MPLS-VPN在大型企業(yè)和運(yùn)營商內(nèi)部的應(yīng)用非常廣泛，是MPLS技術(shù)與VPN的結(jié)合。MPLS的精華在于快速標(biāo)簽交換，通過將查找標(biāo)簽列表替換傳統(tǒng)的路由表遞歸查詢，從而大大加速了數(shù)據(jù)包傳輸。在需要處理巨大數(shù)據(jù)量的運(yùn)營商網(wǎng)絡(luò)內(nèi)部使用MPLS是一個(gè)理想的選擇，而運(yùn)營商通常需要保證客戶數(shù)據(jù)的隱秘性(跨國公司有時(shí)也需要保證分公司網(wǎng)絡(luò)之間的隔離)MPLS-VPN因運(yùn)而生。

　　MPLS-VPN包括很多優(yōu)化服務(wù)，如：路由反射器，負(fù)載均衡，環(huán)路避免，流量工程等。本文只能實(shí)現(xiàn)客戶跨MPLS網(wǎng)絡(luò)最簡單的通信。關(guān)于更多優(yōu)化服務(wù)的文章筆者會在不久后發(fā)出。

　　MPLS-VPN使用到的一些名詞：

　　PE：運(yùn)營商網(wǎng)絡(luò)的邊界路由器

　　P：運(yùn)營商內(nèi)部的路由器

　　CE：客戶網(wǎng)絡(luò)的邊界路由器

　　VRF：運(yùn)營商為確保客戶信息的安全性為每個(gè)VPN用戶單獨(dú)分配一個(gè)路由表，即VRF

　　RD：VPN網(wǎng)絡(luò)在運(yùn)營商網(wǎng)絡(luò)內(nèi)傳輸時(shí)如何辨別該路由屬于哪個(gè)VPN?使用RD在每個(gè)IP報(bào)文頭部加上一個(gè)64比特的標(biāo)識，該標(biāo)識即RD，通常RD的表示格式為X:X，對于每個(gè)VRF而言，RD是唯一的

　　VPNV4：很顯然，在CE-PE間數(shù)據(jù)包的格式為IP報(bào)文，然而在PE間(即運(yùn)營商網(wǎng)絡(luò)內(nèi))傳輸?shù)膱?bào)文頭部已經(jīng)被加上了RD，這樣的報(bào)文我們稱之為VPN報(bào)文，由IPV4、IPV6衍生出VPNV4、VPNV6報(bào)文

　　RT：出站PE需要知道將把報(bào)文轉(zhuǎn)發(fā)到哪個(gè)VRF，要實(shí)現(xiàn)這個(gè)功能就需要知道收到的VPNV4報(bào)文屬于哪個(gè)VRF，顯然，是可以通過入站PE設(shè)置的 RD來識別的。試想，如果要允許來自多個(gè)VPN的報(bào)文進(jìn)入同一個(gè)VRF如何實(shí)現(xiàn)?這時(shí)我們需要一個(gè)機(jī)制來識別這些VPNV4報(bào)文并注入VRF，RT應(yīng)運(yùn)而生。RT的作用就是控制報(bào)文的的傳輸方向。RD只能有一個(gè)，而RT可以是多個(gè)。

　　MP-BGP：普通的IGP協(xié)議只能承載IPV4報(bào)文，顯然這是不夠的，因?yàn)槲覀円呀?jīng)知道了需要一種協(xié)議來承載VPN報(bào)文，也許在其他范疇內(nèi)還需要承載IPV6報(bào)文，MP-BGP報(bào)文的誕生就是為了解決這個(gè)問題。它用來承載在運(yùn)營商網(wǎng)絡(luò)中傳輸?shù)腣PN報(bào)文，并攜帶一些需要的擴(kuò)展屬性，如RT。

　　配置簡介

　　1、首先，MPLS-VPN的標(biāo)簽交換只能基于OSPF，所以PE間所有路由器必須首先建立OSPF鄰居關(guān)系，以及LDP鄰居關(guān)系

　　2、PE路由器之間必須建立BGP鄰居關(guān)系來承載VPN報(bào)文，并進(jìn)入VPN地址族激活該鄰居

　　3、PE路由器需要為每個(gè)VPN用戶分配獨(dú)立的VRF路由表，首先需要建立VRF，指定RD和RT，并將連接CE的接口分配到對應(yīng)的VRF中

　　4、PE需要與CE建立IGP鄰居關(guān)系(也可以建立EBGP關(guān)系，但思科設(shè)備目前不支持在PE-CE間建立IBGP鄰居)，針對不同的IGP協(xié)議，需要用不同的方式于CE建立鄰居關(guān)系。①OSPF，(config)#routerospf2vrfdevilman②EIGRP，(config- router)#address-familyipv4vrfdevilman，進(jìn)入ipv4地址族。另外，EIGRP必須給每一個(gè)VRF指定一個(gè)自治系統(tǒng)號(一臺PE可能維護(hù)著多個(gè)VRF，與對端CE建立鄰居關(guān)系時(shí)必須在相應(yīng)的VRF中為EIGRP分配與對端CE相同的AS號)③RIP于EIGRP相同，進(jìn)入地址族中建立鄰居關(guān)系，不同的是，RIP不需要AS號，RIP必須指定默認(rèn)度量值，否則無法將BGP重發(fā)布進(jìn)RIP。

　　5、我們已經(jīng)知道PE設(shè)備的VRF表里包含，PE-CE間路由協(xié)議。也同樣需要包含MP-BGP路由，這是通過在BGP的ipv4地址族下重分布PE-CE間路由協(xié)議來完成的。

　　6、現(xiàn)在我們需要配置重發(fā)布讓CE能夠發(fā)現(xiàn)遠(yuǎn)端CE設(shè)備。首先我們需要明確一點(diǎn)，PE間必須交換VRF路由表，這個(gè)工作是由MP-BGP來完成的，所以需要在PE上將PE-CE間IGP重分布進(jìn)MP-BGP，再將BGP重分布到IGP中。(重分布的順序隨意)

　　MPLS-VPN配置步驟

　　PE-CE間IGP

　　骨干IGP

　　PE間BGP

　　PE間M-BGP

　　PE-CE間IGP重分布到BGP

　　BGP重分布到PE-CE間IGP