1. MPLS VPN是什么？

MPLS VPN網(wǎng)絡(luò)，也稱為MPLS BGP VPN網(wǎng)絡(luò)，是由運(yùn)營(yíng)商搭建并提供給企業(yè)購買的虛擬專用網(wǎng)（Virtual Private Network），以實(shí)現(xiàn)用戶網(wǎng)絡(luò)之間的路由傳遞、數(shù)據(jù)互通等。MPLS VPN是VPN中的一種（IPSec VPN、SSL VPN）。

2. 為什么會(huì)有MPLS VPN？

任何技術(shù)的提出都有特定的需求。

MPLS VPN的需求來自于企業(yè)內(nèi)總部和分支機(jī)構(gòu)之間的安全、便捷互聯(lián)。

起初的解決方案是運(yùn)營(yíng)商提供專線，也就是提供物理的二層鏈路，即以二層的方式為企業(yè)用戶實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)的連接。該方案問題是不僅貴，線路利用率還低。

后來就在Internet（公共網(wǎng)絡(luò)）中建立虛擬專用通信網(wǎng)絡(luò)，其技術(shù)本質(zhì)是利用隧道技術(shù)實(shí)現(xiàn)不同用戶網(wǎng)絡(luò)的邏輯隔離。

建立在Internet網(wǎng)絡(luò)的VPN在傳輸速度、可靠性上存在一定的局限（現(xiàn)已有極大的提升）。

為此，運(yùn)營(yíng)商打造了MPLS VPN，為企業(yè)用戶提供更快、更可靠的虛擬專用網(wǎng)絡(luò)。

MPLS VPN是一種L3VPN，相當(dāng)于大的路由器，連接企業(yè)總部和分支。在其MPLS骨干網(wǎng)上使用MP-BGP協(xié)議進(jìn)行VPN私網(wǎng)路由的發(fā)布，利用MPLS協(xié)議進(jìn)行VPN報(bào)文（內(nèi)部是IP報(bào)文）的轉(zhuǎn)發(fā)。

3. 從產(chǎn)品的角度，如何看待MPLS VPN？

（1）業(yè)務(wù)需求

MPLS VPN能夠?yàn)椋?/p>

A. 千千萬萬的企業(yè)用戶提供分支與分支、分支與總部之間的互聯(lián)互通；

B. 不同企業(yè)要實(shí)現(xiàn)邏輯隔離并能安全通信。

（2）用戶需求

從企業(yè)用戶的角度來講，需要解決的問題是：

如何使得處于不同分支的員工，能夠基于私有地址進(jìn)行通信，就像訪問企業(yè)私網(wǎng)一樣？

從運(yùn)營(yíng)商的角度來講，需要解決的問題是：

如何實(shí)現(xiàn)不同企業(yè)通信的隔離以及安全地通信？

（3）實(shí)現(xiàn)約束

A. 企業(yè)用戶內(nèi)部網(wǎng)絡(luò)使用的是私有地址：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

B. 不同企業(yè)很可能使用相同的私有地址段。

C. 公網(wǎng)又存在約束：公網(wǎng)路由器中的公網(wǎng)路由表只存儲(chǔ)公網(wǎng)路由，不允許包含私網(wǎng)路由。

（4）邏輯架構(gòu)

設(shè)定MPLS VPN的邏輯架構(gòu)：

這里，涉及到一些概念：

• Site：站點(diǎn)，也就是用戶網(wǎng)絡(luò)。
• CE：Customer Edge即為用戶邊緣設(shè)備，用來連接服務(wù)提供商（ISP）路由器并建立鄰接關(guān)系，提供用戶接入服務(wù)，通常是一臺(tái)IP路由器。
• PE：Provider Edge即為運(yùn)營(yíng)商邊緣設(shè)備，用來連接CE設(shè)備和P設(shè)備。
• P：骨干網(wǎng)設(shè)備。

（5）功能實(shí)現(xiàn)--路由發(fā)布

位于企業(yè)分支A的員工，通過私網(wǎng)地址與位于企業(yè)分支B的員工通信。企業(yè)分支A的私網(wǎng)路由信息，通過CE設(shè)備路由發(fā)布到與之連接的PE設(shè)備；進(jìn)而PE設(shè)備將路由信息通告給已建立鄰接關(guān)系的PE設(shè)備；PE設(shè)備再將路由引入到企業(yè)分支B的CE設(shè)備（普通IPv4路由），完成企業(yè)分支A的路由信息發(fā)布。

總的來說，VPN 路由信息的發(fā)布過程分三段：CE設(shè)備到PE設(shè)備、PE設(shè)備到PE設(shè)備、PE設(shè)備到CE設(shè)備。

VPN路由信息的發(fā)布需要考慮如下問題：

CE設(shè)備與PE設(shè)備如何交換路由信息？

CE設(shè)備用戶站點(diǎn)采用IP網(wǎng)絡(luò)，同樣CE設(shè)備與PE設(shè)備也采用IP網(wǎng)絡(luò)，使用IPv4路由。CE設(shè)備與PE設(shè)備之間可以使用靜態(tài)路由、OSPF、IS-IS或BGP交換路由信息。

