高手講解IP-VPN連接模型和相應安全問題，對于很多朋友來說，IP-VPN 還是一個很陌生的詞語。它到底是干什么的，有什么作用呢？帶著這些疑問，我們來了解一下吧。

連接模型

給出了MPLS/BGP VPN的連接模型。從中可以看出，P路由器位于MPLS網絡的核心。 PE路由器將使用MPLS與核心MPLS網絡通信，同時使用IP路由技術來與CE路由器通信。 P與PE路由器將使用IP路由協議（內部網關協議）來建立MPLS核心網絡中的路徑，并且使用LDP實現路由器之間的標記分發。

PE路由器使用多協議BGP4來實現彼此之間的通信，完成標記交換和每一個IP-VPN策略。除非使用了路徑映射標志（route reflector），否則PE 之間是BGP全網狀連接。特別地，中的PE處于同一自治域中，它們之間使用內部BGP （iBGP）協議。P路由器不使用BGP協議而且對VPN一無所知，它們使用普通的MPLS協議與進程。

PE路由器可以通過IP路由協議與CE路由器交換IP路徑，也可以使用靜態路徑。在CE與PE路由器之間使用普通的路由進程。CE路由器不必實現MPLS或對VPN有任何特別了解。PE路由器通過iBGP將用戶路徑分發到其他的PE路由器。為了實現路徑分發，BGP使用IP-VPN地址（由RD和IPv4地址構成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發生IP-VPN地址重復的情況。

PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉發到正確的LSP上。這一方案使用兩級標記：內部標記用于PE路由器對于各個VPN的識別，外部標記則為MPLS網絡中的LSR所用——它們將使用這些標記把分組轉發給正確的PE。

建立IP-VPN區域的操作

希望提供IP-VPN業務的網絡提供者必須按照連接需求對網絡進行設計與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進行配置；MPLS網絡或者是一個路徑映射標志中的PE路由器之間必須進行對等關系的配置；為了與CE進行通信，還必須進行普通的路由協議配置；為了與MPLS核心網絡進行通信，還必須進行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持IP-VPN。

IP-VPN成員資格和可到達性信息的傳播

PE路由器使用IP路由協議或者是靜態路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網站IP地址前綴。PE路由器通過與其BGP對等實體交換IP-VPN地址前綴來獲得到達目的VPN站點的路徑。

另外，PE路由器還要通過BGP與其PE路由器對等實體交換標記，以此確定PE路由器間連接所使用的LSP。這些標記用作第二級標記，P 路由器看不到這些標記。PE路由器將為其支持的每一個IP-VPN分別建立路由表和轉發表，與一個PE路由器相連的CE路由器則根據該連接所使用的接口選擇合適的路由表。

IP分組轉發

PE之間的路由信息交換完成之后，每一個PE都將為每一個VPN建立一個轉發表，該轉發表將把VPN用戶的特定地址前綴與下一跳PE路由器聯系起來。當收到發自CE路由器的IP分組時，PE路由器將在轉發表中查詢該分組對應的IP-VPN。如果找到匹配的條目，路由器將執行以下操作：

如果下一跳是一個PE路由器，轉發進程將首先把從路由表中得到的、該PE路由器所對應的標記（嵌套隧道標記）推入標記棧；PE路由器把基本的標記推入分組，該標記用于把分組轉發到到達目的PE路由器的、基本網絡LSP上的第一跳；帶有兩級標記的分組將被轉發到基本網絡LSP上的下一個LSR。

P路由器（LSR）使用頂層標記及其路由表對分組繼續進行轉發。當該分組到達目的LER時，最外層的標記可能已發生多次改變，而嵌套在內部的標記保持不變。當PE收到分組時，它使用內部標記來識別VPN。此后， PE將檢查與該VPN相關的路由表，以便決定對分組進行轉發所要使用的接口。

如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網絡提供者具備這一能力）。如果找不到路由，相應分組將被丟棄。IP-VPN轉發表中包含VPNIP地址所對應的標記，這些標記可以把業務流路由至VPN中的每一個站點。

這一過程由于使用的是標記而不是IP 地址，所以在企業網中，用戶可以使用自己的地址體系，這些地址在通過服務提供者網絡進行業務傳輸時無需網絡地址翻譯（NAT）。通過為每一個VPN使用不同的邏輯轉發表，不同的VPN業務將可以被分開。

使用BGP協議，交換機可以根據入口選擇一個特定的轉發表，該轉發表可以只列出一個VPN有效目的地址。為了建立企業的Extranet，服務提供者需要對VPN之間的可到達性進行明確指定(可能還需要進行NAT配置)。

IP-VPN安全

在服務提供者網絡中，PE所使用的每一個分組都將與一個RD相關聯，這樣，用戶無法將其業務流或者是分組偷偷送入另一個用戶的IP-VPN。要注意的是，在用戶數據分組中沒有攜帶RD，只有當用戶位于正確的物理端口上或擁有PE路由器中已經配置的、適當的RD時，用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進入VPN，從而為用戶提供與幀中繼、租用線或ATM業務相同的安全等級。