Không giống như các mạng VPN truyền thống, các mạng MPLS-VPN khơng sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS-VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thơng minh của MPLS-VPN lúc này nằm hồn toàn trong phần lõi của mạng. Trong lĩnh vực bảo mật, mục tiêu của mơ hình mạng MPLS-VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mơ hình mạng overlay VPN như ATM hay Frame Relay mang lại.
Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hồn tồn độc lập nhau. Thơng tin định tuyến từ VPN này không được chảy vào VPN khác và ngược lại. Thứ hai bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với khách hàng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như tấn công truy cập dịch vụ (instrusion).
Trong mạng MPLS-VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là nhờ vào giá trị 64 bit Route Distinguisher. Do đó, khách hàng sử dụng dịch vụ MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình.
Mỗi router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các route thuộc về VPN đó. Do đó đảm bảo được sự cách ly thơng tin định tuyến giữa các VPN với nhau.
MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng khơng dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các router biên PE chứ không phải kết thúc tại các router P trong mạng. Do đó mạng lõi bên trong hồn tồn trong suốt đối với khách hàng.
Trong mạng MPLS-VPN, khó có thể tấn cơng trực tiếp vào VPN. Chỉ có thể tấn cơng vào mạng lõi MPLS, rồi từ đó tấn cơng vào VPN. Mạng lõi có thể tấn công theo hai cách:
Bằng cách tấn công trực tiếp vào router PE.
Bằng cách tấn công vào các cơ chế báo hiệu MPLS.
Để tấn công vào mạng, trước hết cần phải biết địa chỉ IP. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngồi, do đó kẻ tấn cơng khơng biết địa chỉ IP của bất kì router nào trong mạng lõi. Họ có thể đốn địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như thuộc về khơng gian địa chỉ nào đó của khách hàng. Do đó, khó có thể tìm được các router bên trong, kể cả trong trường hợp khi đoán được địa chỉ. Có thể việc trao đổi thơng tin định tuyến giữa router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên router PE có thể dùng ACL, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật.
Việc làm giả nhãn cũng khó có thể xảy ra tại vì router PE chỉ chấp nhận những gói tin từ router CE gửi đến là gói tin khơng có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm sốt và quản lý.
Vấn đề bảo mật trong các mạng MPLS-VPN được đảm bảo vì một VPN khép kín bản thân nó đã đạt được sự an tồn thơng tin do khơng có kết nối với mạng Internet ccơng cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN.
Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS-VPN hồn tồn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM hay Frame Relay.