MPLS VPNs - Wie mehrere Kundennetze auf einer gemeinsamen Infrastruktur betrieben werden

23.06.2026 Zuletzt aktualisiert: 28.06.2026 6 Min. Lesezeit

Nachdem wir die Grundlagen von MPLS sowie die Mechanismen zur Labelverteilung betrachtet haben, stellt sich eine naheliegende Frage: Wofür wird MPLS in der Praxis eigentlich eingesetzt?

Die wenigsten Kunden interessieren sich für Label Switched Paths oder die Funktionsweise von LDP. Unternehmen erwarten vielmehr sichere, skalierbare und zuverlässige Netzwerkdienste, die ihre Standorte miteinander verbinden. Genau hier zeigt sich die eigentliche Stärke von MPLS.

MPLS VPNs ermöglichen es einem Service Provider, tausende voneinander getrennte Kundennetze auf einer gemeinsamen Backbone-Infrastruktur zu betreiben. Jeder Kunde erhält dabei den Eindruck eines vollständig eigenen Netzwerks, obwohl die physische Infrastruktur mit zahlreichen anderen Kunden geteilt wird.

Diese Fähigkeit gehört zu den wichtigsten Gründen für den weltweiten Erfolg von MPLS und bildet einen zentralen Schwerpunkt der JNCIS-SP-Zertifizierung.

Das Problem klassischer WAN-Verbindungen

Vor der Verbreitung von MPLS wurden Standortvernetzungen häufig mit dedizierten Leitungen realisiert.

Jeder Kunde erhielt eigene physische Verbindungen zwischen seinen Standorten.

Dieses Modell funktionierte zwar zuverlässig, verursachte jedoch erhebliche Kosten.

Mit wachsender Anzahl von Standorten stieg die Zahl der benötigten Verbindungen schnell an.

Provider suchten daher nach einer Möglichkeit, mehrere Kunden auf derselben Infrastruktur zu transportieren, ohne deren Datenverkehr miteinander zu vermischen.

Genau dieses Problem löst MPLS VPN.

Die Grundidee eines MPLS VPN

Ein MPLS VPN trennt Kunden logisch statt physisch.

Die Daten verschiedener Kunden nutzen dieselbe Backbone-Infrastruktur, bleiben jedoch vollständig voneinander isoliert.

Aus Sicht des Kunden erscheint das Netzwerk wie ein privates WAN.

Der Provider transportiert die Daten transparent durch sein MPLS-Backbone.

Weder Routinginformationen noch Kundendaten werden zwischen unterschiedlichen VPNs ausgetauscht.

Dadurch entsteht eine hohe Skalierbarkeit bei gleichzeitig starker Mandantentrennung.

Die Rolle der Provider Edge Router

Innerhalb eines MPLS VPN übernehmen die Provider Edge Router, kurz PE-Router, eine zentrale Aufgabe.

Sie bilden die Schnittstelle zwischen Kunden- und Providernetz.

An den PE-Routern treffen die Kundennetze auf das MPLS-Backbone.

Hier erfolgt die Trennung der verschiedenen VPNs.

Gleichzeitig werden die erforderlichen MPLS-Labels hinzugefügt, damit die Daten korrekt durch das Netzwerk transportiert werden können.

Customer Edge und Provider Edge

Die Architektur eines MPLS VPN basiert auf einer klaren Trennung verschiedener Rollen.

Customer Edge Router, kurz CE-Router, gehören dem Kunden.

Provider Edge Router befinden sich an der Grenze zwischen Kunden- und Providernetz.

Provider Router innerhalb des Backbones transportieren die Daten, ohne die Kundennetze selbst zu kennen.

Dieses Modell ermöglicht eine hohe Skalierbarkeit.

Die Core-Router müssen lediglich Labels verarbeiten und benötigen keine Informationen über einzelne Kundennetze.

Virtual Routing and Forwarding

Die eigentliche Trennung der Kundennetze erfolgt über sogenannte VRFs.

VRF steht für Virtual Routing and Forwarding.

Eine VRF kann man sich als eigenständige Routingtabelle innerhalb eines Routers vorstellen.

