所有的×××的拓扑结构都是这样的:

 

CE——(PE——P——PE)——CE

 

其中,CE为客户端边缘,PE为提供商边缘,P为提供商核心。


传统的IPSec ×××是在 CE 与 CE 之间建立的tunnel隧道,在这种情况下,所有的配置工作都是在客户端。而且,IPSec ×××建立的隧道是静态的,要进入隧道的网络也是静态宣告的。所以每当新增一个节点的时候,网工都要手工在这个新增结点上建立与所有已存在的N个结点的隧道及相关的路由。对于已存在的N个结点,需要在每个结点上都建立一个与新增结点之间的隧道及相关的路由。扩展时极不方便!

 

另外,如果两端CE有两个相同私有地址空间的×××实例,而只有一个PE可供接入,会发生什么情况呢?

比如,CE的两个×××使用的都是192.168.1.0网段,他们都连接着对端的192.168.2.0网段,当使用ESP封装这两个私有网段进乘客协议后,在路由到PE端时,将产生混乱。PE路由器将无法分辨两个相同的私有地址到底各自属于哪个×××。即使传输到对端PE后,PE路由器也无法正确递交数据包给正确的×××。

这就是IPSec ×××的私有地址冲突问题。

 

于是,基于MPLS/BGP的×××技术出现了,它不但能解决IPSec ×××的私有地址冲突问题,还能去除其静态隧道的不足,使用动态隧道路由封装的×××数据包。前者是使用BGP解决的,后者是使用MPLS创建的。

 

而且,基于MPLS/BGP的×××是在PE与PE之间建立tunnel隧道的,无需客户端的大量配置了。