三層VPN

三層VPN

三層VPN
中文名	三層虛擬專用網絡
英文名	Layer 3 VPN (L3VPN)
技術類型	網絡通信技術 / 虛擬專用網
核心功能	跨公共網絡提供三層IP連接、路由隔離
主要協議	MP-BGP、MPLS
標準化機構	IETF
基礎RFC	RFC 4364 (BGP/MPLS IP VPNs)
常見部署形態	MPLS L3VPN

三層VPN（全稱：Layer 3 Virtual Private Network，縮寫L3VPN）是一種在公共網絡基礎設施上提供IP層虛擬專用連接的網絡技術，其核心特徵在於服務提供商參與客戶網絡的三層路由，使分布在不同地理位置的用戶站點通過服務提供商骨幹網實現IP互通^[1][2]。三層VPN最早由IETF於1999年在RFC 2547中正式定義，後經修訂形成RFC 4364標準（2006年發布），奠定了BGP/MPLS IP VPN的技術框架^[3][4]。相比二層VPN，三層VPN更適合需要服務提供商參與路由管理、具備可擴展性要求的跨地域企業網絡互聯場景，已在運營商和企業廣域網中得到廣泛部署^[5][6]。

三層VPN是指服務提供商在IP/MPLS骨幹網上向客戶提供的三層VPN服務，VPN業務在網絡層（OSI第三層）進行路由和轉發^[3][7]。與二層VPN的透明傳輸方式不同，三層VPN要求服務提供商邊緣設備（PE）參與客戶站點的路由交互：PE從客戶邊緣設備（CE）學習私網路由後，通過骨幹網將其分發給其他PE，從而實現遠端站點的IP互通。該技術採用對等模型（peer model），CE之間不直接建立對等關係，所有三層路由功能由服務提供商在PE上集中完成^[1][3]。從客戶視角，分布在不同地域的各站點就像接入同一個私有網絡，無需感知服務提供商骨幹網的具體轉發機制^[3]。

三層VPN的網絡體系架構主要由以下三類設備組成^[6][8][9]：

• 用戶邊緣設備（CE，Customer Edge）：部署在客戶網絡邊緣的路由器或三層交換機，直接與服務提供商的PE設備相連。CE負責將本地的VPN路由發布給PE，並從PE獲取遠端VPN路由。CE「感知」不到VPN的存在，無需支持MPLS，可通過靜態路由、RIP、OSPF、BGP等多種路由協議與PE交換路由信息^[6]。

• 服務商邊緣設備（PE，Provider Edge）：服務提供商網絡的邊緣路由器，位於骨幹網與客戶網絡的交界處，是整個三層VPN體系的核心。PE為每個接入的VPN站點創建和維護獨立的VPN實例（又稱VRF，Virtual Routing and Forwarding），實現不同VPN客戶之間的路由隔離。PE通過與CE交互學習客戶路由，再經由骨幹網利用MP-BGP將VPN路由分發給其他PE^[6][9]。

• 服務商核心設備（P，Provider）：服務提供商骨幹網內部的路由器，不直接連接CE。P設備只負責MPLS標籤的高速轉發，不感知任何VPN路由信息，也不需要維護VRF。P設備僅需具備基本的MPLS轉發能力和到PE的路由可達性即可^[6][8]。

一個VPN對應一組互訪站點的集合。服務提供商根據管理策略將VPN成員劃分為不同的站點集合，只有屬於相同VPN的站點之間才能通過骨幹網互通^[6]。一個物理站點可以屬於多個VPN（例如總部同時接入企業內網和合作夥伴網絡），此時PE上將為該站點維護包含多個VPN信息的VRF實例^[6]。

虛擬路由轉發（VRF，Virtual Routing and Forwarding）是三層VPN中實現多租戶路由隔離的核心機制。PE為每一個直接相連的VPN站點創建獨立的VRF實例，每個VRF維護各自的路由表、轉發表（FIB）、標籤轉發表以及與特定接口的綁定關係^[6][10]。由於不同VPN的VRF在PE上互相隔離，即使多個VPN使用了重疊的IP地址空間（例如都使用10.0.0.0/8私有地址段），也不會產生路由衝突^[6]。

