一、MPLS VPN原理与配置

1、MPLS VPN定义

BGP/MPLS IP VPN网络一般由运营商搭建，VPN用户购买VPN服务来实现用户网络之间的路由传递、数据互通等。 MPLS VPN使用BGP在运营商骨干网（IP网络）上发布VPN路由，使用MPLS在运营商骨干网上转发VPN报文。BGP/MPLS IP VPN又被简称为MPLS VPN，是一种常见的L3VPN（Layer 3 VPN）技术。

2、MPLS VPN网络架构

MPLS VPN网络架构由三部分组成：CE（Customer Edge）、PE（Provider Edge）和P（Provider），其中PE和P是运营商设备，CE是MPLS VPN用户设备。 站点（site）就是MPLS VPN的用户，由CE和其他用户设备构成。

3、MPLS VPN技术架构

MPLS VPN不是单一的一种VPN技术，是多种技术结合的综合解决方案，主要包含下列技术： MP-BGP：负责在PE与PE之间传递站点内的路由信息。

LDP：负责PE与PE之间的隧道建立

VRF：负责PE的VPN用户管理。 静态路由、IGP、BGP：负责PE与CE之间的路由信息交换。

4、为什么要选择MPLS VPN

对VPN客户而言： “感知”不到VPN的存在，不需要部署和维护VPN，降低企业运维难度和成本。 一般部署在运营商的MPLS VPN专网上，有一定的安全性保障。

对于运营商而言： MPLS在无连接的IP网络中增加了面向连接的控制平面，为IP网络增添了管理和运营的手段。 支持地址空间重叠、支持重叠VPN、组网方式灵活、可扩展性好。 能够方便地支持MPLS TE合理调控现有网络资源，最大限度的节省运营商成本。

5、MPLS VPN路由发布概述

若想实现同一个VPN的不同站点之间的通信，首先需要完成不同站点之间的路由交互。在基本MPLS VPN组网中，VPN路由信息的发布涉及CE和PE，P路由器只维护骨干网的路由，不需要了解任何VPN路由信息。VPN路由信息的发布过程包括三部分： 本地CE到入口PE 入口PE到出口PE 出口PE到远端CE

6、RD

PE收到不同VPN的CE发来的IPv4地址前缀，本地根据VPN实例配置去区分这些地址前缀。但是VPN实例只是一个本地的概念，PE无法将VPN实例信息传递到对端PE，故有了RD（Route Distinguisher，路由标识符）。 RD长8字节，用于区分使用相同地址空间的IPv4前缀。 PE从CE接收到IPv4路由后，在IPv4前缀前加上RD，转换为全局唯一的VPN-IPv4路由。

7、MP-BGP

为了正确处理VPN路由，MPLS VPN使用RFC2858（Multiprotocol Extensions for BGP-4）中规定的MP-BGP，即BGP-4的多协议扩展。 MP-BGP采用地址族（Address Family）来区分不同的网络层协议，既可以支持传统的IPv4地址族，又可以支持其它地址族（比如VPN-IPv4地址族、IPv6地址族等）。 MP-BGP新增了两种路径属性： MP_REACH_NLRI：Multiprotocol Reachable NLRI，多协议可达NLRI。用于发布可达路由及下一跳信息。 MP_UNREACH_NLRI：Multiprotocol Unreachable NLRI，多协议不可达NLRI。用于撤销不可达路由。

8、RT

在PE上，每一个VPN实例都会与一个或多个VPN Target属性绑定，有两类VPN Target属性： Export Target（ERT）：本地PE从直接相连站点学到IPv4路由后，转换为VPN IPv4路由，并为这些路由添加Export Target属性。Export Target属性作为BGP的扩展团体属性随路由发布。 Import Target（IRT）：PE收到其它PE发布的VPN-IPv4路由时，检查其Export Target属性。当此属性与PE上某个VPN实例的Import Target匹配时，PE就把路由加入到该VPN实例的路由表。

二、MPLS实验

1、实验要求