MPLS L3VPN 技术白皮书 - zte.com.cn · PDF filempls l3vpn 技术白皮书中兴通讯版权所有未经许可不得扩散第3 页 1.3 mpls l3vpn 隧道 mpls l3vpn 技术中使用的隧道包括：mpls

MPLS L3VPN 技术白皮书

中兴通讯版权所有未经许可不得扩散第 1 页


1 概述

1.1 VPN 技术介绍

虚拟专网（Virtual Private Network）不是物理专用网络，但却能够实现专用网络的功

能。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用服务提供商现

成网络的数据线路（通过使用隧道技术）。

虚拟专网在不调整网络的情况下，可以根据用户的需求灵活调配用户带宽，降低建网

成本。对于用户而言，就像拥有一张专用网络一样享用互联服务。虚拟专用网络之间，

以及同其他 internet 业务共享物理通道，影响服务质量的主要方面是业务流量抖动、

时延等因素。运营商可以根据不同的业务需求，以及用户签订 SLA 服务协议，提供差

异化的服务。

VPN 的实现方式有多种：基于 L2 层和基于 L3 层的 VPN。如 QinQ、VPLS、VPWS

属于 L2VPN，IPSec 和 BGP/MPLS 属于 L3VPN。

从VPN的网络实现层次来分，有CE-Based VPN（如 IPSec）和PE-Based VPN（VPLS、

VPWS 和 MPLS L3VPN）。由于 CE-Based VPN 需要在用户网络实现 VPN 功能，对

用户设备以及维护能力要求比较高，不适大规模组网。PE-Based VPN 完全由运营商

统一管理，对用户要求不高。

当前运营商网络中 VPLS、VPWS、BGP/MPLS L3VPN 被广泛应用到运营商城域网中，

为企业用户提供 VPN 服务。BGP/MPLS L3VPN 由于其强大的协议支持能力，路由全

部由运营商网络进行管理，在城域网核心层被大量部署。L2VPN 由于业务在运营商网

络透明传输，部署灵活，建网成本低，在城域网接入层、汇聚层有较多应用。

BGP/MPLS L3VPN 借助 MPLS 隧道技术，网络安全性比较高，QOS 功能强大，网络

扩展性较高。

L3VPN 本质上仍然是路由转发，边缘 PE 设备上靠查找用户的路由将数据从一个 Site

透传到另外一个 Site。因此，L3VPN 承载的业务只能是 IP 数据，不像 L2VPN 可以承

载各种类型的用户业务，如 ATM、TDM、IP。L3VPN 需要运营商管理用户的路由，

在 PE 与 CE、PE 与 PE 之间分发、同步用户路由。


第 2 页中兴通讯版权所有未经许可不得扩散

BGP/MPLS L3VPN 也称 MPLS L3VPN，使用的外层隧道包含 MPLS 隧道和 IP/GRE

隧道，采用 MPLS 隧道支持的 L3VPN 也称为“传统”MPLS L3VPN，IP/GRE 隧道是

MPLS 隧道技术的有益补充，适用于运营商网络不支持 MPLS 技术的组网。本文所指

的 MPLS L3VPN 均指“传统”MPLS L3VPN。

1.2 MPLS L3VPN 网络架构

图 1-1 MPLS L3VPN 网络基本架构

VPN1Site1

CEPE 运营商网络

VPN2Site1

VPN1Site2

VPN2Site3

VPN2Site2

P P

P

PECE

PE

PE

CE

CE

CE

VPN2Site1 IPSite2 IPSite3 IP

VPN1Site1 IPSite2 IP


VPN1Site1 IPSite2 IP


CE:

