MPLS-VPN技术概述

('一、VPN技术概述VPN（VirtualPrivateNetwork）是基于公网，利用隧道、加密等技术，为用户提供的虚拟专用网络，它给用户一种直接连接到私人局域网的感觉。1.传统VPN组网方式传统VPN组网方式分成两种，一种是专线VPN，一种是基于客户端设备的VPN（CPE-basedVPN）。专线VPN使用DDN电路或者虚电路（如ATMPVC、FRPVC等）连接客户的站点，形成一个叠加式的二层VPN网络。这种方式的VPN，成本高、建设周期长、网络拓展性不好，并且可管理性差。CPE-basedVPN：其VPN功能都集成在各种各样的CPE设备之中，运营商的公网为客户提供透明的数据传输。因为VPN是跨越不可信任的公网构建而成的，所以一般CPE-basedVPN都采用隧道、加密、认证等方式来防止数据被复制、篡改和丢失。这种方式的VPN，其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN，同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。2.ProviderProvisionedVPN（PP-VPN）：随着通信技术的不断发展，特别是MPLS技术的出现，基于运营商网络的VPN，即PP-VPN应运而生。PP-VPN整个操作是作为一个运营商的外包资源实现在网络上，而不是在客户端设备上。这种方式的VPN，降低了客户的投入，增加了运营商的收入，同时又具有较好的网络拓展性、可管理性，因而赢得了越来越多客户和运营商的青睐。基于MPLS的VPN就属于PP-VPN。二、MPLSVPN简介MPLS（Multi-ProtocolLabelSwitch，多协议标签交换）是由IETF提出的新一代IP骨干网络交换标准，是一种集成式的IPOverATM技术。它融合了IP路由技术灵活性和ATM交换技术简洁性的优点，在面向无连接的IP网络中引入了MPLS面向连接的属性，提供了类似于虚电路的标签交换业务。MPLSVPN有三种类型的路由器，CE路由器、PE路由器和P路由器。其中，CE路由器是客户端路由器，为用户提供到PE路由器的连接；PE路由器是运营商边缘路由器，也就是MPLS网络中的标签边缘路由器（LER），它根据存放的路由信息将来自CE路由器或标签交换路径（LSP）的VPN数据处理后进行转发，同时负责和其他PE路由器交换路由信息；P路由器是运营商网络主干路由器，也就是MPLS网络中的标签交换路由器（LSR），它根据分组的外层标签对VPN数据进行透明转发，P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息。根据PE路由器是否参与客户的路由，MPLSVPN分成Layer3MPLSVPN和Layer2MPLSVPN。其中Layer3MPLSVPN遵循RFC2547bis标准，使用BGP在PE路由器之间分发路由信息，使用MPLS技术在VPN站点之间传送数据，因而又称为BGP/MPLSVPN。三、BGP/MPLSVPN中几个重要的概念1.VRFBGP/MPLSVPN的安全举措之一就是路由隔离和信息隔离，它是通过VPN路由转发（VPNRouting&&Forwarding：VRF）表和MPLS中的LSP来实现的。在PE路由器上，存在有多个VRF表，这些VRF表是和PE路由器上的一个或多个子接口相对应的，用于存放这些子接口所属VPN的路由信息。通常情况下，VRF表中只包含一个VPN的路由信息，但是当子接口属于多个VPN时，其所对应的VRF表中就包含了子接口所属的所有VPN的路由信息。对于每一个VRF表，都具有路由区分符（RouteDistinguisher：RD）和路由目标（RouteTarget：RT）两大属性。2.RDVPN中IP地址的规划是由客户自行制订的，因而有可能会出现客户选择在RFC1918中定义的私有地址作为他们的站点地址或者不同的VPN使用相同的地址域，也就是所谓的地址重叠现象。地址重叠的后果之一就是BGP无法区分来自不同VPN的重叠路由，从而导致某个站点不可达。为了解决这个问题，BGP/MPLSVPN除了采用在PE路由器上使用多个VRF表的方法，还引入了RD的概念。RD具有全局唯一性，通过将8个字节的RD作为IPv4地址前缀的扩展，使不唯一的IPv4地址转化为唯一的VPN-IPv4地址。VPN-IPv4地址对客户端设备来说是不可见的，它只用于骨干网络上路由信息的分发。RD和VRF表之间建立了一一对应的关系。通常情况下，对于不同PE路由器上属于同一个VPN的子接口，为其所对应的VRF表分配相同的RD，换句话说，就是为每一个VPN分配一个唯一的RD。但是对于重叠VPN，即某个站点属于多个VPN的情况，由于PE路由器上的某个子接口属于多个VPN，此时，该子接口所对应的VRF表只能被分配一个RD，从而多个VPN共享一个RD。3.RTRT的作用类似于BGP中扩展团体属性，用于路由信息的分发。它分成ImportRT和ExportRT，分别用于路由信息的导入、导出策略。当从VRF表中导出VPN路由时，要用ExportRT对VPN路由进行标记；在往VRF表中导入VPN路由时，只有所带RT标记与VRF表中任意一个ImportRT相符的路由才会被导入到VRF表中。RT使得PE路由器只包含和其直接相连的VPN的路由，而不是全网所有VPN的路由，从而节省了PE路由器的资源，提高了网络拓展性。RT具有全局唯一性，并且只能被一个VPN使用。通过对ImportRT和ExportRT的合理配置，运营商可以构建不同拓扑类型的VPN，如重叠式VPN和Hub-and-spokeVPN。四、BGP/MPLSVPN的体系结构1.BGP/MPLSVPN的体系结构体系结构主要分成数据面和控制面。数据面定义了VPN数据的转发过程；控制面则定义了LSP的建立和VPN路由信息的分发过程。在此，我们主要讨论一下数据的转发过程和路由信息的分发过程。2.数据转发过程在MPLS网络中传输的VPN数据采用外标签（又称隧道标签）和内标签（又称VPN标签）两层标签栈结构，它们分别对应于两个层面的路由：域内路由和VPN路由。域内路由即MPLS中的LSP是由PE路由器和P路由器通过运行标签分发协议（LabelDistributionProtocol：LDP）或资源预留协议（ResourceReservationProtocol：RSVP）建立的，它所产生的标签转发表用于VPN分组外层标签的交换。