目前，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，之前的局域網(wǎng)、因特網(wǎng)已不能滿(mǎn)足社會(huì)發(fā)展的要求。隨著廣域網(wǎng)、城域網(wǎng)概念的提出，人們對(duì) VPN （虛擬網(wǎng)絡(luò)）技術(shù)的要求也日益提高。VPN（virtual private network），稱(chēng)為虛擬專(zhuān)用網(wǎng)，是指利用 IP基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)專(zhuān)用廣域網(wǎng)專(zhuān)線(xiàn)的技術(shù)。傳統(tǒng) VPN （虛擬網(wǎng)絡(luò)）由于配置復(fù)雜、維護(hù)困難，存在安全隱患等問(wèn)題，難以滿(mǎn)足網(wǎng)絡(luò)發(fā)展的需求。而 MPLS VPN 因?yàn)榉N種優(yōu)點(diǎn)受到運(yùn)營(yíng)商的青睞。目前國(guó)內(nèi)三大運(yùn)營(yíng)商都通過(guò)城域網(wǎng)部署了大量的 MPLS VPN 業(yè)務(wù)，這是一種非常成熟的技術(shù)，對(duì)比其他 VPN （虛擬網(wǎng)絡(luò)）業(yè)務(wù)，有建網(wǎng)成本低、安全性高、業(yè)務(wù)綜合能力強(qiáng)等特點(diǎn)。

MPLS 名詞解釋為多協(xié)議標(biāo)記交換，是一種能實(shí)現(xiàn)快速數(shù)據(jù)包交換和路由的技術(shù)。在傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)中，IP 報(bào)文轉(zhuǎn)發(fā)根據(jù)目的地址分析報(bào)文、查找路由，計(jì)算下一跳接口地址進(jìn)行轉(zhuǎn)發(fā)。在 MPLS 網(wǎng)絡(luò)中，報(bào)文的轉(zhuǎn)發(fā)基于標(biāo)簽交換（label switch），根據(jù)標(biāo)簽轉(zhuǎn)發(fā)表進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)。MPLS 網(wǎng)絡(luò)中只在入口節(jié)點(diǎn) (PE 設(shè)備 ) 分析 IP 頭并打上標(biāo)簽，中間節(jié)點(diǎn)（P 設(shè)備）使用標(biāo)簽交換，在出口節(jié)點(diǎn)（PE 設(shè)備）剝離標(biāo)簽，這樣做的好處是降低成本，資源利用率、靈活性和擴(kuò)展性、安全性高。MPLS 稱(chēng)為 2.5 層的技術(shù)，結(jié)合 2 層交換和 3 層路由的技術(shù)，僅僅在網(wǎng)絡(luò)中運(yùn)行 MPLS 協(xié)議是不行的，同時(shí)網(wǎng)絡(luò)中還要運(yùn)行BGP 協(xié)議來(lái)分發(fā)和傳遞路由，因此 MPLS VPN 技術(shù)通常也稱(chēng)為MPLS BGP VPN 技術(shù)。

有關(guān) MPLS VPN 原理圖如下 :企業(yè)通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)建設(shè)自己的私有網(wǎng)絡(luò)，分公司與總公司之間通過(guò)運(yùn)營(yíng)商公有網(wǎng)絡(luò)完成通信，企業(yè)間分屬不同的的 VPN，彼此相互隔離。運(yùn)營(yíng)商設(shè)備為 PE 設(shè)備和 P 設(shè)備，企業(yè)設(shè)備為 CE 設(shè)備。運(yùn)營(yíng)商給總公司提供專(zhuān)線(xiàn)服務(wù)，并建立總公司與分公司的 MPLS-VPN。
 
運(yùn)營(yíng)商要區(qū)分不同企業(yè)的路由。比 如 A 企 業(yè) 與 B 企 業(yè) 都 使 用10.0.0.0/8 地址段，對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，要知道如何將用戶(hù)路由正確傳遞給相應(yīng)的對(duì)象，因此要保證用戶(hù) VPN路由的唯一性。PE 設(shè)備是通過(guò) MPBGP 協(xié)議在城域網(wǎng)中傳遞用戶(hù) VPN路由，為保證每個(gè)用戶(hù)的 VPN 路由唯 一 性，MPLS VPN 引 入 RD（Route Distinguisher，路 由 標(biāo) 識(shí) 符 ）的概念。CE 設(shè)備將 IPv4 前綴發(fā)送給PE設(shè)備后PE設(shè)備打上RD值，IPv4 路由前綴前面加上 64bit 的 RD 后稱(chēng)為VPN-IPv4 地址簇。VPNv4 地址生成方式如下 ：VPNv4 地址 =RD+IPv4 地址。
 
PE 設(shè)備接收到 VPNv4 地址簇后，要判斷路由該被送入到哪個(gè) VPN 實(shí)例。這里引入 RT（Route Target）的概念，當(dāng) PE 設(shè)備將 VPN 路由引入到 MP-BGP 后，將其攜帶一個(gè) RT 值并送至遠(yuǎn)端 PE，遠(yuǎn)端 PE 根據(jù) RT 值來(lái)決定送往哪個(gè)VPN instance。RT 是 BGP 的一個(gè)擴(kuò)展團(tuán)體屬性，RT 值分為 Import（導(dǎo)入）和 Export（導(dǎo)出）。Export 的RT會(huì) VPNv4 路由發(fā)布時(shí)攜帶，在接收端 PE 設(shè)備上比較 Export RT 值與自身所有 VRF 的Import RT 值，匹配則送往相應(yīng)的 VPN 路由表。

數(shù)據(jù)由 CE 設(shè)備到 PE 設(shè)備使用的是 IP 轉(zhuǎn)發(fā) , 數(shù)據(jù)經(jīng)過(guò)城域網(wǎng)時(shí)，因?yàn)?P 設(shè)備沒(méi)有私網(wǎng)路由，因此沒(méi)有辦法使用 IP轉(zhuǎn)發(fā)，這時(shí)就用到 MPLS 標(biāo)簽轉(zhuǎn)發(fā)。IP 數(shù)據(jù)包由 CE 設(shè)備到達(dá) PE 設(shè)備時(shí)，PE 設(shè)備會(huì)給私網(wǎng)路由打上兩層標(biāo)簽 ：外層標(biāo)簽和內(nèi)層標(biāo)簽。外層標(biāo)簽是由 MPLS LDP 協(xié)議為公網(wǎng)中的 IGP路由映射分發(fā)標(biāo)簽生成的，目的是建立 LSP（label switch path，標(biāo)簽轉(zhuǎn)發(fā)路徑）；內(nèi)層標(biāo)簽是 MP-BGP 協(xié)議生成的，目的是出站 PE 通過(guò)內(nèi)層標(biāo)簽知道該往哪個(gè) VPN 轉(zhuǎn)發(fā)數(shù)據(jù)。在MPLS 轉(zhuǎn)發(fā)過(guò)程中，P 設(shè)備只處理外層標(biāo)簽的交換，不處理內(nèi)層標(biāo)簽的交換。

田鑫，專(zhuān)業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。