VPN基础简介

VPN全称是Virtual Private Network，是运营商通过其公网向用户提供的虚拟专有网络，所以在用户的角度来看，VPN是用户的一个专有网络。

从技术发展角度来看，一般VPN技术分为传统的VPN技术与虚拟的VPN技术；传统的VPN技术一般可以理解为基于静态的电路域的链接方式；虚拟的VPN技术，一般是指MPLS VPN，是一种基于MPLS技术的虚拟解决方案，可以实现底层标签的自动分配，在业务的提供上比传统的VPN技术更廉价，更快速；同时也可以充分的利用MPLS技术的一些先进特性。这里简单再说一下MPLS的基本概念，MPLS全称Multi-Protocol Label Switching，是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术，是一种可提供高性价比和多业务能力的交换技术。也是由于以上的各种优势，目前来讲运营商网络中MPLS VPN被广泛的应用。所以我们现在通常讲的L3VPN什么的一般来讲都是基于MPLS的L3VPN。

从解决方案与部署上来讲VPN一般分为LV3VPN与L2VPN，LV3VPN全称就是Layer3MPLSVPNs，当然同样的L2VPN全称就是Layer2MPLSVPNs。层二层三实际上指的是解决方案的层数，而L3VPN与L2VPN的本质区别就是运营商边界设备PE是否参与客户的路由；通俗来讲就是L3VPN对于用户来讲像一个大的路由器，需要L3VPN网络提供路由，而L2VPN对于用户则像一个交换机。

以L3VPN为切入点，对VPN进行一个由点到面的介绍。

L3VPN中部署最为广泛的就是MPLS BGP VPN了，MPLS提供公网隧道的转发，BGP提供私网路由的扩散。下图为MPLS BGP VPN的网络结构。

这里VPN的实际目的就很明确，两侧VPNA的网络用户需要互联互通，而同侧的VPNA和VPNB网络需要相互隔离。简单介绍一下各个网元概念，CE指的是用户边缘设备，通常是用户侧的交换机、路由器或者是台主机；PE指运营商边缘设备，主要负责与CE通过路由协议进行对接，将CE侧的路由存入自己的VPN路由表中，并且将用户数据传入网络侧的隧道中去。P指的是运营商核心设备，主要负责公网的隧道转发。从各个设备的主要功能，就可以基本了解到这个L3VPN网络的基本工作原理了，CE与PE通过路由协议直接连接，PE设备存储CE的VPN与路由信息，入口PE到出口PE通过P设备则通过MPLS进行公网的转发传输，通过BGP进行路由的扩散；报文到达出口PE后通过扩散得到的路由信息发送至相应的出口CE这样就完成了VPN报文的转发；具体的报文实现上通常是对VPN报文进行两层标签的封装，外层的标签用于报文在公网上的传输，而内层的标签用于指定报文送达哪个VPN网络。也正是由于这两层标签的封装，实际讲用户的标识丰富成为了IP+VPN的二维信息，这样就解决了不同的用户私网中可能存在的地址重叠的问题。下图为VPN报文转发的简图。

图中，10.1.5.1这一层表示的为报文的IP层；15362这一层表示的是2层VPN标签封装中的内侧标签，实际意义为VPNA的标志；1024与3这一层表示的是2层VPN标签封装中的外层标签，用于PEB到PEA通过P传输时的MPLS标签；报文到达PEA后我们可以得到VPNA的信息与报文的IP信息，这样就可以精确的送达到VPNA网络中的目的地，完成报文的传输。