MPLS VPN网络主要由CE、PE和P等3部分组成：

CE用户网络边缘路由器设备，直接与服务提供商网络相连，它“感知”不到VPN的存在；

PE服务提供商边缘路由器设备，与用户的CE直接相连，负责VPN业务接入，处理VPN-IPv4路由，是MPLS三层VPN的主要实现者；

P服务提供商核心路由器设备，负责快速转发数据，不与CE直接相连。

在整个MPLS VPN中，P、PE设备需要支持MPLS的基本功能，CE设备不必支持MPLS。

MPLS的核心是标签，标签分配的协议有很多种，但标签分发协议LDP协议应用最为广泛，被各大厂商的路由器作为默认的标签分发协议使用。

MPLS VPN顾名思义就是用MPLS技术去实现VPN，MPLS通过对VPN用户分配两层标签，也就是公网标签和私网标签，其中公网标签位于外层，用于在网络中两个PE之间打通一条隧道；而私网标签位于内层，实现对不同VPN用户数据的区分。

1、区分不同公司相同地址的的数据

现在引入VRF：运营商为确保客户信息的安全性为每个VPN用户单独分配一个路由表，即VPN路由与转发表VRF。因为在PE路由器上的路由需要被相互隔离，以确保对每一个用户VPN的私有性，每个VRF和VPN相对应。

为了解决客户地址重叠问题，MPLS VPN除了在PE路由器上使用多个VRF表的方法，还引入了路由标识符RD。RD和VRF表之间建立了一一对应的关系。RD+IP地址就是VPN-IPV4地址。

2、RT路由目标

VRF的标识符是用的RD，而核心网PE到PE的路由取舍用的是Route target，也就是RT。

每个VRF都可以配置export target和import target属性，从而来实现VPN的灵活控制、能够通过配置实现同一个VPN里用户的路由进行交互、而不同的VPN的用户路由不能交互，也就控制了VPN用户之间的互访关系。

3、MP-BGP

如何在PE之间传递各VRF中的路由以及相应的RT，需要用到BGP这个协议。

并且为了适应VPN技术的需求，BGP路由协议进行了一定的扩展，扩展后的BGP叫做MP-BGP。

4、PE向CE的报文转发问题

既然路由发布时已经携带了RD，能否在发送数据包时也在地址前面加上RD呢？

理论上可以，但是RD太长（和RT都是64位），会导致转发效率的降低，另外还需要PE设备升级到支持这种格式的报文，所以最好的方法只需要一个短小、定长的MPLS标记即可。所以在MPLS VPN中IP包带两层标签，公网标签和私网标签。

5、配置MPLS VPN

1）配置公网隧道：首先在公网上使能MPLS，建立公网隧道。

配置公网IGP路由：首先在公网上配置某种IGP路由协议，让公网设备之间IP互通。

配置MPLS：然后在公网设备以及公网接口上使能MPLS和MPLS LDP协议。

2）配置本地VPN：根据用户VPN互访关系，设计本地VPN。

按照用户互访需求创建VPN并配置该VPN的RD和RT值。

配置私网接口和VPN的绑定。

配置PE和CE之间的路由，实现PE和本地VPN用户之间的路由交互。

3）配置MP-BGP：在PE之间建立其MP-BGP邻居，传递私网路由。

配置PE之间普通BGP邻居：PE之间是通过Loopback接口来建立邻居关系。

配置PE之间MP-BGP邻居：在建立普通BGP邻居的基础上，需要进一步使能PE之间的BGP协议传递VPN-IPV4路由的能力，也就是要把PE之间普通的BGP邻居关系转变为MP-BGP邻居关系，这是关键步骤。方法是在BGP试图下进入VPN-IPV4地址族，并使能该邻居。

4）配置本地VPN和MP-BGP之间的路由引入引出：PE和CE之间采用某种路由协议的相互交互路由，这部分路由将学习到PE对应的VPN路由表中，但这些路由并不会自动被MP-BGP路由发布给对端PE，需要在MP-BGP协议中加以引入才行。相反MP-BGP从远端PE学到的私网路由也存在在对应的VPN路由表中，但这部分路由并不会自动通过PE和CE之间运行的路由协议发布给CE，也需要做路由引入。