依據(jù)L2VPN與L3VPN的詳細(xì)介紹與對(duì)比

1、VPN技術(shù)簡介VPN是運(yùn)營商通過其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)，即在用戶的角度VPN是用戶的一個(gè)專有網(wǎng)絡(luò)。對(duì)于運(yùn)營商來說公網(wǎng)包括公共的骨干網(wǎng)和公共的運(yùn)營商邊界設(shè)備。地理上彼此分離的VPN成員站點(diǎn)通過客戶端設(shè)備（CPE）連接到對(duì)應(yīng)的運(yùn)營商邊界設(shè)備（PE），通過運(yùn)營商的公網(wǎng)組成客戶的VPN網(wǎng)絡(luò)。2傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于客戶端設(shè)備的安全VPN。專線VPN使用靜態(tài)的虛電路（如ATMPVC、FRPVC等）連接客戶的站點(diǎn)，形成一個(gè)二層的VPN骨干網(wǎng)。VPN成員站點(diǎn)連接到運(yùn)營商的邊界設(shè)備（PE）,由運(yùn)營商負(fù)責(zé)建立VPN成員站點(diǎn)之間的虛電路連接，客戶對(duì)屬于自己

2、VPN的站點(diǎn)的路由進(jìn)行自主的控制和管理。采用這種方式組建VPN無論對(duì)運(yùn)營商或者是對(duì)客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進(jìn)行大量的手工配置工作。對(duì)于基于客戶端設(shè)備的（CEBased）VPN，VPN的功能全部在客戶端的設(shè)備中實(shí)現(xiàn)。運(yùn)營商的設(shè)備對(duì)客戶的VPN來說是完全透明的?？蛻艨梢酝ㄟ^購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機(jī)上安裝相應(yīng)的VPN功能軟件就可以開始獨(dú)立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點(diǎn)之間通常是通過非信任的Internet實(shí)現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實(shí)現(xiàn)時(shí)都引入某些安全機(jī)制保護(hù)站點(diǎn)之間跨Intern

3、et的客戶私有流量。這個(gè)解決方案的最大缺點(diǎn)就是客戶需要購買、配置和維護(hù)昂貴的VPN網(wǎng)關(guān)設(shè)備，同時(shí)也意味著需要高素質(zhì)的網(wǎng)絡(luò)管理人員對(duì)VPN網(wǎng)關(guān)設(shè)備和整個(gè)VPN網(wǎng)絡(luò)進(jìn)行有效的管理和維護(hù)，相應(yīng)也會(huì)帶來企業(yè)網(wǎng)絡(luò)成本的上升。MPLSVPNMPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)，這種基于標(biāo)簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡(luò)安全性。同時(shí)相對(duì)于傳統(tǒng)的VPN技術(shù)來說，MPLSVPN可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià)，更快速。同時(shí)MPLSVPN可以充分的利用MPLS技術(shù)的一些先進(jìn)的特性，比如說MPLS流量工程能力，MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLSVPN可

4、以向客戶提供不同服務(wù)質(zhì)量等級(jí)的服務(wù)，也更容易實(shí)現(xiàn)跨運(yùn)營商骨干網(wǎng)服務(wù)質(zhì)量的保證。同時(shí)MPLSVPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無法提供的業(yè)務(wù)種類，比如像支持VPN地址空間復(fù)用。對(duì)于MPLS的客戶來說，運(yùn)營商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機(jī)制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護(hù)主要由運(yùn)營商負(fù)責(zé)，客戶運(yùn)營其VPN的維護(hù)和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設(shè)備維護(hù)上的投資和成本。基于MPLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純?nèi)龑拥腎PVPN和隧道方式的VPN的替代技術(shù)，在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補(bǔ)充。具體到MPLSVPN的實(shí)現(xiàn)方

5、式，根據(jù)運(yùn)營商邊界設(shè)備PE是否參與客戶的路由，運(yùn)營商在建立基于IP/MPLS的VPN時(shí)有兩種選擇：第三層的解決方案，通常稱作是Layer3MPLSVPNs第二層的解決方案，通常稱作是Layer2MPLSVPNs衡量一個(gè)VPN解決方案的優(yōu)劣主要基于以下幾點(diǎn)的考慮：支持的業(yè)務(wù)種類；可以向用戶提供的連接的種類；擴(kuò)展性；部署的復(fù)雜度；業(yè)務(wù)開展的復(fù)雜度；管理和維護(hù)的復(fù)雜度；部署的成本；管理和維護(hù)的成本。當(dāng)然這些因素并不是絕對(duì)的，實(shí)際的應(yīng)用中很難簡單的說這兩個(gè)方案誰優(yōu)誰劣。兩個(gè)方案都有其優(yōu)缺點(diǎn)，有其特定的業(yè)務(wù)模式，也都還處在不斷完善發(fā)展的階段，選擇一個(gè)方案的關(guān)鍵是運(yùn)營商實(shí)際的網(wǎng)絡(luò)運(yùn)營環(huán)境，和運(yùn)營商自身的業(yè)

