BGP MPLS VPN技术白皮书.doc

前言摘要本文主要介绍了 BGP MPLS(Multiprotocol Label Switching)VPN 的技术体系, 包括 MPLS 的一些基本概念组网模式以及锐捷网络 BGP MPLS VPN 技术的实现关键词 MPLS VPN RD RT PE CE MP-BGP 缩略语清单缩略语英文全名中文解释 VPN Virtual Private Network 虚拟专网 CE Customer Edge Router 用户端设备 PE Provider Edge Router 运营商边缘设备 P Provider Router 运营商设备 MP-BGP Multiprotocol BGP 多协议 BGP RD Route Distinguisher 路由区分符 RT Route Target 路由标示

目录 1 概述...1 1.1 MPL VPN 技术背景...1 1.2 VPN 定义...1 1.3 BGP/MPLS VPN...1 2 BGP/MPLS VPN 架构...3 2.1 术语...3 2.2 组成原理...4 3 BGP MPLS/VPN 原理...5 3.1 VRF-VPN 路由转发实例 (VPN Routing & Forwarding Instance)...5 3.2 VRF 的路由分发...6 3.3 RD-- 路由标识 (Route Distinguisher) 与 VPN-IPv4 地址...6 3.4 BGP 扩展与 Route Target 属性...7 3.5 私网标签...10 3.6 BGP 发布路由时需要携带的信息...10 4 BGP MPLS/VPN 路由分发报文转发机制...12 4.1 CE 与 PE 之间的路由交换...12 4.2 PE 与 PE 之间的路由交换...12 4.3 PE 与 CE 之间的路由交换...13 4.4 MPLS/VPN 报文转发...14 5 锐捷网络 BGP MPLS VPN 实现...15 5.1 组网需求...15 5.2 组网拓扑...15 5.3 配置步骤...15 6 BGP/MPLS IP VPN 标准体系发展...19

1 概述 1.1 MPL VPN 技术背景 VPN(Virtual Private Network) 的概念最早是从专线引发的先举一个例子说明为什么需要 VPN, 例如一个公司在全国各地都有分公司, 那么通常它必须租用专线实现企业内部的互联网络, 这种方式需要在两地或多个地点之间租用长途线路, 不论是否有数据传输这条长途线路都固定分配, 用户付出的代价很高专线网络具有以下特点 : 1. 安全性高, 线路为用户专用, 不同用户间是物理隔离的 ; 2. 价格昂贵 ; 3. 带宽浪费严重 ; 由于专线网络具有的一些固有缺陷,VPN 的目的就是通过公用网络将异地的网点互联实现一个私有网就像用专线联接起来的一样其实现的方式就是在公网上建立某种形式的链路作为 IP 的隧道进行异地网点互联在公网上实现 VPN, 用户只需要付出到网络服务提供商的本地线路费用, 并且在没有数据传输时可以断开连接进一步节省了开销 1.2 VPN 定义顾名思义, 虚拟专用网 (Virtual Private Network) 不是真的专用网络, 但却能够实现专用网络的功能所谓虚拟, 是指用户不再需要拥有实际的长途数据线路, 而是使用服务提供商现成网络的数据线路 ( 通过使用隧道技术 ) 所谓专用网络, 是指用户可以为自己制定一个最符合自己需求的网络, 就像是私有的网络一样 1.3 BGP/MPLS VPN 我们知道实现 VPN 的方式有很多种, 例如有基于第二层隧道协议 (L2TP) 的 VPN, 也有基于第三层隧道协议 ( 如 IPSec) 的 VPN 而 BGP/MPLS IP VPN 是另外一种实现 VPN 的方式, 可以说它是一种介于第二层和第三层隧道协议的 VPN, 这主要是由 MPLS 决定的既然是 VPN 其所完成的功能以及达到的目的和传统的 VPN 是一样的, 只是基于 MPLS 的 IP VPN 和传统的 IP VPN 相比有很多优势如对于 VPN 用户而言, 它可以大大简化用户的管理 1

工作量, 不再需要使用专门的 VPN 设备 ( 如 VPN 拨入服务器 ) 只需要使用传统的路由器就可以构建 VPN 对于运营商而言, 采用 MPLS VPN 很容易实现 VPN 的扩展, 同时给运营商带来更大的商机这里解释一下为什么是叫 BGP/MPLS VPN 呢? 这是因为 MPLS 应用于 Layer 3 的 VPN 中要使用 BGP 作为 MPLS 的标签分发协议, 就好比 MPLS 应用于 IP 单播转发中必须使用 LDP 作为其标签分发协议, 使用 BGP 协议在服务提供商网络的 PE 之间交换 VPN 路由以及绑定的标签 2

