前面幾篇文章我們學習了MPLS的標簽轉發原理，有靜態標簽分發和LDP動態標簽協議，可以實現LSR設備基于標簽實現數據高效轉發。現在開始學習MPLS在企業實際應用的場景-MPLS VPN。

一、MPLS VPN概念

MPLS（多協議標簽交換）位于TCP/IP協議棧中的數據鏈路層和網絡層之間，可以向所有網絡層提供服務，通過在數據鏈路層和網絡層之間增加額外的MPLS頭部，基于MPLS頭部實現數據快速轉發，簡單來說MPLS就是使得路由器可以在MPLS域內基于標簽實現快速轉發。

BGP/MPLS IP VPN網絡一般由運營商搭建，VPN用戶購買VPN服務來實現用戶網絡之間的路由傳遞、數據互通等。MPLS VPN使用BGP在運營商骨干網（IP網絡）上發布VPN路由，使用MPLS在運營商骨干網上轉發VPN報文。BGP/MPLS IP VPN又被簡稱為MPLS VPN、MV，是一種常見的L3VPN（Layer 3 VPN）技術。

簡單說就是基于BGP基礎的MPLS轉發。

1.1 MPLS 網絡架構

MPLS VPN網絡架構由三部分組成：CE（Customer Edge）、PE（Provider Edge） 和P（Provider），其中PE和P是運營商設備，CE是MPLS VPN用戶設備。站點（site）就是MPLS VPN的用戶，由CE和其他用戶設備構成。

CE：用戶網絡邊緣設備，有接口直接與運營商網絡相連。CE可以是路由器或交換機，也可以是一臺主機。通常情況下，CE"感知"不到VPN的存在，也不需要支持MPLS。

PE： 運營商邊緣路由器，是運營商網絡的邊緣設備，與CE直接相連。在MPLS網絡中，對VPN的所有處理都發生在PE上，對PE性能要求較高。

P： 運營商網絡中的骨干路由器，不與CE直接相連。P設備只需要具備基本MPLS轉發能力，不維護VPN相關信息。

MPLS VPN不是單一的一種VPN技術，是多種技術結合的綜合解決方案，主要包含下列技術：

• MP-BGP：負責在PE與PE之間傳遞站點內的路由信息。
• LDP：負責PE與PE之間的隧道建立
• VRF：負責PE的VPN用戶管理。
• 靜態路由、IGP、BGP：負責PE與CE之間的路由信息交換。

二、MPLS VPN常見組網

根據VPN用戶的需求不同，可采用以下幾種常見的組網方案：

• Intranet：一個VPN中的所有用戶形成閉合用戶群，同一VPN站點之間可以互訪，不同VPN站點間不能互訪。
• Extranet：適用于一個VPN用戶希望提供部分本VPN的站點資源給其他VPN的用戶訪問的場景。
• Hub&Spoke：如果希望在VPN中設置中心訪問控制設備，其它用戶的互訪都通過中心訪問控制設備進行，可采用Hub&Spoke組網方案。

通過MPLS VPN實現企業分支的互聯，依托于企業BGP網絡，通過結合VRF、LDP、BGP實現企業分支間的隔離和互聯。

對VPN客戶而言：
“感知”不到VPN的存在，不需要部署和維護VPN，降低企業運維難度和成本。
一般部署在運營商的MPLS VPN專網上，有一定的安全性保障。

對于運營商而言：
MPLS在無連接的IP網絡中增加了面向連接的控制平面，為IP網絡增添了管理和運營的手段。
支持地址空間重疊、支持重疊VPN、組網方式靈活、可擴展性好。
能夠方便地支持MPLS TE合理調控現有網絡資源，最大限度的節省運營商成本。