什么是MCE

CE

CE（Customer Edge）是用户网络边缘设备，有接口直接与服务提供商SP（Service Provider）网络相连。CE可以是路由器或交换机，也可以是一台主机。通常情况下，CE“感知”不到VPN的存在，也不需要支持MPLS。

PE

PE（Provider Edge）是服务提供商网络的边缘设备，与CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上，因此对PE性能要求较高。

P

P（Provider）服务提供商网络中的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN信息。

VPN

VPN是依靠ISP（Internet Service Provider，因特网服务提供商）或NSP（Network Service Provider，网络服务提供商）在公共网络中建立的虚拟专用通信网络。VPN具有专用、虚拟两个基本特征，能够把现有的IP网络分解成逻辑上隔离的网络。

VPN实例

PE设备由于连接不同私网的CE，会收到来自各CE的路由。不同私网可能会使用重叠的地址空间，导致私网路由携带相同的目的地址。如果PE只有一张路由转发表，将使重叠地址的路由相互覆盖而造成路由丢失，VPN实例就是为了避免这种情况而产生的。

PE上存在多个路由转发表，包括一个公网路由转发表，以及一个或多个VPN路由转发表。也就是说，PE上存在多个实例，包括一个公网实例和一个或多个VPN实例。各个VPN实例维护各自VPN的路由，公网实例维护公网路由，这样可以防止路由因目的地址重叠而在PE上丢失。

Site

Site（站点）是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过ISP实现。Site的划分是根据设备的拓扑关系，而不是根据地理位置实现的，一个Site可以属于多个VPN。

MCE实现原理

通过在MCE设备上对每一个需要隔离的业务都部署一个VPN实例，不同的VPN用户部署独立的路由协议与MCE设备通信实现。MCE实际上是把PE的功能扩展到了CE设备，MCE的每个接口及PE接入多实例CE的接口上都绑定相应的VPN实例，并为每个VPN创建和维护独立的路由转发表，这样便为该VPN用户建立了一个独立的通道，从而实现不同用户的业务隔离。

如下图所示，在MCE上配置了三个VPN实例：VPN1、VPN2和VPN3，这样就在MCE上创建了三个独立的私网路由转发表。将MCE与Site1之间的链路绑定VPN1，将MCE与Site2之间的链路绑定VPN2，将MCE与Site3之间的链路绑定VPN3，同时将MCE与PE连接的三条链路绑定不同的VPN实例。这样就在只使用一台设备的情况下，对不同的VPN业务实现了隔离。

配置了MCE后，可以看到MCE上的私网路由转发表，对于每一种业务，CE上都有到局域网以及到远端站点的路由。

MCE组网图

MCE的路由交换

MCE设备从VPN1学到路由信息，存放在VPN1的路由转发表中，PE从MCE设备学到VPN1路由信息并存放。VPN2、VPN3的路由信息不存放到VPN1的路由转发表中，因此和VPN1是相互隔离的。

由于在MCE设备上已经将路由信息与VPN实例进行了绑定，而且在MCE与PE之间也通过接口对VPN实例的报文进行了区分，因此，MCE与PE之间只需要进行简单的路由配置，并将MCE的VPN路由表项引入到MCE-PE间的路由协议中，即可实现私网VPN路由信息的传播。

MCE与PE之间可以使用静态路由、RIP、OSPF、IS-IS或BGP交换路由信息。

MCE与Site间可以通过不同的方式进行路由交换：

• MCE通过静态路由与VPN实例绑定，将各VPN之间的静态路由进行隔离，解决多VPN间的地址空间重叠问题。
• MCE通过RIP进程与VPN实例绑定，使不同VPN内的私网路由可以通过不同的RIP进程在Site和MCE间进行交互，保证了私网路由的隔离和安全。
• MCE通过OSPF进程与VPN实例绑定，在MCE上隔离不同VPN的路由。
• MCE和Site之间使用IS-IS传播私网路由的方式与使用OSPF类似，也是将IS-IS进程与VPN实例进行绑定。
• MCE和Site之间使用BGP传播私网路由时，需要在MCE上为每个VPN实例配置BGP对等体，并引入相应VPN内的IGP路由。

MCE在园区网中的应用

在园区网络中，为了实现多用户隔离，可以采用BGP/MPLS IPv6 VPN技术。但是一般需要隔离的用户数量是有限的，如果依然部署PE设备和P设备，会使部署较为复杂，维护成本较高。

这种情况下，可以采用MCE技术解决这个问题。如下图所示，在园区网络中的接入层设备上部署MCE，使其作为MCE设备与多个VPN网络相连，承载用户的私网路由。私网路由不需要经过运营商网络，可以直接传输到对端MCE设备实现路由交换。

MCE园区组网图

这种组网方法有如下好处：

• 配置简单，无需部署MPLS和MP-BGP协议。
• 节约成本，无需部署PE和P设备。

在园区网络中部署MCE的方法如下：

• MCE1和MCE2互为CE，将MCE1和MCE2之间的链路绑定到对应的VPN，并相互部署路由协议。
• 将MCE和Site之间的链路绑定到对应的VPN，并相互部署路由协议。

如果MCE与Site之间的路由协议、MCE之间的路由协议两者不一致，则需配置路由引入功能，使用的路由协议可以是静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+。可以根据实际情况进行选择。

MCE在数据中心网络中的应用

数据中心网络设备可以分为出口层、核心层、汇聚层和接入层四个层次。出口层为进出数据中心的流量做高速转发处理，核心层为不同汇聚层的数据流量做高速转发处理，汇聚层为服务器提供冗余网关的功能，同时提供负载均衡、防火墙等功能，接入层为数据中心服务器提供高密度网络端口。

MCE数据中心网络组网图

在数据中心网络中，MCE部署在核心交换机上，减少所需CE设备，从而简化网络组网。