mpls网络工作原理

MPLS VPN原则是什么？

MPLS-VPN是指采用MPLS(多协议标记转换)骨干宽带技术IP企业网络建设IP专殊网络，实现跨区域、安全、高速、可靠的数据、语音、图像多业务通信，结合不同服务、交通工程等相关技术，将公共网络的可靠性能、良好的可扩展性和丰富的功能与特殊网络的安全 、灵活性和高效性相结合。

Site:

Site指相互拥有IP连通组IP系统，这组IP系统的IP无需通过运营商网络实现连通性。

Site虽然在大多数情况下，根据设备的拓扑关系，而不是地理位置Site设备地理位置相邻。两组隔离地理位置IP这两组系统，如果使用专线互联，无需运营商网络即可互联IP还形成了一个系统Site。

一个Site中间的设备可属多个VPN，换句话说，一个Site可属多个VPN。

Site通过CE连接到运营商网络，一个Site可包含多个CE，但一个CE只属于一个Site。

根据Site建议CE设备选择方案如下：

如果Site只是一台主机，则这台主机就作为CE设备;

如果Site如果是单个子网，则使用交换机CE设备;

如果Site使用路由器作为多个子网CE设备。

连接到同一运营商网络的多个Site，它们可以通过制定策略分为不同的集合(set)，只属于同一集合Site只有通过运营商网络互访，这种集合就是VPN。

重叠地址空间：

VPN是不同的私有网络VPN独立管理自己的地址范围，也称为地址空间(address space)。不同VPN例如，地址空间可能在一定范围内重叠，VPN1和VPN2都使用10.110.10.0/24网段地址，地址空间重叠(address spaces overlapping)。

允许以下两种情况VPN使用重叠地址空间：

两个VPN没有共同的Site

两个VPN有共同的Site，但此Site中间的设备不同于两个VPN采用重叠地址空间的设备互访

VPN示例：

在BGP/MPLS IP VPN中，不同VPN路由隔离通过VPN实例(VPN-instance)实现。

PE直接连接每一个Site专门的建立和维护VPN实例，VPN例子包含在实例中Site的VPN成员关系和路由规则。具体来说，VPN实例中的信息包括：IP转发路由表、标签、和VPN以及实例绑定的接口VPN实例管理信息。VPN实例管理信息包括RD(Route Distinguisher，路由标识符)、路由过滤策略、成员接口列表等。

VPN、Site、VPN例子之间的关系如下：

VPN是多个Site组合Site可属多个VPN。

每一个Site在PE上都关联一个VPN实例。VPN实例结合了它的相关性Site的VPN成员关系和路由规则Site根据VPN例子的规则组合成一个VPN。

VPN实例与VPN不是一一对应的关系，VPN实例与Site有一对一的关系。

VPN实例也称为VPN路由转发表VRF(VPN Routing and Forwarding table)。PE有多个路由转发表，包括一个公网路由转发表和一个或多个VPN转发路由。

公网路由转发和发布VPN实例如下：

包括所有公网路由表PE和P设备的IPv4路由，由骨干网路由协议或静态路由产生。

VPN路由表包括它VPN实例的所有Site的路由，通过CE与PE两个或两个PE之间的VPN获取路由信息交互。

公网转发表是根据路由管理策略从公网路由表提取出来的转发信息;而VPN转发是根据路由管理策略从对应的VPN从路由表中提取的转发信息。

可以看出，PE上的各VPN例子相互独立，与公网路由转发相互独立。

可以将每个VPN实例看作一台虚拟的设备，维护独立的地址空间并有连接到私网的接口。