6、務(wù)定位，要向客戶提供什么樣的服務(wù)模式。Layer3MPLSVPNLayer3MPLSVPN是一種基于路由方式的MPLSVPN解決方案，ITEFRFC2547中對(duì)這種VPN技術(shù)進(jìn)行了描述，MPLSLayer3VPN也被稱作是BGP/MPLSVPNs。BGP/MPLSVPN使用類似傳統(tǒng)路由的方式進(jìn)行IP分組的轉(zhuǎn)發(fā)，在路由器接收到IP數(shù)據(jù)包以后，通過在轉(zhuǎn)發(fā)表查找IP數(shù)據(jù)包的目的地址，然后使用預(yù)先建立的LSP進(jìn)行IP數(shù)據(jù)跨運(yùn)營商骨干的傳送。為了使運(yùn)營商的路由器可以感知客戶網(wǎng)絡(luò)的可達(dá)性信息，運(yùn)營商的邊界路由器（PE）和客戶端路由器（CE）進(jìn)行路由信息的交互。PE和CE之間的路由交換可以采用靜態(tài)路由，也可

7、以采用RIP、OSPF、ISIS和BGP等動(dòng)態(tài)的路由協(xié)議。BGP/MPLSVPN的解決方案支持對(duì)等方式的VPN網(wǎng)絡(luò)結(jié)構(gòu)。PE之間屬于同一MPLSVPN的路由信息通過BGP協(xié)議承載進(jìn)行交互。PE路由器使用LSP進(jìn)行路由轉(zhuǎn)發(fā)，對(duì)于運(yùn)營商路由器P并不需要知道客戶VPN網(wǎng)絡(luò)的信息，這種透明可以有效的減小P路由器的負(fù)擔(dān)，提高網(wǎng)絡(luò)的擴(kuò)展性和業(yè)務(wù)開展的靈活性。通過PE之間、PE和CE之間的路由交互，客戶的路由器可以知道屬于同一個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。BGP/MPLSVPNs可以解決基于純IPLayer3VPN無法實(shí)現(xiàn)的一些功能，主要有：支持地址重疊，即同時(shí)支持使用公有地址的客戶端設(shè)備和私有地址的客戶端設(shè)備，

8、或者多個(gè)VPN使用同一個(gè)地址空間；支持重疊VPN，即一個(gè)站點(diǎn)可以同時(shí)屬于多個(gè)VPN。對(duì)于傳統(tǒng)基于路由的VPN來說，要解決以上的問題有一定的挑戰(zhàn)性。MPLSVPN使用VPN路由轉(zhuǎn)發(fā)表（VRF）解決地址重疊的問題。在運(yùn)營商PE路由器上使用基于每VPN的路由轉(zhuǎn)發(fā)表隔離不同VPN的路由。通過路由信息的隔離，實(shí)現(xiàn)支持VPN地址的重疊。如果一個(gè)PE上有多個(gè)CE屬于同一個(gè)VPN,那么這些CE共享PE上的VPN路由轉(zhuǎn)發(fā)表。對(duì)于重疊VPN的情況，重疊發(fā)生的站點(diǎn)需要使用獨(dú)立的VRF表存儲(chǔ)來自其所屬VPN的路由信息。地址重疊的另一個(gè)問題是，PE路由器從鄰居的BGP更新中會(huì)收到屬于不同VPN的重疊路由信息。為了區(qū)別來

9、自不同VPN的路由信息，PE使用8octet的路由標(biāo)識(shí)（RD）對(duì)來自不同VPN的路由信息進(jìn)行標(biāo)識(shí)。這個(gè)8octet的路由標(biāo)識(shí)作為4octet的IP地址前綴的擴(kuò)展構(gòu)成了一個(gè)新的地址類（VPNIPv4地址）。RD不參與路由發(fā)布的過程，它所起的作用僅僅是區(qū)分屬于不同VPN站點(diǎn)的路由。RD和VRF之間建立了一種映射的關(guān)系，VRF在發(fā)布路由信息時(shí)將同時(shí)附帶相應(yīng)的RD信息。對(duì)于重疊VPN的情況，這類站點(diǎn)雖然同時(shí)屬于多個(gè)VPN,但是它只需要一個(gè)RD，并不需要多個(gè)RD以對(duì)應(yīng)多個(gè)VRF,其主要的目的是為了節(jié)省PE路由器上的存儲(chǔ)資源。對(duì)于這類的VPN成員站點(diǎn)，路由分布的策略和單一VPN成員站點(diǎn)是一致的。為了防止P

