在網(wǎng)絡中使用MCE技術，可以有效解決多VPN網(wǎng)絡帶來的數(shù)據(jù)安全與網(wǎng)絡成本之間的矛盾。

多CE組網(wǎng)圖

CE

CE（Customer Edge）是用戶網(wǎng)絡邊緣設備，有接口直接與服務提供商SP（Service Provider）網(wǎng)絡相連。CE可以是路由器或交換機，也可以是一臺主機。通常情況下，CE“感知”不到VPN的存在，也不需要支持MPLS。

PE

PE（Provider Edge）是服務提供商網(wǎng)絡的邊緣設備，與CE直接相連。在MPLS網(wǎng)絡中，對VPN的所有處理都發(fā)生在PE上，因此對PE性能要求較高。

P

P（Provider）服務提供商網(wǎng)絡中的骨干設備，不與CE直接相連。P設備只需要具備基本MPLS轉(zhuǎn)發(fā)能力，不維護VPN信息。

VPN

VPN是依靠ISP（Internet Service Provider，因特網(wǎng)服務提供商）或NSP（Network Service Provider，網(wǎng)絡服務提供商）在公共網(wǎng)絡中建立的虛擬專用通信網(wǎng)絡。VPN具有專用、虛擬兩個基本特征，能夠把現(xiàn)有的IP網(wǎng)絡分解成邏輯上隔離的網(wǎng)絡。

VPN實例

PE設備由于連接不同私網(wǎng)的CE，會收到來自各CE的路由。不同私網(wǎng)可能會使用重疊的地址空間，導致私網(wǎng)路由攜帶相同的目的地址。如果PE只有一張路由轉(zhuǎn)發(fā)表，將使重疊地址的路由相互覆蓋而造成路由丟失，VPN實例就是為了避免這種情況而產(chǎn)生的。

PE上存在多個路由轉(zhuǎn)發(fā)表，包括一個公網(wǎng)路由轉(zhuǎn)發(fā)表，以及一個或多個VPN路由轉(zhuǎn)發(fā)表。也就是說，PE上存在多個實例，包括一個公網(wǎng)實例和一個或多個VPN實例。各個VPN實例維護各自VPN的路由，公網(wǎng)實例維護公網(wǎng)路由，這樣可以防止路由因目的地址重疊而在PE上丟失。

Site

Site（站點）是指相互之間具備IP連通性的一組IP系統(tǒng)，并且這組IP系統(tǒng)的IP連通性不需通過ISP實現(xiàn)。Site的劃分是根據(jù)設備的拓撲關系，而不是根據(jù)地理位置實現(xiàn)的，一個Site可以屬于多個VPN。

通過在MCE設備上對每一個需要隔離的業(yè)務都部署一個VPN實例，不同的VPN用戶部署獨立的路由協(xié)議與MCE設備通信實現(xiàn)。MCE實際上是把PE的功能擴展到了CE設備，MCE的每個接口及PE接入多實例CE的接口上都綁定相應的VPN實例，并為每個VPN創(chuàng)建和維護獨立的路由轉(zhuǎn)發(fā)表，這樣便為該VPN用戶建立了一個獨立的通道，從而實現(xiàn)不同用戶的業(yè)務隔離。

如下圖所示，在MCE上配置了三個VPN實例：VPN1、VPN2和VPN3，這樣就在MCE上創(chuàng)建了三個獨立的私網(wǎng)路由轉(zhuǎn)發(fā)表。將MCE與Site1之間的鏈路綁定VPN1，將MCE與Site2之間的鏈路綁定VPN2，將MCE與Site3之間的鏈路綁定VPN3，同時將MCE與PE連接的三條鏈路綁定不同的VPN實例。這樣就在只使用一臺設備的情況下，對不同的VPN業(yè)務實現(xiàn)了隔離。

配置了MCE后，可以看到MCE上的私網(wǎng)路由轉(zhuǎn)發(fā)表，對于每一種業(yè)務，CE上都有到局域網(wǎng)以及到遠端站點的路由。

MCE組網(wǎng)圖

MCE的路由交換

MCE設備從VPN1學到路由信息，存放在VPN1的路由轉(zhuǎn)發(fā)表中，PE從MCE設備學到VPN1路由信息并存放。VPN2、VPN3的路由信息不存放到VPN1的路由轉(zhuǎn)發(fā)表中，因此和VPN1是相互隔離的。

由于在MCE設備上已經(jīng)將路由信息與VPN實例進行了綁定，而且在MCE與PE之間也通過接口對VPN實例的報文進行了區(qū)分，因此，MCE與PE之間只需要進行簡單的路由配置，并將MCE的VPN路由表項引入到MCE-PE間的路由協(xié)議中，即可實現(xiàn)私網(wǎng)VPN路由信息的傳播。

