目前，随着网络技术的发展，网络规模的不断扩大，之前的局域网、因特网已不能满足社会发展的要求。随着广域网、城域网概念的提出，人们对 VPN （虚拟网络）技术的要求也日益提高。VPN（virtual private network），称为虚拟专用网，是指利用 IP基础设施来实现专用广域网专线的技术。传统 VPN （虚拟网络）由于配置复杂、维护困难，存在安全隐患等问题，难以满足网络发展的需求。而 MPLS VPN 因为种种优点受到运营商的青睐。目前国内三大运营商都通过城域网部署了大量的 MPLS VPN 业务，这是一种非常成熟的技术，对比其他 VPN （虚拟网络）业务，有建网成本低、安全性高、业务综合能力强等特点。

MPLS 名词解释为多协议标记交换，是一种能实现快速数据包交换和路由的技术。在传统的数据网络中，IP 报文转发根据目的地址分析报文、查找路由，计算下一跳接口地址进行转发。在 MPLS 网络中，报文的转发基于标签交换（label switch），根据标签转发表进行标签转发。MPLS 网络中只在入口节点 (PE 设备 ) 分析 IP 头并打上标签，中间节点（P 设备）使用标签交换，在出口节点（PE 设备）剥离标签，这样做的好处是降低成本，资源利用率、灵活性和扩展性、安全性高。MPLS 称为 2.5 层的技术，结合 2 层交换和 3 层路由的技术，仅仅在网络中运行 MPLS 协议是不行的，同时网络中还要运行BGP 协议来分发和传递路由，因此 MPLS VPN 技术通常也称为MPLS BGP VPN 技术。

有关 MPLS VPN 原理图如下 :企业通过运营商网络建设自己的私有网络，分公司与总公司之间通过运营商公有网络完成通信，企业间分属不同的的 VPN，彼此相互隔离。运营商设备为 PE 设备和 P 设备，企业设备为 CE 设备。运营商给总公司提供专线服务，并建立总公司与分公司的 MPLS-VPN。
  运营商要区分不同企业的路由。比 如 A 企 业 与 B 企 业 都 使 用10.0.0.0/8 地址段，对于运营商来说，要知道如何将用户路由正确传递给相应的对象，因此要保证用户 VPN路由的唯一性。PE 设备是通过 MPBGP 协议在城域网中传递用户 VPN路由，为保证每个用户的 VPN 路由唯 一 性，MPLS VPN 引 入 RD（Route Distinguisher，路 由 标 识 符 ）的概念。CE 设备将 IPv4 前缀发送给PE设备后PE设备打上RD值，IPv4 路由前缀前面加上 64bit 的 RD 后称为VPN-IPv4 地址簇。VPNv4 地址生成方式如下 ：VPNv4 地址 =RD+IPv4 地址。
  PE 设备接收到 VPNv4 地址簇后，要判断路由该被送入到哪个 VPN 实例。这里引入 RT（Route Target）的概念，当 PE 设备将 VPN 路由引入到 MP-BGP 后，将其携带一个 RT 值并送至远端 PE，远端 PE 根据 RT 值来决定送往哪个VPN instance。RT 是 BGP 的一个扩展团体属性，RT 值分为 Import（导入）和 Export（导出）。Export 的RT会 VPNv4 路由发布时携带，在接收端 PE 设备上比较 Export RT 值与自身所有 VRF 的Import RT 值，匹配则送往相应的 VPN 路由表。

数据由 CE 设备到 PE 设备使用的是 IP 转发 , 数据经过城域网时，因为 P 设备没有私网路由，因此没有办法使用 IP转发，这时就用到 MPLS 标签转发。IP 数据包由 CE 设备到达 PE 设备时，PE 设备会给私网路由打上两层标签 ：外层标签和内层标签。外层标签是由 MPLS LDP 协议为公网中的 IGP路由映射分发标签生成的，目的是建立 LSP（label switch path，标签转发路径）；内层标签是 MP-BGP 协议生成的，目的是出站 PE 通过内层标签知道该往哪个 VPN 转发数据。在MPLS 转发过程中，P 设备只处理外层标签的交换，不处理内层标签的交换。

田鑫，专业的企业组网服务商，致力于为企业提供企业组网（SD-WAN、MPLS、云互联），业务云化、数据中心、网络安全、行业IT解决方案等相关服务。