10、E路由器接收到不屬于該P(yáng)E上VPN成員的路由信息而浪費(fèi)PE的資源，MPLSVPN使用BGP的擴(kuò)展屬性來控制運(yùn)營商網(wǎng)絡(luò)中路由信息的發(fā)布。這個(gè)功能是通過對(duì)BGP的團(tuán)體屬性來實(shí)現(xiàn)的，所有的客戶VPN都被賦予一個(gè)唯一的團(tuán)體屬性值。在PE接收到一條路由時(shí)，BGP進(jìn)程將檢查該路由的擴(kuò)展屬性，如果該屬性和該P(yáng)E上承載的VPN的擴(kuò)展屬性相同PE將接收該路由，如果不同，PE將忽略這些BGP路由。通過這種方式，PE路由器可以避免存儲(chǔ)一些不必要的路由信息，提高網(wǎng)絡(luò)的可擴(kuò)展性。從以上的分析可以看出，MPLSVPN可以支持創(chuàng)建重疊VPN,所謂重疊VPN是指同一個(gè)站點(diǎn)同時(shí)屬于多個(gè)VPN的情況。這種功能特別適用于企業(yè)之間并

11、購時(shí)的網(wǎng)絡(luò)整合或者企業(yè)之間由于合作的需要，相互之間需要共享網(wǎng)絡(luò)資源。用戶將依靠服務(wù)提供商來實(shí)現(xiàn)特定的路由控制，也就是說，路由控制來自于CE路由器并且派送到PE路由器。在圖1中，用戶A，站點(diǎn)1，既歸屬于VPNA,又歸屬于VPNC。該站點(diǎn)的路由信息由本地PE路由器在一個(gè)RD中進(jìn)行通告，這個(gè)RD同時(shí)包含了兩個(gè)RouteTarget擴(kuò)展屬性：一個(gè)用于VPNA,另一個(gè)用于VPNC。遠(yuǎn)端的PE根據(jù)BGP擴(kuò)展屬性對(duì)來自該P(yáng)E的路由信息進(jìn)行接收和處理。當(dāng)通告一個(gè)VPN-IPv4路由時(shí),BGP信息中攜帶了VPN的內(nèi)標(biāo)簽信息和相關(guān)VPN的BGP下一跳信息。PE路由器可以通過LSP可以建立兩兩之間之間的通信。這些L

12、SP可以看做是MPLSVPN的外層標(biāo)簽，可以通過多種信令協(xié)議方式建立，比如LDP或者RSVP/TE。當(dāng)PE接收到一個(gè)目的為遠(yuǎn)端VPN站點(diǎn)的IP分組時(shí)，PE給分組包附加兩層MPLS標(biāo)簽。外標(biāo)簽或者稱作是隧道標(biāo)簽用于標(biāo)識(shí)BGP的下一跳即遠(yuǎn)端PE的地址；內(nèi)標(biāo)簽或者稱之為VPN標(biāo)簽標(biāo)識(shí)PE上特定的VPN成員，具體的說應(yīng)該是標(biāo)識(shí)到PE上的VRF。P路由器只是根據(jù)標(biāo)簽進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，整個(gè)過程VPN過程對(duì)于P路由器透明。MPLSLayer2VPN基于MPLS的第二層VPN解決方案保留了傳統(tǒng)基于第二層VPN解決方案的優(yōu)勢。MPLSL2VPN降低了VPN業(yè)務(wù)開通復(fù)雜度，特別是在現(xiàn)有的VPN中增加站點(diǎn)時(shí)，在大多數(shù)情

13、況下只需把供應(yīng)商邊緣(PE)路由器連接到新站點(diǎn)上即可，相應(yīng)也減小了業(yè)務(wù)提供的周期。通過采用MPLS技術(shù)，可以在多元融合的網(wǎng)絡(luò)中運(yùn)行二層VPN、三層VPN、流量工程、Diffserv及許多其它業(yè)務(wù)，服務(wù)提供商可以為IP、第三層(MPLS/IP)和二層VPN共同管理和維護(hù)單一的基于MPLS的網(wǎng)絡(luò)?；诘诙拥腗PLSVPN解決方案提供了運(yùn)營商網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)之間的完全獨(dú)立，也就是說，運(yùn)營商邊界的PE設(shè)備和CE設(shè)備之間沒有進(jìn)行路由交換，運(yùn)營商只是簡單向客戶提供一些基于2層的網(wǎng)絡(luò)功能。運(yùn)營商的網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)和完全架構(gòu)在層疊的網(wǎng)絡(luò)模型上，從客戶的角度看運(yùn)營商只是提供了一個(gè)簡單的2層連接。這