VPN路由是由PE路由器之间通过运行MP-iBGP建立的，该协议跨越骨干网的P路由器分发VPN标签形成VPN路由。在PE路由器上除了VRF表外，还有MPLS路由表，该表用于存放VPN标签和子接口的对应关系，为出口PE路由器到CE路由器之间的数据转发提供依据。具体数据转发过程如下：当CE路由器通过某个子接口将一个VPN分组发给入口PE路由器后，PE路由器查找该子接口对应的VRF表，从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后，就通过输出接口发送到相应LSP上的第一个P路由器。骨干网中P路由器根据外层标签逐跳转发VPN分组，直至最后一个P路由器弹出外层标签，将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据VPN标签，查找MPLS路由表得到对应的输出接口，在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器，从而实现了整个数据转发过程。特别的，当出口PE路由器和入口PE路由器是同一个路由器时，PE路由器对收到的VPN分组将不经过任何处理直接转发给目的CE路由器。3.路由信息分发过程在MPLSVPN中，因为采用了两层标签栈结构，所以P路由器并不参与VPN路由信息的交互，客户路由器是通过CE和PE路由器之间、PE路由器之间的路由交互知道属于某个VPN的网络拓扑信息。（1）CE-PE路由器之间通过采用静态/缺省路由，或采用IGP（RIPv2、OSPF）等动态路由协议，或建立EBGP连接等方式进行路由信息的交互。当入口PE路由器从某个子接口接收到来自CE路由器的路由信息时，除了将该路由导入对应的VRF表，PE路由器还要为该路由分配一个VPN标签。该VPN标签用以识别接收路由信息的子接口，因此从同一个子接口接收到的路由信息将被分配同样的VPN标签，从而PE路由器可以将收到的VPN分组转发到合适的子接口。（2）PE-PE之间通过采用MP-iBGP进行路由信息的交互。PE路由器通过维持iBGP网状连接或使用路由反射器来确保路由信息被分发给所有的PE路由器。当入口PE路由器分发路由信息时，将同时携带路由所在VRF表的RD，即将路由的IPv4地址转化为VPN-IPv4地址。分发的具体路由信息包括该路由的VPN-IPv4地址前缀、下一跳BGP即入口PE路由器的VPN-IPv4地址（其中RD=0）、分配给该路由的VPN标签和该路由所在VRF表的ExportRT。该路由信息我们称为带有标签的VPN-IPv4路由信息。当出口PE路由器收到路由信息时，将查看该路由的RT，如果RT和其任意VRF表中任意一个ImportRT相符时，就将该路由存入VPN-IPv4.RIB表。在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址，即去掉地址中的RD，导入到相应的VRF表中。五、跨越多个运营商网络的MPLSVPN的实现在某个客户的MPLS/VPN跨越多个运营商网络的情况下，如果假定运营商所用地址域不重叠，那么可以通过下述方法来解决：①为了分发带有标签的IPv4路由信息，在边缘路由器上建立EBGP连接；②为了分发带有标签的VPN-IPv4路由信息，在属于不同运营商的PE路由器之间建立多跳的EBGP连接。值得注意的是，这种用于不同运营商之间的EBGP解决方案同样适用于一个具有多个AS值的运营商。六、结束语1.BGP/MPLSVPN的特点①作为PP-VPN，提高了用户网络管理效率，降低了用户在网络管理方面投入的费用。②解决了纯三层IPVPN所不能解决的地址重叠和重叠VPN的问题。③具有较好的网络拓展性，解决了传统VPN在实现用户节点全网状连接时的N2问题。④不需要采用加密、认证等手段，通过路由隔离、地址隔离等多种方式，实现与传统VPN相结合。MPLSVPN的原理及构建(1)http://network.51cto.com/art/200511/11847.htm从数据转发过程、VPN路由协议等方面阐述了MPLSVPN的原理，介绍了VRF、路由区分符和路由目标等重要概念，分析了路由目标在控制VPN拓扑方面的重要作用，总结了MPLSVPN的技术特点。AD：1概述传统的VPN通常建立在ATM/DDN/FR网上，随着IP网的大规模部署及ATM技术应用的衰落，在IP网上提供VPN业务被认为是一种非常经济的方式，随着MPLS技术的出现，基于MPLS的VPN技术发展迅速并已获得商用。根据RFC2764中对IPVPN技术的分类，IPVPN可划分为：VLL（VirtualLeasedLines）、VPDN（VirtualPrivateDialNetworks）、VPRN（VirtualPrivateRoutedNetworks）和VPLS（VirtualPrivateLANSegment）四种。MPLSVPN属于VPRN。2MPLS路由器的结构MPLS路由器结构与传统的仅支持逐跳路由的路由器结构有所不同，MPLS中的标签交换路由器（LSR）结构如图1所示，图中实线为传统路由器部分，虚线为LSR增加的部分，LSR分为路由模块和转发模块，路由模块中的路由协议可以是OSPF或IS-IS，也可以是它们基于流量工程的扩展，MPLS信令可以是RSVP或CR-LDP，标签分组根据转发模块中的标签转发表来交换标签，IP转发表用于传统逐跳路由的第三层查找。MPLS通常采用拓扑驱动方式，路由器根据路由表项来建立LSP。3MPLSVPN的数据转发过程MPLSVPN中的路由器有三种：P路由器、PE路由器和CE路由器。P路由器为运营商主干路由器，负责VPN分组外层标签的交换；PE路由器为运营商边界路由器，存放着VRF表和全局路由表，VRF中存放着VPN路由，全局路由表中存放着运营商的域内路由；CE路由器为客户端路由器，由客户负责维护。当CE路由器将一个VPN分组转发给入口PE路由器后，PE路由器查找该VPN对应的VRF，从VRF中得到一个VPN标签和下一跳出口PE路由器的地址，VPN标签作为内层标签打在VPN分组上，根据下一跳出口PE路由器的地址可以在全局路由表中查出到达该PE路由器应打上的域内路由的标签，即外层标签，于是VPN分组被打上了两层标签，主干网的P路由器根据外层标签转发VPN分组，在最后一个P路由器处，外层标签弹出，VPN分组只剩下内层标签（此过程被称作次末级弹出机制），接着VPN分组被发往出口PE路由器。