1. MPLS VPN是什么？

MPLS VPN網(wǎng)絡，也稱為MPLS BGP VPN網(wǎng)絡，是由運營商搭建并提供給企業(yè)購買的虛擬專用網(wǎng)（Virtual Private Network），以實現(xiàn)用戶網(wǎng)絡之間的路由傳遞、數(shù)據(jù)互通等。MPLS VPN是VPN中的一種（IPSec VPN、SSL VPN）。

2. 為什么會有MPLS VPN？

任何技術的提出都有特定的需求。

MPLS VPN的需求來自于企業(yè)內總部和分支機構之間的安全、便捷互聯(lián)。

起初的解決方案是運營商提供專線，也就是提供物理的二層鏈路，即以二層的方式為企業(yè)用戶實現(xiàn)遠程網(wǎng)絡的連接。該方案問題是不僅貴，線路利用率還低。

后來就在Internet（公共網(wǎng)絡）中建立虛擬專用通信網(wǎng)絡，其技術本質是利用隧道技術實現(xiàn)不同用戶網(wǎng)絡的邏輯隔離。

建立在Internet網(wǎng)絡的VPN在傳輸速度、可靠性上存在一定的局限（現(xiàn)已有極大的提升）。

為此，運營商打造了MPLS VPN，為企業(yè)用戶提供更快、更可靠的虛擬專用網(wǎng)絡。

MPLS VPN是一種L3VPN，相當于大的路由器，連接企業(yè)總部和分支。在其MPLS骨干網(wǎng)上使用MP-BGP協(xié)議進行VPN私網(wǎng)路由的發(fā)布，利用MPLS協(xié)議進行VPN報文（內部是IP報文）的轉發(fā)。

3. 從產品的角度，如何看待MPLS VPN？

（1）業(yè)務需求

MPLS VPN能夠為：

A. 千千萬萬的企業(yè)用戶提供分支與分支、分支與總部之間的互聯(lián)互通；

B. 不同企業(yè)要實現(xiàn)邏輯隔離并能安全通信。

（2）用戶需求

從企業(yè)用戶的角度來講，需要解決的問題是：

如何使得處于不同分支的員工，能夠基于私有地址進行通信，就像訪問企業(yè)私網(wǎng)一樣？

從運營商的角度來講，需要解決的問題是：

如何實現(xiàn)不同企業(yè)通信的隔離以及安全地通信？

（3）實現(xiàn)約束

A. 企業(yè)用戶內部網(wǎng)絡使用的是私有地址：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

B. 不同企業(yè)很可能使用相同的私有地址段。

C. 公網(wǎng)又存在約束：公網(wǎng)路由器中的公網(wǎng)路由表只存儲公網(wǎng)路由，不允許包含私網(wǎng)路由。

（4）邏輯架構

設定MPLS VPN的邏輯架構：

這里，涉及到一些概念：

• Site：站點，也就是用戶網(wǎng)絡。
• CE：Customer Edge即為用戶邊緣設備，用來連接服務提供商（ISP）路由器并建立鄰接關系，提供用戶接入服務，通常是一臺IP路由器。
• PE：Provider Edge即為運營商邊緣設備，用來連接CE設備和P設備。
• P：骨干網(wǎng)設備。

（5）功能實現(xiàn)--路由發(fā)布

位于企業(yè)分支A的員工，通過私網(wǎng)地址與位于企業(yè)分支B的員工通信。企業(yè)分支A的私網(wǎng)路由信息，通過CE設備路由發(fā)布到與之連接的PE設備；進而PE設備將路由信息通告給已建立鄰接關系的PE設備；PE設備再將路由引入到企業(yè)分支B的CE設備（普通IPv4路由），完成企業(yè)分支A的路由信息發(fā)布。

總的來說，VPN 路由信息的發(fā)布過程分三段：CE設備到PE設備、PE設備到PE設備、PE設備到CE設備。

VPN路由信息的發(fā)布需要考慮如下問題：

CE設備與PE設備如何交換路由信息？

CE設備用戶站點采用IP網(wǎng)絡，同樣CE設備與PE設備也采用IP網(wǎng)絡，使用IPv4路由。CE設備與PE設備之間可以使用靜態(tài)路由、OSPF、IS-IS或BGP交換路由信息。

