q. ISL доступен только на некотором оборудовании Cisco и устарел.

Протокол транкинга Cisco VLAN

Протокол VLAN Trunking Protocol (VTP) — это проприетарный протокол Cisco, который распространяет определение VLAN на всю локальную сеть. VTP доступен в большинстве продуктов семейства Cisco Catalyst . Сопоставимым стандартом IEEE, используемым другими производителями, является протокол регистрации GARP VLAN (GVRP) или более поздний протокол регистрации нескольких VLAN (MVRP).

Протокол регистрации нескольких VLAN

Протокол регистрации нескольких VLAN — это приложение протокола множественной регистрации, которое позволяет автоматически настраивать информацию о VLAN на сетевых коммутаторах. В частности, он предоставляет метод для динамического обмена информацией о VLAN и настройки необходимых VLAN.

Как все происходит при защищенном VPN

Прежде всего стоит знать, что существует три типа соединения:

1. Узел-узел. Это соединение между двумя отдельными компьютерами (узлами) через защищенный VPN.

2. Узел-сеть. В данном случае речь идет о том, что с одной стороны есть один компьютер, а с другой стороны некая локальная сеть.

3. Сеть-сеть. Это объединение двух локальных сетей в одну.

Если вы обычный пользователь, не знающий ничего о сети, то может казаться, что эти типы существенно отличаются. Конечно, технические нюансы есть, но для простого понимания, все эти сети можно сводить к одной «Узел-узел». Дело в том, что для случая сети, просто компьютер или роутер, через который предоставляется доступ в интернет, так же организует и осуществляет связь через VPN. То есть, компьютеры внутри сети могут даже и не знать о наличии какого-либо VPN.

Теперь, рассмотрим как все происходит при использовании VPN (обобщенно):

1. На компьютерах устанавливаются и настраиваются специальные программы для создания VPN туннеля (простыми словами VPN соединения). Если же это роутер, то многие специализированные модели исходно поддерживают подобные соединения.

Примечание: Стоит знать, что программы бывают трех видов «клиент» (только подключение к другим компьютерам), «сервер» (осуществляет и организует доступ для VPN-клиентов) и «смешанный» (может как создавать подключения, так и принимать их).

2. Когда компьютер хочет обратиться к другому компьютеру, он обращается к VPN-серверу для установления шифрованного туннеля. В рамках данного шага, клиент и сервер обмениваются ключами (в шифрованном виде), если таковое нужно.

3. Далее клиент шифрует исходные данные и отправляет их VPN-серверу.

4. VPN-сервер дешифрует исходные данные и действует уже исходя из них.

5. Сервер так же шифрует свой ответ и передает его клиенту.

6. Клиент расшифровывает ответ.

7. И так далее.

Как видите, основная идея VPN весьма проста — обменялись ключами, а далее клиент и сервер передают друг другу шифрованные сообщения. Однако, она дает огромный плюс

Кроме IP-адреса клиента и сервера VPN, все данные передаются в закрытом виде, то есть обеспечивается безопасность передачи личной и важной информации

Надежные сети доставки

Надежные VPN не используют криптографическое туннелирование; вместо этого они полагаются на безопасность сети одного провайдера для защиты трафика.

• Многопротокольная коммутация меток (MPLS) часто накладывается на VPN, часто с контролем качества обслуживания через надежную сеть доставки.
• L2TP который представляет собой основанную на стандартах замену и компромисс с использованием хороших функций каждого из двух проприетарных протоколов VPN: Cisco Пересылка уровня 2 (L2F) (устарело с 2009 г.) и Microsoft Туннельный протокол точка-точка (PPTP).

С точки зрения безопасности VPN либо доверяют базовой сети доставки, либо должны обеспечивать безопасность с помощью механизмов в самой VPN. Если доверенная сеть доставки не работает только между физически безопасными сайтами, и доверенная, и безопасная модели нуждаются в механизме аутентификации для пользователей, чтобы получить доступ к VPN.