出口PE路由器根据内层标签查找到相应的出口后，将VPN分组上的内层标签删除，将不含标签的VPN分组转发给正确的CE路由器，CE路由器根据自己的路由表将分组转发到正确的目的地。4MP-iBGP协议在基于MP-iBGP协议的MPLSVPN体系中，存在两个层面的路由，即域内路由和VPN路由。所有的PE路由器及P路由器上要运行主干网的域内路由（OSPF或IS-IS等），生成的路由表将触发主干网中LSP的建立（拓扑驱动方式），通过CR-LDP或RSVP等信令协议建立LSP，产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议，该协议跨越主干的P路由器在PE之间分发VPN标签，形成VPN路由，MP-iBGP发布的一条VPN路由包含的信息有：IPv4地址、路由区分符（RD）、路由目标（RT）、VPN标签和下一跳PE地址，其中RD用来消除IPv4地址的歧义，以重用IPv4地址；RT用来控制VRF的导入和导出策略，从而控制网络的连通和拓扑；下一跳PE地址是连接域内路由和VPN路由的纽带，在PE路由器上根据在VRF中得到的下一跳PE地址可以在全局路由表中查找到到达该地址应打上的外层标签。由于运行MP-iBGP协议的PE路由器之间必须构成全网状网的会话（因为运行iBGP的路由器不能转发收到的iBGP路由，这种机制用于避免路由环路），因此在大规模的网络应用中存在可扩展性的问题，解决的方法是采用路由反射器或路由域联合，路由反射器允许路由器转发收到的iBGP路由，以避免全网状的会话；采用路由域联合可以将路由域划分成多个区域，这样，只有区域内的路由器需要构成全网状的连接，减少了域内iBGP路由器的邻接数，当然采用路由域联合需考虑对跨域连接的规划。5VPN路由转发实例（VRF）、路由区分符（RD）和路由目标（RT）的概念5.1VPN路由转发实例（VRF）VPNIP路由表及相关的VPNIP转发表被统称为VPN路由和转发实例。在极端的情况下，可以为连接到PE路由器上的每个站点都分配一个VRF来存放VPN路由，但连接在同一PE路由器上的站点如果满足以下三个条件则可以共享一个VRF：（1）各站点属于同一个VPN；（2）路由信息相同；（3）站点之间允许相互直接通信。通常PE路由器上每个用户的端口与一个特定的VRF相关联，从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。5.2路由区分符（RD）由于VPN数量巨大且不少原先的VPN用户不愿修改自身的IPv4地址，因此有必要允许不同的VPN客户使用相同的IPv4地址，对于不同VPN中相同的地址，采用RD可以实现IPv4地址的重用。PE路由器通过MP-iBGP协议通告站点的路由时，将同时携带各路由的RD，即将IPv4地址转化为VPN-IPv4地址，PE路由器在收到MP-iBGP通告的路由后，将查看该路由的RD，然后将VPN-IPv4地址转化成IPv4地址，即将地址中的RD去掉，将其导入到相应的VRF中。由于不同VPN被VRF隔离了，因此不同VPN中相同的IPv4地址，将被导入到不同的VRF中。在同一个VPN中，地址必须是唯一的；当多个VPN之间需要相互通信时（例如有公共的站点），则要求地址必须在多个VPN中是唯一的，此时多个VPN只能使用同一个RD。5.3路由目标（RT）RT来控制VRF的导入和导出策略，以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT，RT的具体使用与VPN的拓扑结构密切相关,对于全网状相接的VPN可以用一个RT，对于非全网状相连的VPN，一个VPN往往需要多个RT。当从PE导出VPN路由时，要用RT对VPN路由进行标记，在往VRF中导入路由时，可以使用多个RT，只要有一个VPN路由中附带的RT与导入路由中的任意RT相同，都将被导入到该VRF中。6通过RT控制网络的拓扑下面的例子可以看出RT在控制VPN的连通性和拓扑结构中的重要作用。VPNA和VPNB的逻辑结构如图2所示，它们拥有共同的站点C，这种结构被称作重叠VPN，VPNA中各站点之间均可以相互通信，VPNB中的两个站点B1、B2只能和中心站点C通信，对应这种拓扑结构。图3给出了各PE路由器上的VRF导入导出策略和包含的站点路由。由于两个VPN之间存在站点间的通信，因此这两个VPN中的站点地址必须唯一，它们可以使用一个统一的RD，以区分其他VPN中重用的地址。站点A2和A3同属一个VPN，其路由信息相同且可以相互通信，因此可以共用一个VRFA23；其他站点分别都有各自的VRF，本拓扑中共使用了三个RT，即100:1、100:2和100:3。PE2通过MP-iBGP协议通告A2、A3和B2的路由（因为这三个站点与其相连），其中A2和A3的路由标记为RT=100:1，B2的路由标记为RT=100:3；PE3通告C的路由，标记为RT=100:2；PE1收到这些通告后，发现VRFA1允许导入标记RT=100:1和100:2的路由，于是PE1将A2、A3和C的路由导入到VRFA1中，而不会将B2的路由导入到VRFA1中；PE1上的VRFB1只允许导入RT=100:2的路由，因此VRFB1拒绝导入A2、A3和B2的路由而只导入C的路由；PE2和PE3上的VRF所包含的路由可以用类似的方法分析出来。最后看一看各VRF中所包含的路由，由于C站点可以访问任何一个站点，因此VRFC上具有所有站点的路由，当然，各站点也都可以访问C站点，因此C站点的路由也出现在所有的VRF中；B1、B2站点除了可以访问站点C外，不能访问其他任何站点，它们相互之间也不能访问，因此其VRF中只包含站点C的路由和自己的路由；站点A1、A2、A3和C可以两两互相访问，因此他们各自的VRF中均包含了A1、A2、A3和C的路由。从这个例子可以看出，利用RT可以非常方便地控制VPN的拓扑结构，构成各种结构的VPN。7MPLSVPN的技术特点MPLSVPN技术具有如下四个方面的技术特点。7.1能提供QoS或CoS的保证主干的MPLS网络可以通过RSVP以面向连接的方式提供集成服务，也可以通过划分类以面向无连接的方式提供差分服务，另外，还可以通过流量工程技术间接地为QoS的实现提供一定的资源保障。