基于IPSec的VPN技术能对网络传输提供有效的实体认证、数据机密及数据流完整性保护等机制,在网络安全领域扮演重要的角色。然而,VPN设备的大量部署,其自身逐步形成网状结构,对其管理也变得越来越复杂。针对网状结构的局限性,本文提出一种层次交换式VPN体系结构。通过构建不同类型VPN设备的层次结构,采用动态隧道交换和LVS等技术,确保设备具有基于单个VPN粒度的路由、转发、QOS、业务管理、业务提供等能力,实现高性能、可扩展的下一代VPN体系结构。启用Diff_Serv机制,在系统核心支持VPN的服务质量,即QoS_enabled VPN。结合VPN应用的实际环境,提出一个以NMS为策略中心、高端VPN为交换中心、中端VPN为节点、低端VPN和桌面VPN为边界的HS_VPN参考模型,为用户提供三层互联性业务。结合政府网络的VPN系统模型的应用问题来说明模型的可行性。广泛存在的NAT设备与基于IPSec的VPN产生了矛盾,RSIP方案和UDP封装方案可以解决单边的NAT穿越。普通的端到端隧道不能支持双边地址转换,限制了VPN的应用范围。针对实际应用的需要,提出两种隧道交换的模式——加解密模式和IP封装模式,解决IPSec与NAT的矛盾问题。根据层次结构的特点选用Diff_Serv机制支持VPN的QOS。对支持VPN的服务质量的层次交换式VPN系统的时延等性能特征进行了测试和分析。实验证明,启用Diff_Serv机制的层次交换式VPN系统将多媒体业务与其它业务区分开来,能明显改善系统的性能。