14、種透明簡化了運(yùn)營商網(wǎng)絡(luò)的結(jié)構(gòu)和配置管理，同時(shí)也提供了對(duì)客戶的多業(yè)務(wù)支持能力，運(yùn)營商除了傳統(tǒng)的IP業(yè)務(wù)以外，還可以向客戶提供IPv4,IPv6,IPX,DECNet,OSI,SNA等等業(yè)務(wù)，以及一些傳統(tǒng)基于電路業(yè)務(wù)的仿真，比如說FR、ATM等。目前Layer2MPLSVPN的解決方案可以提供以下兩種連接方式的服務(wù)：點(diǎn)到點(diǎn)連接點(diǎn)到多點(diǎn)連接5.1點(diǎn)到點(diǎn)仿真虛電路對(duì)于點(diǎn)到點(diǎn)仿真虛電路方式的Layer2MPLSVPN主要是基于以下的幾個(gè)IETF草案，這幾個(gè)草案基本上已經(jīng)成為點(diǎn)到點(diǎn)方式L2VPN的事實(shí)標(biāo)準(zhǔn)：“draft-martini-l2circuit-trans-mpls-0 x.txt”“draft

15、-martini-l2circuit-encap-mpls-0 x.txt”“draft-kompella-mpls-l2vpn-0 x”“draft-kompella-ppvpn-l2vpn-0 x”這幾個(gè)草案基本上可以劃分為Layer2MPLSVPN兩個(gè)主要的技術(shù)流派：Martini和Kompella。兩種解決方案在數(shù)據(jù)層面非常相似，都支持多種二層技術(shù)。兩個(gè)草案的區(qū)別主要在控制層面；前者支持點(diǎn)對(duì)點(diǎn)的服務(wù)，后者可以支持點(diǎn)對(duì)多點(diǎn)服務(wù)。Draft-Martini不包括用于VPN成員自動(dòng)發(fā)現(xiàn)機(jī)制，更多的操作需要手工完成。支持Martini的運(yùn)營商和設(shè)備廠家主要有Level3Communicatio

16、ns,CiscoSystems,NortelNetworks,LaurelNetworks,VivaceNetworks,MazuNetworks,Gone2Ltd.,GlobalCrossing,Cable&Wireless,andJuniperNetworks,Inc.。支持Kompella的主要有JuniperNetworks,TelefonicaData,Cable&Wireless,CoSineCommunications,WorldCom,KPNDutchTelecom,NortelNetworks,andUnisphereNetworks.o由于Draft-Martini比Dra

17、ft-Kompella的機(jī)制簡單，實(shí)現(xiàn)起來比Draft-Kompella容易，所以提供MPLS的2層VPN的廠家基本上都支持Martini草案，能支持Kompella方式的廠家比較少。5.1.1Draft-Martini基于MPLS的二層VPNMartini草案的基于MPLS的二層VPN是一種點(diǎn)對(duì)點(diǎn)的解決方案?？梢灾С值亩蛹夹g(shù)主要有：幀中繼、ATMAAL5CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)。為了通過運(yùn)營商MPLS網(wǎng)絡(luò)承載L2幀，Martini草案引入VC（虛連接）的概念。VC通過MPLS標(biāo)簽棧的方式在MPLS骨干網(wǎng)由LS

18、P構(gòu)建的隧道中進(jìn)行復(fù)用，其標(biāo)簽的結(jié)構(gòu)如圖3所示。LSP可以看作是承載多條VC的隧道，VC可以看作是實(shí)際承載L2幀的電路，VC實(shí)際是隧道LSP中的子LSP。隧道LSP提供PE之間的隧道連接，VC承載特定用戶（VPN）的數(shù)據(jù)幀。隧道ISP的建立方式可以有多種，可以使用LDP的方式或者是RSVP/CR-LDP等信令協(xié)議。PE之間VC標(biāo)簽的分發(fā)使用下游標(biāo)簽分配的方式，可以采用靜態(tài)分配的方法也可以通過信令進(jìn)行分配，VC和傳統(tǒng)的LSP一樣也是單向的，為了獲得雙向的VC連接必須對(duì)VC兩端的PE都進(jìn)行配置。為了實(shí)現(xiàn)這種等級(jí)化的結(jié)構(gòu)，在用戶（VPN）的數(shù)據(jù)幀穿透運(yùn)營商的網(wǎng)絡(luò)時(shí)被打上了兩層的標(biāo)簽：外層標(biāo)簽或者隧道

19、標(biāo)簽：用于標(biāo)識(shí)隧道LSP,用于定位特定的目的PE路由器；內(nèi)層標(biāo)簽或者VC標(biāo)簽：用于標(biāo)識(shí)用戶的連接，用于定位目的PE路由器上特定的VPN成員站點(diǎn)。以PE1為源端、PE2為目的端為例，當(dāng)PE1發(fā)送一個(gè)二層PDU到PE2時(shí)，PE1首先為二層凈荷添加一個(gè)VC標(biāo)簽，然后添加一個(gè)隧道標(biāo)簽。隧道標(biāo)簽用來確定MPLS分組從PE1到PE2的通路；只有MPLS分組到達(dá)PE2時(shí)，VC標(biāo)簽才可見，PE2對(duì)分組的處理取決于VC標(biāo)簽的內(nèi)容。隧道標(biāo)簽用來確定通過MPLS網(wǎng)絡(luò)的通路，VC標(biāo)簽用來識(shí)別端點(diǎn)的VLAN、VPN、或連接。例如，如果MPLS分組的凈荷是ATMAAL5協(xié)議數(shù)據(jù)單元時(shí)，PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出