2 BGP/MPLS VPN 架构图 2-1 在 MPLS VPN 的连接模型中, 网络由运营商的骨干网与用户的各个 Site 组成, 所谓 VPN 就是对 site 集合的划分, 一个 VPN 就对应一个由若干 site 组成的集合 2.1 术语先引入几个概念 : CE(Custom Edge): 用户 Site 中直接与服务提供商相连的边缘设备, 一般是路由器 PE(Provider Edge): 骨干网中的边缘设备, 它直接与用户的 CE 相连 P 路由器 (Provider Router): 骨干网中不与 CE 直接相连的设备 VPN Site:VPN 用户的站点, 是 VPN 中的一个孤立的 IP 网络, 该网络内部本身是 IP 互联的, 但是和其它站点 ( 或者是子网 ) 一般来说不通过骨干网不具有连通性公司总部, 分支机构都是 site 的具体例子 CE 通常是 VPN Site 中的一个路由器或三层交换设备甚至是一个主机一个 CE 设备总是被认为处于一个单独的站点, 但是一个站点可以同时属于多个 VPN VRF: 每个 PE 都维护和管理一系列的转发表, 其中一个转发表叫做缺省的转发表或者叫全局转发表 ; 其它的转发表叫 VPN 路由转发表 (VPN Routing and Forwarding tables) 如果一个报文通过 AC 到达 PE, 该 AC 没有同任何 VRF 关联的话, 那么将使用全局的路由表为该报文的目的地址查找路由可以简单的理解为, 全局的转发表存放的是公网的路由 ( 保证 SP 网络中本身 PE 和 PE,PE 和 P 之间能够互通 ), VRF 存储的是 VPN 站点的私有路由 3

2.2 组成原理 1. MPLS VPN 的网络构造由服务提供商来完成在这种网络构造中, 由服务提供商向用户提供 VPN 服务, 用户感觉不到公共网络的存在, 就好像拥有独立的网络资源一样 2. 同样对于服务提供商骨干网络内部的 P 路由器, 也就是不与 CE 直接相连的路由器而言, 也不知道有 VPN 的存在, 仅仅负责骨干网内部的数据传输但其必须能够支持 MPLS 协议, 并使能该协议 3. 所有的 VPN 的构建连接和管理工作都是在 PE 上进行的 PE 位于服务提供商网络的边缘, 从 PE 的角度来看, 用户的一个连通的 IP 系统被视为一个 site, 每一个 site 通过 CE 与 PE 相连,site 是构成 VPN 的基本单元 4. 一个 VPN 是由多个 site 组成的, 一个 site 也可以同时属于不同的 VPN 属于同一个 VPN 的两个 site 通过服务提供商的公共网络相连,VPN 数据在公共网络上传播, 必须要保证数据传输的私有性和安全性也就是说, 从属于某个 VPN 的 site 发送出来的报文只能转发到同样属于这个 VPN 的 site 里去, 而不能被转发到其他 site 中去 5. 同时, 任何两个没有共同的 site 的 VPN 都可以使用重叠的地址空间, 即在用户的私有网络中使用自己独立的地址空间, 而不用考虑是否与其他 VPN 或公网的地址空间冲突所有这些就都需要依赖于 VRF(VPN Routing & Forwarding Instance) 4

3 BGP MPLS/VPN 原理在一个 MPLS VPN 网络中, 需要解决以下三个问题 : 1. 本地路由冲突问题, 即 : 在同一台 PE 上如何区分不同 VPN 的相同路由 2. 路由在网络中的传播问题, 两条相同的路由, 都在网络中传播, 对于接收者如何分辨彼此? 3. 报文的转发问题, 即使成功的解决了路由表的冲突, 但是当 PE 接收到一个 IP 报文时, 他又如何能够知道该发给那个 VPN? 因为 IP 报文头中唯一可用的信息就是目的地址而很多 VPN 中都可能存在这个地址 3.1 VRF-VPN 路由转发实例 (VPN Routing & Forwarding Instance) 其实解决地址冲突的问题, 也存在一些方法 : 使用 ACL IP unnumber NAT 但这些办法都是基于打补丁的思想, 没能从本质上解决问题要想彻底解决, 必须在理论上有所突破可以从专用 PE 上得到启示专用路由器方式分工明确, 每个 PE 只保留自己 VPN 的路由 P 只保留公网路由而现在的思路是 : 将这些所有设备的功能, 和在一台 PE 上完成图 3-1 每一个 VRF 可以看作虚拟的路由器, 好像是一台专用的 PE 设备该虚拟路由器包括如下元素 : 一张独立的路由表, 当然也包括了独立的地址空间一组归属于这个 VRF 的接口的集合 5