用户网络通过CE路由

器接入运营商网络

PE:1. 路由分发2. 网络隔离

P:1. 数据转发2. 不需要知道用户路由

信息

MPLS L3VPN 由 CE 路由器、PE 路由器、P 路由器组成，网络架构如图 1-1。PE、P

路由器位于运营商网络中，按照 Full-mesh、层次化等网络拓扑互联，PE 设备位于运

营商网络的边缘层，P 设备位于网络内部。用户网络由处于不同地理位置的 VPN Site

组成，每个 VPN Site 网路通过 CE 路由器接入运营商网路，CE 路由器一般采用单链

路或者双归接入PE，通过运营商网络把地域上分布在不同地点的VPN Site互联起来，

实现VPN服务。通过PE设备把用户的路由分发到VPN内各PE设备以及CE路由上。

运营商网络中，PE 路由器上负责用户路由的维护，并为每个 VPN 分别维护一张 VRF

表，P 设备不维护用户路由，但是 PE、P 设备都维护公网路由表。

一般把用户的各个地点的 Site 划分到同一个 VPN 内，以实现用户 Site 之间的通信。

但是 MPLS L3VPN 也支持将一个用户的不同部门划分到不同的 VPN 中，实现业务隔

离，或者一个部门同时属于多个 VPN，实现跨 VPN 互访。MPLS L3VPN 用户隔离灵

活性比较强大，可以满足不同用户的业务安全需要，灵活组网。



1.3 MPLS L3VPN 隧道

MPLS L3VPN 技术中使用的隧道包括：MPLS 隧道、GRE/IP 隧道。使用隧道的目的，

是为了将用户路由和 P 路由器隔离，P 设备只关注公网路由，不需要关注用户路由，

用户数据在管道中透明传输，这样可以降低对中间 P 设备的路由性能要求。MPLS 凭

借其强大的 LDP、RSVP-TE 协议支持能力，创建、维护隧道较容易，而 GRE 协议支

持能力较弱，隧道管理复杂。对于不支持 MPLS 的 IP 网络，则可以通过 GRE/IP 隧

道实现 VPN 业务，避免升级整个网络带来的成本压力；对于支持 MPLS 功能的网络，

则可以启用 LDP 或者 RSVP-TE，或者静态隧道实现 MPLS L3VPN 功能。

1.3.1 GRE 隧道

GRE 封装的业务报文，如图 1-2：

图 1-2 基于 GRE 隧道的 L3VPN 报文封装格式

GRE 封装头用户IP报文L3VPN 封装

LLC IP-tunnel GRE 8847 Label Cus-IP Payload CRC

LLC：链路层通信头，如果是以太网，则是 MAC 头，符合 Ethernet-II 规范，12 字节。

IP-tunnel：GRE 隧道中的 IP 头，如果是 IPV4 隧道，20 字节。

GRE：GRE 信息头。8~16 字节，支持加密。

Label：VPN 标签，MP-BGP 随路由分发的标签，支持每路由、每 VPN 以及每接口标

签，加上 MPLS 类型标识 8847，总计 6 字节。

Customer-IP：用户 IP 包头。

Payload：用户 IP 包数据部分。



图 1-3 BGP L3VPN over GRE 网络模型

IPv4 networkwithout MPLS

GRE Tunnel

VPN1

VPN2

VPN1

VPN2

MP-BGPIGP IGP

PE1

CE1

CE3 CE4

CE2

PE2

VPN over GRE 网络模型如图 1-3 所示，PE-1 和 PE-2 之间建立 GRE 隧道。CE-1 发

送到 CE-2 的 IP 包，在 PE-1 上查找 VRF 路由表插入 VPN 标签后，再封装一层 GRE

隧道，VPN 数据流在 GRE 隧道中透明传输到 PE-2。中间设备根据 GRE 封装头中的

IP 地址做路由转发。PE-2 收到报文后，剥离 GRE 封装，根据 VPN 标签获得 VRF 实

例，查找 VPN1 的 VRF 路由表转发给 CE-2 设备。

VPN over GRE 方式下，PE 之间的 VPN 路由分发仍然是由 MP-BGP 协议分发，分

发出去的 VPN 路由携带私网标签。

1.3.2 LSP 隧道

LSP 隧道封装的 VPN 业务报文，如图 1-4：

图 1-4 基于 LSP 隧道的 L3VPN 报文封装格式

MPLS隧道封装用户IP报文L3VPN 封装

LLC 8847 LSP Label Cus-IP Payload CRC

LLC：链路层通信头，如果是以太网，则是 MAC 头，符合 Ethernet-II 规范，12 字节。

LSP：MPLS 隧道中的公网标签，长度 4 字节，加上 MPLS 类型标识，共 6 字节。

Label：VPN 标签，MP-BGP 随路由分发的标签，支持每路由、每 VPN 以及每接口标

签，长度 4 字节。

Customer-IP：用户 IP 包头。

Payload：用户 IP 包数据部分。



LSP 隧道方式承载 VPN 数据流增加了 4 字节公网标签，而 GRE 隧道方式至少需要增

加 28 字节，因此 LSP 承载方式更为高效。利用 MPLS 标签的嵌套能力，更容易实现

VPN 嵌套网络。

图 1-5 基于 BGP L3VPN over LSP 隧道网络模型

MPLS network

MPLS Tunnel

VPN1

VPN2

VPN1

VPN2

MP-BGPIGP IGP

PE1

CE1

CE3 CE4

CE2

PE2

VPN over LSP 隧道网络模型如图 1-5 所示，PE-1 和 PE-2 之间建立 LSP 隧道，CE-1

发送到 CE-2 的 IP 包，在 PE-1 上查找 VPN1 的 VRF 表插入 VPN 标签后，封装到 LSP

隧道中传到 PE-2。中间设备根据 LSP 封装头中的公网标签转发。PE-2 收到报文后，

剥离隧道封装，根据VPN标签获得VRF实例，查找VPN1的VRF路由表转发给CE-2。

不管是 MPLS 隧道方式、还是 GRE/IP 隧道方式，L3VPN 在 PE 设备上实现的路由分

发、VRF 路由管理都是一样的，主要区别在于 L3VPN 数据流的承载方式，前者是 LSP

隧道承载，后者是 GRE/IP 隧道承载。LSP 承载数据报文更为高效，占用带宽小，QOS

能力强，并且支持overlay组网方式。本白皮书着重介绍MPLS隧道方式承载的L3VPN。

1.4 MPLS L3VPN 技术优点

地址重叠：不同的 VRF 具有独立的地址空间，不同的用户可以使用同样的 IP 地

址，节省 IP 地址资源。同时，一个 VPN Site 也可以属于多个 VPN 中，实现用户

内部不同部门的安全保证，实现跨 VPN 互通，VPN 控制灵活；

标准化协议：MPLS L3VPN 主要借助 IGP 协议、MP-BGP 协议、MPLS 协议实

现路由、标签的分发，这些协议都比较成熟；

组网拓扑丰富：支持 P2P、Full-mesh 组网、HoVPN、VPN 重叠、Hub-Spoke

等网络拓扑；



QOS 能力比较强：可以借助 TE 隧道技术，实现用户的带宽管理，通过 EXP 实

现 DiffServ QOS，可实现精细化 QOS；

网络扩展性高：支持层次化 VPN 部署，以及路由协议按需发布，降低对 PE 设备

的路由存储能力的要求；

接入能力强大：同 VPN 内可以支持多个接入点，支持子接口，接入用户能力强。

支持每 VPN 和每路由标签分配，实例数目支持能力强；

对用户要求低：用户的 IP 地址可以在运营商 PE 设备进行统一管理规划，对用户

网络管理能力要求较低；

可靠性高：支持设备、隧道、业务多层面保护，满足电信级可靠性要求。

2 技术原理

2.1 实现原理

2.1.1 MPLS L3VPN 基本原理

L3VPN 的转发实例模型如图 2-1 所示，两个不同的 VPN 用户 VPN A 和 VPN B 分别

接入到 PE 上。PE 设备上形成两个独立的转发表 VFI of VPN A 和 VFI of VPN B，二

者在逻辑上是完全隔离的，VPN A 用户只在 VFI of VPN A 中路由转发，从而实现 VPN

之间的业务隔离。

PE 设备之间通过层次化隧道把左右两边的 CE 连接在一起，用户流量在隧道中透明传

输。用户流包含两次隧道复用：IP 到 VPN tunnel 复用，内层隧道复用到 MPLS 隧道。

内层 VPN 隧道实现 VFI 实例的逻辑连接，外层隧道实现 PE 之间的管道连接，形成

VPN 隧道到 MPLS 隧道的复用。

CE 设备通过 PE 设备学习到 VPN 内其他 CE 的路由，PE 设备为所有的 VPN 分别维

护一张VRF路由表，VRF内包括本地CE的路由以及通过PE引入的其他CE的路由。

如图 2-1，当左边的 CE 发送数据流到同 VPN 内的右边 CE 的时候，业务转发过程如

下：

1. CE 设备查找 DIP 地址以及下一跳，通过本地连接将 IP 报文转发到左边的 PE 设

备上；



2. PE 设备根据接收数据流接口，找到 CE 对应的 VFI 实例，在相应的 VFI 实例中查

找到右边 CE 设备对应的 DIP 地址以及对应的 LSP、下一跳；PE 设备将 IP 报文

封装上 VPN tunnel 和 MPLS tunnel 标签，根据公网下一跳修改以太头，转发到

VPN 骨干网中；

如果骨干网中存在 P 设备，则 P 设备根据 LSP 转发；

如果 LSP 启用 PHP，则右边 PE 收到的 VPN 报文仅仅包含 VPN 隧道标签。否则，

PE 收到的报文包含外层 MPLS 标签（LER 属性标签或者显式“0”标签）和 VPN 隧道

标签。不管收到的报文包含几层标签，PE 最终会查找 VPN 隧道标签，根据 VPN 标签

获取 VPN 所在的 VFI 实例，在对应的 VFI 实例中查找路由转发表以及下一跳，剥离标

签，恢复出 IP 报文，根据下一跳修改以太头，发送给右边的 CE 设备。

图 2-1 MPLS L3VPN 的业务模型

MPLS L3VPN 支持 P2P 的拓扑，也支持 MP2MP 的拓扑。同一个 VPN 内的多个不同

的 Site 可以用不同的接口连接到同一个 PE 上，因此上述转发流程只是一般流程，有

情况下，可能经过 PE 就直接转发到 CE 设备了。

2.1.2 MPLS L3VPN 特点

MPLS VPN 的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商

向用户提供 VPN 服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资

源一样。

对于服务提供商骨干网络内部的 P 路由器，不与 CE 直接相连，也不知道有 VPN

的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持 MPLS 协议，并使

能该协议。

所有的 VPN 的构建、连接和管理工作都是在 PE 上进行的。PE 位于服务提供商



网络的边缘，从 PE 的角度来看，用户的一个连通的 IP 系统被视为一个 Site ，

每一个 Site 通过 CE 与 PE 相连，Site 是构成 VPN 的基本单元。

一个 VPN 是由多个 Site 组成的，一个 Site 也可以同时属于不同的 VPN。属于同

一个 VPN 的两个 Site 通过服务提供商的公共网络相连，VPN 数据在公共网络上

传播，必须要保证数据传输的私有性和安全性。也就是说，从属于某个 VPN 的

Site 发送出来的报文只能转发到同样属于这个 VPN 的 Site 里去，而不能被转发

到其他 Site 中去。

同时，任何两个没有共同的 Site 的 VPN 都可以使用重叠的地址空间，即在用户

的私有网络中使用自己独立的地址空间，而不用考虑是否与其他 VPN 或公网的地

址空间冲突。所有这些就都需要依赖于 VRF（VPN Routing & Forwarding

Instance）。

2.1.3 MPLS L3VPN 主要解决的问题

从前文 MPLS L3VPN 基本原理可以看出，相对于普通的 IPV4 管理，MPLS L3VPN

网络中，需要解决以下三个问题：

1. VRF 路由表管理，在同一个 PE 上如何实现不同 VRF 路由表之间的隔离。VPN

路由的一个特点是用户可以使用私有 IP，不同的 VPN 可以使用同样的 IP 地址，

节省公网 IP 资源，那么 VPN 路由表需要能够支持同一台 PE 上区分不同 VPN 的

相同路由。

2. VPN 路由发布标识，需要能够保证路由网络中的传播时，两条相同的路由，都在

网络中传播，对于接收者能够分辨彼此。

3. 报文的转发问题，即使成功地解决了路由表的冲突，但是当 PE 接收到一个 IP 报

文时，又如何能够知道该发给那个 VPN？因为 IP 头中唯一可用的信息就是目的

地址。而很多 VPN 中都可能存在这个地址。

VPN 是通过 VRF 实例为 VPN 分配一个单独的表空间，不同的 VPN 表空间互不重合，

公网 IP 和 VRF 也是独立的空间。VRF 包含只属于自己的路由协议，VRF 可以通过 IGP

路由协议学习到本地的 CE 发布的路由，以及通过 MP-BGP 学习对等 PE 同步过来的

本 VPN 路由。从而实现不同 VPN 路由表的物理隔离。

对于 CE 发布的路由，不同的 VPN 使用不同的 AC，有自己独立的 IGP 协议空间，PE

能够区分将路由注入到哪个 VRF 中。对于 PE 发布给 PE 的路由，所有的 VPN 在同一

个 MP-BGP 域中，路由发布的时候，随 IP 地址还发布一个标志 VPN 空间的 RD 标识，

从而实现即使是同样的 IP，PE能够通过RD区分该 IP是由哪个VRF通告过来的路由。



转发平面同样用一个标识字段标识VRF的地址空间。RD是一个8字节长度的标识符，

在转发层应用 RD 直接标识一个 VRF 表空间，浪费内存，算法复杂，控制平面会根据

RD 在实例配置的时候为实例分配本地唯一的 VRF-ID。CE 设备通过 AC 接口接入到

VPN 中，一个 AC 只能属于一个 VPN，因此可以把 VRF-ID 存入 AC 接口表中，从网

络侧接收的 VPN 报文封装只有 VPN 标签，一个 VPN 标签只能属于一个 VRF，因此

可以把 VRF-ID 存入 VPN 标签中。这样在转发的时候，可以从 AC 或者 VPN 标签中

获取到 VRF 实例，从而在对应的 VRF 路由空间查找路由进行转发。

2.2 路由协议

2.2.1 RD

PE 之间通过公共网络交换 VPN 路由，普通的 IGP 协议无法区分重叠的 IP 地址，PE

间路由通告不能采用普通的地址结构和路由协议，因此，首先引入 RD（Route

Distinguisher）的概念。

RD 标示每个 VRF 路由空间。每一个 VRF 都有自己的 RD，RD 在骨干网中保持唯一

性，不同 VPN 不能使用相同的 RD 值，用于区分 VPN 间重叠的 IP 地址。RD 的格式

如图 2-2 所示，8 字节长。其中 Value 支持两种格式，参见表 2-1。

图 2-2 RD 格式定义

表 2-1 Value 域的两种定义格式

TYPE(2 字节） Administrator Field Assigned Number Field

0 2 字节 AS 号 4 字节分配编号

1 4 字节 IP 地址 2 字节分配编号

PE 路由器之间使用 BGP 发布 VPN 路由，标准 BGP 对每个 IP 前缀只能安装和发布

一个路由。由于每个 VPN 有自己的地址空间，意味着同样的 IP 地址会被任意数目的

VPN 所使用，在每个 VPN 中这个地址表示一个不同的系统。这样就需要允许 BGP 对



每个 VPN 的相同的 IP 前缀可以安装和发布多个路由，同时，要使用特定的策略来决

定哪一条路由被哪个 Site 所使用。为此，多协议 BGP 使用了新的地址族 VPN-v4 地

址。

一个 VPN-v4 地址有 12 个字节：8 字节的 RD 和 4 字节的 IP 地址。如果两个 VPN 使

用相同的 IP 地址，PE 路由器为它们添加不同的 RD，转换成唯一的 VPN-v4 地址，不

会造成地址空间的冲突。

使用 VPN-v4 地址解决了 VPN 路由在公共网络中传递时地址冲突问题，但由于这已经

不再是原有的 IP 地址族的地址结构，不能被普通的路由协议所承载，同时，每一个用

户网络都是独立的系统，它们之间经过服务提供商的路由信息传递使用 IGP 协议显然

是不适合的，需要将 BGP 协议作一定的扩展，用它来承载新的 VPN-v4 地址族路由，

同时传递附加在路由上的 Route Target 属性。

通过 RD 与 VPN-IPv4 地址，解决了路由在网络中的传播，两条相同的路由，都在网

络中传播，对于接收者如何分辨彼此问题。

2.2.2 RT

PE 之间交换 VPN 信息，在 BGP 的 UPDATE 报文中承载 VPN-v4 地址族路由，这就

是对 BGP 进行了扩展的 MP-BGP（多协议 BGP）。MP-BGP 不仅能承载 IPv4 路由，

而且能承载 VPN、IPv6、多播等路由。MP-BGP 有两个主要的工作，为路由指定特定

网络层协议的下一跳和 NLRI（网络层可达信息）。

图 2-3 RT 扩展属性在路由分发的应用

MP-iBGP

VPNASite2

VPNASite1

PE-1

CE-1 CE-2

PE-2

BGP, RIPv2 update for 149.27.2.0/24, NH-CE1

VPN-v4 update:RD:1:27:149.27.2.0/24Next-hop=PE1SOO=CE1, RT=VPNALabel=(28)