基于流的集成服务因其需要信令的支持造成可扩展性较差，不适合在骨干网上应用，MPLS骨干网上服务质量的保证主要依靠基于类的差分服务和流量工程来满足，另外在传统的尽力而为的IP网上的专线技术IPSec/GRE等也可以构建VPN，但这些技术无法保证QoS。7.2安全性较高MPLS骨干不负责维护任何VPN路由，只进行标签交换，因此其安全性与二层的ATM技术相当。在PE路由器上，各VPN路由通过VRF来隔离，也具有良好的安全性。7.3可扩展性好MPLSVPN的路由只存在于PE路由器上，PE路由器只保存与之相连的客户站点的VPN路由，骨干的P路由器无需任何VPN路由的知识，这大大减少了VPN路由的维护量。另外，MPLSVPN通过二层标签栈区分域内路由和VPN路由，使网络具有较好的可扩展性。7.4减轻客户的维护负担MPLSVPN技术中的VPN路由存在于运营商的PE路由器上，由运营商替客户维护路由，其初衷是为了减轻用户的管理和维护负担，以利于将VPN业务向各类高中低端客户大规模推广，然而在网络安全性越来越重要的今天，这个最初看来是优点的初衷却成为发展高端大客户的障碍，通常银行等金融系统的客户更信赖ATM/FR/DDN等二层专线技术，他们不可能将与安全相关的路由功能让运营商来维护，因此三层的MPLSVPN技术很难吸引传统的大客户，这种情况最终导致了二层MPLSVPN的出现，二层的VPN只提供连接（类似传统的ATM/DDN/FR专线），VPN路由仍由客户维护，运营商与客户责任明确。仅提供二层连接的MPLSVPN技术更容易被高端客户理解并接受。不过，对于多数自己不具备维护力量的中小企业客户来说，三层的MPLSVPN却是一种颇具魅力的解决方案。8结束语MPLSVPN技术为运营商提供了一种面向未来的解决方案，鉴于IP技术在未来信息网络中的统治地位，MPLSVPN技术必将得到不断的发展，获得更为广泛的应用。MPLS/VPN基本原理及在ZXR10中的配置http://wirless.blog.51cto.com/933360/290314MPLS简述MPLS（multi-protocollabelswitch）是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起，加快了转发速度。而且，MPLS可以运行在任何链接层技术之上，从而简化了向基于SONET/WDM和IP/WDM结构的下一代光Internet的转化。在这里，主要描述一下标签转发表的产生过程及IP包如何通过MPLS转发。MPLS标签栈头图1MPLS标签栈头32位的MPLS栈头包括以下区域(如图1所示)：承载MPLS标记实际值的标记区域（20位）；QoS区域（3位），用于在分组通过网络时施加在分组上的排队和丢弃算法；堆栈区域（S区域，1位），用于支持标记堆栈序列；TTL区域（8位），提供传统的IPTTL功能。标签转发表产生过程1．路由器之间通过路由协议或静态路由产生路由表。图2路由器之间通过路由协议或静态路由产生路由表如图2所示，假设途中A、B、C、D四台路由器之间运行了OSPF协议，A路由器学习到D路由器网段211.91.168.0/24的路由。2．运行MPLS的路由器为路由表中的路由分配标签。图3运行MPLS的路由器为路由表中的路由分配标签图3A、B、C、D四台路由器的路由表中都有211.91.168.0/24网段的路由，假设各路由器都已运行MPLS协议，则每台路由器都会为该路由分配一个标签。3．通过LDP/RSVP协议发现其MPLS邻居。假设在各路由器接口启动LDP协议。通过LDP发现协议，A路由器知道B路由器为其MPLS邻居，B路由器知道A、C为其MPLS邻居，C路由器知道B、D为其MPLS邻居，D的MPLS邻居为C。4．将打标签的路由通告给其MPLS邻居。各路由器将其打了标签的路由通告给其MPLS邻居，而不管是否已从其邻居学习到该路由的标签。这样对于路由211.91.168.0/24在各路由器中的标签情况如图4所示。图4各路由器中的标签情况5．路由器将其下一跳路由器通告的标签加到其转发表中。通常在实际应用中路由器将目的地不是本地的IP包转发给其下一跳。因此在MPLS中，路由器只将其下一跳路由器通告的标签加到其转发表中。对于211.91.168.0/24网段对应的转发如图5所示。图5路由器将其下一跳路由器通告的标签加到其转发表中IP包在MPLS网络中转发过程1．MPLS入口路由器根据目的地址查找路由表。如图5例，假设一目的地址为211.91.168.0/24的IP包到达路由器A。此时路由器A将查找其路由表，发现该路由下一跳为路由器B。2．将该IP包打上标签，转发给下一跳路由器。上例中，路由器A将目的地址为211.91.168.0/24的IP包打上标签20，转发给其下一跳路由器B。3．下一跳路由器查找其转发表，替换标签，继续转发。上例中，当打有标签的IP包到达B路由器时，路由器不再根据目的地址查找路由表了，而是根据标签查找标签转发表。从A来的出站标签对应于B的入站标签，也就是B通告给A的标签。B路由器通过标签替换，将其入站标签替换成出站标签，即用标签30替换掉标签20，然后转发给其下一跳路由器C。C路由器同样进行标签交换，将带有标签40的IP包送给D路由器。4．出口路由器查找其转发表，发现其就是目的地网络，弹出标签，送给相应端口处理。上例中D路由器将查找标签转发表，发现该IP包目的地为自己，则弹出标签。标签交换过程结束。VPN在MPLS中的实现RFC2547bis定义了允许服务提供商使用其IP骨干网为用户提供VPN服务的一种机制。RFC2547bis也被称为BGP/MPLSVPN，因为BGP被用来在提供商骨干网中发布VPN路由信息，而MPLS被用来将VPN业务从一个VPN站点转发至另一个站点。首先对MPLSVPN中用到的常用术语作一说明，然后介绍一下MPLSVPN实现的基本原理及常见组网。MPLS/VPN中常用术语PE路由器：又称作提供商边缘路由器。该路由器负责用户端网络到提供商网络的接入。P路由器：又称提供商路由器。P路由器是提供商网络中不连接任何CE设备的路由器。CE路由器：又称用户边缘设备。CE路由器通过连接至一个或多个提供商边缘（PE）路由器的数据链路为用户提供对服务提供商的接入。VPN-IPV4地址：VPN用户通常使用私有地址来规划自己的网络。