高手解说IP-VPN衔接模型和相应安全问题，关于许多朋友来说，IP-VPN 仍是一个很生疏的词语。它到底是干什么的，有什么效果呢？带着这些疑问，咱们来了解一下吧。

衔接模型

给出了MPLS/BGP VPN的衔接模型。从中能够看出，P路由器坐落MPLS网络的中心。 PE路由器将运用MPLS与中心MPLS网络通讯，一起运用IP路由技能来与CE路由器通讯。 P与PE路由器将运用IP路由协议（内部网关协议）来树立MPLS中心网络中的途径，而且运用LDP完结路由器之间的符号分发。

PE路由器运用多协议BGP4来完结彼此之间的通讯，完结符号交流和每一个IP-VPN战略。除非运用了途径映射标志（route reflector），不然PE 之间是BGP全网状衔接。特别地，中的PE处于同一自治域中，它们之间运用内部BGP （iBGP）协议。P路由器不运用BGP协议而且对VPN一窍不通，它们运用一般的MPLS协议与进程。

PE路由器能够经过IP路由协议与CE路由器交流IP途径，也能够运用静态途径。在CE与PE路由器之间运用一般的路由进程。CE路由器不用完结MPLS或对VPN有任何特别了解。PE路由器经过iBGP将用户途径分发到其他的PE路由器。为了完结途径分发，BGP运用IP-VPN地址（由RD和IPv4地址构成）。这样，不同的VPN能够运用堆叠的IPv4地址空间而不会产生IP-VPN地址重复的状况。

PE路由器将BGP核算得到的途径映射到它们的路由表中，以便把从CE路由器收到的分组转发到正确的LSP上。这一计划运用两级符号：内部符号用于PE路由器关于各个VPN的辨认，外部符号则为MPLS网络中的LSR所用——它们将运用这些符号把分组转发给正确的PE。

树立IP-VPN区域的操作

期望供给IP-VPN事务的网络供给者有必要依照衔接需求对网络进行规划与装备，这包括：PE有必要为其支撑的VPN以及与之相连的CE所属的VPN 进行装备；MPLS网络或者是一个途径映射标志中的PE路由器之间有必要进行对等关系的装备；为了与CE进行通讯，还有必要进行一般的路由协议装备；为了与MPLS中心网络进行通讯，还有必要进行一般的MPLS装备（如LDP、IGP）。别的，P路由器除了要求能够支撑MPLS之外，还要能够支撑IP-VPN。

IP-VPN成员资历和可抵达性信息的传达

PE路由器运用IP路由协议或者是静态途径的装备来交流路由信息，而且经过这一进程取得与之直接相连的用户网站IP地址前缀。PE路由器经过与其BGP对等实体交流IP-VPN地址前缀来取得抵达意图VPN站点的途径。

别的，PE路由器还要经过BGP与其PE路由器对等实体交流符号，以此确认PE路由器间衔接所运用的LSP。这些符号用作第二级符号，P 路由器看不到这些符号。PE路由器将为其支撑的每一个IP-VPN别离树立路由表和转宣布，与一个PE路由器相连的CE路由器则依据该衔接所运用的接口挑选适宜的路由表。

IP分组转发

PE之间的路由信息交流完结之后，每一个PE都将为每一个VPN树立一个转宣布，该转宣布将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。当收到发自CE路由器的IP分组时，PE路由器将在转宣布中查询该分组对应的IP-VPN。假如找到匹配的条目，路由器将履行以下操作：

假如下一跳是一个PE路由器，转发进程将首先把从路由表中得到的、该PE路由器所对应的符号（嵌套地道符号）推入符号栈；PE路由器把根本的符号推入分组，该符号用于把分组转发到抵达意图PE路由器的、根本网络LSP上的第一跳；带有两级符号的分组将被转发到根本网络LSP上的下一个LSR。

P路由器（LSR）运用顶层符号及其路由表对分组继续进行转发。当该分组抵达意图LER时，最外层的符号或许已产生屡次改动，而嵌套在内部的符号坚持不变。当PE收到分组时，它运用内部符号来辨认VPN。尔后， PE将查看与该VPN相关的路由表，以便决议对分组进行转发所要运用的接口。

假如在VPN路由表中找不到匹配的条目，PE路由器将查看Internet路由表（假如网络供给者具有这一才干）。假如找不到路由，相应分组将被丢掉。IP-VPN转宣布中包括VPNIP地址所对应的符号，这些符号能够把事务流路由至VPN中的每一个站点。

这一进程因为运用的是符号而不是IP 地址，所以在企业网中，用户能够运用自己的地址系统，这些地址在经过服务供给者网络进行事务传输时无需网络地址翻译（NAT）。经过为每一个VPN运用不同的逻辑转宣布，不同的VPN事务将能够被分隔。

运用BGP协议，交流机能够依据进口挑选一个特定的转宣布，该转宣布能够只列出一个VPN有用意图地址。为了树立企业的Extranet，服务供给者需要对VPN之间的可抵达性进行清晰指定(或许还需要进行NAT装备)。

IP-VPN安全

在服务供给者网络中，PE所运用的每一个分组都将与一个RD相关联，这样，用户无法将其事务流或者是分组悄悄送入另一个用户的IP-VPN。要注意的是，在用户数据分组中没有带着RD，只要当用户坐落正确的物理端口上或具有PE路由器中现已装备的、恰当的RD时，用户才干参加一个Intranet或 Extranet。这一树立进程能够确保不合法用户无法进入VPN，从而为用户供给与帧中继、租借线或ATM事务相同的安全等级。