Рекомендации

1. Мейсон, Эндрю Г. (2002). . Cisco Press. п..
2. ^
3. ^
4. Cisco Systems и др. Справочник по рабочим Интернет-технологиям, третье издание. Cisco Press, 2000, стр. 232.
5. Льюис, Марк. Сравнение, проектирование. И развертывание VPN. Cisco Press, 2006 г., стр. 5
6. Международный инженерный консорциум. Цифровая абонентская линия 2001. Intl. Инженерный консорциум, 2001, стр. 40.
7. RFC , «Требования к узлу IPv6», Э. Янкевич, Дж. Лоуни, Т. Нартен (декабрь 2011 г.)
8. ^
9. Льюис, Марк (2006). Сравнение, проектирование и развертывание VPN (1-е изд.). Индианаполис, штат Индиана: Cisco Press. С. 5–6. ISBN .
10. RFC , Базовая архитектура MPLS IP VPN
11. RFC , Э. Чен (сентябрь 2000 г.)
12. Ян, Янян (2006). «Правильность и гарантия политики безопасности IPsec / VPN». Журнал высокоскоростных сетей. 15: 275–289. CiteSeerX .
13. RFC : Общая инкапсуляция маршрутизации в сетях IPv4. Октябрь 1994 г.
14. IETF (1999), RFC , Протокол туннелирования второго уровня «L2TP»

Скрытие определенных устройств от внешних глаз

Некоторые методы организации туннельного соединения позволяют «объединять» трафик: использующие их сервисы позволяют подключаться к одному серверу-«туннелю» сразу с нескольких устройств.

Для внешнего наблюдателя если такие соединения и видны, то выступают в роли единственного потребителя.

Метод позволяет избегать направленных фишинговых атак, подменять на удобное собственное местоположение, обходить некоторые блокировки (например, не оповещать банк о неожиданном отъезде) или без ограничений использовать стриминговые ресурсы, учитывающие количество подключенных устройств.

Собственная защита с VPN

Изначально с приходом интернета, это был инструмент для свободного обмена информацией, в котором основным качеством была открытость, а не защита. На фоне ситуации, когда большинство людей имеют несколько устройств (включая мобильные), более мощные, чем компьютеры из прошлого, когда интернет был свободным, сам интернет не показал фундаментальные прорывы и улучшения. Единственное, что можно отметить – это широкое распространение HTTPS протокола, как шаг на встречу защите личных данных.

Независимо от того, какой VPN вы используйте, выбираете только платные тарифы, от ведущих VPN сервисов, с положительными отзывами. Почему именно платные? Читайте статью: чем отличается бесплатный впн от платного.

Настройка VPN сервера.

Если вы хотите установить и использовать VPN сервер на базе семейства Windows , то необходимо понимать, что клиенские машины Windows XP/7/8/10 данную функцию не поддерживают, вам необходима система виртуализации, либо физический сервер на платформе Windows 2000/2003/2008/2012/2016, но мы рассмотрим данную функцию на Windows Server 2008 R2.

1. Для начала необходимо установить роль сервера «Службы политики сети и доступа» Для этого открываем диспетчер сервера и нажимаем на ссылку «Добавить роль»:

Выбираем роль «Службы политики сети и доступа» и нажимаем далее:

Выбираем «Службы маршрутизации и удаленного доступа» и нажимаем Далее и Установить.

2. После установки роли необходимо настроить ее. Переходим в диспетчер сервера, раскрываем ветку «Роли», выбираем роль «Службы политики сети и доступа», разворачиваем, кликаем правой кнопкой по «Маршрутизация и удаленный доступ» и выбираем «Настроить и включить маршрутизацию и удаленный доступ»

После запуска службы считаем настройку роли законченной. Теперь необходимо разрешить пользователям доступ до сервера и настроить выдачу ip-адресов клиентам.

Порты которые поддерживает VPN. После поднятие службы они открываются в брендмауэре.

Для PPTP: 1723 (TCP);

Для L2TP: 1701 (TCP)

Для SSTP: 443 (TCP).

Протокол L2TP/IpSec является более предпочтительным для построения VPN-сетей, в основном это касается безопасности и более высокой доступности, благодаря тому, что для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP/IpSec VPN-сервера на платформе Windows Server 2008 r2.

Вы же можете попробовать развернуть на протоколах: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Переходим в Диспетчер сервера: Роли — Маршрутизация и удалённый доступ, щелкаем по этой роли правой кнопкой мыши и выбираем «Свойства», на вкладке «Общие» ставим галочку в полях IPv4-маршрутизатор, выбираем «локальной сети и вызова по требованию», и IPv4-сервер удаленного доступа:

Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа. Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип, чем сложнее комбинация — тем безопаснее, и еще запомните или запишите эту комбинацию она нам еще понадобиться). Во вкладке «Поставщик службы проверки подлинности» выберите «Windows — проверка подлинности».

Теперь нам необходимо настроить Безопасность подключений. Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности, поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2):

Далее перейдем на вкладку IPv4, там укажем какой интерфейс будет принимать подключения VPN, а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте «Разрешить RAS выбирать адаптер»):

Теперь перейдем на появившуюся вкладку Порты, нажмем правой кнопкой мыши и Свойства, выберем подключение L2TP и нажмем Настроить, в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.

