通过Dot1q终结子接口实现VPN接入

在PE1和PE2的子接口上分别部署Dot1q终结和PWE3/VLL/VPLS。当CE1发往PE1的报文的外层VLAN Tag匹配PE1子接口Port1.1上的Dot1q终结配置时，PE1给报文封装两层MPLS标签，然后转发给运营商的PWE3/VLL/VPLS网络，运营商网络中看不到报文的VLAN Tag。报文从PE2发出前，PE2先剥掉报文的两层MPLS标签，然后PE2根据其子接口Port1.1上的Dot1q终结配置，转发给对应的CE2，通过CE2达到用户，实现不同分支用户的互通。反之亦然。

通过Dot1q终结子接口接入L3VPN

如图2所示，某企业不同分支跨运营商的MPLS L3VPN网络互联，PE作为运营商的边缘设备，通过子接口接入各分支网络，CE发往PE的业务数据报文携带一层或两层VLAN Tag。不同分支相同业务要求互通。

在PE1和PE2的各个子接口上部署Dot1q终结和L3VPN。PE1收到CE1发送来的业务数据报文后，根据PE1的子接口Port1.1的配置进行Dot1q终结，剥去业务数据报文的外层VLAN Tag，并将外层VLAN Tag绑定到VPN实例VPN1，然后接入L3VPN网络。到达PE2后，PE2根据VPN实例确定报文发送目标为CE3，在向CE3发送业务数据报文前，PE2根据子接口Port1.1的配置添加对应的外层VLAN Tag，然后转发给CE3，通过CE3到达用户，实现不同分支相同业务的互通。反之亦然。