MPLS层3VPN或IPMPLSVPN是一种灵活的工具，可用于不同的连接需求。它可以说是提供“点到云”连接：CE连接到PE。通过PE，可以达到其他网络。

这种类型的特性在移动回传中是有用的。当实现基本基础设施（“云”）时，可以直接添加其他站点，或根据需要安排与其他站点的连接。根据需要，可以支持所有站点或站点的子集之间的连接。典型情况如图4.30所示。

图4.30 移动回传的层3VPN应用例子

在图4.30中，从eNodeB到GW的示例连接用实线绘制。eNodeB经由汇聚路由器（在左侧的客户边缘CE）或直接地到提供商边缘PE设备（如对于PE30）连接到GW。在第一种情况下，CE设备与PE对等。在第二种情况下，eNodeB直接与PE对等（然后eNo-deB作为CE的角色）。在eNodeB和PE之间，以太网设备和微波无线电可以存在于接入网络中。这些节点在PE-CE路由对等中不可见。PE-CE路由协议，例如OSPF，用于在PE和CE之间分布路由。也可以使用其他路由协议以及静态路由。

对于弹性，关键站点（如GW）是双宿主。也可以支持任何其他站点的双归。

用于在PE设备之间交换客户前缀的路由协议是多协议BGP（MP-BGP）。MP-BGP支持携带除基本IPv4之外的前缀的扩展。在IPMPLSVPN应用中，客户前缀附加了路由标识符（Route Distinguisher，RD），创建了一个VPNv4地址族。类似地，对于IPv6，可以创建VPNv6地址族。VPNv6地址族允许核心路由器不知道IPv6，因此在移动网络中引入IPv6是一种可能性，特别是在MPLS网络已经存在的情况下。

IPMPLS虚拟专用网（Virtual Private Network，VPN）意味着可以为多个客户共享服务提供商（Service Provider，SP）基础设施。每个客户都提供了一个IP层连接到他的网站，并且几乎每个客户似乎都有自己的网络。然而，服务提供商的网络设备和链路被共享以供若干客户使用。

在IPMPLS VPN模型中，客户边缘（CE）路由器与服务提供商边缘（PE）设备对等。CE向PE发送路由信息，PE路由器与该VPN的其他PE设备共享VPN路由信息。哪些路由被广告和接受，由BGP导出和导入路由目标控制。

MPLS核心路由器（P路由器）不需要知道客户网络。MPLSPE和P路由器在MPLS网络内运行内部网关协议（IGP），例如OSPF（这不与客户IGP交互）。

图4.31显示了两个客户，Alfa和Beta。客户Alfa的边缘设备是CE A1和CEA2，客户Beta分别是CEB1和CEB2。创建两个单独的VPN：一个用于Alfa；另一个用于Beta（VPNA和VPNB）。提供商的边缘设备PEx和PEy使用MP-iBGP交换客户路由信息。

图4.31 MPLS层3VPN

VPNA相关的路由信息通过PEx和PEy之间的MP-iBGP交换，并且进一步重新分配到用于Alfa的设备CEA1和CEA2的PE-CE协议中。类似地，Beta的设备具有对VPN B中的CEB1和CEB2已知的网络的可达性。Alfa和Beta之间没有连接，因为VPN路由信息保持在该VPN内：VPNA的路由不通告给VPNB，反之亦然。

路由信息通过使用VPN路由和转发（VRF）表在PE中保持分离。VRF保持特定于客户的客户路由信息。因此，单个PE节点可以支持彼此隔离的多个客户网络。

在用户平面中，转发是基于MPLS核心中的标签。使用两个标签，外层标签或LSP隧道标签由MPLS核心使用。此标签由LDP分发。核心路由器根据这个外层标签交换传入的数据包。使用倒数第二跳弹出（Penultimate Hop Popping，PHP），外部标签在笔末端链接被删除，并且内部标签暴露于出口PE。

内部标签或VPN标签用于出口PE，并由MP-BGP分发。出口PE将内层标签与VPN关联，删除标签，并将IP报文从正确的出接口转发到CE。(www.daowen.com)

对于IPMPLSVPN应用，在MP-BGP中定义了新的地址族，VPN-IPv4地址族。VPN-IPv4地址由12B组成：8B的路由标识符（Route Distinguisher，RD）字段和4B的IPv4地址。新的VPN-IPv4地址对于每个VPN是唯一的，即使将使用相同的IPv4地址。从CE学到的路由被导出到MP-BGP，然后将路由分发到需要它们的PE。

路由学习由路由目标（Route Target，RT）属性控制。这允许分别定义安装到每个VRF有哪些路由。每个VRF具有一个或多个RT属性，并且每个路由具有一组路由目标。在BGP中，路由目标作为扩展的社区路由目标承载，结构与RD相同。

PE为MP-BGP分配MPLS标签，使用自己的地址作为BGP的下一跳地址。地址采用VPN-IPv4格式，RD值为0。PE设备之间的业务将随着分配的标签流动，并且标签在另一个PE上弹出。

通过MPLS在LSP级别支持弹性。IGP在故障情况下重新路由流量。由于自由保留模式，另一个LSP的标签可能已经存在。另外，当新的路径计算正在进行时，MPLS流量工程快速重路由可以用于转发流量。

在服务提供商MPLS网络中，与客户网络接口的设备是PE设备，而其他路由器是P路由器，其没有看到客户路由。这简化了P路由器的作用，因为它们可以专注于基于标签转发流量，但不需要交换和存储客户路由。

CE-PE链路是附接电路。附接电路可以作为VLAN，然后它指导VRF的选择。路由协议可以用于PE学习CE前缀。

路由协议可以是BGP、OSPF或IS-IS，或另一些其他协议。或者，可以使用静态路由。显然，路由协议的选择需要在客户和服务提供商之间达成一致。对于客户，如果路由协议可以与客户网络中已经使用的协议相同，则是有益的。服务提供商可能对控制在PE-CE协议和MP-BGP之间重新分布的路由感兴趣。

从故障恢复（取决于位置）现在也受到MP-BGP和MPLS核心的融合的影响。这个主题在本书的第7章中将很快重新讨论。

IPMPLSVPN支持大规模部署。需要在PE设备之间具有完全网状的MP-BGP会话引入了限制。对于较大的部署，使用路由反射器（RR）。每个PE保持与路由反射器的会话，而不是与其他PE的专用会话。路由反射器负责在PE之间分发路由信息。为了避免单个故障点，RR被复制。

应用的特性，例如如图4.31所示，似乎与移动回传的需求相匹配：

• 活配置IP层连接；

• 支持IPv4和IPv6；

• 大型部署的可扩展性；

• 链路和节点的电信级弹性；

• 进一步应用基于MPLS的应用的可能性：MPLSTE快速重路由等。

潜在的缺点是由于对等，客户与服务提供商共享路由。所以客户网络是在IP层不完全在客户的控制下，而恢复也依赖于提供商的网络运行。