Список портов, которые у нас остались в указанном количестве.

На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу. Перейдите в Диспетчере сервера Active Directory – пользователи – находим пользователя которому хотим разрешить доступ нажимаем свойства, заходим в закладку входящие звонки

Типы развертывания

VPN в мобильной среде

Пользователи используют мобильные виртуальные частные сети в настройках, где конечная точка VPN не привязана к одному айпи адрес, но вместо этого перемещается по различным сетям, таким как сети передачи данных от сотовых операторов или между несколькими Вай фай точки доступа без прерывания безопасного сеанса VPN или потери сеансов приложений. Мобильные VPN широко используются в общественная безопасность где они предоставляют правоохранительным органам доступ к таким приложениям, как компьютерная отправка и криминальные базы данных, и в других организациях с аналогичными требованиями, например Управление выездной службой и здравоохранение[нужна цитата для проверки].

VPN на роутерах

С ростом использования VPN многие начали развертывать VPN-подключение на маршрутизаторах для дополнительной безопасности и шифрования передачи данных с использованием различных криптографических методов. Домашние пользователи обычно развертывают VPN на своих маршрутизаторах для защиты таких устройств, как умные телевизоры или же игровые приставки, которые не поддерживаются собственными VPN-клиентами. Поддерживаемые устройства не ограничиваются теми, на которых можно запускать VPN-клиент.

Многие производители маршрутизаторов поставляют маршрутизаторы со встроенными клиентами VPN. Некоторые используют прошивки с открытым исходным кодом, такие как DD-WRT, OpenWRT и Помидор для поддержки дополнительных протоколов, таких как OpenVPN.

Настройка служб VPN на маршрутизаторе требует глубоких знаний в области сетевой безопасности и тщательной установки. Незначительная неправильная конфигурация VPN-подключений может сделать сеть уязвимой. Производительность будет зависеть от интернет-провайдер (Интернет-провайдер).

Соображения по конфигурации и дизайну

Первые разработчики сетей часто сегментировали физические локальные сети с целью уменьшения размера области конфликтов Ethernet — таким образом, улучшая производительность

Когда коммутаторы Ethernet сделали это не проблемой (поскольку каждый порт коммутатора является доменом конфликтов), внимание было обращено на уменьшение размера широковещательного домена канального уровня. Впервые сети VLAN использовались для разделения нескольких широковещательных доменов на одной физической среде

VLAN также может служить для ограничения доступа к сетевым ресурсам независимо от физической топологии сети.

Сети VLAN работают на канальном уровне модели OSI . Администраторы часто настраивают виртуальную локальную сеть для прямого сопоставления с IP-сетью или подсетью, что создает впечатление вовлечения сетевого уровня . Как правило, виртуальным локальным сетям внутри одной организации назначаются разные неперекрывающиеся диапазоны сетевых адресов . Это не требование сетей VLAN. Нет проблем с отдельными VLAN, использующими идентичные перекрывающиеся диапазоны адресов (например, две VLAN используют частную сеть 192.168.0.0 16 ). Однако невозможно маршрутизировать данные между двумя сетями с перекрывающимися адресами без тонкого переназначения IP , поэтому, если целью VLAN является сегментация более крупной общей сети организации, неперекрывающиеся адреса должны использоваться в каждой отдельной VLAN.

Базовый коммутатор, который не настроен для VLAN, имеет отключенную или постоянно включенную функцию VLAN с VLAN по умолчанию, которая содержит все порты на устройстве в качестве членов. VLAN по умолчанию обычно использует идентификатор VLAN 1. Каждое устройство, подключенное к одному из своих портов, может отправлять пакеты любому из других. Разделение портов по группам VLAN разделяет их трафик очень похоже на подключение каждой группы с использованием отдельного коммутатора для каждой группы.

Для удаленного управления коммутатором необходимо, чтобы административные функции были связаны с одной или несколькими настроенными VLAN.