一组只用于本 VRF 的路由协议对于每个 PE, 可以维护一个或多个 VRF, 同时维护一个公网的路由表 ( 也叫全局路由表 ), 多个 VRF 实例相互分离独立其实实现 VRF 并不困难, 关键在于如何在 PE 上使用特定的策略规则来协调各 VRF 和全局路由表之间的关系 3.2 VRF 的路由分发图 3-2 像图中所示, 属于一个 VPN 的 site 可能分别连接到不同的 PE 上为了保证 VPN 的连通性, 我们必须在 PE 之间交换 VPN 路由信息 VPN 路由拥有自己独立的地址空间, 这种路由在服务提供商的公共网络中传递不能采用普通地址结构, 否则会因为地址空间的重叠导致路由表的混乱, 而是通过 RD 与 IP 地址一起构成唯一的 VPN-IPV4 地址结构来传递同时在 PE 之间也不能采用普通的路由协议, 而是通过对 BGP 作一定的扩展, 使用多协议 BGP(MultiProtocol BGP) 来交换 VPN 信息这些在下一部份将会讲到 3.3 RD-- 路由标识 (Route Distinguisher) 与 VPN-IPv4 地址在前面提到过,PE 之间通过公共网络交换 VPN 路由, 不能采用普通的地址结构和路由协议因此, 首先引入 RD(Route Distinguisher) 的概念 RD 来标示每个 VRF RD 与 VRF 是一一对应的, 每一个 VRF 都有自己的 RD,RD 在骨干网中保持唯一性, 是 Site 的标识 6

PE 路由器之间使用 BGP 来发布 VPN 路由标准 BGP 对每个 IP 前缀只能安装和发布一个路由由于每个 VPN 有自己的地址空间, 意味着同样的 IP 地址会被任意数目的 VPN 所使用, 在每个 VPN 中这个地址表示一个不同的系统这样就需要允许 BGP 对每个 VPN 的相同的 IP 前缀可以安装和发布多个路由, 同时, 要使用特定的策略来决定哪一条路由被哪个 site 所使用为此, 多协议 BGP 使用了新的地址族 --VPN-v4 地址图 3-3 一个 VPN-v4 地址有 12 个字节, 开始是 8 字节的 RD, 接下去是 4 字节的 IP 地址如果两个 VPN 使用相同的 IP 地址,PE 路由器为它们添加不同的 RD, 转换成唯一的 VPN-v4 地址, 不会造成地址空间的冲突使用 VPN-v4 地址解决了 VPN 路由在公共网络中传递时的地址空间冲突问题, 但由于这已经不再是原有的 IP 地址族的地址结构, 不能被普通的路由协议所承载, 同时, 每一个用户网络都是独立的系统, 它们之间经过服务提供商的路由信息传递使用 IGP 协议显然是不适合的, 于是我们需要将 BGP 协议作一定的扩展, 用它来承载新的 VPN-v4 地址族路由, 同时传递附加在路由上的 Route Target 属性通过 RD 与 VPN-IPv4 地址, 解决了路由在网络中的传播, 两条相同的路由, 都在网络中传播, 对于接收者如何分辨彼此问题 3.4 BGP 扩展与 Route Target 属性 PE 之间交换 VPN 信息, 在 BGP 的 UPDATE 报文中承载 VPN-v4 地址族路由, 这就是对 BGP 进行了扩展的 MBGP( 多协议 BGP) MBGP 不仅能承载 IPv4 路由, 而且能承载 VPN,IPv6, 多播等路由 MBGP 有两个主要的工作, 为路由指定特定网络层协议的下一跳和 NLRI( 网络层可达信息 ) 7