当不同的VPN用户使用相同的私有地址规划时就会出现路由查找问题。MPLS/VPN基本原理及在ZXR10中的配置路由区分符RD：路由区分符RD即VPN-Ipv4地址的前8字节，用来区分不同VPN中的相同私网地址。路由目标RT：RT为MP-BGP中的扩展共同体属性之一。路由目标属性定义了PE路由器发布路由的一组站点（VRF）的集合。PE路由器使用这一属性来对输入远端路由到其VRF进行约束。VPN路由转发表（VRF）：每个PE路由器为其直连的站点维持一个VRF。每个用户链接被映射至一个特定的VRF。每个VRF与PE路由器的一个端口相关联。VPN在MPLS网络中的实现网络拓扑描述假设一个服务提供商具有一个IP骨干网，为不同的企业提供BGP/MPLSVPN服务。网络中有3个PE路由器，连接到4个不同的用户站点。图6网络拓扑图6中，CE1与CE3属同一VPN1，CE2与CE4同属另一VPN2。站点1（CE1）中的任何主机可以与站点3（CE3）中的任何主机进行通信。站点2（CE2）中的任何主机可以与站点4（CE4）中的任何主机进行通信。路由学习过程在一个用户站点能够将VPN业务转发到远端站点之前，必须将VPN路由信息从每个用户站点通过骨干网转发至其他用户站点。PE路由器从其直连的CE路由器学习路由，入口PE通过骨干网向出口PE发布路由，出口PE路由器将路由发布至CE。标签转发过程在网络中，只有PE及P路由器运行标签转发协议，图6中CE1与CE3客户属于同一VPN。当CE1的客户需要向CE3客户发送信息时：CE1路由器查找路由表，将数据包发给PE1路由器；PE1路由器发现CE1属于VRF1，查找VRF1表，找到目的地址下一跳为MP-BGP对等体路由器PE2；PE1路由器查找路由表知到达对等体PE2的直连下一跳为P1路由器；给该数据包分配标签，将该数据包转发给P1路由器；该数据包通过中间P路由器标签转发，到达PE2；PE2弹出标签。查找VRF1路由，将该数据包转发给CE3；到达CE3客户。MPLS/VPN的几种典型组网MESH方式图7典型的组网图MESH方式为普通VPN业务，是客户对VPN的最基本的需求。基本的VPN服务要求相同的VPN客户之间能相互通信，而不同的VPN客户间不能通信。典型的组网图如图7所示，VPN1间互相通信，VPN2间互相通信，而VPN1与VPN2间不能通信。HUB-SPOKE方式对于有很多子公司的大客户来说，普通的VPN业务可能无法满足其需求。通常总公司可能需要监控子公司间的通信，同时要能够与各子公司直接通信。这就要求子公司间通信时必须经过总公司中转。图8HUB-SPOKE方式一种典型的组网图如图8所示，总公司可以直接与子公司1、子公司2通信，而子公司1和子公司2间通信时必须经过总司中转，如此总公司可以监控各子公司间的通信。其中PE-3为HUB路由器，PE-1及PE-2为SPOKE路由器。INTERNET接入VPN客户间通信使用的是私网地址，可以自由规划内部网络，但同样可能需要能连上INTERNET。图9INTERNET接入一种典型的组网图如图9所示，通过在VPN1的某个网关上提供NAT完成私网地址到公网地址的转换即可完成INTERNET业务。在ZXR10中配置MPLS/VPNZXR10中配置MPLS/VPN的基本步骤目前ZXR10中MPLS/VPN应用最多的为T64E/T128及T32C/T64C等中高档路由器产品。其中E系列中，T64E/T128支持MPLS/VPN的常用单板有8端口FEI板、2端口GEI接口板、4端口POS3接口板、E1接口板。C系列中支持MPLS/VPN的常用单板有GEI板、POS接口板。对于T64E/T128而言，要配置MPLS/VPN业务必须使用V1.2以上版本或平台版本，对于C系列路由器而言需要使用ros9302以上版本。在ZXR10中配置MPLS/VPN业务主要步骤如下。1．在PE路由器上定义一个VPN名称或者说一个VPN的转发表（VRF）的名称。名称长度为1到16个字符。注意该名称只是本地有效，在某个接口与VPN绑定时将使用到该名称。2．定义该VRF的路由标识符（RD）和路由目标（RT），定义导入导出策略，该策略将在MP-BGP中用来区分不同的VPN。3．定义指定的接口与VRF关联。如果这个接口预先配置了IP地址，那么需将原IP地址删除，定义好关联后，再行配置IP地址。4．定义VRF路由。PE路由器与CE路由器之间可以定义静态路由，也可以运行动态路由协议。5．配置MPBGP协议。PE路由器从CE路由器学习到VRF路由后，需要通过运行MPBGP协议通告给其他PE。配置MPBGP协议通常分以下三步：（1）在BGP路由配置模式下，用neighbor命令指定PE对等体，必须是IBGP对等体；（2）进入BGP的address-familaryvpnv4地址模式，激活该对等体；（3）对于不同的VRF，将其路由（直连、静态、OSPF、ISIS）重分布到MPBGP中进行通告。MPSL/VPN配置实例下面通过一个组网实例讲述MPLS/VPN业务在ZXR10中的应用。实例中描述的是E系列路由器独立组网配置。图10E系列路由器独立组网配置图10中，CE1和CE2在同一个VPN中，CE1的loopback地址为100.1.1.1/24，CE2的loopback地址为200.1.1.1/24，需要能互相学习到对端的loopback路由。CE1与PE1之间运行BGP协议，CE2与PE2之间运行OSPF协议。BGP/MPLSVPN技术白皮书V1.0http://www.ruijie.com.cn/service/doc-search-one.aspx?uniid=f4d0108c-0ab4-4058-8438-9713d278d0b51概述1.1MPLVPN技术背景VPN（VirtualPrivateNetwork）的概念最早是从专线引发的。先举一个例子说明为什么需要VPN，例如一个公司在全国各地都有分公司，那么通常它必须租用专线实现企业内部的互联网络，这种方式需要在两地或多个地点之间租用长途线路，不论是否有数据传输这条长途线路都固定分配，用户付出的代价很高。专线网络具有以下特点：1.安全性高，线路为用户专用，不同用户间是物理隔离的；2.价格昂贵；3.带宽浪费严重；由于专线网络具有的一些固有缺陷，VPN的目的就是通过公用网络将异地的网点互联实现一个私有网就像用专线联接起来的一样。