‍‍

MPLS(Multi-Protocol Label Switching，多协议标签交换)是一种将具有相同转发处理方式的分组归为一类(Forwarding Equivalent Class，转发等价类FEC)的分类转发技术。

在MPLS网络中，通过LDP(Label Distribution Protocol，标签分配协议)动态地在邻居之间发布标签/FEC绑定关系，建立一系列的LSP(Label Switching Path，标签交换路径)隧道，形成逻辑上的全网状拓扑结构。

MPLS结合了IP技术的灵活性与ATM技术的安全性等优点，非常适合组建VPN(Virtual Private Network，虚拟专用网)。在VPN中有CE(Custom Edge，用户接入设备)、PE(Provider Edge Router，骨干网边缘路由器)和P(Provider Router，骨干网核心路由器)三种路由器。

MPLS VPN受到以下设备的威胁：

1. 客户边缘(CE)路由器。它们放置在客户现场，通常由客户拥有。一些服务提供商还以较低的租金提供CE设备。

2. 提供商边缘(PE)路由器。这些是CE路由器连接到的提供商的边缘路由器。PE路由器始终归服务提供商所有。

3. 提供商(P)路由器。这些路由器通常称为“中转路由器”，位于服务提供商的核心网络中。

MPLS IP VPN加密

尽管MPLS IP VPN提供了一个可扩展的模型，客户可以在其中彼此安全地连接远程站点，但是已经有很多关于服务提供商为这些电路提供的加密服务的讨论。

事实是MPLS IP VPN通常不提供任何加密服务。MPLS VPN体系结构使得侵入MPLS电路并暴露内部网络和路由几乎是不可能的，除非提供商网络中某处存在重大错误或配置缺陷。

MPLS VPN的加密是使用IPSec执行的，IPSec实际上是一套协议，旨在在两个或多个端点之间提供基于IP的安全路径。