BGP 扩展团体属性对团体属性做了扩展，增大了值域，并规定了内部结构。扩展团体

属性是一个过渡可选属性，它由一个扩展团体的集合组成。Route Target属性是由BGP

的扩展团体属性来表示的。



一个 RT 属性 8 字节长度，有两种表示结构，参照表 2-2 所示。

表 2-2 RT 格式

TYPE(2 字节） Administrator Field Assigned Number Field

0x0002 2 字节 AS 号 4 字节分配编号

0x0102 4 字节 IP 地址 2 字节分配编号

Route Target 属性

VPN 的成员关系是通过路由所携带的 Route Target 属性来获得的。VPN 中每个 PE

上的 VPN 实例可以有一个或多个 Route Target 属性，不同的 VPN 内不同的 PE 上 RT

属性可以不相同。RT 表示了该路由可以被哪些 VRF 所接收，接收哪些 VRF 传送来的

路由。

一个具有这种属性的路由必须发送给所有在 Route Target 中指明的 PE 路由器，PE

接收到包含此属性的路由后，若此属性指明的路由同自己一致，则加入到相应的路由

表中。

RT 的本质是每个 VRF 表达自己的路由取舍及喜好的方式。可以分为两部分：Export

Target 与 Import Target；前者表示了我发出的路由的属性，而后者表示了我对那些路

由感兴趣。例如：

Site-A：我发的路由是红色的，我也只接收红色的路由。

Site-B：我发的路由是红色的，我也只接收红色的路由。

Site-C：我发的路由是黑色的，我也只接收黑色的路由。

Site-D：我发的路由是黑色的，我也只接收黑色的路由。

这样，Site-A 与 Site-B 中就只有自己和对方的路由，两者实现了互访。同理 Site-C 与

Site-D 也一样。这时我们就可以把 Site-A 与 Site-B 称为 VPN-A，而把 Site-C 与 Site-D

称为 VPN-B，如图 2-4 所示：



图 2-4 PE 比较 Export Target 与本 VPN 的 Import Target 接收 VPN 路由

MP-iBGPVPN BSite-D

VPN ASite-B

VPN BSite-C

VPN ASite-A

MP-iBGPIGP IGP

PE-1

CE-3

CE-1 CE-2

CE-4

PE-2

VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1SOO=CE-1, RT=VPN ALabel=(28)

BGP, RIPv2 update for 149.27.2.0/24, NH=CE-1

BGP, RIPv2 update for 149.27.2.0/24, NH=PE-2

VPN A:Import Target = VPN ARD: 1:127:149.27.2.0/24

对一个 PE，有一个 Route Target 属性的集合附加到从某个 Site 接收的路由上，称为

Export Route Target，另一个 Route Target 属性的集合用于决定哪些路由可以引入到

此 Site 的路由表中，称为 Import Route Target。它们是不同的集合。这两个集合的组

合可以构造任何拓扑类型的 VPN。

在 PE 上，每个 VRF 都有一个 Import Route Target 列表，只有当路由的Export Route

Target 与 VRF 的 Import Route Target 列表相匹配，路由才会被引入到该 VRF 的路由

表中。

RT 的灵活应用

由于 VRF 下 Export Target 与 Import Target 都可以配置多个属性值，例如：我对红色

或者蓝色的路由都感兴趣。接收时是“或”操作，红色的、蓝色的以及同时具备两种颜色

的路由都会被接受。所以就可以实现非常灵活的 VPN 访问控制。参见图 2-5 Site-A

中路由发布到 Site-D 中。



图 2-5 RT 控制跨 VPN 的路由导入

MP-iBGPVPN BSite-D

VPN ASite-B

VPN BSite-C

VPN ASite-A

MP-iBGPIGP IGP

PE-1

CE-3

CE-1 CE-2

CE-4

PE-2


BGP, RIPv2 update for 149.27.2.0/24, NH=CE-1

BGP, RIPv2 update for 149.27.2.0/24, NH=PE-2

VPN B:Import Target = VPN ARD: 1:127:149.27.2.0/24

2.2.3 私网标签

路由发布时已经携带了 RD，理论上可以使用 RD 作为 VPN 数据流标识，但是 RD 一

共有 64 个 bit，这会导致转发效率的降低，所以只需要一个短小、定长的标记即可。

VPN 数据流封装在 VPN 隧道中透明传输，见前文 VPN 的业务模型。通过 VPN 隧道

可以实现不同 VPN 内数据流的完全隔离，数据更为安全，并且 QOS 机制更加灵活，

可以不依赖于用户 QOS，为用户提供管道服务。

目前隧道的种类繁多，例如 GRE、IP 隧道、MPLS 隧道、L2TP 隧道等。具体采用一

种隧道要考虑以下因素：

有效负载能力应该比较高，引入的隧道封装头应该尽可能小；

QOS 能力是否强；

隧道出口是否容易从隧道信息中获取到 VRF 信息；

隧道的创建管理是否方便，有足够的协议支持，是否方便实现 P2P、MP2MP 的

组网方式；

隧道是否容易实现层次化隧道，以实现隧道的嵌套，以实现复杂的网络拓扑；

隧道扩展性是否高。

综合上述因素，MPLS 隧道技术有更多优势，能够满足 VPN 隧道的要求。因此，在

MPLS L3VPN中VPN隧道引入MPLS标签标识VPN隧道，使用的标签称为私网标签，

相对应的 LSP 使用标签称为公网标签。私网标签由 MP-BGP 分发，与 VPN 路由一同

发布出去，私网标签和 MPLS 公网标签共享标签空间。



私网标签的 3 种分配方式

每 VRF 每标签方式：PE 为每个 VRF 只分配一个私网标签，同一个 PE 分

发过来路由复用到一个私网标签。这种分配方式节省标签资源，并且有利

于路由、标签的分离。如 FRR 中 VPN 路由和标签分离，有更好收敛性能，

可以按照 VRF 为不同的 VPN 用户实现多层次的 QOS 管理。

每 AC 每标签方式：根据 VRF 绑定的逻辑接口分配私网标签。这种标签分

配方式可以按照标签实现转发，避免查找 IP 地址。但是这种分配方式，一

旦用户接口变化，则私网标签需要重新分配，用户侧和网络侧结合较为紧

密，扩展性不好。

每路由每标签：MP-BGP 分发路由给其他 PE 的时候，为每条子网路由都

分发一个标签，标签和子网路由一一对应。浪费标签资源，一旦网络侧发

生变化，整个 VRF 内的路由需要重新收敛，路由收敛慢。

2.2.4 MP-BGP

BGP 与 IGP 不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择

最佳路由。VPN 本身就是利用公共网络传递 VPN 数据，而公共网络通常已经应用 IGP

发现和计算自身的路由。构建 VPN 的关键在于控制 VPN 路由的传播，及如何在两个

PE 之间选择最佳的路由。

为了提供对多种网络层协议的支持，IETF 对 BGP-4 进行了扩展，MP-BGP （Multi-

protocol Extensions for BGP-4）是 BGP-4 的扩展协议。MP-BGP 在现有 BGP-4 协

议的基础上增强功能，使 BGP 能够为多种路由协议提供路由信息，包括 IPv6（即

BGP4+）和组播以及 VPN 的支持。

MP-BGP 携带信息增加了一个扩展之后的 NLRI（Network Layer Reachability

Information），NLRI 增加了地址族的描述、私网 label 以及 RD，参见表 2-3。跟随

之后的是 RT 的列表，参见表 2-4。

对于使用了扩展属性 MP_REACH_NLRI 的 BGP，我们称之为 MP-BGP。

表 2-3 NLRI 定义

MP_REACH_NLRI：

address－family ： VPN-IPV4 地址族

next-hop: 就是 PE 路由器自己，通常是 loopback 地址。



MP_REACH_NLRI：

NLRI:

lable： 24 个 bit，与 MPLS 标签一样，但没有 TTL。

prefix： RD:64bit＋ip 前缀

RT 列表：（Export Target 属性列表）

表 2-4 RT 列表

Extended_Communities（RT1）



2.3 路由分发与学习

在 MPLS L3VPN 中，因为采用了两层标签栈结构，所以 P 并不参与 VPN 路由信息的

交互，VPN 站点内部是通过 CE 与 PE、PE 与 PE 之间的路由交互，形成属于某个 VPN

的网络拓扑信息。

具体可以归纳为如下 3 个步骤，参见图 2-6 网络拓扑：

1. CE 与 PE 之间的路由交换；

2. PE 与 PE 之间的路由交换；

3. PE 与 CE 之间的路由交换；

图 2-6 MPLS L3VPN 路由分发协议

MP-BGP

VPNASite2

VPNASite1

PE-1

CE-1 CE-2

PE-2BGP, RIPv2, OSPF, ISIS, static

BGP, RIPv2, OSPF, ISIS, static

CE 与 PE 之间通过 IGP（OSPF、RIPv2、ISIS）或者 EGP（BGP）进行路由通告，



也可以静态配置。PE 与 PE 之间通过 MP-BGP（IBGP 或者 EBGP）进行路由通告。

2.3.1 CE to PE

图 2-7 CE 发布路由给 PE

VPN ASite-1

VPN BSite-2

PE

CE1

CE2

OSPF, EBGP, RIP, Static

VRF for VPN A

VRF for VPN B

CE 发布给 PE 的路由可以通过路由协议，也可以在 PE 上手工配置指向 CE 的静态路

由，参见图 2-7。具体采用哪种方式，依赖 CE 的路由规模和组网方式。CE 和 PE 可

以采用域内 IGP 协议，也可以采用域间的 BGP 协议进行路由通告，PE 与 CE 之间所

有的 AC 接口上都需要单独启用独立的路由协议。

CE通告的路由是标准的V4路由，不包含VPN信息。当PE从接口上收到路由通告后，

根据收到报文的 AC 接口以及运行的路由协议，确定路由要注入到哪个 VRF 中，静态

配置路由需要配置时指定所属的 VPN 实例。



2.3.2 PE to PE

图 2-8 PE 发布 VPN 路由

MP-BGP

VPNASite2

VPNASite1

PE-1

CE-1 CE-2

PE-2VPN-v4 update:RD:1:27:149.27.2.0/24,Next-hop=PE-1SOO=CE-1, RT=VPN ALabel=(28)


PE-1收到CE-1发布的路由:

1) 根据接口找到接口绑定VPNA，将路由加入VPNA中

2) 同时根据VPNA配置的RD将路由转换为VPN-v4路由

3) 更改下一跳为PE-1，为路由分发私网Label；

4) 加入VPNA的Export Target 属性

利用MP-BGP协议将VPN-v4路由发布给所有PE邻居

图 2-9 PE 接收 VPN 路由

MP-BGP

VPNASite2

VPNASite1

PE-1

CE-1CE-2

PE-2



PE-2收到PE-1发布的VPN-v4路由:

1) 每个VPN判断报文中的Export属性是否匹配自身的

Import属性，如果匹配则引入路由到自己的VRF中，

同时把私网标签同步进去。否则丢弃MP-BGP报文。

2) 将VPN-v4路由转换为IPv4路由，利用VRF配置的

IGP协议将v4路由发布给CE设备。

VPN A:Import Target = VPN ARD: 1:127:149.27.2.0/24

PE 与 PE 之间通过 MP-BGP 协议进行路由发布，以控制发布哪些路由、接收哪些路

由。MP-BGP 协议通过 RT 属性控制路由的发布与接收，同时发布路由时还要包含私

网标签、下一跳、RD 等信息，所有的这些信息都包含在 MP-BGP 的协议字段 NLRI

以及 RT 中。

PE 发布给 PE 的 VPN 路由称为 VPN-IPV4 地址，相对普通 V4 地址，多了描述 VRF

地址空间的 RD 属性，参见 2.2.1 章节。当 PE 从 CE 上收到 V4 路由注入到 VRF 中的



同时还会将这些地址进行转换，添加 RD 字段，翻译为 VPN-IPV4 地址。

PE 发布路由的时候通过 MP-BGP 协议，为 VPN-IPV4 分配一个私网标签，把 PE 的

环回地址写入 NLRI 头中。同时，添加 VRF 实例配置的 Export Target 分发列表。这

样 PE 就将 VPN-IPV4 路由分发出去了，参见图 2-8 所示。

当 PE 收到 MP-BGP 路由分发报文的时候，用数据包中的 RT 列表中的 Export target

和自身配置的 Import Target 属性比较，如果一致则把 VPN-IPV4 路由加入到自己的

VRF 路由表中，否则丢弃报文。

一个 VPN 实例的 Import Target 和 Export Target 属性可以不同，并且可以设置为多

个值，同一个 VPN 内的不同 PE 设备的实例的 RT 也可以不同。通过 RT 可以实现 VPN

内不同 PE 设备间的路由发布控制，甚至引入其他 VPN 路由，实现跨 VPN 互通。通

过 RT 导入、导出的灵活配置，实现 VPN 网络内 VPN 路由分发控制，RT 存在以下三

种基本应用模式：传统模式、Hub-Spoke 模式和 Extranet 模式。

传统模式

在传统模式中，配置 Import Target 属性和 Export Target 属性相同，并且 VPN 网络内

所有的实例都配置同样的值，通常是用 RD 做 RT 的标识属性。这样，每个 PE 设备发

布的路由都会被其他 PE 接收，VPN 内的各个 PE 具有同样的 VPN 路由，VPN 内各

个 Site 完全互通，如图 2-10 所示。这种模式 PE 设备上要求的路由资源较多。

Hub-Spoke 模式

Hub-Spoke 模式是为了集中控制 VPN 内各个 Site 之间的通信，各个 Site 只允许通过

VPN 内中心控制 Site 才能互通。中心站点称为 Hub-CE（连接 Hub-CE 的 PE 设备称

为 Hub-PE），其余站点称为 Spoke-CE(连接 Spoke-CE 的 PE 称为 Spoke-PE)。Hub

站点可以访问其他所有的节点，Spoke 站点之间不能直接互通，但可以通过 Hub-CE

站点互通。Spoke-PE 只把本地路由发布给 Hub-PE，Hub-PE 也会把从 Hub-CE 上学

习的路由发布给 Spoke-PE，但是 Spoke-PE 之间不直接通过 MP-BGP 互相发布本地

路由，只有通过 Hub-CE 才能相互学到路由，从而实现 Spoke-CE 之间不直接互通，

如图 2-10 所示。

所有的 spoke-PE 设备上配置 RT 属性 Import Target 与其他 Spoke-PE 的 Export

Target 属性不同，但是和 Hub-PE 的 Export Target 属性相同。

Hub-PE设备上配置的RT属性 Import Target包含其他Spoke-PE的Export Target 属

性。

Hub-PE 上需要建立两个 VPN：VPN-up 和 VPN-down（根据数据流向分，发往中心



站点的流称为 UP 方向的流，相反称为 DOWN 方向的流）。VPN-down 用于接收各

Spoke-PE 以及 Hub-CE 发布的本地路由，VPN-down 实例中包含所有 Spoke-PE 发

布的路由，用于中心站点发送流量到各个 Spoke-CE，同时，VPN-down 通过自己接

口的路由协议将 Spoke-CE 的路由通告给 Hub-CE。VPN-up 用于 Hub-PE 发布从

Hub-CE 学习的路由给所有的 Spoke-PE，Hub-PE 的 VPN-up 中只包含 Hub-CE 通告

的路由（由于 Hub-CE 通过 IGP/EGP 协议将先前 VPN-down 通告的其他站点的路由

以及 Hub-CE 路由通告给 Hub-PE 的 VPN-up 实例，因此 VPN-up 实例中也包含各

Spoke-CE 的路由），用于接收 Spoke-PE 发送过来的流量，发送给中心站点。

这样 Hub-Spoke 模式下，Spoke-PE 可以通过 Hub-PE 的 VPN-up 实例学习到 VPN

内所有站点的路由，但是所有的路由的路径都是指向 Hub-CE，从而实现 VPN 内站点

在 Hub-CE 集中控制下的互通。

Extranet 模式

Extranet 模式是为了达到不同 VPN 站点互通的目的。例如，两个 VPN 内所有的 VPN

Site 站点，某些 Site 点同时属于两个 VPN 用户，其他站点都可以访问这个站点设备。

还有一种情况，企业内部各个站点有访问控制要求，有的站点企业内所有站点都可以

访问，有的站点之间需要隔离，企业的站点分成多个有交集的组，这样就需要为每个

组建立单独的 VPN，各个组都可以访问的站点划分到多个 VPN 中，即一个 VPN Site

属于多个 VPN。

多 VPN Site 需要绑定到其中 VPN 实例中，通过 RT 将其他 VPN 中的路由引入到自己

的 VRF 表中。参照图 2-10，中心节点的 PE 设备通过 RT 是 a 和 c 导入两端 PE 设备

下挂站点的路由，左边 PE 设备通过 RT=b 导入中心站点 PE 下挂站点的路由。这样两

端的 PE 设备之间不会学习到对方下挂站点的路由，但是都可以学习到中间站点的路

由。中间 PE 设备的 VRF 内就同时有了两端 PE 下挂站点的路由，从而中间 PE 下挂

站点可以和其他站点通信，但是两端 PE 下挂站点不能互通。



图 2-10 PE 上利用 RT 灵活控制 VPN 路由的发布与导入

2.3.3 PE to CE

PE 设备接收路由时，将最优路由中的 VPN-IPv4 地址转化成 IPv4 地址（即去掉地址

中的 RD）导入到相应的 VRF，私网标签保留，记录到转发表中，留做转发时使用。

再由本 VRF 的路由协议传递给本地 CE 设备，发给 CE 时下一跳修改为接收端 PE 自

己的接口地址，这样就完成了把 VPN 路由发布到 CE 的过程。

CE 上也可以配置默认路由或者静态路由指向 PE。

2.4 数据转发

下面以CE-1、CE-2为例说明MPLS L3VPN 转发过程，CE-1所在网段为 149.27.2.0/24、

CE-2 所在的网段为 149.27.3.0/24，CE-2 发送 IP 地址为 149.27.2.27 的 IP 流，如图

2-11 所示。



图 2-11 MPLS L3VPN 数据转发过程

VPNASite2

VPNASite1

PE-1

CE-1 CE-2

PE-2VPN A VRF149.27.2.0/24NH=CE-1

VPN A VRF149.27.2.0/24,NH=197.26.15.1Label=(28)

