MPLS原理及技術概述

MPLS VPN技術概述

MPLS(多協議標簽交💦換)技術最初是用來提高路由器的轉發速度而提出的一個協議。但是由于MPLS在流量工程和VPN這兩項在目前IP網絡中非常關鍵的技術中的表現，MPLS已日益成為擴大IP網絡規模的重要標準。

MPLS協議的關鍵是引入了標簽(Label )交換概念。標簽是一種短的，易于處理的，不包含拓撲信息，只具有局部意義ꦐ的信息𝓀內容。

基于BGP4的MPLS VPN技術是一種運營級的VPN技術，在網狀網以及需要在同一個IP網絡上承載多個相互獨立的VPN的時候，MPLS VPN表現出強大的擴展性和高性能💟。

基于MPLS的VPN特性必須實現𝕴如下功能：LDP(Label Distribution Protocol)標簽分布協議，是MPLS的信令協議，用以管理和分配標簽;MPLS轉發模塊，根據報文上的標簽和本地映射表進行二、三層間交換;MBGP和BGP擴展，用來傳遞VPN路由和承載VPN屬性、QoS信息、標簽等內容;路由管理的VPN擴展，建立多路由表，用以支持VPN路由。

在MPLS VPN網絡中，有必要引入三個概念：

CE(Custom 🅠Edge)用戶Site中直接與服務提供商相連的邊緣設備，一般是路由器，也可♊以是交換機或者主機;

PE(Provider Edge)骨干網中的邊緣設備，它直接與用戶的CE相連;

P 路由器(Provider Router)骨干網中不與CE直接相連的設備。

在運營網中，MPLS VPN的網絡構造由服務提供商來完成。在這種網絡構造中，由服務提供商向用戶提供VPN服務，用戶感覺不到公共網絡的存在，就好像擁有獨立的網絡資源一樣。同樣在金融企業網絡中實現MPLS VPN業務，對于使用業務的不同類🎃別用戶來說，也是完全感覺不到大網存在的。同樣，對于骨干網絡內部的P路由器，也就是不與CE 直接相🍎連的路由器而言，也不知道有VPN的存在，而僅僅負責骨干網內部的數據傳輸。

所有的VPN的構建、連接和管理工作都是在PE上進行的。PE位于服務提供商網絡的邊緣，從PE的角度來看，用戶的一個連通的IP 系統被視為一個site ，每一個site通過CE與PE相連，site 是構成VPN的基本單元。 一個VPN是由多個site組成的，一個site 也可以同時屬于不同的VPN。 屬于同一個VPN的兩個site通過服務提供商的公共網絡相連，VPN數據在公共網絡上傳播，必須要保證數據傳輸的私有性和安全性。 也就是說，從屬于某個VPN的site 發送出來的報文只能轉發到同樣屬于𒁃這個VPN的site 里去，而不能被轉發到其他site 中去。同時，任何兩個沒有共同的site 的VPN都可以使用重疊的地址空間，即在用戶的私有網絡中使用自己獨立的地址空間，而不用考慮是否與其他VPN或公網的地址空間沖突，這也是MPLS VPN適合多業務多用戶網絡使用的主要原因之一。

MPLS/BGP VPN的特點

MPLS/BGP VPN解決方案可以為企業提供一種基于網絡、易🔯于管ﷺ理、擴充性好、安全且具有QoS保障、可在任意節點間連接的VPN。

(1)基于網絡，易于管理：這種基于網絡的VPN可以完全由骨干網絡來實現，不同業務用戶可將VPN的管理完全“托管”給骨干網絡管理機構，即最終業務網絡用戶完全感覺不到該業務網與其他業務網絡的集成(就像使用物理上獨立的一套網絡一樣)ღ，不用了解VPN是如何構造和連接的，由骨干網絡管理機構在其網絡內構建完成。MPLS VPN可以顯著地減少運營商和用戶的投資，特別適合于企業用戶集中多業務網絡實現Intranet、Extranet。

(2)擴充性好：由于基于MPLS/BGP實現，因此很容易對網絡節點進行擴充，網絡可剪裁性好。

(3)安全：由于基于MPLS/BGP實現，報文在網絡節💛點構成的MPLS域中采用標簽轉發的形式進行交換(LSP)，因此具有同ATM/FR虛電路相同的安全級別。

(4)QOS： 由于基于MPLS/BGP實現，可以利用MPLS技術特有的CoS、流量工程等機制，從而能夠為෴用戶實現有QoS保證的VPN。共3頁。

MPLS/BGP VPN的實現

MPLS采用虛擬路由表的方法來實現一個路由器上多個VPN的路由表。每一個VPN對應一個或多個VRFs(VPN routing/forwarding instance)。VRF定義連接到PE上的VPN成員(一個site)資格。一個VRF包括一個IP路由表、一個FIB( forwarding information tabl🌼e)表、相關聯的端口、和一些控制路由的規則和參數。

數據包的路由和交換由VRF路由表和單獨的FIB表所控制，每一個VPN對應一個路由表和一個FIB表。

一個PE路由器可通過靜態路由、RIP或BGP從CE處得到某一個IP前綴的路由，該前綴是標準IPv4的前綴。然后，PE通過加上一個8字節的RD(route disti💜nguisher)將它轉換成為一個VPN-IPv4的前綴，該前綴屬于VPN-IPv4的前綴。通過這種方法，可以使用戶地址唯一，即使用戶使用的是IANA規定的൲保留地址。

用于生成VPN-IPv4前綴的RD(rout🅺e distinguisher)由PE路由器的VRF配置命令指定。

MBGP協議為VPN的每個VPN-IPv4前綴傳遞NLRI(Network Layer Reachability Inf♍ormation)。BGP實體之間的通信出現在兩個地方，AS內的iBGP和AS間的EBGP，PE-PE和PE-RR(route reflector)之間為iBGP，PE-CE之間為EBGP。

BGP協議通過BGP多協議擴展(BGP， Multiprotocol Extensions for BGP-4)來傳遞VPN-IPv4的路🧸由可達性信息，多協議擴展的BGP采用的方法為限定BGPꦗ的peer只能從其它VPN的同伴處得到BGP路由。

IP包經過MPLS標簽交換到其目標地址，其選路的基礎是VRF路由表和VRF FIB表。

PE路由💫器為每一個從CE路由器學到的前綴產生一個label，然后將這個label♓作為一個BGP Communities屬性附加到BGP更新中傳遞出去。當一個源PE路由器從CE路由器處得到一個IP包，它使用從目標PE路由器學到的label將該IP包發送出去。當目標PE路由器得到這個labeled IP包后，將label從IP包中去除，作為一個純IP包發送到CE路由器。

當labeled IP包在核心骨干部分傳遞時，其基于labe⛦l switching或traffic engineered path進行，一個用戶的IP包在核心穿行時，攜帶了2層label：

1、第一層label指示到正確的目標PE路由器;

2、第二層label給目標PE路由器指示，到哪一個其連接的site鏈路。

說在最后：MPLS VPN原理大同小異，針對不同的企業，用戶的MPLS VPN方案會不一樣，因ℱ此如果你想使用MPLS VPN產品，可以與客服溝通，客服會給你更好的參考和建議。