图 3-4 BGP 扩展团体属性是对团体属性做了扩展, 增大了值域, 并规定了内部结构扩展团体属性是一个过渡可选属性, 它由一个扩展团体的集合组成, 每个扩展团体是 8 字节的数 Route Target 属性是由 BGP 的扩展团体属性来表示的 Route Target 属性 VPN 的成员关系是通过路由所携带的 route target 属性来获得的 PE 中每个 Site 的路由表中的路由项可以有一或多个 Route Target 属性它表示了该路由可以被哪些 site 所接收, 接收哪些 site 的传送来的路由一个具有这种属性的路由必须发送给所有在 Route Target 中指明的 site 所连接的 PE 路由器, PE 接收到包含此属性的路由后, 若此属性指明的 site 同己一致, 则加入到相应的路由表中 RT 的本质是每个 VRF 表达自己的路由取舍及喜好的方式可以分为两部分 :Export Target 与 import Target; 前者表示了我发出的路由的属性, 而后者表示了我对那些路由感兴趣例如 : SITE-A: 我发的路由是红色的, 我也只接收红色的路由 SITE-B: 我发的路由是红色的, 我也只接收红色的路由 SITE-C: 我发的路由是黑色的, 我也只接收黑色的路由 SITE-D: 我发的路由是黑色的, 我也只接收黑色的路由这样,SITE-A 与 SITE-B 中就只有自己和对方的路由, 两者实现了互访同理 SITE-C 与 SITE-D 也一样这时我们就可以把 SITE-A 与 SITE-B 称为 VPN-A, 而把 SITE-C 与 SITE-D 称为 VPN-B, 如下图 : 8

图 3-5 对一个 PE, 有一个 Route Target 属性的集合用于附加到从某个 site 接收的路由上, 称为 Export Route Target, 另一个 Route Target 属性的集合用于决定哪些路由可以引入到此 site 的路由表中, 称为 Import Route Target 它们是不同的集合这两个集合的组合可以构造任何拓扑类型的 VPN 在 PE 上, 每个 VRF 都有一个 Import Route Target 列表, 只有当路由的 Export Route Target 与 VRF 的 Import Route Target 列表相匹配, 路由才会被引入到该 VRF 的路由表中 RT 的灵活应用由于每个 RT Export Target 与 import Target 都可以配置多个属性, 例如 : 我对红色或者蓝色的路由都感兴趣接收时是或操作, 红色的蓝色的以及同时具备两种颜色的路由都会被接受所以就可以实现非常灵活的 VPN 访问控制 9

图 3-6 3.5 私网标签至此, 前两个问题 : 在 PE 本地的路由冲突和网络传播过程的冲突都已解决但是如果一个 PE 的两个本地 VRF 同时存在 10.0.0.0/24 的路由, 当他接收到一个目的地址为 10.0.0.1 的报文时, 他如何知道该把这个报文发给与哪个 VRF 相连的 CE? 肯定还需要在被转发的报文中增加一些信息路由发布时已经携带了 RD, 理论上可以使用 RD 作为标识呢, 但是 RD 一共有 64 个 bit, 太大了这会导致转发效率的降低所以只需要一个短小定长的标记即可由于公网的隧道已经由 MPLS 来提供, 而且 MPLS 支持多层标签的嵌套, 这个标记定义成 MPLS 标签的格式这个私网的标签就由 MP-BGP 来分配, 与私网的路由一同发布出去 3.6 BGP 发布路由时需要携带的信息一个扩展之后的 NLRI(Network Layer Reachability Information), 增加了地址族的描述, 以及私网 label 和 RD 10

跟随之后的是 RT 的列表对于使用了扩展属性 MP_REACH_NLRI 的 BGP, 我们称之为 MP-BGP 11

4 BGP MPLS/VPN 路由分发报文转发机制在 MPLS VPN 中, 因为采用了两层标签栈结构, 所以 P 并不参与 VPN 路由信息的交互,VPN 站点内部是通过 CE 与 PE PE 与 PE 之间的路由交互知道属于某个 VPN 的网络拓扑信息具体可以归纳为如下 3 个步骤 : 1. CE 与 PE 之间的路由交换 2. PE 与 PE 之间的路由交换 3. PE 与 CE 之间的路由交换 4.1 CE 与 PE 之间的路由交换在 PE 上为不同的 VPN 站点配置 VRF PE 上维护多个独立的路由表, 包括公网和私网路由表 (VRF), 其中 : 1. 公网路由表 : 包含到达其他 PE 和 P 的路由, 由骨干网的 IGP 产生 2. 私网路由表 : 包含本 VPN 可到达的路由 ( 即属于该 VPN 的不同站点之间的路由 ) 图 4-1 CE 与 PE 之间通过采用静态路由动态路由协议 ( 如 OSPF,RIP ) 进行路由信息的交互当 Ingress PE 从某个接口接收到来自 CE 的路由信息时, 将该路由导入对应的 VRF 4.2 PE 与 PE 之间的路由交换 PE 与 PE 之间的路由交换本质上就是将 PE 上得 VRF 路由注入到 MP-IBGP 并通过 MP-IBGP 12