其实现的方式就是在公网上建立某种形式的链路作为IP的隧道进行异地网点互联。在公网上实现VPN，用户只需要付出到网络服务提供商的本地线路费用，并且在没有数据传输时可以断开连接进一步节省了开销。1.2VPN定义顾名思义，虚拟专用网（VirtualPrivateNetwork）不是真的专用网络，但却能够实现专用网络的功能。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用服务提供商现成网络的数据线路（通过使用隧道技术）。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络，就像是私有的网络一样。1.3BGP/MPLSVPN我们知道实现VPN的方式有很多种，例如有基于第二层隧道协议（L2TP）的VPN，也有基于第三层隧道协议（如IPSec）的VPN。而BGP/MPLSIPVPN是另外一种实现VPN的方式，可以说它是一种介于第二层和第三层隧道协议的VPN，这主要是由MPLS决定的。既然是VPN其所完成的功能以及达到的目的和传统的VPN是一样的，只是基于MPLS的IPVPN和传统的IPVPN相比有很多优势。如对于VPN用户而言，它可以大大简化用户的管理工作量，不再需要使用专门的VPN设备（如VPN拨入服务器）只需要使用传统的路由器就可以构建VPN。对于运营商而言，采用MPLSVPN很容易实现VPN的扩展，同时给运营商带来更大的商机。这里解释一下为什么是叫BGP/MPLSVPN呢？这是因为MPLS应用于Layer3的VPN中要使用BGP作为MPLS的标签分发协议，就好比MPLS应用于IP单播转发中必须使用LDP作为其标签分发协议，使用BGP协议在服务提供商网络的PE之间交换VPN路由以及绑定的标签。2BGP/MPLSVPN架构图2-1在MPLSVPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对site集合的划分，一个VPN就对应一个由若干site组成的集合。2.1术语先引入几个概念：CE（CustomEdge）：用户Site中直接与服务提供商相连的边缘设备，一般是路由器PE（ProviderEdge）：骨干网中的边缘设备，它直接与用户的CE相连P路由器（ProviderRouter）：骨干网中不与CE直接相连的设备VPNSite：VPN用户的站点，是VPN中的一个孤立的IP网络，该网络内部本身是IP互联的，但是和其它站点（或者是子网）一般来说不通过骨干网不具有连通性。公司总部，分支机构都是site的具体例子。CE通常是VPNSite中的一个路由器或三层交换设备甚至是一个主机。一个CE设备总是被认为处于一个单独的站点，但是一个站点可以同时属于多个VPN。VRF：每个PE都维护和管理一系列的转发表，其中一个转发表叫做“缺省的转发表”或者叫“全局转发表”；其它的转发表叫“VPN路由转发表（VPNRoutingandForwardingtables）”。如果一个报文通过AC到达PE，该AC没有同任何VRF关联的话，那么将使用全局的路由表为该报文的目的地址查找路由。可以简单的理解为，全局的转发表存放的是公网的路由（保证SP网络中本身PE和PE，PE和P之间能够互通），VRF存储的是VPN站点的私有路由。2.2组成原理1.MPLSVPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。2.同样对于服务提供商骨干网络内部的P路由器，也就是不与CE直接相连的路由器而言，也不知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。3.所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP系统被视为一个site，每一个site通过CE与PE相连，site是构成VPN的基本单元。4.一个VPN是由多个site组成的，一个site也可以同时属于不同的VPN。属于同一个VPN的两个site通过服务提供商的公共网络相连，VPN数据在公共网络上传播，必须要保证数据传输的私有性和安全性。也就是说，从属于某个VPN的site发送出来的报文只能转发到同样属于这个VPN的site里去，而不能被转发到其他site中去。5.同时，任何两个没有共同的site的VPN都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF（VPNRouting&ForwardingInstance）。3BGPMPLS/VPN原理在一个MPLSVPN网络中，需要解决以下三个问题：1.本地路由冲突问题，即：在同一台PE上如何区分不同VPN的相同路由。2.路由在网络中的传播问题，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此？3.报文的转发问题，即使成功的解决了路由表的冲突，但是当PE接收到一个IP报文时，他又如何能够知道该发给那个VPN？因为IP报文头中唯一可用的信息就是目的地址。而很多VPN中都可能存在这个地址。3.1VRF-VPN路由转发实例（VPNRouting&ForwardingInstance）其实解决地址冲突的问题，也存在一些方法：使用ACL、IPunnumber、NAT。但这些办法都是基于“打补丁”的思想，没能从本质上解决问题。要想彻底解决，必须在理论上有所突破。可以从专用PE上得到启示。专用路由器方式分工明确，每个PE只保留自己VPN的路由。P只保留公网路由。而现在的思路是：将这些所有设备的功能，和在一台PE上完成。图3-1每一个VRF可以看作虚拟的路由器，好像是一台专用的PE设备。该虚拟路由器包括如下元素：一张独立的路由表，当然也包括了独立的地址空间。一组归属于这个VRF的接口的集合。一组只用于本VRF的路由协议。对于每个PE，可以维护一个或多个VRF，同时维护一个公网的路由表（也叫全局路由表），多个VRF实例相互分离独立。其实实现VRF并不困难，关键在于如何在PE上使用特定的策略规则来协调各VRF和全局路由表之间的关系。3.2VRF的路由分发图3-2如图中所示，属于一个VPN的site可能分别连接到不同的PE上。为了保证VPN的连通性，我们必须在PE之间交换VPN路由信息。