同樣，PE設備與CE設備也使用靜態(tài)路由、OSPF、IS-IS或BGP交換路由信息、

PE設備如何區(qū)分不同CE設備的路由？

不同企業(yè)對應的CE設備上報的私網(wǎng)地址存在重疊IP地址空間的問題，PE設備需要獨立保存不同VPN的路由并解決地址空間重疊的問題。

為此，PE設備使用虛擬路由轉發(fā)（VRF，Virtual Routing and Forwarding）的方式實現(xiàn)VPN之間的邏輯隔離。

VRF也稱為VPN實例。VPN 實例中的信息包括：IP 路由表、標簽轉發(fā)表、與 VPN 實例綁定的接口以及 VPN 實例的管理信息。

PE設備之間如何傳遞路由？

VPN實例屬于PE設備本地的概念，PE設備無法將VPN實例信息傳遞到對端PE。為傳遞相同的IP路由采用RD（Route Distinguisher，路由標識符）的方式，也就是PE設備會在IPv4前綴前加上RD，轉換為全局唯一的路由地址，稱為VPN-IPv4，即VPNV4。

因BGP可以跨路由器的進行兩個PE設備之間的直接交換路由，所以選擇BGP進行路由傳遞是比較理想的協(xié)議。

但BGP無法傳遞VPNV4，便對BGP進行擴展而產生MP-BGP（Multiprotocol Extensions for BGP）。通過MP-BGP進行VPNV4的路由發(fā)布。

PE設備通過MP-BGP的Update消息把VPNV4路由發(fā)布給遠端PE設備。Update消息中還包含Export VPN Target屬性及MPLS標簽。

VPNV4到達遠端PE設備后，如何區(qū)分不同的CE設備？

PE設備進行路由發(fā)布的MP-BGP Update消息中還包含Export VPN Target屬性及MPLS標簽。

為此，PE設備根據(jù)RT（Route Target）來控制VPNV4路由信息的發(fā)布和接收。RT又分為Export Target（導出目標）和Import Target（導入目標），這兩個值是在開通VPN時配置的。

遠端PE設備需要將VPNV4路由信息導入到VPN實例表中。

遠端PE設備收到本地PE發(fā)布的VPNv4路由時，檢查Export Target屬性，當該屬性值與某個VPN實例的Import Target匹配時，就把路由信息加入到該VPN實例中。

（ 6 ）功能實現(xiàn) -- 數(shù)據(jù)轉發(fā)

VPN路由信息為私網(wǎng)路由，由PE設備維護，并通過MP-BGP進行PE設備間的路由發(fā)布，這些PE設備可以跨路由器建立鄰接關系。

骨干網(wǎng)P設備只維護公網(wǎng)路由，私網(wǎng)路由無法在公網(wǎng)上進行傳輸?shù)摹?/p>

MPLS VPN不再使用IP地址進行轉發(fā)，而是基于標簽進行轉發(fā)。

同樣地，基于標簽也需要解決：

如何區(qū)分不同的企業(yè)用戶？

如何將數(shù)據(jù)包從PE設備傳遞到遠端PE設備？

解決的方法便是增加內外2個標簽，內標簽確定具體企業(yè)用戶，外標簽進行數(shù)據(jù)包的傳遞。

（7）運維實施

配置要完成的工作：

A. MPLS基本功能的配置；

（a）配置PE設備、P設備之間的路由，實現(xiàn)互通；

（b）使用MPLS功能，配置LDP（標簽分發(fā)協(xié)議），實現(xiàn)公網(wǎng)隧道的建立；

B. MPLS VPN的功能配置；

（a）配置PE設備，使能MP-BGP、VPN-IPv4功能，實現(xiàn)MP-BGP update消息傳遞VPNV4路由；

（b）配置PE設備，為Site創(chuàng)建VPN實例，分配私網(wǎng)路由標簽；

（c）配置PE設備，將VPN實例綁定在PE連接對應CE的接口上；

（d）配置PE和CE間路由交換，可使用靜態(tài)路由、各種IGP或者BGP路由方式。

4. 相關流程

《華為MPLS VPN學習指南》一書，介紹了MPLS VPN相關流程，值得仔細研究。

（1）路由發(fā)布

（2）數(shù)據(jù)轉發(fā)