‍‍

MPLS中VPN之间的连接

MPLS为VPN服务提供VPN之间的地址和路由分隔。但是，在许多环境中，VPN中的设备必须能够到达VPN外部的目的地。例如，在两家公司合并的情况下，这可能用于Internet访问或合并两个VPN。MPLS不仅提供了完全的VPN分离，而且还允许合并VPN和访问Internet。

为此，PE路由器维护各种表：路由上下文表特定于CE路由器，并且仅包含来自此特定VPN的路由。从那里，路由被传播到VRF(虚拟路由和转发实例)路由表中，从中计算出VRF转发表。

对于分离的VPN，VRF路由表仅包含来自一个路由上下文的路由。为了合并VPN，将不同的路由上下文(来自不同的VPN)放入一个VRF路由表中。这样，可以将两个或多个VPN合并为一个VPN。在这种情况下，所有合并的VPN都必须具有互斥的寻址空间。换句话说，所有包含的VPN的总地址空间必须唯一。

为了使VPN具有Internet连接，将使用相同的过程：来自Internet VRF路由表(默认路由表)的路由会传播到需要Internet访问的VPN的VRF路由表中。除了传播所有Internet路由之外，还可以传播默认路由。在这种情况下，VPN和Internet之间的地址空间必须是不同的。由于所有其他地址都可以在Internet中出现，因此VPN必须使用专用地址空间。

从安全的角度来看，合并的VPN的行为就像一个逻辑VPN，并且上述安全机制现在在合并的VPN和其他VPN之间适用。合并的VPN内部必须具有唯一的地址空间，但是其他VPN可以使用相同的地址空间而不会受到干扰。合并VPN之间的数据包无法路由到其他VPN。MPLS的所有分离功能也适用于相对于其他VPN的合并VPN。

如果两个VPN以这种方式合并，则来自任一部分的主机都可以到达另一部分，就像这两个VPN是公共VPN一样。使用标准的MPLS功能，合并的VPN之间没有分隔，防火墙或数据包过滤。同样，如果VPN通过MPLS / BGP VPN机制接收Internet路由，则除了MPLS功能外，还必须设计防火墙或数据包过滤功能。