在 PE 间交换的过程图 4-2 PE 通过维持 IBGP 确保路由信息被分发给所有其它的 PE 当 Ingress PE 分发路由信息时, 将同时携带路由所在 VRF 的 RD, 即将路由的 IPv4 地址前缀转化为 VPN-IPv4 地址分发的具体路由信息 (VPN-IPv4 路由信息 ) 包括 : 该路由的 VPN-IPv4 地址前缀下一跳地址即 Ingress PE 的 VPN-IPv4 地址 ( 通常是 PE 上的 Loopback 接口地址, 其 RD=0) 分配给该路由的 VPN 标签 ( 用来标识属于哪个 VPN 或者说是哪个 VRF) 该路由所在 VRF 的 Export RT 4.3 PE 与 CE 之间的路由交换 PE 与 CE 之间的路由交换即为 MP-IBGP 把路由注入到 PE 上的 VRF 然后通过 PE 与 CE 上运行的路由协议再分发给 CE 的过程 13

图 4-3 当 Egress PE 收到路由信息时, 将查看该路由的 RT, 如果 RT 和其任意 VRF 中任意一个 Import RT 相符时, 就将该路由存入 VPN-IPv4 的路由表在进行路由选择之后, 将最优路由中的 VPN-IPv4 地址转化成 IPv4 地址 ( 即去掉地址中的 RD) 导入到相应的 VRF, 私网标签保留, 记录到转发表中, 留做转发时使用再由本 VRF 的路由协议引入并传递给相应的 CE 发给 CE 时下一跳为接收端 PE 自己的接口地址这样就完成了从 MP-IBGP 路由注入到 VRF 的过程 4.4 MPLS/VPN 报文转发图 4-4 在 MPLS VPN 中, 属于同一的 VPN 的两个 Site 之间转发报文使用两层标签来解决, 在入口 PE 上为报文打上两层标签, 第一层 ( 外层 ) 标签在骨干网内部进行交换, 代表了从 PE 到对端 PE 的一条隧道,VPN 报文打上这层标签, 就可以沿着 LSP 到达对端 PE, 这时候就需要使用第二层 ( 内层 ) 标签, 这层标签指示了报文应该到达哪个 site, 或者更具体一些, 到达哪一个 CE, 这样, 根据内层标签, 就可以找到转发的接口可以认为, 内层标签代表了通过骨干网相连的两个 CE 之间的一个隧道 14

5 锐捷网络 BGP MPLS VPN 实现 5.1 组网需求要求 : 有两个 VPN 用户,VPNA 和 VPNB VPNA 在福州和上海有自己的站点,VPNB 在北京和上海有自己的站点, 现在要 VPNA 内的用户可以访问自己福州和上海的资源,VPNB 内的用户可以访问自己北京和上海的资源, 两个 VPN 之间不能互相访问 5.2 组网拓扑图 5-1 5.3 配置步骤 1. 配置 PE 以 PE_SH 为例 : 15

配置 VRF 在 PE_SH 上定义两个 VRF,VRFA_SH 和 VRFB_SH, 分别为这两个 VRF 定义 R 值和 RT 值, 并把 VRF 和对应的接口关联起来 # 定义 VRF ip vrf VRFA_SH rd 1:100 route-target both 1:100! ip vrf VRFB_SH rd 1:200 route-target both 1:200 # 把 VRF 和接口关联起来 interface Ethernet 1/0 ip vrf forwarding VRFA_SH ip address 192.168.16.2 255.255.255.0! interface Ethernet 1/2 ip vrf forwarding VRFB_SH ip address 173.154.23.2 255.255.255.0 配置 BGP 协议 # 配置 PE 对等体 router bgp 1 neighbor 10.10.10.10 remote-as 1 neighbor 10.10.10.10 update-source loopback 0! neighbor 20.20.20.20 remote-as 1 neighbor 20.20.20.20 update-source loopback 0! address-family vpnv4 unicast neighbor 10.10.10.10 activate neighbor 20.20.20.20 activate exit-address-family # 通过 EBGP 配置 CE 对等体 address-family ipv4 vrf VRFA_SH neighbor 192.168.16.1 remote-as 65003 neighbor 192.168.16.1 update-source eth1/0 exit-address-family! 16