149.27.2.0/24 149.27.3.0/24

28 149.27.2.27

P

41 28 149.27.2.27

In Label FEC Out Label41 197.26.15.1/30 POP

In Label FEC Out Label28(V) 149.27.2.0/24 -

149.27.2.27

197.25.15.1/30 197.26.15.1/30

149.27.2.27

2.4.1 CE-2 to PE-2

CE-2的路由表中有PE-2发布的149.27.2.0/24的子网段路由。由于CE-2看不见VPN，

CE-2 就是一个普通的路由器设备，CE-2 收到的 IP 流量做普通 IP 路由转发，转发过

程如下：

查找 DIP :149.27.2.27/24，获得指向 PE-2 的下一跳；

根据下一跳，修改 LLC 将 IP 包发送到 PE-2。

在实际组网中，CE 上也可以配置默认路由，静态路由等方式直接将 IP 流量指向 PE-2

设备，不需要在 PE-2 和 CE-2 之间配置动态路由分发协议。

2.4.2 PE-2 to PE-1

PE-2 的转发

PE-2 收到 CE-2 发送过来 IP 报文，由于 AC 接口绑定到 VPN 中，需要做 L3VPN 转

发，转发过程如下：

1. 根据接收报文的 AC 接口查获接口绑定的 VRF 实例；

2. 根据实例 VRF-ID，用 DIP :149.27.2.27 查找对应的 VRF 虚拟路由转发表。由于

PE-1 已经把子网路由 149.27.2.0/24 连同私网标签通过 MP-BGP 协议通告给

PE-2，注入到对应 VRF 实例中，所以 VRF 中保存有 149.27.2.0/24 网段的路由，

DIP 能够匹配到；

3. 从子网路由 149.27.2.0/24 表项中取出私网标签 28，以及路由复用的 LSP 以及公

网的下一跳 197.26.15.1；

4. 根据 LSP 获取到公网标签 41；



5. 根据下一跳 197.26.15.1 获取出口网关 MAC，以及 PE-2 的接口。

6. 使用私网标签 28、公网标签 41、下一跳网关 MAC、出接口 VLAN，将 IP 报文封

装为双层 MPLS 标签的标签包发送到 P 设备上。

P 设备的转发

P 设备接收到公网标签为 41 的标签报文后，由于 41 标签是一个 LSR 标签，则 P 设备

直接按照 LSR 设备做标签 swap，将 MPLS 报文转发出去。标签 41 对应的下一跳指

向 197.25.15.1，指向 PE-1，出口标签是 POP 标签。

图 3-11 的组网中，由于 P 是倒数第二跳（PHP）设备，41 对应的出标签是 POP 标签，

因此 41 标签直接弹出，发往 PE-1 的报文是只剩下一层标签 28 的 MPLS 报文。

2.4.3 PE-1 to CE-1

PE-1 收到 P 设备发送过来的 MPLS 报文后，由于标签 28 是 VPN 属性标签，需要按

照 L3VPN 转发，转发过程如下：

1. 查找最外层标签 28，由于 28 是一个私网标签，标签中保存有标记数据流所在的

VRF-ID；

2. 取数据包中的 DIP :149.27.2.27，在 VRF 实例的路由表中查找子网路由，匹配到

149.27.2.0/24 子网路由表项，获取到指向 CE-1 的下一跳。

3. 由于 PE-1 是 VPN 的下行，会剥离私网标签 28，恢复为用户 IP 数据流，封装 CE-1

的网关 MAC，以及出 AC 接口的 VLAN，转发到 CE-1。

3 应用场景

MPLS L3VPN 组网应用可以满足不同场景的组网需要。主要支持的组网方式如下：

Full-mesh 方式的 VPN 组网；

VPN 跨域的 Option A/B；

Hub-Spoke 方式的 VPN 组网；

半双工 VRF 组网；

HoVPN 方式的 VPN 组网；

MCE 组网；



跨 VPN 互访；

L2VPN 接入 L3VPN 组网；

VPN 冗余；

本节就这些组网方式进行举例介绍，用户可以根据需要选择合适的组网方式。

3.1 Full-mesh 组网

MPLS L3VPN 支持 Full-mesh 组网，也支持 P2P 组网。Full-mesh 组网和 P2P 组网在

控制协议以及业务转发处理中无本质区别，不像 L2VPN 中，VPLS 和 VPWS 协议、

转发存在区别。Full-mesh VPN 组网如图 3-1 所示：

图 3-1 Full-mesh 组网

VPN1Site1

CE

PE MPLS WAN

VPN3Site1

VPN2Site2

VPN1Site2

VPN3Site3

P P

P

PE

CE

PE PE

CE

CE

CE

VPN3Site4

VPN3Site2

VPN2Site1

VPN2Site3

PE

CE

CE

CE

CE

运营商网络包含 P 以及 PE 设备，组成一个 Full-mesh 连接的网络，PE 位于 MPLS 网

络边缘，提供用户接入，P 位于 MPLS 网络内部，不提供用户接入功能。用户网络 CE

设备连接到运营商网络的 PE 设备上，网络特点如下：

每个 VPN 用户至少存在 2 个以上分布于不同地域的 Site 站点，通过运营商网络

互联一起；

每个 PE 设备可以支持多个 VPN 用户接入，每个 VPN 用户使用单独的逻辑接口

连接到 PE 上；



P 设备位于运营商网络内部，不提供用户接入；

所有的 PE 设备全网互联，运行 MP-IBGP 协议。

上述组网中，VPN1 有 2 个 Site 站点，VPN2 有 3 个 Site 站点，VPN3 有 4 个 Site 站

点通过 MPLS 网络互联，其中 VPN3 有两个站点连接到同一个 PE 上。

Full-mesh 组网的优点：

当网络规模比较小的时候，配置比较简单；

各用户拓扑相同，配置相似；

同一 VPN 可以通过两个不同的接口连接到同一 PE 上，实现本地互通。

Full-mesh 组网的缺点：

VPN 内所有 PE 设备之间均需要建立 BGP 连接，每增加一个 PE 节点，需

要和其

他 PE 建立 BGP 邻居关系，PE 扩容配置工作量比较大；

PE 需要有全 VPN 内各个站点的路由，对于规模比较大的网络，对 PE 的

路由性能要求比较高。

应用场景

Full-mesh 的连接适合网络拓扑比较小、网络拓扑比较稳定的组网，一般在城域网的核

心层做 Full-mesh 的 VPN 组网，大规模部署 L3VPN，网络经常面临扩容压力，经常

变动的网络，需要考虑 HoVPN 组网方案。因此，如果 VPN 只在核心层组网，一般按

照 Full-mesh 组网，如果 L3VPN 延伸到汇聚、接入层，一般采用 HoVPN 或者 MCE

组网方案。

3.2 VPN 跨域组网

实际组网应用中，某用户一个 VPN 的多个 Site 可能会连接到使用不同 AS 的多个服

务提供商，或一个服务提供商的多个 AS。这种 VPN 跨越多个 AS 的应用方式被称为

跨域 VPN，跨域 VPN 需要解决跨域的 VPN-IPV4 路由通告的问题。目前主要有三种

VPN 跨域的组网方式：VPN Option A、Option B、Option C，其中 Option C 由于两

个远端 PE 之间需要建立 MP-EBGP，标签、路由分发复杂，路由收敛收到多方面的影

响，在实际组网中较少应用。

Option A，也称为 VRF-VRF



图 3-2 L3VPN Option A 组网

VPNB2

VPNA2

VPNB1

VPNA1

IP Forwarding

VPN LSP1 VPN LSP2

PE1

PE3 PE4

PE2

EBGP

ASBR1 ASBR2

MP-IBGPMP-IBGP

LSP1 LSP2

PE ASBR PEASBR

AS1 AS2

Option A 组网方式如图 3-2 所示，PE 设备分布在两个 AS 域中，域之间通过 ASBR

路由器连接在一起，ASBR（Autonomous System Border Router）也是 PE 路由器。

同一 AS 的 PE 和 ASBR 之间通过正常的 MBGP 协议传递 VPN 路由信息，ASBR 之

间通过正常的PE和CE之间的路由传递方法传送VPN路由信息。路由分发过程如下：

1. VPNA2 通过 IGP 协议把路由信息传递给 PE2；

2. PE2 通过 MBGP 协议把 VPNA2 的信息传递给 ASBR2；

3. ASBR2 作为 ASBR1 的 CE 设备，通过 IGP/EGP 协议把 VPNA2 的信息传递给

ASBR1；

4. ASBR1 再通过 MBGP 协议把 VPNA2 的信息传递给 PE1；

5. PE1 再通过 IGP 协议把 VPNA2 的信息传递到 VPNA1，至此，VPN 信息传递完

毕。

VPNB 中的路由分布过程同 VPNA。

各个 AS 单独构建 PE 到 ASBR 的 LSP 双层隧道，内层标签代表 VPN 信息，外层标

签代表到达 VPN 路由下一跳 PE 的公网标签，和在单个 AS 内 LSP 隧道的建立程和方

式一样，ASBR 和 ASBR 之间通过 Native IP 转发，没有 LSP 隧道。

Option B，也称为单跳 MP-EBGP 跨域



图 3-3 L3VPN Option B 组网

CE4

CE2

CE3

CE1

VPN LSP2VPN LSP1 VPN LSP3

PE3 PE4

PE2

MP-EBGP

ASBR1 ASBR2

MP-IBGPMP-IBGP

LSP1 LSP2

PE ASBR PEASBR

AS1 AS2PE1

Option B 组网方式和 Option B 拓扑没有区别，主要的区别在于跨域的路由分发方式，

见图 3-3。

AS 内通过正常的 MPLS/BGP 传递 VPN 信息和构建 LSP 隧道，AS 之间通过单跳的

MP-EBGP 协议传递 VPN 信息并构建 LSP 隧道。路由发布过程如下：

1. CE2 通过 IGP 传递私网信息给 PE2；

2. PE2 通过 MP-IBGP 传递 VPN 信息到 ASBR2；

3. ASBR2 通过单跳的 MP-EBGP 传递 VPN 路由信息给 ASBR1；

4. ASBR1 再通过 MP-IBGP 传递 VPN 信息给 PE1；

5. PE1 再通过 IGP 协议把私网信息传递给 CE1，至此，CE1 拥有到达 CE2 的路由

信息。

Option B 和 Option A 的路由分发的区别主要在 ABSR 之间的路由分发，Option B 中

ABSR 之间是通过 MP-EBGP 分发的VPN 路由，ASBR之间分发的路由包含私网标签、

RT 等属性。

如果中间跨域多个 AS，AS 内部全部按照 MP-IBGP 协议传递，ASBR 之间全部按照

单跳的 MP-EBGP 传递。

在 OPTION B 跨域中，ASBR2 向 ASBR1 传递 VPN 路由时，下一跳必定改变为自己，

同时 ASBR2 重新为 VPN 分配标签，ASBR1 向 PE1 传递 VPN 路由信息时，分两种

情况考虑：

方式一：ASBR1 向 PE1 传递 VPN 路由信息时，下一跳改变为自己；