標準的BGP無法區分來自不同VPN但IP地址相同的路由前綴，因此在三層VPN中使用了VPN-IPv4地址族（VPNv4）來解決地址重疊問題^[6]。VPNv4地址是在原有的IPv4地址前綴前附加一個8字節的路由標識符（Route Distinguisher，RD）形成的擴展地址結構。RD具有全局唯一性，使得原本可能重疊的IPv4地址通過添加RD後成為全局唯一的VPNv4地址，從而允許PE在MP-BGP中正確區分和維護來自不同VPN的路由信息^[6][11]。

路由目標（Route Target，RT）是BGP擴展團體屬性的一種，用於控制VPN路由在PE之間的導入和導出。每個VRF配置入向和出向兩套RT屬性：當PE發布VPN路由時，會為其附加出向RT值；接收方PE根據入向RT配置，決定將收到的路由導入到哪些本地VRF實例中。通過RT的靈活配置，可以實現多種VPN互通模型，如基本點到點互聯（全網狀）、Hub-Spoke（中心-分支）以及跨VPN的Extranet互聯^[9]。

三層VPN的控制平面依賴多協議BGP（MP-BGP）在PE之間傳播VPN路由信息。PE之間建立MP-IBGP對等體關係，交換攜帶VPN-IPv4地址族信息的路由更新^[2][12]。在跨自治系統的場景中，亦可使用MP-EBGP在AS之間傳遞VPN路由。MP-BGP擴展了傳統的IPv4單播地址族，增加了對VPNv4地址族的支持，同時在路由更新中攜帶MPLS標籤。此標籤與VPN路由相關聯，用於標識數據包所屬的VRF和出接口，從而實現數據平面的標籤轉發^[3][2]。

除MP-BGP外，MPLS骨幹網通常還運行標籤分發協議（LDP，Label Distribution Protocol）或資源預留協議流量工程擴展（RSVP-TE），在PE與PE之間建立公網標籤交換路徑（LSP，Label Switched Path）。公網LSP用於承載封裝後的VPN數據包，使其在P設備之間透明傳輸^[6]。

三層VPN的數據轉發採用兩層標籤嵌套機制^[9][6]：

1. **入口PE處理**：當CE將IP數據包發送至入口PE時，PE根據接收接口查找到對應的VRF實例，在VRF路由表中執行目的IP地址的最長匹配查詢，確定出口PE和對應的VPN標籤。

2. **標籤壓棧**：入口PE向IP數據包壓入兩層MPLS標籤。內層（VPN標籤）由MP-BGP分發，用於標識數據所屬的VPN以及出口PE上的目標VRF；外層（隧道標籤）由LDP或RSVP-TE分發，用於指引數據包沿着預建立的LSP從入口PE轉發至出口PE^[9]。

3. **骨幹網轉發**：P路由器僅根據外層標籤進行轉發，將攜帶兩層標籤的MPLS報文逐跳傳遞至出口PE。P路由器不檢查內層VPN標籤，也不參與VPN路由表查詢。

4. **出口PE處理**：出口PE接收到報文後先彈出外層標籤，再根據內層VPN標籤確定目標VRF，查找VRF路由表後將原始IP數據包轉發至對應的CE設備。

三層VPN的路由分發過程基於MP-BGP的信令機制^[6][3]：

• **CE到PE**：CE將本地站點的IP路由通過靜態路由或IGP/BGP協議發布給直連的PE，PE將其導入對應的VRF路由表。

• **PE到PE**：入口PE將VRF中的IPv4路由添加RD後轉換為VPNv4格式，為其分配VPN標籤，並通過MP-IBGP發布給遠端PE。MP-BGP利用RT擴展團體屬性控制路由的導入範圍。

• **PE到CE**：遠端PE根據本地VRF的入向RT配置，決定是否將收到的VPNv4路由導入本地VRF，還原為普通IPv4路由後通過靜態路由或IGP/BGP發布給所連接的CE，完成遠端站點的路由學習。

