實例講解IP-VPN區域的建立步驟，IP-VPN最近出現了很多漏洞，安全專家Alan Rateliff日前表示：官方已經發布了相應補丁，安全漏洞得到了很好的解決。

從概念上講，IP-VPN是運營商(即服務提供者)支持企業用戶應用的方案。一個通用的方法可以適用于由一個運營商來支持的、涉及其他運營商網絡的情況（如運營商的運營商）。給出了實現IP-VPN的一個通用方案。其中，CE路由器是用于將一個用戶站點接入服務提供者網絡的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務提供者的邊緣路由器。

站點是指這樣一組網絡或子網，它們是用戶網絡的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點，一個站點可以同時位于不同的幾個VPN之中。

顯示了一個服務提供者網絡支持多個IP-VPN的情況。如所示，一個站點可以同時屬于多個IP-VPN。依據一定的策略，屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉發能力，也可以不提供這種能力。當一個站點同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。

MPLS為實現IP-VPN提供了一種靈活的、具有可擴展性的技術基礎，服務提供者可以根據其內部網絡以及用戶的特定需求來決定自己的網絡如何支持IP-VPN。所以，在MPLS/ATM網絡中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

IP-VPN方案一

本節介紹一種在公共網中使用MPLS提供IPVPN業務的方法。該方法使用LDP的一般操作方式，即拓撲驅動方式來實現基本的LSP建立過程，同時使用兩級LSP隧道(標記堆棧)來支持VPN的內部路由。給出了在MPLS/ATM核心網絡中提供IPVPN業務的一種由LER和LSR構成的網絡配置。

LER (標記邊緣路由器)

LER是MPLS的邊緣路由器，它位于MPLS/ATM服務提供者網絡的邊緣。 對于VPN用戶的IP業務量，LER將是VPN隧道的出口與入口節點。如果一個LER同時為多個用戶所共享，它還應當具有執行虛擬路由的能力。這就是說，它應當為自己服務的各個VPN分別建立一個轉發表，這是因為不同IP-VPN地址空間可能是有所重疊的。

LSR(標記交換路由器)

MPLS/ATM核心網絡是服務提供者的下層網絡，它為用戶的IP-VPN業務所共享。

建立IP-VPN區域的操作

希望提供IP-VPN的網絡提供者必須首先對MPLS域進行配置。這里的MPLS域指的就是IP-VPN域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓撲驅動方法來進行，這一過程被定義為使用基本標記的、基本的或是單級LSP建立。而對于IP-VPN內部路由，則將使用兩級LSP隧道（標記堆棧）。

IP-VPN成員

每一個LER都有一個任務，即發現在VPN區域中為同一IP-VPN服務的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道，所以 LER發現對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達其他 LER的每一條基本網絡LSP，向下游發送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標記，以方便這些消息能夠最終到達目的LER。

LDP Hello消息實際上是一種查詢消息，通過這一消息，發送方可以獲知在目的LER處是否存在與發送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關的兩個LER之間將開始發起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。

當TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個標記。如果LSP隧道是嵌套隧道，則該標記將被推入標記棧中，并被置于原有的標記之上。

VPN成員資格和可到達性信息的傳播

通過路由信息的交換，LER可以學習與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是為同一個VPN服務的。LER將與其所屬的VPN區域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。

VPN內的可到達性

最早在嵌套隧道中傳送的數據流是LER之間的路由信息。當一個LER被配置成一個IP-VPN的一員時，配置信息將包含它在VPN內部要使用的路由協議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內部路由方案中，每一次發現階段結束之后，每一個LER 都將發布通過它可以到達的、IP-VPN用戶的地址前綴。