方式二：ASBR1 向 PE1 传递私网路由信息时，下一跳不改变，也就是下一跳仍然为



ASBR2。

在改变路由下一跳为 ASBR1 的情况下，ASBR1 重新为 VPN 分配标签，VPN 从 PE1

到达 PE2 的路径为 PE1→ASBR1→ASBR2→PE2，在 AS1 内，构建 PE1 到 ASBR1

的双层 LSP 隧道，内层为 VPN 标签（ASBR1 分配的），外层为 PE1 到 ASBR1 的公

网隧道，在 ASBR 之间构建单层 LSP 隧道，只携带 VPN 标签（ASBR2 分配的），在

AS2 内构建双层 LSP 隧道，内层为 VPN 标签，PE2 分配的，外层为 ASBR2 到 PE2

的公网隧道。在两个 ASBR 处由于 VPN 标签都重新分配，所以最底层的标签在两个

ASBR 处都会有 SWAP 操作，也正是通过 VPN 标签的 SWAP，把两个 AS 的 VPN 隧

道连接起来。

如果不改变 VPN 路由的下一跳，那么 PE1 接收的 VPN 路由的下一跳就是 AS2 域内

的 ASBR2，则 VPN 从 PE1 到 PE2 的路径为 PE1→ASBR2→PE2，那么就需要构建

一条从 PE1 一直到 ASBR2 的双层 LSP 隧道，内层为 VPN 标签（ASBR2 分配的），

外层为 PE1 到 ASBR2 的公网隧道，ASBR2 到 PE2 也构建双层 LSP 隧道，内层为

VPN 标签（PE2 分配的），外层为 ASBR2 到 PE2 的公网隧道。在这种情况下，ASBR2

和 ASBR1 之间需要运行某种标签分发协议，目的是分发 ASBR2 的公网标签，另外，

在 ASBR2 处 LSP 的内外层标签都会进行 SWAP 操作，从而把两条 LSP 粘结成一个

端到端的 LSP 隧道。

不管 ASBR 路由分发是采用方式一还是方式二，在数据转发层面，ASBR 上依然是靠

路由查找转发，只不过出口可以封装标签处理。

应用场景

Option A 中，在 ASBR 之间需要为配置 VRF 实例，并且需要为每个 VRF 都分配一个

子接口，域之间传递的是 IP 包。浪费接口资源，不利于 QOS 规划，业务扩容配置工

作量大，不适合大规模组网。

Option B 中，ASBR 之间也需要配置 VRF 实例，但是不需要为 VRF 分配子接口，域

之间传递的是 MPLS 报文，QOS 能力比较强，业务扩容配置工作量相对较小，合适大

规模的组网。

3.3 Hub-Spoke 组网

Hub-Spoke 网络拓扑如图 3-4 所示，用于同 VPN 内 Spoke-CE 站点之间通信的集中

控制，所有的站点通信必须经过 Hub-CE 设备。VPN 配置及路由分发参见 2.3.2 节描

述。



图 3-4 Hub-Spoke 组网及流量模型

SpokeSite1

SpokeSite2

Spoke-CE1

Spoke-CE2

MPLS Network

VPNCE1 IPCE2 IPHub IP

MP-iBGP

MP-iBGP

Spoke-PE1

Hub IPCE1 IPCE2 IP

Hub IPCE1 IPCE2 IP

VPNCE1 IPCE2 IPHub IP

IGP

Spoke-PE2

VPN downCE1 IPCE2 IPHub IP

Hub-PE

VPN upHub IPCE1 IPCE2 IP

HubSite

Hub-CE

Hub IPCE1 IPCE2 IP

IGP1/EBGP

IGP2/EBGP

IGP

PE 设备上路由表如图 3-4 所示，图中箭头表示 Spoke-CE 之间的互访业务流程，

Hub-PE 上发往 Hub-CE 的流查找 VPN-up 虚拟路由表，Hub-CE 发过来的流在

VPN-down 中查找。Spoke-CE 只能通过 Hub-CE 进行互访。

应用场景

Hub-Spoke 组网，用于同一 VPN 内的 Site 之间通信的集中监控。需要注意的是，在

Hub-Spoke 组网中，CE 与 PE 的之间的路由协议需要合理配置，保证路由通告正常。

3.4 半双工 VRF 组网

对于 Spoke-PE 设备上下挂多个 Site 点，或者在 L2 汇聚后同一城市内的不同位置的

CE 设备接入到 Spoke-PE，则在 Hub-Spoke 的组网中则会导致 CE 之间经过 PE 直接

互通，导致中心控制 CE 无法监管流量。

对此通过半双工 VRF 的方式解决上述问题，半双工 VRF 组网见图 3-5 所示。

Spoke-PE2 下面下挂两个用户 CE 设备：Spoke-CE2 和 Spoke-CE3，如果按照

Hub-Spoke 组网，则 CE2 和 CE3 的路由会学习到同一张 VRF 表中，导致业务直接在

Spoke-PE2 上互通，Hub-CE 无法监控流量。按照目前的组网，CE2、CE3 可能有以

下组网方式：

两者通过不同的 VLAN 和物理接口下挂到 PE2 上；

两者使用同样的 VLAN，但下挂到不同的物理接口；

两者经过 L2 汇聚后直接通过同样的 VLAN 和物理接口上联到 PE2 上。



图 3-5 半双工 VRF 组网

SpokeSite1

SpokeSite2

Spoke-CE1

Spoke-CE2

MPLS NetworkVPNCE1 IPCE2 IPCE3 IPHub IP

MP-iBGP

MP-iBGP

Spoke-PE1:VPN: Import Target: Hub

Export Target: Spoke

Spoke-PE1

Hub IPCE1 IPCE2 IPCE3 IP


VPN inCE1 IPCE2 IPCE3 IPHub IP

SpokeSite3

Spoke-CE3


IGP

IGPVPN outCE2 IPCE3 IP

Spoke-PE2

Spoke-PE2:VPN-in: Import Target: HubVPN-out: Export Target: Spoke

Hub-PE:VPN-down: Import Target: SpokeVPN-up: Export Target: Hub

VPN downCE1 IPCE2 IPCE3 IPHub IP

Hub-PE

VPN upHub IPCE1 IPCE2 IPCE3 IP

HubSite

Hub-CE


IGP1/EBGP

IGP2/EBGP

对于 1、2 连接方式，可以在 PE2 上创建 2 个 VPN，解决本地互通的问题，但是对于

3 则无能为力。半双工的 VPN 的意思就是，VPN 的业务流量只按照一个方向转发，避

免本地互转。在 PE2 上创建两个 VPN：一个称为 VPN-out、一个称为 VPN-in（按照

VPN 流方向，VPN-in 流量指向运营网络，VPN-out 发送到用户网络）。并且，需要改

进接口与VRF的绑定关系，支持接口下绑定两个半双工的VRF实例，分配两个VRF-ID，

用于控制路由发布，但是转发层接口上只保存 VPN-in 对应的 VRF-ID 用于上行转发。

VPN-out 用于 PE 接收 CE 发布的 IGP 路由，并通过 MP-IBGP 将 CE 路由通告给

Hub-PE。VPN-in 用户接收 Hub-PE 通告过来的 VPN 路由，并且 PE2 通过 IGP 协议

将 VPN-in 接收的路由通告给 CE 设备。

以 CE2 发送给 CE3 的流量为例说明流量转发过程，PE2 收到数据流量取用 VPN-in

对应的实例 ID，由于VPN-in中的路由都是Hub-PE发布过来的，因此直接转到Hub-PE。

对于 Hub-PE 发送到 PE2 上的业务流，由于路由是通过 VPN-out 通告过去的，则查找

私网标签获取 VPN-out 对应的实例 ID，VPN-out 的实例表中保存有本地 IGP 通告过

来的路由，因此直接转发到 CE3 上，Hub-PE、Hub-CE 的转发同 Hub-Spoke 完全一

样。这样最终实现流量的集中控制。

应用场景

半双工 VRF 是 Hub-Spoke 方案的补充，解决 Hub-Spoke 组网中 Spoke 设备下 CE

本地互通的问题，需要 Hub-Spoke 组网使用。



3.5 HoVPN 组网

Full-mesh的组网中，PE需要两两建立BGP邻居关系，对PE的路由能力要求比较高，

网络扩展性比较差。

目前运营商网络大多采用经典的分层结构，例如，城域网的典型结构是三层模型：核

心层、汇聚层、接入层。从核心层到接入层，对设备的性能要求依次下降，网络规模

则依次扩大。

而 MPLS L3VPN 是一种平面模型，对网络中所有 PE 设备的性能要求相同，当网络

中某些 PE 在性能和可扩展性方面存在问题时，整个网络的性能和可扩展性将受到影

响。由于 MPLS L3VPN 的平面模型与典型的分层网络模型不相符，在每一个层次上

部署 PE 都会遇到扩展性问题，不利于大规模部署 VPN。

HoVPN 可以满足实际组网的需求，接入层 VPN 采用容量、性能较低的路由器担当，

核心层采用大容量路由器，节省核心层 VRF 接口的性能要求。

图 3-6 HoVPN 组网

U-PE1

VPNASite1

CE

汇聚接入网

VPNASite1

CE

VPNASite1

CE

VPNASite1

CE

U-PE2

骨干网

S-PE

PP

核心层 VPN 与汇聚层 VPN 对接的路由设备的 PE 设备称为 S-PE 设备，汇聚接入层

接入用户的 PE 设备称为 U-PE 设备。U-PE 提供用户接入，S-PE 实现路由的汇聚，

负责 VPN 网络内 VPN 路由的分层分发控制。

骨干网内 S-PE 之间路由发布和 Full-mesh 的网络相同，S-PE 维护 VPN 内的所有路

由，S-PE只向U-PE发布缺省路由或者汇聚路由，但不发布所有的远端Site点的路由。

U-PE 只维护本地路由以及缺省路由，或者其他 Site 的聚合路由，U-PE 的路由容量大

大的减少。



U-PE 上实现正常的 VPN 转发，S-PE 上靠 VRF 路由功能实现 VPN 隧道到 VPN 隧道

的路由交换转发。

HoVPN 组网方案具有以下优势

MPLS L3VPN 可以逐层部署，当 UPE 的性能不够的时候，可以添加一个

SPE，将 UPE 的位置下移，当 SPE 的接入能力不足的时候，可以为其添

加 UPE。

UPE 和 SPE 之间采用标签连接在一起，因而只需要一个(子)接口相互连

接，节约有限的接口资源。

若 UPE 和 SPE 之间相隔一个 IP/MPLS 网络，采用 LSP 等隧道连接。

在分层部署 MPLS VPN 时，有良好的可扩展性。

UPE 上只需维护本地接入的 VPN 路由，所有远端路由都用一条缺省或聚

合路由替代，减轻了 UPE 的负担。

SPE 和 UPE 通过动态路由协议 MP-BGP 交换路由、发布标签。每一个

UPE 只需建立一个 MP-BGP 对等体，协议开销小，配置工作量小。

应用场景

MPLS L3VPN 大规模规划部署的时候，选择 HoVPN 可以降低对 PE 设备的 L3 接口数

的要求，减少 VPN 内 PE 之间的 BGP 全连接要求，提高网络的扩展性，是 Full-mesh

组网的有益补充。

3.6 MCE 组网

MPLS L3VPN 可以实现用户路由的隔离，但是在不支持 MPLS 的网络中，或者不支持