address-family ipv4 vrf VRFB_SH neighbor 173.154.23.1 remote-as 65002 neighbor 173.154.23.1 update-source eth1/2 exit-address-family 配置骨干网路由协议 # 骨干网运行 OSPF 传递路由信息 router ospf 10 network 10.25.12.0 0.0.0.255 area 0 network 10.10.10.10 0.0.0.0 area 0 # 配置 MPLS mpls router ldp interface Ethernet 1/1 ip address 211.139.54.96 255.255.255.0 label-switching mpls ip 在 PE_FZ 和 PE_BJ 配置过程和上面类似 2. 配置 CE 以 VPNB_SH 为例 : 配置 BGP # 配置 PE 对等体 router bgp 65002 neighbor 173.254.23.2 remote-as 1 neighbor 173.254.23.2 update-source eth1/0 redistribute ospf VPNA_SH VPNA_FZ 和 VPNB_BJ 的上 CE 的配置和 VPNB_SH 类似 3. 配置 P 以 P1 为例 : # 配置 OSPF router ospf 10 network 10.25.12.0 0.0.0.255 area 0 network 10.78.36.0 0.0.0.255 area 0 # 配置 MPLS 17

mpls router ldp interface Ethernet1/0 ip address 10.25.12.24 255.255.255.0 label-switching mpls ip interface Ethernet1/1 ip address 10.78.36.63 255.255.255.0 label-switching mpls ip P2 上的配置和 P1 类似 18

6 BGP/MPLS IP VPN 标准体系发展 IETF 已经在 2004 年成立了 L3VPN 的工作组专门研究 L3VPN 的技术和应用, 这里主要讲与 BGP/MPLS VPN 最直接相关的 RFC,BGP/MPLS IP VPN 的技术最早由 IETF 在 1999 年在 RFC 2547 提出, 后来出了一个修订版叫 RFC2547bis, 现有的网络设备提供商实现的 BGP/MPLS VPN 都是根据 RFC2547bis 实现的随着该技术被各个网络设备厂商支持并应用, 该技术已经被实践证明比较成熟 2006 年 IETF 根据这些年在应用过程中的实践总结进一步完善了该技术, 重新发布了 RFC4364 并声明废弃了 RFC2547 RFC4364 里面详细阐述了 BGP/MPLS IP VPNs 的架构技术实现和部署另外由于 BGP/MPLS IP VPNs 的技术实现需求, 对 BGP 协议的特性进行了大量的扩展, 主要包括 : RFC2858 Multiprotocol Extensions for BGP-4 支持多协议扩展的 BGP draft-ietf-idr-as4bytes AS 号由原来的 2 字节变为 4 字节的处理 RFC1997 BGP Communities Attribute BGP 的团体属性 RFC2918 Route Refresh Capability for BGP-4 BGP 的刷新机制 draft-ietf-idr-route-filter Cooperative Route Filtering Capability for BGP-4 BGP 的 ORF 机制 RFC2796 BGP Route Reflection BGP 的路由反射器实现 RFC3107 Carrying Label Information in BGP-4 如何在 BGP 中携带 MPLS 标签 RFC4360 BGP Extended Communities Attribute BGP 的扩展团体属性使用 BGP/MPLS 实现的 Layer3 VPN 主要有如下特点 : VPN 的隧道是在网络服务提供商的 PE 上建立的, 而不是在用户的 CE 之间建立的 VPN 的路由也是在 PE 和 PE 之间传递, 而不在 CE 之间传递这样用户就不需要发什么精力维护自己的 VPN BGP/MPLS IP VPN 也属于服务商提供的 VPN 技术, 对于服务商提供的 VPN,IETF 给其了一个术语叫 Provider Provisioned VPN, 简称为 PPVPN 把 VPN 隧道的部署及路由发布变为动态实现, 这样有利于 VPN 的规模扩大, 可以很容易实现添加一个新的 VPN 或者是新的站点加入到一个现有的 VPN 中支持地址重叠 ( 不同 VPN 可以使用相同的地址空间 ) 在服务提供商的网络中,VPN 的业务流使用标签交换转发而不是传统的路由转发能够达到和用户租用专线一样的安全性可以利用 MPLS 技术实现流量工程, 支持用户的各种 Qos 需求由于基于 MPLS 技术的 VPN 有其固有的优点是传统 VPN 技术无法比拟的, 因此 MPLS VPN 技术是未来构建 VPN 的发展方向, 会越来越受到客户和运营商的关注 19