MPLS BGP/VPN技术成本低廉、组网灵活、便于实现流量工程、安全性较高，且可以达到二层VPN的安全性。其基本原理是通过CE-PE(Customer Edge-Provider Edge)运行动态或静态路南协议，在PE端将学到的路由分发到多协议BGP MP-BGP(Multi-Protocol BGP)中；MP-BGP的路由表有多个：一个全局路由表和多个VPN虚拟路由转发表VRF(Virtual Route Forwarding)，MP-BGP根据CE绑定的VRF，将本地VPN路由和从对端邻居PE学到的VPN路由放到对应的VRF中，路由更新信息比BGP协议多加标签字段以融合MPLs、多加路由区分符RD(Route Distinguisher)以支持重叠路由、路由目标RT(Route Target)以实现导入导出策略；最后PE将路由更新发送至其他的VPN站点中。 MPLS BGP/VPN路由的安全性很大程度上都在于MP-BGP多个VRF的隔离性，一旦配置错误，就会引起路由的泄漏，无论是客户还是ISP(Internet Service Provider)都很难察觉，这样，安全风险很大，因而，配置错误引起的安全风险将是BGP MPLS/VPN面临的一个重要课题。 RFC草案(Layer-3 VPN Import/Export Verification)对于上述配置错误引起的安全风险，提出了增加PE-PE认证和CE-CE认证的方法。本论文主要是针对PE-PE认证。RFC中的PE认证方案为：PE的MP-BGP更新包中增加一个RD认证签名，对方PE除了根据其他过滤条件判断是否接收路由，还要根据RD签名来判断是否接收。由于PE分配给客户的密钥是唯一的，因此，通过此种方法可以避免配置引起的错误。本论文使用zebra-0.95a开源路由软件实现MPLS BGP/VPN的控制层，并在此基础上修改BGP源代码来实现PE的认证，即用一个可由VPN密钥和RD唯一决定、本身可以代表VPN的字段来携带随机数(tag字段)实现认证。最后，实现了对比实验及其分析，结果表明：PE间增加认证确实可以避免配置错误引起的安全风险。