VPN路由拥有自己独立的地址空间，这种路由在服务提供商的公共网络中传递不能采用普通地址结构，否则会因为地址空间的重叠导致路由表的混乱，而是通过RD与IP地址一起构成唯一的VPN-IPV4地址结构来传递。同时在PE之间也不能采用普通的路由协议，而是通过对BGP作一定的扩展，使用多协议BGP（MultiProtocolBGP）来交换VPN信息。这些在下一部份将会讲到。3.3RD--路由标识（RouteDistinguisher）与VPN-IPv4地址在前面提到过，PE之间通过公共网络交换VPN路由，不能采用普通的地址结构和路由协议。因此，首先引入RD（RouteDistinguisher）的概念。RD来标示每个VRF。RD与VRF是一一对应的，每一个VRF都有自己的RD，RD在骨干网中保持唯一性，是Site的标识。PE路由器之间使用BGP来发布VPN路由。标准BGP对每个IP前缀只能安装和发布一个路由。由于每个VPN有自己的地址空间，意味着同样的IP地址会被任意数目的VPN所使用，在每个VPN中这个地址表示一个不同的系统。这样就需要允许BGP对每个VPN的相同的IP前缀可以安装和发布多个路由，同时，要使用特定的策略来决定哪一条路由被哪个site所使用。为此，多协议BGP使用了新的地址族--VPN-v4地址。图3-3一个VPN-v4地址有12个字节，开始是8字节的RD，接下去是4字节的IP地址。如果两个VPN使用相同的IP地址，PE路由器为它们添加不同的RD，转换成唯一的VPN-v4地址，不会造成地址空间的冲突。使用VPN-v4地址解决了VPN路由在公共网络中传递时的地址空间冲突问题，但由于这已经不再是原有的IP地址族的地址结构，不能被普通的路由协议所承载，同时，每一个用户网络都是独立的系统，它们之间经过服务提供商的路由信息传递使用IGP协议显然是不适合的，于是我们需要将BGP协议作一定的扩展，用它来承载新的VPN-v4地址族路由，同时传递附加在路由上的RouteTarget属性。通过RD与VPN-IPv4地址，解决了路由在网络中的传播，两条相同的路由，都在网络中传播，对于接收者如何分辨彼此问题。3.4BGP扩展与RouteTarget属性PE之间交换VPN信息，在BGP的UPDATE报文中承载VPN-v4地址族路由，这就是对BGP进行了扩展的MBGP（多协议BGP）。MBGP不仅能承载IPv4路由，而且能承载VPN，IPv6，多播等路由。MBGP有两个主要的工作，为路由指定特定网络层协议的下一跳和NLRI（网络层可达信息）。图3-4BGP扩展团体属性是对团体属性做了扩展，增大了值域，并规定了内部结构。扩展团体属性是一个过渡可选属性，它由一个扩展团体的集合组成，每个扩展团体是8字节的数。RouteTarget属性是由BGP的扩展团体属性来表示的。RouteTarget属性VPN的成员关系是通过路由所携带的routetarget属性来获得的。PE中每个Site的路由表中的路由项可以有一或多个RouteTarget属性。它表示了该路由可以被哪些site所接收，接收哪些site的传送来的路由。一个具有这种属性的路由必须发送给所有在RouteTarget中指明的site所连接的PE路由器，PE接收到包含此属性的路由后，若此属性指明的site同己一致，则加入到相应的路由表中。RT的本质是每个VRF表达自己的路由取舍及喜好的方式。可以分为两部分：ExportTarget与importTarget；前者表示了我发出的路由的属性，而后者表示了我对那些路由感兴趣。例如：SITE-A：我发的路由是红色的，我也只接收红色的路由。SITE-B：我发的路由是红色的，我也只接收红色的路由。SITE-C：我发的路由是黑色的，我也只接收黑色的路由。SITE-D：我发的路由是黑色的，我也只接收黑色的路由。这样，SITE－A与SITE-B中就只有自己和对方的路由，两者实现了互访。同理SITE－C与SITE-D也一样。这时我们就可以把SITE-A与SITE－B称为VPN-A，而把SITE-C与SITE-D称为VPN-B，如下图：图3-5对一个PE，有一个RouteTarget属性的集合用于附加到从某个site接收的路由上，称为ExportRouteTarget，另一个RouteTarget属性的集合用于决定哪些路由可以引入到此site的路由表中，称为ImportRouteTarget。它们是不同的集合。这两个集合的组合可以构造任何拓扑类型的VPN。在PE上，每个VRF都有一个ImportRouteTarget列表，只有当路由的ExportRouteTarget与VRF的ImportRouteTarget列表相匹配，路由才会被引入到该VRF的路由表中。RT的灵活应用由于每个RTExportTarget与importTarget都可以配置多个属性，例如：我对红色或者蓝色的路由都感兴趣。接收时是“或”操作，红色的、蓝色的以及同时具备两种颜色的路由都会被接受。所以就可以实现非常灵活的VPN访问控制。图3-63.5私网标签至此，前两个问题：在PE本地的路由冲突和网络传播过程的冲突都已解决。但是如果一个PE的两个本地VRF同时存在10.0.0.0/24的路由，当他接收到一个目的地址为10.0.0.1的报文时，他如何知道该把这个报文发给与哪个VRF相连的CE？肯定还需要在被转发的报文中增加一些信息。路由发布时已经携带了RD，理论上可以使用RD作为标识呢，但是RD一共有64个bit，太大了。这会导致转发效率的降低。所以只需要一个短小、定长的标记即可。由于公网的隧道已经由MPLS来提供，而且MPLS支持多层标签的嵌套，这个标记定义成MPLS标签的格式。这个私网的标签就由MP-BGP来分配，与私网的路由一同发布出去。3.6BGP发布路由时需要携带的信息一个扩展之后的NLRI（NetworkLayerReachabilityInformation），增加了地址族的描述，以及私网label和RD。跟随之后的是RT的列表对于使用了扩展属性MP_REACH_NLRI的BGP，我们称之为MP-BGP。4BGPMPLS/VPN路由分发、报文转发机制在MPLSVPN中，因为采用了两层标签栈结构，所以P并不参与VPN路由信息的交互，VPN站点内部是通过CE与PE、PE与PE之间的路由交互知道属于某个VPN的网络拓扑信息。