3.3.2　服务提供商的MPLS VPN服务

要想将企业DC的分段扩展至WAN上的远程分支，最简单的方法就是从服务提供商处订购多重L3层VPN服务，并将每一个内部VN一对一地映射到相应订购的L3层VPN上。通过这样的部署方式，远程分支机构将变成multi-VRF CE，而根据头端站点的不同设置方法，头端（或者是DC）路由器将转变成一个multi-VRF企业客户边界路由（Enterprise Customer Edge,E-CE）或者企业提供边界路由（Enterprise Provider Edge,E-PE）。

图3-11展现了三种不同的VRF或者是租户如何扩展成三个互相隔离的远程分支机构（Remote Branch Office,RBO）。在提供商的云中，每个租户都被映射到单独的IP VPN服务上。在E-CE/E-PE路由间，连接不同的企业VRF的不同子接口被映射成P-PE设备内多重订购VRF。这些连接实现了企业VRF和服务供应商VRF间一对一的映射。在企业供应商边界的子接口，企业和供应商的VRF实现了背靠背、连续的连接。E-CE1、E-CE2、E-CE3以及E-PE路由都支持multi-VRF，这些设备上也以P-PE路由或者是每一VRF为基础运行包括OSPF、BGP等相应的路由协议。

图　3-11　SP的multi-VPN样例

说明：在服务供应商的multi-VPN方案中，E-PE路由还拥有一个类似MP-iBGP发言人的附加功能，它可以在DC网络监视另一个MP-iBGP发言人（例如，另一个E-PE路由）。为了获得更好的扩展性，需要使用VPN路由反射器（Route-Reflector,RR）来监视发言人，这种方法确实能够消除MP-iBGP发言人间网状连接带来的监视负担。

简单是这种方案的最大优点，不过随着VRF和分支站点数量的增加，其未来的费用让人望而却步。从私有云的观点，相比完全的匿名控制和服务提供，这种方案因为过度依赖服务供应商才能获得L3 VPN服务而使得其吸引力相对降低。