3.2.3 MPLS/VPN中標簽分組的轉發

同過MP-BGP協議各個VPN用戶路由器學習到正確的路由，現在看看如何轉發用戶數據的。

2.PE1從S1口上收到IP數據包后，根據S1所在的VRF，查詢對應的CEF表，數據包打上標簽8，注重該標簽就是通過MP-BGP協議傳來的。PE1繼續查詢全局CEF表，獲知要把數據發往10.1.1.1，必須先發送到PE2，而要發送到PE2，則必須打上由P1告知的標簽2。所以該IP包被打上了兩個標簽。

3.P1接收到標簽包后，分析頂層的標簽，把頂層標簽換成4，繼續發送的P2。

4.P2和P1一樣做同樣的操作，由于次末中繼彈出機制，P2去掉標簽4，直接把只帶有一個標簽的標簽包發送的PE2。

5.PE2收到標簽包后，分析標簽頭，由于該標簽8是它本地產生的，而且是本地唯一的，所以PE2很輕易查出帶有標簽8的標簽包應該去掉標簽，恢復IP包原貌，從S1端口發出。

6.CE2獲得IP數據包后，進行路由查找，把數據發送到10.1.1.0/8網段上。

4 MPLS/VPN配置實例

要提供VPN服務的前提是：服務提供商的網絡必須啟用標簽交換功能，即把以前的數據網絡升級為MPLS網絡。然后具體配置PE，PE上的配置按六步走：

1.定義并且配置VRF

2.定義并且配置RD

3.定義RT，并且配置導入導出策略

4.配置MP-BGP協議

5.配置PE到CE的路由協議

6.配置連接CE的接口，將該接口和前面定義的VRF聯系起來。

上圖中CE1、CE2、CE3組成一個VPN，其中PE3和CE3之間走RIP2協議，PE2和CE2之間走BGP協議。整個As 6500中走OSPF協議。

PE3的部分配置如下：

ip cef ──啟用CEF轉發功能

ip vrf Red ──定義一個 VRF ,名字為Red

description For Red User Vpn

rd 6500:1 ──定義RD值為6500:1

route-target eXPort 6500:1 ──定義導出策略

route-target import 6500:1 ──定義導入策略

router rip ──配置PE3到CE3的路由協議RIP2

version 2 !

address-family ipv4 vrf Red version 2 redistribute bgp 6500 metric 1──-將BGP學到的路由從新發布的RIP2中，network 192.168.1.0 使CE3能學到同一VPN中的其他路由

no auto-summary

exit-address-family

router bgp 6500 ──-配置BGP協議

no synchronization

no bgp default ipv4-unicast

bgp log-neighbor-changes

neighbor 192.168.168.2 remote-as 6500 ──-和PE2建立鄰居關系

neighbor 192.168.168.2 update-source Loopback0

no auto-summary !

address-family ipv4 vrf Red ────為VPN用戶配置IPv4地址家族，使

redistribute rip metric 1 VRF Red 所管轄的路由表中的路由從新發布到BGP協議中去。

no auto-summary

no synchronization

exit-address-family !

address-family vpnv4 ────具體配置和PE2的關系，使PE3和PE2之間能交換VPNv4路由

neighbor 192.168.168.2 activate

neighbor 192.168.168.2 send-community both

no auto-summary

exit-address-family

interface Ethernet0/1 ────-配置連接CE3的接口

ip vrf forwarding Red ────-使該接口和前面定義的VRF Red聯系起來

ip address 192.168.1.17 255.255.255.252

interface Ethernet0/0 ──-配置聯系到7206上接口

ip address 192.168.1.10 255.255.255.252

half-duplex

tag-switching ip ──-在該接口上啟用標簽交換 !

PE2上的部分配置如下：

ip cef ──啟用CEF轉發功能

ip vrf Red ──定義一個 VRF ,名字為Red description For Red User Vpn

rd 6500:1 ──定義RD值為6500:1

route-target export 6500:1 ──定義導出策略

route-target import 6500:1 ─-定義導入策略

!

同時上傳附件router bgp 6500 ─-配制BGP協議

no synchronization

no bgp default ipv4-unicast

bgp log-neighbor-changes

neighbor 192.168.168.4 remote-as 6500

neighbor 192.168.168.4 update-source Loopback0

neighbor 192.168.168.4 next-hop-self

──這點在PE-CE之間路由協議為BGP時，一定要配置。

no auto-summary !

address-family ipv4 vrf Red

neighbor 10.10.40.1 remote-as 6504 ──配置和CE2之間的路由協議BGP

neighbor 10.10.40.1 activate

no auto-summary

no synchronization

exit-address-family !

address-family vpnv4

neighbor 192.168.168.4 activate ──激活和PE3的MP-IBGP鄰居關系

neighbor 192.168.168.4 send-community both

no auto-summary

exit-address-family !

interface Serial1/0 ──-配置連接到CE2的接口

ip vrf forwarding Red ──把該接口和VRF Red聯系起來

ip address 10.10.40.2 255.255.255.252

interface Ethernet0/1 ──配置連接到7206的接口

ip address 192.168.1.13 255.255.255.252

half-duplex

tag-switching ip ──在此接口上啟用標簽交換

interface Serial1/1 ──-配置連接到PE1的接口

bandwidth 1544

ip address 10.10.30.2 255.255.255.252

encapsulation ppp

tag-switching ip ──在此接口上啟用MPLS交換

5 總結

上面的配置展現了在單個AS內部實現VPN的配置，當然VPN用戶的各個接入點往往是地域跨度很大的，所以經常要涉及到跨AS提供VPN業務的需求。這樣的配置會更加復雜，而且需要各個電信運營商配合行動才行，這里就不在具體展開敘述了。

MPLS是一種結合了鏈路層和IP層優勢的新技術。在MPLS網絡上不僅僅能提供VPN業務，也能夠開展QOS、TE、組播等等的業務。

目前中國網通已經在大規模地在提供基于MPLS技術的VPN業務，其他運營商，如中國電信等也在迎頭趕上。很快地，就象WWW技術一樣，MPLS技術將會影響我們生活的方方面面！