20、口，以及AAL5PDU的VPI/VCI值。如果凈荷是幀中繼PDU時(shí)，PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出口，以及DLCI值。如果凈荷是以太網(wǎng)幀時(shí)，PE2能從VC標(biāo)簽推斷出凈荷對(duì)應(yīng)的出口，及VLAN識(shí)別符。使用隧道標(biāo)簽和VC標(biāo)簽的方法，可以將多個(gè)二層“VC”復(fù)用到單個(gè)“Tunnel”中，可以節(jié)省運(yùn)營商骨干MPLS網(wǎng)絡(luò)中對(duì)LSP的需求量，有利于提高網(wǎng)絡(luò)的擴(kuò)展性。5.1.2Draft-kompella基于MPLS的二層VPNKompella草案的基于MPLS的二層VPN是一種點(diǎn)對(duì)多點(diǎn)的解決方案。但是和下面將要提到的VPLS對(duì)比，Kompella方式的點(diǎn)對(duì)多點(diǎn)連接只是一種點(diǎn)到點(diǎn)連接的集合。和Marti

21、ni方式相比，Kompella的優(yōu)勢是引入了VPN的自動(dòng)發(fā)現(xiàn)機(jī)制，在網(wǎng)絡(luò)初始化時(shí)需要對(duì)VPN的所有站點(diǎn)進(jìn)行配置，一旦初始化完成后，只需對(duì)新添加的站點(diǎn)進(jìn)行配置，而不必觸及已配置的站點(diǎn)。Kompella的自動(dòng)發(fā)現(xiàn)機(jī)制使用BGP作為VC標(biāo)簽分配的信令，整個(gè)VPN建立的過程充分的借鑒的L3MPLSVPN實(shí)現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會(huì)話，相互交換VPN成員信息和VPN能力的協(xié)商。對(duì)于大型的IP運(yùn)營商來說，其網(wǎng)絡(luò)中原有運(yùn)行的BGP可以作為Kompella方式Layer2MPLSVPN的信令載體，在同一個(gè)信令平臺(tái)上可以同時(shí)提供L2和L3的VPN業(yè)務(wù)。對(duì)于網(wǎng)絡(luò)的運(yùn)營和維護(hù)來說也不會(huì)增加很大的負(fù)擔(dān)。

22、基于Layer3MPLSVPN的運(yùn)營商經(jīng)驗(yàn)也完全可以被KompllaVPN借鑒，比如說VPN跨域的問題，Kompella就可以采用和Layer3MPLSVPN相似的方法實(shí)現(xiàn)，而MartiniVPN的跨域問題解決起來就比較的困難。但是，KompellaVPN在借鑒了Layer3MPLSVPN思想的同時(shí)也不可避免的繼承了Layer3MPLSVPN實(shí)現(xiàn)、配置管理復(fù)雜、業(yè)務(wù)提供周期長等缺點(diǎn)，導(dǎo)致了目前支持和實(shí)現(xiàn)Kompella的廠家較少，有關(guān)這方面的問題還處于進(jìn)一步研究的過程中。在數(shù)據(jù)層面上Kompella和借鑒了Martini的封裝格式，可以支持:幀中繼、ATMAAL5CPCS模式、ATM透明信元模

23、式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)等二層技術(shù)。5.2點(diǎn)到多點(diǎn)連接(VPLS)目前在IETF中有多個(gè)草案解決L2多點(diǎn)連接的問題，這些草案的主要目標(biāo)都是為了解決Layer2以太幀透過運(yùn)營商IP/MPLS網(wǎng)絡(luò)進(jìn)行點(diǎn)到多點(diǎn)傳送的問題。通過運(yùn)營商的IP/MPLS網(wǎng)絡(luò)，Layer2MPLSVPN可以仿真一個(gè)局域網(wǎng)交換機(jī)，具有基于MAC地址對(duì)用戶的數(shù)據(jù)幀進(jìn)行轉(zhuǎn)發(fā)的能力。最終的目的是構(gòu)架客戶端基于L2交換的VPN網(wǎng)絡(luò)。這種解決方案一般也稱作是VPLS(VirtualPrivateLANServices)。VPLS技術(shù)的核心思想在草案“draft-lasserre-vk

24、ompellappvpn-vpls_0 x.txt中有詳細(xì)的描述，以下的幾個(gè)草案對(duì)lasserre草案中的思想進(jìn)行了擴(kuò)充或者是提出了一些廠家特有的解決方案:draft-kompella-ppvpn-vpls-00.txtdraft-kompella-ppvpn-dtls-01.txtdraft-lasserre-tls-mpls-00.txtdraft-heinanen-dns-ldp-vpls-00.txtdraft-tsenevir-gre-vpls-00.txtdraft-augustyn-vpls-arch-00.txtdraft-khandekar-ppvpn-hvpls-mpls-