MP-BGP 路由协议的设备上，如何实现用户业务之间的隔离。MCE 可以满足这种需求，

MCE 是 MPLS L3VPN 技术一种简化，引入 VRF 虚拟路由表实现业务隔离，但是摈弃

了前者复杂的 MP-BGP VPN 路由分发协议，实现一种简单的业务隔离。MCE 的组网

如图 4-7 所示。



图 3-7 MCE 组网

MCE1

VPN1Site1

CE

VPN2Site1

CE

VPN2Site1

CE

VPN1Site2

CE

MCE2

L3VPN network

PE

PEPE

VPN1VRF1

VPN2VRF2

VPN1VRF1

VPN2VRF2

Native IPNative IP

用户路由器接入到 MCE 路由器，MCE 和 L3VPN 网络相连，在 MCE 上配置 VRF 实

例管理本地路由以及 PE 分发的路由，PE 可以只发布默认路由或者聚合路由。MCE

和 PE 之间每个 VRF 需要单独占用一个三层接口，如果动态发布路由，需要在每个三

层接口下分别启用 IGP 协议。

MCE 接收到用户报文，和 L3 VPN 的 PE 一样，会查找 VRF 路由表进行转发，但是转

发给 PE 的报文是 IP 包，没有封装标签。网络侧或用户侧到达 PE 的报文，其转发行

为和 Full-mesh 的 PE 转发行为完全相同。

应用场景

MCE 适用于接入层的业务隔离，接入层路由器往往路由、MPLS 能力比较弱，特别是

不支持 MPLS 的情况下，MCE 是一种很好的 VPN 组网技术。但是 MCE 上如果 VRF

越多，需要上行 PE 提供的 L3 接口越多，需要在每个 L3 接口下启用 IGP 协议，因此，

大规模 VRF 部署场景中不适合使用 MCE，最好使用HoVPN 更好，MCE 上部署的 VPN

用户应该不超过数十个。

3.7 跨 VPN 互访

随着企业规模的增大，企业内不同的业务部门需要划分到不同的 VPN 中，同时，又需

要所有部门都能访问某些业务部门，或者存在企业并购的情况下，有可能两个企业 VPN

需要访问同一个 VPN Site，跨 VPN 的互访能够满足这种应用需求。

跨 VPN 的互访就是利用 MP-BGP 中 RT 灵活控制 VPN 路由的发布与导入，实现路由

的跨 VPN 导入路由，参见 3.3.2 的 Extranet 模式的分析。



图 3-8 跨 VPN 互连组网

VPN1

VPN1

CE1

CE2

MPLS Network

VPN1CE1 IPCE2 IPHub IPPE1

VPN1CE1 IPCE2 IPCE3 IP

PE2VPN2CE3 IPCE4 IPCE5 IP

PE3

VPN1CE1 IPCE2 IPCE3 IPCE4 IPCE5 IP

VPN1

CE3

VPN2

CE4

VPN2CE3 IPCE4 IPCE5 IP

VPN2

CE5

如图 3-8 所示，网络部署了 VPN1 和 VPN2，VPN1 包含 3 个 Site，VPN2 包含了 2

个 Site，要求两个 VPN 的所有 Site 都能访问 CE3，但是其他 Site 点之间不能跨 VPN

互通，只能同 VPN 互通。跨 VPN 的组网，主要在于控制路由的导入。

路由发布过程：

PE3 上 VPN1 的 VRF 除了导入 CE1、CE2、CE3 的路由外，还导入 PE2 发布的 CE4

的 VPN 路由，以及本地 VPN2 中 CE5 的路由（本地导入的有可能是聚合以后再导入

的）。PE3 上 VPN2 的 VRF 从 VPN1 的 VRF 中本地导入 CE3 的路由，但是不导入

CE1、CE2 的路由；

PE2 上在 VPN2 的实例中，导入 PE3 发布的 CE3 的 VPN 路由，但是不导入 PE1 发

布的 CE1 的 VPN 路由，也不导入本地 CE2 的路由。

最终 VPN 网络内各 PE 上 VRF 的路由分发如图 3-8 所示；

当 CE4 访问 CE3 的时候，数据转发过程：

1. PE2 转发：PE2 上查找 VPN2 的 VRF 路由表，转发到 PE3 上；

2. PE3 转发：由于 PE3 发布 CE3 的 VPN 路由的时候，MPLS 是为 VPN1 分配的

标签，因此 PE3 接收到 CE4 发过来的报文，标签中保存的实例对应的是 VPN1，

在 VPN1 的 VRF 路由表中查找路由表，最终转发到 CE3 设备上。

另外，还可能存在一种情况，CE5 直接访问 CE3，其过程如下：

1. PE3 收到 CE5 发送的流量，查找 VPN2 的 VRF 路由表；



2. 而 VPN2 中的路由有可能是 VPN1 聚合后本地导入到 VPN2 的 VRF 中，按照路

由最长匹配要求，还需要再从 VPN2 的 VRF 表中取出子网表项关联的 VPN1 的

实例 ID，再次查找 VPN1 的 VRF 路由表，获取指向 CE3 的下一跳，转发到 CE3。

应用场景

跨 VPN 用户的访问控制，由于路由的跨 VPN 导入可能会导致一个站点的路由在不同

的 VRF 中都保存一份，组网中路由导入方式需要严格设计，避免浪费路由表资源。

3.8 L2VPN 接入 L3VPN

L2VPN 包括 VLL 的业务以及 VPLS 业务，支持非以太业务转发，对运营商网络协议要

求比较低。运营商网络仅仅是提供一个透明通道，用户网络的变化对运营商网络比较

小，部署比较简单，组网能力比较强，运营成本低，有良好的扩展性，但是 L2VPN 由

于其广播特性和路由完全在用户侧进行管理，不适合大规模组网。L2VPN 适合在网络

接入、汇聚层部署，而 L3VPN 适合骨干层部署。

在传统的L2VPN网络和L3VPN组网中，需要两台PE设备互联，这样L2VPN和L3VPN

之间走的是Native IP流，互联节点只能通过VRRP实现保护。这种组网不利全程MPLS

部署，不利于 QOS 保证以及实现 E2E 的管理机制，保护能力较弱。

PW 接入 L3VPN 是另外一种 VPN 分层机制，提供一种 L2VPN 网络和 L3VPN 网络互

联的方式，L2VPN 的边缘设备和 L3VPN 的边缘设备在一台设备上实现，也称为 L2/L3

桥接，组网如图 3-9 所示。



图 3-9 L2/L3VPN 桥接组网

PE

VPN3

CE

L2VPN

VPN2

CE

VPN2

CE

VPN1

CE

PE

PE

PEPE

VPN1

CE

VRRP

FRRL3VPN

PayloadIP HeadVLANEth HeadPW LabelLSP LabelNNI Eth Head

PayloadIP HeadVRF LabelLSP LabelNNI Eth Head

L2VPN

L3VPN

Multi-to-one mapping between PW and VRF

Server

L2/L3 桥接通过一个内部虚拟逻辑接口将 L2VPN 和 L3VPN 联系起来，虚拟接口是

L3VPN 的 AC 接口，同时也是 L3VPN 的业务接口，接口支持配置 IP 地址以及路由协

议，和普通的 L3 接口功能一样。

L2/L3 VPN 桥接可以实现全程的 MPLS 业务转发，VPN 互联在一台设备上实现。在桥

接设备上实现 MPLS 流到 MPLS 数据流的标签交换处理，对用户来讲就像实现了端到

端传输管道。

同 HoVPN 一样，L2/L3 桥接设备也可以实现接入层业务的汇聚，接入层 L2VPN 的 PW

与VPN隧道的关系是多对一的关系，桥接设备实现PW的汇聚功能，桥接设备通过 IGP

协议学习用户 CE 的路由，L3VPN 内部同样要通过 MP-BGP 协议，把这些路由分发到

其他 L3VPN 的 PE 设备上。连接用户的 PE 之间的通信通过桥接路由 PE 实现，L2VPN

网络到 L3VPN 网络的数据封装格式如图 3-9 所示。

应用场景

L2/L3 桥接，可以实现全程的 MPLS 管道，汇聚层、接入层应用 L2VPN 实现业务的灵

活组网，提高网络的扩展性，核心层部署 L3VPN 提高运营商对用户路由的管理能力，

L2VPN 之间通过 L3VPN 网络互连互通。L2/L3 桥接相对 HoVPN，接入层引入 L2VPN

设备增强了网络的扩展性。



3.9 VPN 冗余组网

通常情况下 MPLSL3VPN 网络故障，靠路由、LDP 重新收敛来恢复业务，业务收敛时

间通常在秒级，虽然 IGP 快速收敛，缩短了业务恢复的恢复时间，但是无法满足电信

级的保护需求。要想满足电信级的业务保护，必须靠各种快速检测、FRR 机制。

运营商网络内可以借助 TE-FRR、LDP-FRR、TE Host-Standby、VPN-FRR、IP-FRR、

VRRP 来实现业务的快速恢复。其中，前 3 中 FRR 属于 LSP 上保护，只能保护 PE

之间的故障，无法保护 PE 节点故障。PE 节点的保护主要应用 VPN-FRR、IP-FRR、

VRRP、IGP 快速收敛业务的恢复。由于 IGP 快速收敛实际是靠 MP-BGP 重新发布

VPNV4 路由实现的，收敛时间与路由规模有关，性能不佳，本组网主要讲述 BFD 触

发的VPN-FRR技术，BFD可以基于BGP启用BFD检测，也可以基于 LSP启用BFD，

前者可以检测 BGP 协议 Down，后者切换性能好，但业务恢复依赖 BGP 重新收敛。

图 3-10 是 VPN 网络的两种基本冗余保护：网络内部 PE 双归冗余和 PE VRRP 冗余

保护。

图 3-10 L3VPN 冗余组网

VPN1

CE

VPN2

CE

L3VPNnetwork

PE1

Server

P P

PE2 PE3

VPN FRR

VRRPBFD

1

2

3

4

5

PE1 双归到 PE2、PE3 实现网络内部的 VPN–FRR 的切换，实现 PE 到 PE 的端到端

业务保护，也支持 PE 双归到 CE 的保护，即 VPN 用户侧的 FRR，和普通 IP-FRR 类

似。在如图 3-10 中的 VPN-FRR 中，PE2、PE3 同时 MP-IBGP 发布服务器的 VPN

路由，在 PE1 上形成 VPN-FRR。PE1 与 PE2 之间的 LSP 上启用 CC/CV 检测，可以



检测到 1、2、3、4 故障节点的故障。一旦检测到 LSP 故障，PE1 上触发运行在 LSP

上的 VPN 路由的快速切换，当 BGP 路由重新收敛时（由 FRR 变为普通 VPN 路由），

路由是更新操作，不会导致转发层面断流。当 PE1 和 PE2 之间重新建立 LSP 的时候，

路由重新收敛，但是走的路由更新，流量回切不会引起断流。

如果转发层面 VPN 路由与 VPN 隧道采用分离的方式组织转发表，则可以保证只更新

一次 VPN 隧道表（需要按照每 VPN 标签分发私网标签）就可以实现整个 VRF 业务的

恢复，业务恢复与 VRF 内路由规模没有关系，缩短业务恢复时间，但是如果 VRF 数

量比较多，VPN 隧道迭代的次数也比较多，切换性能低。如果所有的 VRF 实例的主

备用 VPN 隧道都关联到 LSP 上，通过 LSP 的状态实现 VPN 隧道的选路，则故障切

换只需要切换一次 LSP管理的FRR状态表（或者VPN路由的FRR都复用到 LSP上，

不需要为每个 VPN 都生成一个 FRR），就可以实现所有 VPN 的 FRR 切换，切换速