MCE與PE之間可以使用靜態(tài)路由、RIP、OSPF、IS-IS或BGP交換路由信息。

MCE與Site間可以通過不同的方式進行路由交換：

• MCE通過靜態(tài)路由與VPN實例綁定，將各VPN之間的靜態(tài)路由進行隔離，解決多VPN間的地址空間重疊問題。

• MCE通過RIP進程與VPN實例綁定，使不同VPN內(nèi)的私網(wǎng)路由可以通過不同的RIP進程在Site和MCE間進行交互，保證了私網(wǎng)路由的隔離和安全。

• MCE通過OSPF進程與VPN實例綁定，在MCE上隔離不同VPN的路由。

• MCE和Site之間使用IS-IS傳播私網(wǎng)路由的方式與使用OSPF類似，也是將IS-IS進程與VPN實例進行綁定。

• MCE和Site之間使用BGP傳播私網(wǎng)路由時，需要在MCE上為每個VPN實例配置BGP對等體，并引入相應VPN內(nèi)的IGP路由。

MCE在園區(qū)網(wǎng)中的應用

在園區(qū)網(wǎng)絡中，為了實現(xiàn)多用戶隔離，可以采用BGP/MPLS IPv6 VPN技術。但是一般需要隔離的用戶數(shù)量是有限的，如果依然部署PE設備和P設備，會使部署較為復雜，維護成本較高。

這種情況下，可以采用MCE技術解決這個問題。如下圖所示，在園區(qū)網(wǎng)絡中的接入層設備上部署MCE，使其作為MCE設備與多個VPN網(wǎng)絡相連，承載用戶的私網(wǎng)路由。私網(wǎng)路由不需要經(jīng)過運營商網(wǎng)絡，可以直接傳輸?shù)綄Χ薓CE設備實現(xiàn)路由交換。

MCE園區(qū)組網(wǎng)圖

這種組網(wǎng)方法有如下好處：

• 配置簡單，無需部署MPLS和MP-BGP協(xié)議。

• 節(jié)約成本，無需部署PE和P設備。

在園區(qū)網(wǎng)絡中部署MCE的方法如下：

• MCE1和MCE2互為CE，將MCE1和MCE2之間的鏈路綁定到對應的VPN，并相互部署路由協(xié)議。

• 將MCE和Site之間的鏈路綁定到對應的VPN，并相互部署路由協(xié)議。

如果MCE與Site之間的路由協(xié)議、MCE之間的路由協(xié)議兩者不一致，則需配置路由引入功能，使用的路由協(xié)議可以是靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+。可以根據(jù)實際情況進行選擇。

MCE園區(qū)網(wǎng)絡中IPv6報文轉(zhuǎn)發(fā)的具體流程如下：

1. Site2發(fā)送目的地址為Site1地址的報文，查找本地路由轉(zhuǎn)發(fā)表，將報文發(fā)送給MCE2。

2. MCE2收到報文后，根據(jù)報文入接口信息，查找對應的私網(wǎng)路由轉(zhuǎn)發(fā)表，把報文繼續(xù)轉(zhuǎn)發(fā)給MCE1。

3. MCE1收到報文后，根據(jù)報文入接口信息，查找對應的私網(wǎng)路由轉(zhuǎn)發(fā)表，把報文繼續(xù)轉(zhuǎn)發(fā)給Site1。

4. Site1收到報文后，發(fā)現(xiàn)是本地目的地址報文，正常處理。

MCE在數(shù)據(jù)中心網(wǎng)絡中的應用

數(shù)據(jù)中心網(wǎng)絡設備可以分為出口層、核心層、匯聚層和接入層四個層次。出口層為進出數(shù)據(jù)中心的流量做高速轉(zhuǎn)發(fā)處理，核心層為不同匯聚層的數(shù)據(jù)流量做高速轉(zhuǎn)發(fā)處理，匯聚層為服務器提供冗余網(wǎng)關的功能，同時提供負載均衡、防火墻等功能，接入層為數(shù)據(jù)中心服務器提供高密度網(wǎng)絡端口。

MCE數(shù)據(jù)中心網(wǎng)絡組網(wǎng)圖

在數(shù)據(jù)中心網(wǎng)絡中，MCE部署在核心交換機上，減少所需CE設備，從而簡化網(wǎng)絡組網(wǎng)。

在該組網(wǎng)中可以采用如下方法部署MCE功能：

1. 在核心層設備上對不同的業(yè)務配置不同的VPN實例。

2. 在核心層設備的每個接口上都綁定相應的VPN實例。

3. 出口層設備作為PE設備接入核心層設備，與核心層設備相連的接口都綁定相應的VPN實例。

4. 部署路由協(xié)議，使出口層設備可以與核心層設備實現(xiàn)相互通信。