随着网络规模和用户数量的迅速增长，Internet正逐步成为未来信息基础平台，新的应用需求和通讯技术的进步驱使电信网、电话网、有线电视网的三网融合，而融合的承载层正是IP技术。但是IP作为承载层，以用户自律为基础，自由发展，缺少管理，是一个非盈利的商业模型，它不完全适合于下一代电信网络的发展。为了构建下一代网络，Internet的体系结构需要某种根本性的变革。为此，钱华林老师提出了层次式交换网络(Hierarchically Switched Network，HSNET)的思想。数据、语音、图象融合的趋势促使下一代电信网络核心高速转发，边缘多业务接入服务具有智能性，这种网络要求在业务上进行流量的隔离和服务质量保证，并且能够提供端到端的IP个性化服务，目前IP VPN的发展正好满足当前下一代电信网络承载层融合的需求，同时能够提供网络业务的增值应用。本文基于层次式交换网络进行了IP虚拟专网相关机制的研究工作。 本论文的研究内容有五个部分：第一部分是虚拟专网(Virtual Private Network，VPN)的基本概念、标准和参考模型，以及从实验数据总结了MPLS VPN的优缺点；第二部分对HSNET VPN虚拟专网的概念设计模型的研究，包括网络架构的设计与VPN的管理；第三部分对HSNETVPN服务质量的研究；第四部分对HSNETVPN安全的研究；第五部分主要包括HSNET VPN线卡的概念设计模型和性能分析。 本文的主要贡献有： 1．指出了MPLS VPN实际部署中的扩展性问题，通过对MPLS协议的分析，并针对MPLS VPN的特性，进行了仿真实验，同时解决扩展性问题也是本文的动机。 2．提出了一种层次网络VPN的基本架构。将VPN的接入地址中包含VPN的ID号，便于边缘节点PE区分不同的VPN流量，加快边缘节点VPN转发的效率，避免了由于引入面向连接的协议带来扩展性的问题。利用层次网络中心的VNOC(VPN网络管理服务器)集中控制所有的VPN接入和拓扑结构，通过网络节点的集中控制实现灵活的VPN拓扑结构。 3．给出了一种感知边缘端口到边缘端口流量的算法，称为EA-FAS算法。该算法为VPN确保服务提供服务质量保证，它的最大特点是在边缘端口增加相应的控制功能，来感知内部的拥塞状况。 4．验证了基于层次式交换网络VPN的安全加密IPsec协议，实现了IP VPN的原型系统，并基于此原型系统做了相关的模拟实验。实验结果表明：IPSec主机到主机的TCP通信，采用AH(HMAC-MD5)+ESP(3DES)对主机的CPU和内存资源消耗比较大，如果边缘节点的VPN需要建立多个隧道的情况下，IPsec纯软件的方案是不可取的，必须以专用的硬件协处理器来实现。 5．综述了当前网络安全线卡的实现架构和高端安全产品架构的发展趋势，并对基于IPsec的协处理器，比较各种不同的软件架构，给出了一种概要的硬件参考设计，分