度与 VRF 实例规模、路由规模都没有关系，业务恢复时间更优。

对转发层路由表、VPN 隧道表、LSP 隧道表、公网下一跳表、FRR 切换表合适的设计

可以提高业务收敛速度。否则，需要每路由更新，随着路由规模增大，切换时间将无

法满足电信级要求。

服务器侧和 PE2、PE3 之间形成 CE 双归冗余保护，可以采用 VRRP+BFD 技术组网，

可以保护故障 4、5 节点故障。PE 通过快速发送免费 ARP 触发服务器下一跳更新，保

护 CE 到 PE 的业务流量。

应用场景

电信级可靠性要求，业务 50ms 恢复成为评价设备可靠性的重要指标。在多业务综合

承载的组网中，运营商网络高可靠性成为重中之重。VPN-FRR 可以实现 50ms 的业务

保护需求，VPN FRR 结合 LSP 上的 FRR 保护，结合 BFD 快速检测技术、MPLS-TP

快速检测技术、端口 down 快速检测等检测，满足运营商网络高可靠性要求。

4 典型配置

4.1 MPLS L3VPN 基本配置

通过如图 4-1 所示的拓扑，来说明 L3VPN 基本功能配置过程。在图中，CE1 和 CE2

在同一个 VPN 中，通过适当的 VPN 配置后，CE1 与 CE2 能够互相学到对方的路由。



图 4-1 MPLS L3VPN 基本配置拓扑图

PE1 PE2

CE1 CE2

P

gei-0/1/0/2

gei-0/1/0/1

gei-0/1/0/4

gei-0/1/0/3 gei-0/1/0/5

gei-0/1/0/6

gei-0/1/0/8

gei-0/1/0/7

配置过程：

1. 在各 CE、PE、P 节点上，进行对应的 IP、MPLS 等基本配置；

2. 在连接 CE 的 PE 上，如图中的 PE1、PE2，为每个 VPN 配置对应的 VRF 实例，

指定实例的 RD，连接 CE 的 L3 接口绑定到 VRF 实例中；

3. PE1、PE2 之间配置 MP-IBGP 邻居关系，并使能 VPNV4 的能力；

4. 配置 CE 和 PE 之间的路由协议，CE 和 PE 之间支持静态路由、IGP 路由、BGP

路由等配置；

5. PE 上进行 L3VPN 实例路由分发控制，RT、Export Target 和 Import Target、路

由聚合、路由限制和告警等参数；

6. 检查配置结果，在 CE/PE 上查看是否有到对端 CE/PE 的路由，如果有则证明配

置成功。

这里需要说明的是，本配置过程为动态方式的 L3VPN 配置，同时也可以采用静态

L3VPN 配置，其过程如下：

1. PE 上配置到远端 CE 的静态路由；

2. PE 上配置公网下一跳对应的内层出标签，标签分配方式需使用每 VRF 每标签的

分配方式；

3. PE 上配置 VRF 对应的公网下一跳和内层出标签的关联关系，其中一个下一跳只

能对应一个内层出标签。

4. 这样，在 PE 设备上，根据 VPNID 和公网下一跳地址可以查找到对应的内层出标

签，根据公网下一跳可查找到对应的公网外层隧道。



4.2 MPLS L3VPN-FRR 配置

通过如图 4-2 所示的拓扑，说明 L3VPN FRR 功能的配置过程。在图中，PE1 从两个

下一跳 PE2 和 PE3 学习到相同网段的私网路由，在 PE1 上形成 L3VPN 的 FRR；CE1

的流量发往 CE2 的时候，在 PE1 上主、备私网路由会形成 L3VPN 的 FRR，从而实

现 PE2 故障时流量的快速切换。

图 4-2 VPN FRR 配置拓扑图

PE1 CE2

CE1 R1

PE2

gei-0/5/1/10

xgei-0/2/0/2

xgei-0/0/0/4

xgei-0/2/0/3xgei-0/5/0/1

xgei-0/0/0/1

xgei-0/0/0/1

gei-0/5/1/10

PE3

xgei-0/5/0/3xgei-0/0/0/3

配置过程：

1. 在各 CE、PE 节点上，进行对应的 IP、MPLS 等基本配置；

2. 在各 CE、PE 节点上，进行对应的 L3VPN 基本配置，配置后在 PE1 上能学习到

两条分别经 PE2、PE3 到 CE2 的路由；

3. 在 PE1 的 VRF 下使能 VPN FRR；

4. 检查配置结果，在 PE1 上查看是否有到 CE2 的主备路由，如果有则证明配置成

功。

5. 这里需要说明的是，本配置过程为动态方式的 VPN FRR 配置，同时也可以采用

静态 VPN FRR 配置，其过程为在配置 L3VPN 的基础上为 PE1 配置两条到 CE2

的路由（下一跳分别为 PE2、PE3，其中下一跳为 PE2 的路由为主路由，下一跳

为 PE2 的路由为备路由）。

4.3 HoVPN 配置

通过如图 4-3 所示的拓扑，说明层次化 L3VPN 功能的配置过程。在图中，左侧 VPN

为层次化 L3VPN，右侧 VPN 为常规 L3VPN，UPE 向 SPE 通告本地 VPN 路由，但

SPE 只向 UPE 通告一个缺省路由或一些聚合路由，这样，UPE1 和 UPE2 上只需要



维护本地 VPN 路由和到 SPE3 的缺省路由或聚合路由。

图 4-3 HoVPN 配置拓扑图

U-PE1

VPN1

CE1

HoVPNVPN2

CE2

VPN2

CE3

VPN1

CE4

U-PE2

Backbone

S-PE3

PE5

PE4VPN2

CE5

VPN1

CE6

配置过程：

1. 在各 CE、PE（包括 UPE、SPE 和常规 PE）、P 节点上，进行对应的 IP 地址、

路由、MPLS、L3VPN 等基本配置；

2. 在 SPE 节点上，将邻居 UPE 地址指定为本节点的 UPE；

3. 在 SPE 节点上，为邻居 UPE 配置一条缺省 VPN 路由或为邻居 UPE 上所有 VPN

配置一条缺省路由，即向 UPE 发布一条下一跳为 SPE 的指定/所有 VPN 缺省路

由信息，UPE 上指定/所有 VPN 的所有报文都经由 SPE 进行转发；

4. UPE（UPE1、UPE2）、常规 PE（PE4、PE5）上只需要进行常规 BGP PE 配

置即可，均不需要任何特殊配置；

5. 检查配置结果，在 CE5 上有到 CE1、CE3 的路由，CE6 上有到 CE2、CE4 的路

由，而 CE1、CE2、CE3、CE4 上只有下一跳为 UPE 的缺省路由，没有到其他

CE 的路由。



5 缩略语

表 5-1 缩略语

缩写备注

CE（Custom Edge）用户 Site 中直接与服务提供商相连的边缘设备，一般是路

由器，也可以是主机。

PE（Provider Edge）骨干网中的边缘设备，它直接与用户的 CE 相连，负责用

户路由的分发和 VRF 路由表的管理，转发层面实现业务

流隧道封装与解封装。

P 路由器（Provider Router）骨干网中不与CE直接相连的设备，一般具有 MPLS能力，

数据层面负责 MPLS 标签交换，或者 IP 交换。

VPN Site VPN 用户的站点，是 VPN 中的一个孤立的 IP 网络，该网

络内部本身是 IP 互联的，但是和其他站点（或者是子网）

需要通过运营商网络实现互联互通。公司总部，分支机构

都是 Site 的具体例子。CE 通常是 VPN Site 中的一个路

由器或三层交换设备甚至是一个主机。一个 CE 设备总是

被认为处于一个单独的站点，但是一个站点可以同时属于

多个 VPN。

VRF(VPN Routing and Forwarding) 每个 PE 都维护和管理一系列的转发表，其中一个转发表

叫做“缺省的转发表”或者叫“全局转发表”；其他的转发表叫

“VPN 路由转发表（ VPN Routing and Forwarding

tables）”。如果一个报文通过 AC 到达 PE，该 AC 没有同

任何 VRF 关联的话，那么将使用全局的路由表为该报文

的目的地址查找路由。可以简单的理解为，全局的转发表

存放的是公网的路由（保证 SP 网络中本身 PE 和 PE，

PE 和 P 之间能够互通），VRF 存储的是 VPN 站点的私

有路由。

VRF-ID 数据转发层保存的对应 VRF 实例 ID，也称 VPNID，与

VRF 实例一一对应，在 PE 设备上配置实例的时候就会分

发一个 VRF-ID。VRF-ID 本地管理使用，不需要全网统一。

VFI(VPN Forwarding Instance) PE 设备上的一个管理实体，包换 VPN 路由管理和转发表

管理。

MP-BGP（Multi-Protocol extensions

for BGP-4）

多协议扩展 BGP，用于 MPLS L3VPN 中 PE 设备之间的

路由发布，分 MP-IBGP 和 MP-EBGP。

VPN（Virtual Private Network）通过公用电信网络实现的用户虚拟专用网络。

QinQ（802.1Q Stacking） VLAN 堆叠实现的 VPN 功能。



缩写备注

VPWS（Virtual Private Wire Service）虚拟专线网络，P2P 的连接，支持以太、TDM、ATM、

FR、PPP 等数据通过 PW 伪线点到点传输，为用户提供

虚拟专线服务。

VPLS（Virtual Private LAN Service）点到多点的虚拟专网，主要为用户提供以太业务的互联，

数据转发通过 MAC 地址转发，和 MPLS L3VPN 实现目

的基本相同，只是业务管理方式不同。

RT(Route Target) 路由分发标识，有 Export、Import 两种属性，用于路由导

入、导出的指示。

RD（Route Distinguisher） VPN 路由标识，8 字节长度，用于标识 VPN 的路由空间，

统一个 VPN 的 RD 必须相同。

IBGP（Internal BGP）运行于同一自治域的 BGP 协议。

EBGP（External BGP）跨域的 BGP 协议。

VPN Tunnel 连接两个 PE 的逻辑通道，用户流量封装在 VPN 隧道中

进行转发。多个 VPN tunnel 可以复用到另外的隧道中，

形成层次化的隧道结构，在 MPLS VPN 中 VPN tunnel

是用 VPN 标签来标识的。

PE-based VPN 基于运营商 PE 实现的 VPN。

CE-based VPN 基于用户 CE 设备实现的 VPN。

PHP（Penultimate Hop Popping）倒数第二跳标签弹出。

HoVPN(Hierarchy of VPN) 分层式 L3VPN。

MCE(Multi-VPN-instance CE) 多实例 CE，也称 Multi VRF。

ASBR（Autonomous System Border

Router）

自治系统边界路由器。

Documents

MPLS L3VPN 技术白皮书 - zte.com.cn · PDF filempls l3vpn 技术白皮书 中兴通讯版权所有未经许可不得扩散 第3 页 1.3 mpls l3vpn 隧道 mpls l3vpn 技术中使用的隧道包括：mpls

MPLS L3VPN 技术白皮书 - zte.com.cn · PDF filempls l3vpn 技术白皮书中兴通讯版权所有未经许可不得扩散第3 页 1.3 mpls l3vpn 隧道 mpls l3vpn 技术中使用的隧道包括：mpls