VPN运作方式概述

在MPLS_VPN中，服务供应商业为每个VPN分配一个独有的标识符，称为路由区分符（RD），在服务供应商网络中每一个Intranet或Extranet的区分符都不同。转发表包含独有的地址、称为VPN-IP地址，由RD和用户的IP地址构成。VPN_IP地址是网络中每一个端点所独有的，条目存储在VPN中每一个节点的转发表中。

BGP是一个路由选择分配协议，它定义谁可以与使用多协议分支（multiprotocol_extensions）和群体属性（Community_attributes）的人对话。在MPLS的VPN中，BGP只向同一个VPN中的成员发布有关VPN的信息，通过业务分离来提供本机安全性。由于所有的业务都使用LSP进行传输，从而确保了额外的安全性。LSP定义了一个特定的通道穿过网络，这个通道是不可更改的。这种基于标记的模式保证了帧中继和ATM连接中的私密性。

当提供VPN时，服务供应商而非客户将特定的VPN与每一个接口连接。在服务供应商网络中，RD与每个数据包连接，这样，VPN就不会被非法者渗透“偷窃”数据流或数据包。用户只要位于正确的物理端口上，有相应的RD就可以加入Intranet或Extranet中。这种设置使Cisco的MPLS_VPN基本上不可能被突破，因而可提供人们在帧中继、租赁线路或ATM业务中所习惯的相同级别的安全性。

VPN_IP转发表包含与VPN_IP地址上对应的标记，这些标记将应用业务路由到VPN中的每一个站点。由于使用标记而不是IP地址，因些，用户可以在企业Internet中保留他们的专用编址方案，而不需要进行网络地址转换（NAT）。每一个VPN应用在逻辑上都拥有区分的转发表，以在VPN之间分离业务。根据呼入的接口，交换机选择一个特定的转发表，由于有BGP，这个表只列出VPN中的有效的目的地。若要建立一个Extranet,服务供应商则需要在VPN之间清晰地配置延及的范围（可能需要NAT配置）

工作流程

(1)用户端的路由器(CE)首先通过静态路由或BGP将用户网络中的路由信息通知提供商路由器(PE)，同时在PE之间采用BGP的Extension传送VPN-IP的信息以及相应的标记(VPN的标记，以下简称为内层标记)，而在PE与P路由器之间则采用传统的IGP协议相互学习路由信息，采用LDP协议进行路由信息与标记(骨干网络中的标记，以下称为外层标记)的梆定。到此时，CE，PE以及P路由器中基本的网络拓扑以及路由信息已经形成。PE路由器拥有了骨干网络的路由信息以及每一个VPN的路由信息。

(2)当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口上可以识别出该CE属于那一个VPN，进而到该VPN的路由表中去读取下一跳的地址信息，同时，在前传的数据包中打上VPN标记(内层标记)。这时得到的下一跳地址为与该PE作Peer的PE的地址，为了达到这个目的端的PE，此时在起始端PE中需读取骨干网络的路由信息，从而得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上骨干网络中的标记(外层标记)。

(3)在骨干网络中，初始PE之后的P均只读取外层标记的信息来决定下一跳，因此骨干网络中只是简单的标记交换。

(4)在达到目的端PE之前的最后一个P路由器时，将外层标记去掉，读取内层标记，找到VPN，并送到相关的接口上，进而将数据传送到VPN的目的地址处。