同樣，PE設(shè)備與CE設(shè)備也使用靜態(tài)路由、OSPF、IS-IS或BGP交換路由信息、

PE設(shè)備如何區(qū)分不同CE設(shè)備的路由？

不同企業(yè)對(duì)應(yīng)的CE設(shè)備上報(bào)的私網(wǎng)地址存在重疊IP地址空間的問題，PE設(shè)備需要獨(dú)立保存不同VPN的路由并解決地址空間重疊的問題。

為此，PE設(shè)備使用虛擬路由轉(zhuǎn)發(fā)（VRF，Virtual Routing and Forwarding）的方式實(shí)現(xiàn)VPN之間的邏輯隔離。

VRF也稱為VPN實(shí)例。VPN 實(shí)例中的信息包括：IP 路由表、標(biāo)簽轉(zhuǎn)發(fā)表、與 VPN 實(shí)例綁定的接口以及 VPN 實(shí)例的管理信息。

PE設(shè)備之間如何傳遞路由？

VPN實(shí)例屬于PE設(shè)備本地的概念，PE設(shè)備無法將VPN實(shí)例信息傳遞到對(duì)端PE。為傳遞相同的IP路由采用RD（Route Distinguisher，路由標(biāo)識(shí)符）的方式，也就是PE設(shè)備會(huì)在IPv4前綴前加上RD，轉(zhuǎn)換為全局唯一的路由地址，稱為VPN-IPv4，即VPNV4。

因BGP可以跨路由器的進(jìn)行兩個(gè)PE設(shè)備之間的直接交換路由，所以選擇BGP進(jìn)行路由傳遞是比較理想的協(xié)議。

但BGP無法傳遞VPNV4，便對(duì)BGP進(jìn)行擴(kuò)展而產(chǎn)生MP-BGP（Multiprotocol Extensions for BGP）。通過MP-BGP進(jìn)行VPNV4的路由發(fā)布。

PE設(shè)備通過MP-BGP的Update消息把VPNV4路由發(fā)布給遠(yuǎn)端PE設(shè)備。Update消息中還包含Export VPN Target屬性及MPLS標(biāo)簽。

VPNV4到達(dá)遠(yuǎn)端PE設(shè)備后，如何區(qū)分不同的CE設(shè)備？

PE設(shè)備進(jìn)行路由發(fā)布的MP-BGP Update消息中還包含Export VPN Target屬性及MPLS標(biāo)簽。

為此，PE設(shè)備根據(jù)RT（Route Target）來控制VPNV4路由信息的發(fā)布和接收。RT又分為Export Target（導(dǎo)出目標(biāo)）和Import Target（導(dǎo)入目標(biāo)），這兩個(gè)值是在開通VPN時(shí)配置的。

遠(yuǎn)端PE設(shè)備需要將VPNV4路由信息導(dǎo)入到VPN實(shí)例表中。

遠(yuǎn)端PE設(shè)備收到本地PE發(fā)布的VPNv4路由時(shí)，檢查Export Target屬性，當(dāng)該屬性值與某個(gè)VPN實(shí)例的Import Target匹配時(shí)，就把路由信息加入到該VPN實(shí)例中。

（ 6 ）功能實(shí)現(xiàn) -- 數(shù)據(jù)轉(zhuǎn)發(fā)

VPN路由信息為私網(wǎng)路由，由PE設(shè)備維護(hù)，并通過MP-BGP進(jìn)行PE設(shè)備間的路由發(fā)布，這些PE設(shè)備可以跨路由器建立鄰接關(guān)系。

骨干網(wǎng)P設(shè)備只維護(hù)公網(wǎng)路由，私網(wǎng)路由無法在公網(wǎng)上進(jìn)行傳輸?shù)摹?/p>

MPLS VPN不再使用IP地址進(jìn)行轉(zhuǎn)發(fā)，而是基于標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)。

同樣地，基于標(biāo)簽也需要解決：

如何區(qū)分不同的企業(yè)用戶？

如何將數(shù)據(jù)包從PE設(shè)備傳遞到遠(yuǎn)端PE設(shè)備？

解決的方法便是增加內(nèi)外2個(gè)標(biāo)簽，內(nèi)標(biāo)簽確定具體企業(yè)用戶，外標(biāo)簽進(jìn)行數(shù)據(jù)包的傳遞。

（7）運(yùn)維實(shí)施

配置要完成的工作：

A. MPLS基本功能的配置；

（a）配置PE設(shè)備、P設(shè)備之間的路由，實(shí)現(xiàn)互通；

（b）使用MPLS功能，配置LDP（標(biāo)簽分發(fā)協(xié)議），實(shí)現(xiàn)公網(wǎng)隧道的建立；

B. MPLS VPN的功能配置；

（a）配置PE設(shè)備，使能MP-BGP、VPN-IPv4功能，實(shí)現(xiàn)MP-BGP update消息傳遞VPNV4路由；

（b）配置PE設(shè)備，為Site創(chuàng)建VPN實(shí)例，分配私網(wǎng)路由標(biāo)簽；

（c）配置PE設(shè)備，將VPN實(shí)例綁定在PE連接對(duì)應(yīng)CE的接口上；

（d）配置PE和CE間路由交換，可使用靜態(tài)路由、各種IGP或者BGP路由方式。

4. 相關(guān)流程

《華為MPLS VPN學(xué)習(xí)指南》一書，介紹了MPLS VPN相關(guān)流程，值得仔細(xì)研究。

（1）路由發(fā)布

（2）數(shù)據(jù)轉(zhuǎn)發(fā)