具体可以归纳为如下3个步骤：1.CE与PE之间的路由交换2.PE与PE之间的路由交换3.PE与CE之间的路由交换4.1CE与PE之间的路由交换在PE上为不同的VPN站点配置VRF。PE上维护多个独立的路由表，包括公网和私网路由表（VRF），其中：1.公网路由表：包含到达其他PE和P的路由，由骨干网的IGP产生。2.私网路由表：包含本VPN可到达的路由（即属于该VPN的不同站点之间的路由）。图4-1CE与PE之间通过采用静态路由、动态路由协议（如OSPF,RIP…）进行路由信息的交互。当IngressPE从某个接口接收到来自CE的路由信息时，将该路由导入对应的VRF。4.2PE与PE之间的路由交换PE与PE之间的路由交换本质上就是将PE上得VRF路由注入到MP-IBGP并通过MP-IBGP在PE间交换的过程。图4-2PE通过维持IBGP确保路由信息被分发给所有其它的PE。当IngressPE分发路由信息时，将同时携带路由所在VRF的RD，即将路由的IPv4地址前缀转化为VPN-IPv4地址。分发的具体路由信息（VPN-IPv4路由信息）包括：该路由的VPN-IPv4地址前缀下一跳地址即IngressPE的VPN-IPv4地址（通常是PE上的Loopback接口地址，其RD=0）分配给该路由的VPN标签（用来标识属于哪个VPN或者说是哪个VRF）该路由所在VRF的ExportRT4.3PE与CE之间的路由交换PE与CE之间的路由交换即为MP-IBGP把路由注入到PE上的VRF然后通过PE与CE上运行的路由协议再分发给CE的过程。图4-3当EgressPE收到路由信息时，将查看该路由的RT，如果RT和其任意VRF中任意一个ImportRT相符时，就将该路由存入VPN-IPv4的路由表。在进行路由选择之后，将最优路由中的VPN-IPv4地址转化成IPv4地址（即去掉地址中的RD）导入到相应的VRF，私网标签保留，记录到转发表中，留做转发时使用。再由本VRF的路由协议引入并传递给相应的CE。发给CE时下一跳为接收端PE自己的接口地址。这样就完成了从MP-IBGP路由注入到VRF的过程。4.4MPLS/VPN报文转发图4-4在MPLSVPN中，属于同一的VPN的两个Site之间转发报文使用两层标签来解决，在入口PE上为报文打上两层标签，第一层（外层）标签在骨干网内部进行交换，代表了从PE到对端PE的一条隧道，VPN报文打上这层标签，就可以沿着LSP到达对端PE，这时候就需要使用第二层（内层）标签，这层标签指示了报文应该到达哪个site，或者更具体一些，到达哪一个CE，这样，根据内层标签，就可以找到转发的接口。可以认为，内层标签代表了通过骨干网相连的两个CE之间的一个隧道。5锐捷网络BGPMPLSVPN实现5.1组网需求要求：有两个VPN用户，VPNA和VPNB。VPNA在福州和上海有自己的站点，VPNB在北京和上海有自己的站点，现在要VPNA内的用户可以访问自己福州和上海的资源，VPNB内的用户可以访问自己北京和上海的资源，两个VPN之间不能互相访问。5.2组网拓扑图5-15.3配置步骤1.配置PE以PE_SH为例：配置VRF在PE_SH上定义两个VRF，VRFA_SH和VRFB_SH，分别为这两个VRF定义R值和RT值，并把VRF和对应的接口关联起来。配置BGP协议在PE_FZ和PE_BJ配置过程和上面类似。2.配置CE以VPNB_SH为例:配置BGPVPNA_SH、VPNA_FZ和VPNB_BJ的上CE的配置和VPNB_SH类似。3.配置P以P1为例：P2上的配置和P1类似。6BGP/MPLSIPVPN标准体系发展IETF已经在2004年成立了L3VPN的工作组专门研究L3VPN的技术和应用，这里主要讲与BGP/MPLSVPN最直接相关的RFC，BGP/MPLSIPVPN的技术最早由IETF在1999年在RFC2547提出，后来出了一个修订版叫RFC2547bis，现有的网络设备提供商实现的BGP/MPLSVPN都是根据RFC2547bis实现的。随着该技术被各个网络设备厂商支持并应用，该技术已经被实践证明比较成熟。2006年IETF根据这些年在应用过程中的实践总结进一步完善了该技术，重新发布了RFC4364并声明废弃了RFC2547。RFC4364里面详细阐述了BGP/MPLSIPVPNs的架构、技术实现和部署。另外由于BGP/MPLSIPVPNs的技术实现需求，对BGP协议的特性进行了大量的扩展，主要包括：RFC2858MultiprotocolExtensionsforBGP-4支持多协议扩展的BGPdraft-ietf-idr-as4bytesAS号由原来的2字节变为4字节的处理RFC1997BGPCommunitiesAttributeBGP的团体属性RFC2918RouteRefreshCapabilityforBGP-4BGP的刷新机制draft-ietf-idr-route-filterCooperativeRouteFilteringCapabilityforBGP-4BGP的ORF机制RFC2796BGPRouteReflectionBGP的路由反射器实现RFC3107CarryingLabelInformationinBGP-4如何在BGP中携带MPLS标签RFC4360BGPExtendedCommunitiesAttributeBGP的扩展团体属性使用BGP/MPLS实现的Layer3VPN主要有如下特点：VPN的隧道是在网络服务提供商的PE上建立的，而不是在用户的CE之间建立的。VPN的路由也是在PE和PE之间传递，而不在CE之间传递。这样用户就不需要发什么精力维护自己的VPN。BGP/MPLSIPVPN也属于服务商提供的VPN技术，对于服务商提供的VPN，IETF给其了一个术语叫ProviderProvisionedVPN，简称为PPVPN把VPN隧道的部署及路由发布变为动态实现，这样有利于VPN的规模扩大，可以很容易实现添加一个新的VPN或者是新的站点加入到一个现有的VPN中。支持地址重叠（不同VPN可以使用相同的地址空间）。在服务提供商的网络中，VPN的业务流使用标签交换转发而不是传统的路由转发。能够达到和用户租用专线一样的安全性。可以利用MPLS技术实现流量工程，支持用户的各种Qos需求。由于基于MPLS技术的VPN有其固有的优点是传统VPN技术无法比拟的，因此MPLSVPN技术是未来构建VPN的发展方向，会越来越受到客户和运营商的关注。',)