Jeder Kunde erhält seine eigene VRF.

Dadurch können mehrere Kunden dieselben IP-Adressbereiche verwenden, ohne Konflikte zu erzeugen.

Die Routinginformationen bleiben vollständig voneinander getrennt.

VRFs gehören zu den wichtigsten Konzepten moderner MPLS VPNs.

Warum normale Routingtabellen nicht ausreichen

Betrachten wir zwei unterschiedliche Kunden.

Beide verwenden das Netzwerk 10.0.0.0/24.

In einer gewöhnlichen Routingtabelle würde dies zu einem Konflikt führen.

Ein Router könnte nicht unterscheiden, welche Route zu welchem Kunden gehört.

Durch die Verwendung separater VRFs wird dieses Problem gelöst.

Jede VRF besitzt ihre eigene Routingwelt.

Dadurch können identische Adressbereiche problemlos parallel existieren.

Route Distinguisher

Damit identische Präfixe global eindeutig werden, verwendet MPLS VPN einen zusätzlichen Mechanismus.

Jedes Kundennetz erhält einen sogenannten Route Distinguisher, kurz RD.

Der RD erweitert eine IPv4-Route zu einer VPNv4-Route.

Dadurch werden identische Präfixe verschiedener Kunden eindeutig unterscheidbar.

Wichtig ist dabei:

Der RD dient ausschließlich der Eindeutigkeit.

Er steuert nicht den Import oder Export von Routen.

Diese Aufgabe übernehmen andere Mechanismen.

Route Targets

Während der Route Distinguisher die Eindeutigkeit sicherstellt, steuern Route Targets den Austausch von Routinginformationen.

Route Targets basieren auf BGP Communities.

Sie definieren:

  • welche Routen exportiert werden,
  • welche Routen importiert werden,
  • welche VPNs miteinander kommunizieren dürfen.

Dadurch lassen sich sehr flexible VPN-Architekturen realisieren.

Route Targets gehören zu den am häufigsten geprüften MPLS-VPN-Konzepten.

MP-BGP als Transportmechanismus

Normales BGP kann keine VPNv4-Routen transportieren.

Deshalb kommt innerhalb von MPLS VPNs Multiprotocol BGP, kurz MP-BGP, zum Einsatz.

MP-BGP erweitert BGP um zusätzliche Adressfamilien.

Dadurch können VPN-spezifische Informationen zwischen den PE-Routern ausgetauscht werden.

MP-BGP bildet somit die Steuerungsebene moderner MPLS VPNs.

Ohne MP-BGP wäre die Skalierung großer VPN-Umgebungen kaum möglich.

Die doppelte Label-Struktur

Eine der elegantesten Eigenschaften von MPLS VPNs ist die Verwendung von Label Stacking.

Pakete erhalten dabei typischerweise zwei Labels.

Das äußere Label dient dem Transport durch das Backbone.

Das innere Label identifiziert die Ziel-VRF auf dem PE-Router.

Dieses Verfahren ermöglicht die vollständige Trennung von Transport und Kundenzuordnung.

Die Core-Router müssen lediglich das äußere Label betrachten.

Der Weg eines Pakets

Wenn ein Paket das Kundennetz verlässt, gelangt es zunächst zum PE-Router.

Dort wird die passende VRF bestimmt.

Anschließend werden die erforderlichen MPLS-Labels hinzugefügt.

Die Core-Router transportieren das Paket anhand des Transportlabels durch das Backbone.

Am Ziel-PE wird das Transportlabel entfernt.

Das verbleibende VPN-Label identifiziert die richtige VRF.

Erst dort wird das Paket wieder in das Kundennetz übergeben.

Dieser Prozess erfolgt vollständig transparent für den Kunden.

Any-to-Any-Konnektivität

Ein großer Vorteil von MPLS VPNs besteht in ihrer Flexibilität.

Neue Standorte können einfach in eine bestehende VPN-Struktur integriert werden.

Die Kommunikation erfolgt automatisch über das Provider-Backbone.

Es sind keine zusätzlichen Punkt-zu-Punkt-Verbindungen erforderlich.