В контексте виртуальных локальных сетей термин магистраль обозначает сетевой канал, по которому передаются несколько виртуальных локальных сетей, которые идентифицируются метками (или тегами ), вставленными в их пакеты. Такие магистрали должны проходить между помеченными портами устройств, поддерживающих VLAN, поэтому они часто являются ссылками « коммутатор-коммутатор» или «коммутатор- маршрутизатор», а не ссылками на хосты

(Обратите внимание, что термин «магистраль» также используется для того, что Cisco называет «каналами»: агрегация каналов или группирование портов ). Маршрутизатор (устройство уровня 3) служит магистралью для сетевого трафика, проходящего через разные VLAN

Тегирование используется только тогда, когда группа портов VLAN должна быть расширена на другое устройство. Поскольку связь между портами на двух разных коммутаторах осуществляется через порты восходящей связи каждого задействованного коммутатора, каждая VLAN, содержащая такие порты, также должна содержать порт восходящей связи каждого задействованного коммутатора, а трафик через эти порты должен быть помечен.

Коммутаторы обычно не имеют встроенного метода для указания ассоциаций VLAN с портами для кого-то, кто работает в коммутационном шкафу . Техническому специалисту необходимо либо иметь административный доступ к устройству для просмотра его конфигурации, либо диаграммы или схемы назначения портов VLAN, которые должны храниться рядом с коммутаторами в каждом коммутационном шкафу.

Платные VPN сервисы

Тем, кому недостаточно функционала браузера Tor и бесплатных VPN сервисов, могут обратить свое внимание на платные программы. От бесплатных аналогов они отличаются более широким набором функций, более стабильной работой, да и выбор серверов у них гораздо шире

Да и с безопасностью у них обстоит дело лучше. Коротко пройдемся по лучшим, на мой взгляд, сервисам.

Speedify

Очень хороший и интересный по своим функциям сервис. Обеспечивает стабильное и быстрое соединение с Интернет сетью за счет комбинирования нескольких типов сетевых подключений. На практике выглядит это так: есть у Вас ноутбук, в который Вы одновременно подключили модем и кабель интернета, а с помощью Speedify объединили их. Вот и скорость увеличилась, да и за стабильное подключение можно не переживать. Так же шифрует переданные и получаемые данные. Интерфейс достаточно простой и понятный, что значительно упрощает использование.

Private Tunnel

Эта разработка принадлежит компании OpenVPN, которая известна своими продуктами на рынке защиты данных. В данном сервисе Вам предложат восемь серверов, расположенных в шести странах. Из минусов стоит отметить, что в тарифах ограничения по трафику, в отличие от других платных программ. Ну а плюс заключается в том, что привязать можно неограниченное количество устройств. Анонимайзер поддерживается на всех платформах.

NordVPN

Предоставляет серверы в 20-ти странах мира, есть даже в России. Разработчик также постарался оснастить сервис простейшим интерфейсом. Стоит отметить, что на их официальном сайте написано, что подключаться стоит к ближайшему от Вас серверу, чтобы не терять скорость данных. Для защиты информации используется уровень защищенных сокетов (SSL), использующий 2048-битное шифрование. Используется функция двойного шифрования. Это означает, что перед тем, как Вы отправляете информацию в интернет, она шифруется двумя различными узлами.

ExpressVPN

На фоне своих коллег выделяется громким заявление о том, что является самым быстрым VPN соединением среди всех. И по отзывам довольных пользователей кажется, что так и есть. Интерфейс не назовешь простым, тут уже требуется рука профессионала для настройки. Данные DNS-запросов и данные, относящиеся к трафику, не хранит. По стоимости, так же как и по скорости отличается от аналогов. Обойдется он Вам чуть дороже остальных. Еще стоит отметить, что развита техническая служба поддержки. Она функционирует круглосуточно, есть даже онлайн-чат для связи.

Нужен ли вам VPN? Почти наверняка, и вот почему

Если вы заботитесь о своей безопасности, то вам точно нужен VPN для повседневного использования в своей стране и при поездках за границу. Интернет — не самое безопасное место для ваших приватных данных. Сегодня здесь много угроз: хакеры, IT-компании, правительства со своей цензурой и рекламные компании. Также есть много ограничений: к какому контенту вы можете получить доступ, чем вы можете заниматься в сети и так далее. К счастью, хороший VPN-сервис поможет решить все эти проблемы.

VPN шифрует все ваши данные

Когда вы подключаетесь к VPN-серверу, весь ваш интернет-трафик шифруется. Это значит, что никто не увидит, чем вы занимаетесь онлайн, даже ваш собственный интернет-провайдер. Также ваш интернет-провайдер не сможет занижать скорость интернет-подключения как раньше, когда вы играли онлайн или смотрели контент на стриминговых сервисах.