25、00.txtdraft-sajassi-vpls-architectures-00.txtVPLS的解決方案實(shí)際上是對(duì)Martini解決方案中引入概念的擴(kuò)展。VPLS實(shí)際上是在PE之間建立了一個(gè)全網(wǎng)狀的VC連接來仿真點(diǎn)到多點(diǎn)的連接。值得注意的是VC是一個(gè)單向的連接，為了承載雙向的數(shù)據(jù)流，需要一對(duì)VC連接。VC標(biāo)簽信息的交換主要有兩種方法，一種是LDP標(biāo)簽分配方式，另外一種是BGP標(biāo)簽分配的方式。客戶VPN使用32bit的VPNID進(jìn)行標(biāo)識(shí)，也有一些草案中使用56bit或者64bit的VPNID進(jìn)行擴(kuò)展。還有一種解決方案是將VPNID存儲(chǔ)在DNS系統(tǒng)中進(jìn)行統(tǒng)一的管理控制，可以簡化業(yè)務(wù)提供的過程。

26、在VPLS中，VLANID對(duì)于運(yùn)營商網(wǎng)絡(luò)來說沒有任何的意義，運(yùn)營商的網(wǎng)絡(luò)根據(jù)為客戶VPN分配的標(biāo)簽進(jìn)行標(biāo)簽交換，所以對(duì)于Layer2MPLSVPN來說，它可以不受最大4095個(gè)VLAN數(shù)目的限制。PE設(shè)備的功能體(多數(shù)情況下是PE路由器)像普通的二層交換機(jī)一樣進(jìn)行MAC地址的學(xué)習(xí)，唯一的不同是Layer2MPLSVPN通過VC進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。通過MAC地址的學(xué)習(xí)每個(gè)承載VPN的PE上都會(huì)生成相應(yīng)的MAC地址轉(zhuǎn)發(fā)表，這個(gè)轉(zhuǎn)發(fā)表稱作是VFI(VirtualForwardingInstance),VFI和PE上的VPN之間是對(duì)應(yīng)的關(guān)系。和Layer3MPLSVPN一樣，為了合理地利用設(shè)備的資源，L

27、ayer2MPLSVPN的PE設(shè)備上只存儲(chǔ)它承載的VPN的MAC轉(zhuǎn)發(fā)表，而不是網(wǎng)絡(luò)中所有VPN的MAC轉(zhuǎn)發(fā)表。P路由器不進(jìn)行任何的MAC地址學(xué)習(xí)，整個(gè)Layer2MPLSVPN的建立過程對(duì)P路由器是透明的。PE不必像傳統(tǒng)的L2交換機(jī)一樣運(yùn)行STP協(xié)議，因?yàn)樵贚ayer2MPLSVPN中使用MPLS的內(nèi)在保護(hù)機(jī)制進(jìn)行鏈路的保護(hù)，而且VPLS的PE之間采用的全網(wǎng)狀連接的VC,PE之間的流量相互可以直達(dá)，所以不會(huì)產(chǎn)生L2交換網(wǎng)絡(luò)中通常會(huì)遇到的線路保護(hù)和線路環(huán)路的問題，所以也就沒有使用STP協(xié)議的必要。Layer2MPLSVPN可以避免通常L2交換網(wǎng)絡(luò)中因?yàn)槭褂肧TP帶來的網(wǎng)絡(luò)恢復(fù)的周期長、網(wǎng)絡(luò)的控制

28、性受限制等問題。如圖6中所示，VPLS中也可以實(shí)現(xiàn)重疊VPN的網(wǎng)絡(luò)結(jié)構(gòu)，站點(diǎn)1同時(shí)屬于VPNA和VPNC，在數(shù)據(jù)平面VPNA和VPNC的數(shù)據(jù)可以通過不同的VLANID使用802.1q復(fù)用到單一物理接入鏈路上。在控制平面，客戶需要對(duì)其路由協(xié)議的發(fā)布進(jìn)行一定的策略控制，決定路由發(fā)布和VPN之間的對(duì)應(yīng)關(guān)系。對(duì)運(yùn)營商而言，路由的管理和控制是由用戶進(jìn)行的，運(yùn)營商的維護(hù)管理的工作簡單。6.Layer3和Layer2VPN綜合比較及分析從以上的分析中可以看出，基于MPLS的L2和L3解決方案各有其優(yōu)缺。對(duì)于運(yùn)營商來說到底采用何種方式在網(wǎng)絡(luò)中實(shí)施MPLSVPN需要考慮L2和L3方案各自的優(yōu)缺，結(jié)合網(wǎng)絡(luò)的現(xiàn)狀，