Dieses Modell wird häufig als Any-to-Any-Konnektivität bezeichnet.

Es zählt zu den wichtigsten Gründen für die Verbreitung von MPLS VPNs im Unternehmensumfeld.

Carrier Supporting Carrier

Mit zunehmender Größe des Internets entstanden komplexere Betriebsmodelle.

Ein Beispiel hierfür ist Carrier Supporting Carrier.

Dabei transportiert ein Provider den Datenverkehr eines anderen Providers.

MPLS VPNs bieten hierfür eine skalierbare Grundlage.

Solche Szenarien verdeutlichen die enorme Flexibilität der Technologie.

Extranets und Shared Services

Nicht alle VPNs müssen vollständig voneinander getrennt sein.

Viele Unternehmen benötigen gemeinsame Dienste.

Beispiele sind:

  • zentrale DNS-Server,
  • Shared Services,
  • Internetzugänge,
  • zentrale Sicherheitsplattformen.

Durch geeignete Route Targets können ausgewählte Routinginformationen zwischen verschiedenen VPNs ausgetauscht werden.

Dadurch entstehen sogenannte Extranet-Lösungen.

Warum MPLS VPNs so erfolgreich wurden

Der Erfolg von MPLS VPNs beruht auf mehreren Faktoren.

Sie bieten:

  • hohe Skalierbarkeit,
  • starke Mandantentrennung,
  • flexible Routingsteuerung,
  • effiziente Nutzung der Infrastruktur,
  • Unterstützung komplexer Kundendesigns.

Kaum eine andere Technologie kombiniert diese Eigenschaften so effektiv.

Deshalb gehören MPLS VPNs bis heute zum Standardportfolio nahezu aller Service Provider.

Typische Fehlerbilder

Probleme in MPLS VPNs entstehen häufig durch:

  • falsche VRF-Zuordnungen,
  • inkorrekte Route Targets,
  • fehlerhafte Route Distinguishers,
  • MP-BGP-Probleme,
  • fehlende Labelinformationen,
  • gestörte MPLS-Konnektivität.

Viele Troubleshooting-Szenarien lassen sich auf Fehler innerhalb dieser Komponenten zurückführen.

Relevanz für die JNCIS-SP-Prüfung

Kandidaten sollten insbesondere verstehen:

  • die Rolle von VRFs,
  • den Zweck von Route Distinguishers,
  • die Funktion von Route Targets,
  • die Bedeutung von MP-BGP,
  • Label Stacking in MPLS VPNs,
  • die Aufgaben von PE- und CE-Routern.

Diese Konzepte gehören zu den wichtigsten MPLS-Themen der gesamten Zertifizierung.

Der Weg zu Layer-2 VPNs

MPLS VPNs lösen das Problem des Layer-3-Routings zwischen Kundenstandorten.

Viele Unternehmen wünschen jedoch keine Routingdienste.

Sie möchten ihre eigenen Layer-2-Netze über große Entfernungen erweitern.

Genau dafür wurden Layer-2 VPNs und VPLS entwickelt.

Diese Technologien bilden den nächsten großen Themenbereich der JNCIS-SP-Serie.

Fazit

MPLS VPNs gehören zu den erfolgreichsten Service-Provider-Technologien überhaupt. Durch die Kombination aus VRFs, MP-BGP und MPLS Label Stacking können tausende Kundennetze sicher und skalierbar auf einer gemeinsamen Infrastruktur betrieben werden. Die Trennung zwischen Kundennetzen erfolgt vollständig logisch, während die Backbone-Router lediglich den Transport übernehmen.

Für JNCIS-SP-Kandidaten stellt das Verständnis von VRFs, Route Distinguishers, Route Targets und MP-BGP einen entscheidenden Meilenstein dar. Diese Konzepte bilden die Grundlage moderner WAN-Dienste und sind zugleich essenziell für weiterführende Themen wie Layer-2 VPNs, VPLS und EVPN.

Artikelserie JNCIS-SP Zertifizierung
Schlagworte Juniper JNCIS-SP MPLS VPN