Шифрование данных также не дает хакерам увидеть ваши конфиденциальные данные, которые вы вводите на веб-сайтах (например, логины и пароли)

Это особенно важно, если вы пользуетесь публичными сетями WiFi, поскольку киберпреступникам проще отслеживать ваши данные в публичных сетях. VPN гарантирует, что, если вдруг кто-то и сможет выкрасть ваши данные, злоумышленники все равно не смогут их прочесть

VPN маскирует ваш IP-адрес

Есть несколько причин, почему это очень важно. Во-первых, по вашему IP-адресу можно определить ваше местоположение, что является угрозой вашей конфиденциальности, если соотнести эту информацию с другими личными данными

Во-вторых, многие сервисы (типа Netflix, HBO, Hulu, BBC iPlayer, Amazon Prime Video и многих других) определяют по вашему IP-адресу, какой контент вы можете увидеть. Из-за геоблоков вы также не сможете посмотреть популярные местные телевизионные каналы (Россия, Супер, ТНТ, Первый Канал, СТС, Матч ТВ), если выедете из страны.

Единственный способ скрыть свой настоящий IP-адрес и обойти геоблоки — замаскировать его при помощи другого адреса, что и делает VPN. Еще раз: никто не сможет увидеть, где вы на самом деле находитесь, а вы сможете получить доступ к любому контенту по своему желанию, вне зависимости от вашего региона проживания. Маскировка IP-адреса крайне необходима, если вы хотите загрузить торрент-файл, обойти геоблоки и цензуру, наслаждаясь полной онлайн-свободой по всему миру.

VPN блокирует вредоносные сайты, рекламу и отслеживающие программы

Лучшие VPN-приложения имеют встроенную защиту от кибератак, а также не дают вредоносным сайтам загружать разное вредоносное ПО и отслеживающие программы на ваше устройство без вашего ведома. Некоторые приложения также блокируют рекламу и всплывающие уведомления, что предоставляет еще один слой защиты и дает вам возможность наслаждаться контентом на сайтах типа YouTube без раздражающей рекламы.

Основные типы соединений

В основе работы любого защищённого соединения лежит работа одного из протоколов безопасности. В зависимости от протокола, который применяется для реализации VPN-технологии, можно выделить несколько типов соединений. Каждый из них обеспечивает разный уровень защиты и подходит для разных целей.

PPTP (Point-to-Point Internet Protocol) — это первый VPN-протокол, который разработали в 90-е годы. Он работает по принципу образования туннелей, через которые происходит обмен данными. Эти туннели прокладываются строго из точки в точку через незащищенную сеть. PPTP имеет принципиальную уязвимость — он не шифрует данные. Очевидно, что такое VPN-подключение подойдёт только для низкоуровневых задач. Например, его используют при передаче потокового аудио или видео в приложениях.

L2TP (Layer 2 Tunneling Protocol) — разработан компанией Microsoft совместно с Cisco. Как и PPTP, он функционирует по принципу образования туннелей и не шифрует информацию. Однако L2TP может работать в связке с другими протоколами — например, IPsec. В такой связке L2TP отвечает за целостность передаваемой информации, а второй протокол отвечает за шифрование данных. Вместе они образуют целостное и защищённое соединение.

IPsec (Internet Protocol Security) — это протокол, с помощью которого можно проложить туннель до удалённого узла. IPsec обеспечивает высокий уровень безопасности соединения — все пакеты данных шифруются, проверяется каждая сессия. Существует два режима, в которых работает IPsec: транспортный и туннельный. Оба служат для защиты передачи данных между разными сетями. При этом в транспортном режиме любое сообщение шифруется в пакете данных, а в туннельном режиме шифруется весь пакет данных. IPsec нередко применяют в дополнение к другим протоколам, чтобы повысить защиту сети. Главный минус IPsec — он долго устанавливает и подключает клиентские приложения.

Site-To-Site VPN — предназначен для объединения сетей организаций. Он соединяет две части частной сети или две частные сети. Это самый распространённый тип соединения при настройке надёжной корпоративной сети. Site-To-Site позволяет организации маршрутизировать соединения с отдельными офисами или с другими организациями. Маршрутизируемое VPN-соединение логически работает как выделенная глобальная сеть (WAN).

MPLS (Multiprotocol Label Switching) — это технология многопротокольной коммутации (соединения абонентов сети через транзитные узлы). В сети, основанной на MPLS, пакетам данных присваиваются метки. Решение о передаче пакета данных другому узлу сети принимается исходя из значения метки — сам пакет данных не изучается. За счёт этого, независимого от среды передачи, можно создавать сквозной виртуальный канал. MPLS — очень гибкий и адаптивный вариант VPN, что делает его идеальным для подключений типа сайт-к-сайту.