29、方案實(shí)施的成本，以及對(duì)當(dāng)前和將來業(yè)務(wù)的綜合分析、預(yù)測。6.1支持的服務(wù)類型對(duì)于L3的MPLS來說，由于路由協(xié)議和信令協(xié)議的限制面前只支持純IP的業(yè)務(wù)，而L2VPN的解決方案由于采用二層的透傳技術(shù)，對(duì)于客戶側(cè)的很多三層協(xié)議是透明的，這些協(xié)議包括：IPv4、IPv6、IPX，DECnet，OSI，SNA等等。相對(duì)于L3來說，L2對(duì)于用戶業(yè)務(wù)類型的要求限制要少一些。尤其，現(xiàn)在很多的組織已經(jīng)或者正在準(zhǔn)備開始使用IPv6,將來也會(huì)有很多的企業(yè)向IPv6遷移。對(duì)于運(yùn)營商來說，如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)。對(duì)于L3的VPN來說需要對(duì)面前IPv4的路由技術(shù)和對(duì)面前M-BGP的功能進(jìn)行增強(qiáng)，生成一個(gè)

30、新的VPNIPv6的addressfamily。其間，還會(huì)涉及到對(duì)運(yùn)營商邊界路由器軟件或者硬件上的升級(jí)。對(duì)于L2的VPN來說，可以繼續(xù)的為這些企業(yè)用戶提供VPN的業(yè)務(wù)。Layer2MPLSVPN的特性也使其也可以很容易的實(shí)現(xiàn)目前困擾Layer3MPLSVPN的很多技術(shù)，比如說網(wǎng)絡(luò)的組播，L3MPLSVPN有關(guān)組播能力的支持還有待進(jìn)一步的研究。組網(wǎng)能力運(yùn)營商在向客戶通過MPLSVPN服務(wù)的時(shí)候可以采用多種的組網(wǎng)方式，MPLSL2和L3的VPN都支持以下的幾種VPN組網(wǎng)方式：Point-to-Point.HubandSpoke.PartialMesh.FullMesh.5.OverlappingV

31、PNs.由于實(shí)現(xiàn)機(jī)制的不同，MPLSL2和L3VPN對(duì)以上幾種組網(wǎng)方式的支持能力有差異。具體來說，Layer3MPLSVPN對(duì)于1、4、5組網(wǎng)方式的支持能力好，而對(duì)2、3組網(wǎng)方式的支持相對(duì)比較的復(fù)雜。對(duì)于Layer2MPLSVPN來說，實(shí)現(xiàn)1、2、3、4連接的能力強(qiáng)。為什么會(huì)產(chǎn)生這種差異呢？Layer2MPLSVPN直接采用VC的方式構(gòu)建VPN站點(diǎn)直接的連接，相對(duì)于通過控制BGP的路由傳遞建立的Layer3MPLSVPN來說，在組網(wǎng)的能力上更靈活一些。但是Layer2MPLSVPN在支持連接方式5即重疊VPN的時(shí)候，需要對(duì)重疊發(fā)生處的CE設(shè)備進(jìn)行一定的配置，CE設(shè)備需要對(duì)發(fā)布到PE的路由信息進(jìn)

32、行控制。在這個(gè)過程中，對(duì)于客戶來說會(huì)喪失一部分三層路由的透明性。網(wǎng)絡(luò)擴(kuò)展性在對(duì)比L3解決方案和L2解決方案擴(kuò)展性的時(shí)候我們可以發(fā)現(xiàn)許多共同的地方。一般來說對(duì)于MPLSVPN來說網(wǎng)絡(luò)的擴(kuò)展性主要受以下幾個(gè)因素的限制。一個(gè)限制因素是運(yùn)營商邊界的LSR最大可以支持的LSP或者是VC的數(shù)量；另一個(gè)限制因素是運(yùn)營商邊界路由器上可以存儲(chǔ)的配置文件的大小。配置文件包括邊界路由器的全局路由信息和相關(guān)的VPN配置信息。對(duì)于L3的MPLSVPN來說，配置文件包括VRF(virtualrouteforwarding)、RD、BGP擴(kuò)展屬性的信息和路由過濾的策略。對(duì)于MPLS2層的解決方案來說，配置文件包括VPN對(duì)等

33、PE的靜態(tài)配置信息以及端口和VPN之間的映射關(guān)系。如果在Layer2MPLSVPN解決方案中引入VPN成員站點(diǎn)的自動(dòng)發(fā)現(xiàn)機(jī)制，可以極大的簡化Layer2MPLSVPN的配置過程和控制配置文件的規(guī)模。對(duì)于L3的解決方案來說，運(yùn)營商邊界PE上可以存儲(chǔ)的路由的數(shù)量也是影響VPN擴(kuò)展性的一個(gè)重要因素。運(yùn)營商邊界路由器上存儲(chǔ)在來自所有成員VPN的路由信息。減小運(yùn)營商路由器PE上路由數(shù)量的方法是盡可能的對(duì)VPN的路由進(jìn)行匯總。L2解決方案同樣也存在這樣的限制，解決的方法是使用一定的策略對(duì)PE路由器上MAC地址的數(shù)量進(jìn)行限制，防止來自VPN的大量源MAC地址信息使PE路由器溢出。網(wǎng)絡(luò)部署的難易程度實(shí)施L3的

