MPLS VPN是什么？

1. MPLS VPN是什么？

MPLS VPN网络，也称为MPLS BGP VPN网络，是由运营商搭建并提供给企业购买的虚拟专用网（Virtual Private Network），以实现用户网络之间的路由传递、数据互通等。MPLS VPN是VPN中的一种（IPSec VPN、SSL VPN）。

2. 为什么会有MPLS VPN？

任何技术的提出都有特定的需求。

MPLS VPN的需求来自于企业内总部和分支机构之间的安全、便捷互联。

起初的解决方案是运营商提供专线，也就是提供物理的二层链路，即以二层的方式为企业用户实现远程网络的连接。该方案问题是不仅贵，线路利用率还低。

后来就在Internet（公共网络）中建立虚拟专用通信网络，其技术本质是利用隧道技术实现不同用户网络的逻辑隔离。

建立在Internet网络的VPN在传输速度、可靠性上存在一定的局限（现已有极大的提升）。

为此，运营商打造了MPLS VPN，为企业用户提供更快、更可靠的虚拟专用网络。

MPLS VPN是一种L3VPN，相当于大的路由器，连接企业总部和分支。在其MPLS骨干网上使用MP-BGP协议进行VPN私网路由的发布，利用MPLS协议进行VPN报文（内部是IP报文）的转发。

3. 从产品的角度，如何看待MPLS VPN？

（1）业务需求

MPLS VPN能够为：

A. 千千万万的企业用户提供分支与分支、分支与总部之间的互联互通；

B. 不同企业要实现逻辑隔离并能安全通信。

（2）用户需求

从企业用户的角度来讲，需要解决的问题是：

如何使得处于不同分支的员工，能够基于私有地址进行通信，就像访问企业私网一样？

从运营商的角度来讲，需要解决的问题是：

如何实现不同企业通信的隔离以及安全地通信？

（3）实现约束

A. 企业用户内部网络使用的是私有地址：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。

B. 不同企业很可能使用相同的私有地址段。

C. 公网又存在约束：公网路由器中的公网路由表只存储公网路由，不允许包含私网路由。

（4）逻辑架构

设定MPLS VPN的逻辑架构：

这里，涉及到一些概念：

• Site：站点，也就是用户网络。
• CE：Customer Edge即为用户边缘设备，用来连接服务提供商（ISP）路由器并建立邻接关系，提供用户接入服务，通常是一台IP路由器。
• PE：Provider Edge即为运营商边缘设备，用来连接CE设备和P设备。
• P：骨干网设备。

（5）功能实现--路由发布

位于企业分支A的员工，通过私网地址与位于企业分支B的员工通信。企业分支A的私网路由信息，通过CE设备路由发布到与之连接的PE设备；进而PE设备将路由信息通告给已建立邻接关系的PE设备；PE设备再将路由引入到企业分支B的CE设备（普通IPv4路由），完成企业分支A的路由信息发布。

总的来说，VPN 路由信息的发布过程分三段：CE设备到PE设备、PE设备到PE设备、PE设备到CE设备。

VPN路由信息的发布需要考虑如下问题：

CE设备与PE设备如何交换路由信息？

CE设备用户站点采用IP网络，同样CE设备与PE设备也采用IP网络，使用IPv4路由。CE设备与PE设备之间可以使用静态路由、OSPF、IS-IS或BGP交换路由信息。

同样，PE设备与CE设备也使用静态路由、OSPF、IS-IS或BGP交换路由信息、

PE设备如何区分不同CE设备的路由？

不同企业对应的CE设备上报的私网地址存在重叠IP地址空间的问题，PE设备需要独立保存不同VPN的路由并解决地址空间重叠的问题。

为此，PE设备使用虚拟路由转发（VRF，Virtual Routing and Forwarding）的方式实现VPN之间的逻辑隔离。

VRF也称为VPN实例。VPN 实例中的信息包括：IP 路由表、标签转发表、与 VPN 实例绑定的接口以及 VPN 实例的管理信息。

PE设备之间如何传递路由？

VPN实例属于PE设备本地的概念，PE设备无法将VPN实例信息传递到对端PE。为传递相同的IP路由采用RD（Route Distinguisher，路由标识符）的方式，也就是PE设备会在IPv4前缀前加上RD，转换为全局唯一的路由地址，称为VPN-IPv4，即VPNV4。

因BGP可以跨路由器的进行两个PE设备之间的直接交换路由，所以选择BGP进行路由传递是比较理想的协议。

但BGP无法传递VPNV4，便对BGP进行扩展而产生MP-BGP（Multiprotocol Extensions for BGP）。通过MP-BGP进行VPNV4的路由发布。

PE设备通过MP-BGP的Update消息把VPNV4路由发布给远端PE设备。Update消息中还包含Export VPN Target属性及MPLS标签。

VPNV4到达远端PE设备后，如何区分不同的CE设备？

PE设备进行路由发布的MP-BGP Update消息中还包含Export VPN Target属性及MPLS标签。

为此，PE设备根据RT（Route Target）来控制VPNV4路由信息的发布和接收。RT又分为Export Target（导出目标）和Import Target（导入目标），这两个值是在开通VPN时配置的。

远端PE设备需要将VPNV4路由信息导入到VPN实例表中。

远端PE设备收到本地PE发布的VPNv4路由时，检查Export Target属性，当该属性值与某个VPN实例的Import Target匹配时，就把路由信息加入到该VPN实例中。

（ 6 ）功能实现 -- 数据转发

VPN路由信息为私网路由，由PE设备维护，并通过MP-BGP进行PE设备间的路由发布，这些PE设备可以跨路由器建立邻接关系。

骨干网P设备只维护公网路由，私网路由无法在公网上进行传输的。

MPLS VPN不再使用IP地址进行转发，而是基于标签进行转发。

同样地，基于标签也需要解决：

如何区分不同的企业用户？

如何将数据包从PE设备传递到远端PE设备？

解决的方法便是增加内外2个标签，内标签确定具体企业用户，外标签进行数据包的传递。

（7）运维实施

配置要完成的工作：

A. MPLS基本功能的配置；

（a）配置PE设备、P设备之间的路由，实现互通；

（b）使用MPLS功能，配置LDP（标签分发协议），实现公网隧道的建立；

B. MPLS VPN的功能配置；

（a）配置PE设备，使能MP-BGP、VPN-IPv4功能，实现MP-BGP update消息传递VPNV4路由；

（b）配置PE设备，为Site创建VPN实例，分配私网路由标签；

（c）配置PE设备，将VPN实例绑定在PE连接对应CE的接口上；

（d）配置PE和CE间路由交换，可使用静态路由、各种IGP或者BGP路由方式。

4. 相关流程

《华为MPLS VPN学习指南》一书，介绍了MPLS VPN相关流程，值得仔细研究。

（1）路由发布

（2）数据转发