MPLS-VPN在大型企業(yè)和運(yùn)營(yíng)商內(nèi)部的應(yīng)用非常廣泛，是MPLS技術(shù)與VPN的結(jié)合。MPLS的精華在于快速標(biāo)簽交換，通過(guò)將查找標(biāo)簽列表替換傳統(tǒng)的路由表遞歸查詢，從而大大加速了數(shù)據(jù)包傳輸。在需要處理巨大數(shù)據(jù)量的運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)部使用MPLS是一個(gè)理想的選擇，而運(yùn)營(yíng)商通常需要保證客戶數(shù)據(jù)的隱秘性（跨國(guó)公司有時(shí)也需要保證分公司網(wǎng)絡(luò)之間的隔離）MPLS-VPN因運(yùn)而生。

MPLS-VPN包括很多優(yōu)化服務(wù)，如：路由反射器，負(fù)載均衡，環(huán)路避免，流量工程等。本文只能實(shí)現(xiàn)客戶跨MPLS網(wǎng)絡(luò)最簡(jiǎn)單的通信。關(guān)于更多優(yōu)化服務(wù)的文章筆者會(huì)在不久后發(fā)出。

MPLS-VPN使用到的一些名詞：

PE：運(yùn)營(yíng)商網(wǎng)絡(luò)的邊界路由器

P：運(yùn)營(yíng)商內(nèi)部的路由器

CE：客戶網(wǎng)絡(luò)的邊界路由器

VRF：運(yùn)營(yíng)商為確保客戶信息的安全性為每個(gè)VPN用戶單獨(dú)分配一個(gè)路由表，即VRF

RD：VPN網(wǎng)絡(luò)在運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)傳輸時(shí)如何辨別該路由屬于哪個(gè)VPN？使用RD在每個(gè)IP報(bào)文頭部加上一個(gè)64比特的標(biāo)識(shí)，該標(biāo)識(shí)即RD，通常RD的表示格式為X:X，對(duì)于每個(gè)VRF而言，RD是唯一的

VPNV4：很顯然，在CE-PE間數(shù)據(jù)包的格式為IP報(bào)文，然而在PE間（即運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)）傳輸?shù)膱?bào)文頭部已經(jīng)被加上了RD，這樣的報(bào)文我們稱之為VPN報(bào)文，由IPV4、IPV6衍生出VPNV4、VPNV6報(bào)文

RT：出站PE需要知道將把報(bào)文轉(zhuǎn)發(fā)到哪個(gè)VRF，要實(shí)現(xiàn)這個(gè)功能就需要知道收到的VPNV4報(bào)文屬于哪個(gè)VRF，顯然，是可以通過(guò)入站PE設(shè)置的RD來(lái)識(shí)別的。試想，如果要允許來(lái)自多個(gè)VPN的報(bào)文進(jìn)入同一個(gè)VRF如何實(shí)現(xiàn)？這時(shí)我們需要一個(gè)機(jī)制來(lái)識(shí)別這些VPNV4報(bào)文并注入VRF，RT應(yīng)運(yùn)而生。RT的作用就是控制報(bào)文的的傳輸方向。RD只能有一個(gè)，而RT可以是多個(gè)。

MP-BGP：普通的IGP協(xié)議只能承載IPV4報(bào)文，顯然這是不夠的，因?yàn)槲覀円呀?jīng)知道了需要一種協(xié)議來(lái)承載VPN報(bào)文，也許在其他范疇內(nèi)還需要承載IPV6報(bào)文，MP-BGP報(bào)文的誕生就是為了解決這個(gè)問(wèn)題。它用來(lái)承載在運(yùn)營(yíng)商網(wǎng)絡(luò)中傳輸?shù)腣PN報(bào)文，并攜帶一些需要的擴(kuò)展屬性，如RT。

配置簡(jiǎn)介

1、首先，MPLS-VPN的標(biāo)簽交換只能基于OSPF，所以PE間所有路由器必須首先建立OSPF鄰居關(guān)系，以及LDP鄰居關(guān)系

2、PE路由器之間必須建立BGP鄰居關(guān)系來(lái)承載VPN報(bào)文，并進(jìn)入VPN地址族激活該鄰居

3、PE路由器需要為每個(gè)VPN用戶分配獨(dú)立的VRF路由表，首先需要建立VRF，指定RD和RT，并將連接CE的接口分配到對(duì)應(yīng)的VRF中

4、PE需要與CE建立IGP鄰居關(guān)系（也可以建立EBGP關(guān)系，但思科設(shè)備目前不支持在PE-CE間建立IBGP鄰居），針對(duì)不同的IGP協(xié)議，需要用不同的方式于CE建立鄰居關(guān)系。①OSPF，(config)#routerospf2vrfdevilman②EIGRP，(config-router)#address-familyipv4vrfdevilman，進(jìn)入ipv4地址族。另外，EIGRP必須給每一個(gè)VRF指定一個(gè)自治系統(tǒng)號(hào)（一臺(tái)PE可能維護(hù)著多個(gè)VRF，與對(duì)端CE建立鄰居關(guān)系時(shí)必須在相應(yīng)的VRF中為EIGRP分配與對(duì)端CE相同的AS號(hào)）③RIP于EIGRP相同，進(jìn)入地址族中建立鄰居關(guān)系，不同的是，RIP不需要AS號(hào)，RIP必須指定默認(rèn)度量值，否則無(wú)法將BGP重發(fā)布進(jìn)RIP。

5、我們已經(jīng)知道PE設(shè)備的VRF表里包含，PE-CE間路由協(xié)議。也同樣需要包含MP-BGP路由，這是通過(guò)在BGP的ipv4地址族下重分布PE-CE間路由協(xié)議來(lái)完成的。

6、現(xiàn)在我們需要配置重發(fā)布讓CE能夠發(fā)現(xiàn)遠(yuǎn)端CE設(shè)備。首先我們需要明確一點(diǎn)，PE間必須交換VRF路由表，這個(gè)工作是由MP-BGP來(lái)完成的，所以需要在PE上將PE-CE間IGP重分布進(jìn)MP-BGP，再將BGP重分布到IGP中。（重分布的順序隨意）

MPLS-VPN配置步驟

PE-CE間IGP

骨干IGP

PE間BGP

PE間M-BGP

PE-CE間IGP重分布到BGP

BGP重分布到PE-CE間IGP