通過上述流程，三層VPN實現了客戶路由在服務提供商骨幹網中的受控分布，保障了VPN間的邏輯隔離和路由策略的靈活配置^[3]。

HoVPN（Hierarchy of VPN）通過在PE設備之間引入分層架構來提升傳統MPLS L3VPN網絡的擴展性。傳統MPLS L3VPN採用平面PE模型，所有PE需維護全網VPN路由，當PE數量或VPN路由規模增長時面臨擴展瓶頸。HoVPN將PE分為上層SPE（Superstratum PE）和下層UPE（Underlayer PE），SPE匯聚和存儲全網VPN路由，UPE僅維護本地VPN路由，從而實現性能分級和網絡規模的無限制擴展^[13][14]。

當VPN站點跨越多個自治系統時，三層VPN需解決跨域互聯問題。RFC 4364中描述了三種主要的跨域模型^[4]：Option A（背靠背VRF，ASBR之間以子接口方式互聯，維護獨立VRF）、Option B（ASBR之間通過MP-EBGP交換VPNv4路由，傳遞VPN標籤）、Option C（ASBR之間僅傳遞公網標籤，PE之間直接建立多跳MP-EBGP會話）。Option C具有最佳的擴展性，在大型跨域部署中應用最為廣泛^[4]。

近年來，三層VPN技術在標準化和應用場景方面持續演進。在承載隧道方面，業界正加速從MPLS隧道向SRv6（Segment Routing over IPv6）演進，L3VPN over SRv6方案利用IPv6擴展頭實現標籤封裝，簡化了控制平面並提升了與IPv6網絡的兼容性^[15]。在地址族支持方面，面向IPv6 VPN的擴展由RFC 4659完成定義。在多播支持方面，RFC 6513和RFC 6514規範了組播VPN（MVPN）在L3VPN框架中的實現方式。在SDN/NFV環境下，三層VPN控制平面通過與SDN控制器集成實現自動化部署和策略編排，提高了運維效率。

三層VPN被廣泛應用於以下場景^[5][6][16]：

• 企業廣域網互聯：連接企業總部與各分支機構，構建安全可靠的跨地域內部網絡。服務提供商參與路由管理，企業無需自建廣域網基礎設施。

• 運營商VPN增值業務：運營商通過MPLS L3VPN向企業客戶提供可管理的VPN服務，支持服務質量（QoS）保障和流量工程（TE），可提供差異化的SLA承諾。

• 數據中心互聯（DCI）：連接多個數據中心的三層網絡，實現業務系統跨數據中心的高效互通與災備。

• 混合雲/多雲連接：在私有數據中心與公有雲VPC之間建立三層VPN連接，實現雲上雲下資源的協同調度。

• 政府/金融專網：構建跨地域的政府機構專網或金融行業專網，利用VRF和多協議BGP實現租戶間的安全隔離。

• 組播VPN：利用三層VPN框架承載IPTV、視頻會議等組播業務，組播源PE將組播流量通過MP-BGP信令分發至各成員PE，實現大規模組播業務的高效傳輸^[17]。

• 5G傳輸網：在5G承載網中，L3VPN常用於N3/N4接口的用戶面和控制面傳輸隔離，配合SRv6等技術實現端到端切片保障。

三層VPN的主要優點包括良好的可擴展性——新增站點時僅需在PE上配置VRF和路由策略，無需修改全網路由。它實現了不同VPN客戶之間完全的邏輯隔離，即使客戶使用重疊的IP地址空間也能正常工作^[5][6]。服務提供商可參與三層路由管理，為客戶提供端到端的QoS保障和SLA承諾，並支持組播VPN、IPv6 VPN、跨域VPN等多種增值業務擴展^[2]。

其局限性主要體現在以下幾個方面。首先，三層VPN要求PE設備維護大量的VRF和VPN路由信息，對PE設備的控制平面內存和轉發平面性能要求較高，當PE數量或VPN路由條目大規模增長時，面臨一定的性能和擴展性挑戰^[13]。其次，相比二層VPN，三層VPN不支持客戶自行運行三層路由協議（如OSPF、BGP）直接對等互聯——客戶路由被PE截獲並重新注入。再次，三層VPN主要面向IP流量，對非IP協議的支持較為有限。最後，三層VPN的部署和運維要求服務提供商具備較高的三層路由規劃和故障排查能力，一定程度上提高了運營門檻。