34、MPLS解決方案通常需要高端的PE設(shè)備作為運(yùn)營商邊界LSR,因?yàn)樵贚3的情況中作為運(yùn)營商邊界的LSR需要處理大量的路由表信息，而且還要同時(shí)處理多個(gè)路由表的信息。在實(shí)施L3的VPN時(shí)需要部署M-BGP作為傳遞內(nèi)標(biāo)簽的信令協(xié)議，對(duì)于網(wǎng)絡(luò)中已經(jīng)部署了大量的BGP協(xié)議的大型IP網(wǎng)絡(luò)來說，其運(yùn)營商傾向于開展L3的VPN解決方案，以充分的利用網(wǎng)絡(luò)中已部署的BGP協(xié)議。在運(yùn)營商實(shí)際的業(yè)務(wù)實(shí)施的過程中，需要對(duì)原有的BGP進(jìn)行一些調(diào)整，包括對(duì)BGP路由反射簇的調(diào)整和對(duì)路由聯(lián)盟的調(diào)整，調(diào)整的目標(biāo)是對(duì)BGP路由反射器或者聯(lián)盟邊界路由器的負(fù)載進(jìn)行均衡，防止網(wǎng)絡(luò)中的某些設(shè)備負(fù)載過大，提高網(wǎng)絡(luò)的擴(kuò)展性。這些調(diào)整需要進(jìn)行合

35、理的規(guī)范，深入的分析和研究，保證L3VPN的實(shí)施不會(huì)對(duì)網(wǎng)絡(luò)中原有的網(wǎng)絡(luò)穩(wěn)定性和擴(kuò)展性產(chǎn)生影響。對(duì)于L2VPN的解決方案來說，對(duì)PE的要求相對(duì)簡單，多數(shù)的解決方案不需要使用BGP作為標(biāo)簽分配的信令協(xié)議，所以PE之間不需要運(yùn)行BGP協(xié)議。對(duì)于那些網(wǎng)絡(luò)中原來沒有運(yùn)行BGP，或者是不希望繼續(xù)使用BGP作為標(biāo)簽分配信令的運(yùn)營商來說，L2VPN的解決方案就比較吸引力。當(dāng)然，對(duì)于那些希望利用原有的BGP協(xié)議的運(yùn)營商來說，也可以采用使用BGP作標(biāo)簽分配的L2VPN解決方案進(jìn)行實(shí)施。對(duì)于跨域的MPLSVPN來說，使用BGP作為跨域標(biāo)簽分配的工具比單純使用LDP作跨域標(biāo)簽分配更簡單，更容易實(shí)現(xiàn)，有更好的網(wǎng)絡(luò)擴(kuò)展性

36、。業(yè)務(wù)提供過程L3MPLSVPN業(yè)務(wù)的提供需要運(yùn)營商通過控制路由信息為用戶定制VPN的網(wǎng)絡(luò)拓?fù)?。具體的說就是要設(shè)計(jì)包含客戶路由信息的VRF，制定RD和路由屬性的分配方法。多個(gè)端口是否共享一個(gè)VRF，或者在重疊VPN方式中VRF包含來自多個(gè)VPN的路由信息，這些問題都需要運(yùn)營商進(jìn)行仔細(xì)的規(guī)劃和實(shí)施。運(yùn)營商還需要?jiǎng)?chuàng)建和維護(hù)于客戶CE路由器之間的路由交換。相對(duì)來說，Layer2MPLSVPN的業(yè)務(wù)提供比較簡單。運(yùn)營商PE上只需要配置相應(yīng)的PE之間的VC連接以及PE端口或者電路和VPN之間的映射。目前在IETF中提出了很多PEVPN成員站點(diǎn)的自動(dòng)發(fā)現(xiàn)機(jī)制，來增加Layer2MPLSVPN的智能化，隨著

37、VPN自動(dòng)發(fā)現(xiàn)機(jī)制的標(biāo)準(zhǔn)化，Layer2MPLSVPN的配置將進(jìn)一步的簡化。運(yùn)營管理和維護(hù)運(yùn)營商在管理和維護(hù)L3的MPLSVPN，作配置改動(dòng)或者進(jìn)行故障的檢查和修復(fù)時(shí)，實(shí)際上主要是處理路由器BGP對(duì)等會(huì)話，各種擴(kuò)展屬性的BGP路由和路由器的發(fā)布和控制，以及運(yùn)營商邊界PE和客戶路由器CE之間的對(duì)等關(guān)系。在很多大型的IP網(wǎng)絡(luò)中，為了增加網(wǎng)絡(luò)的擴(kuò)展性，使用了BGP路由反射器或者是聯(lián)盟對(duì)自治域內(nèi)的IBGP會(huì)話進(jìn)行控制，這些措施在提高網(wǎng)絡(luò)擴(kuò)展性的同時(shí)也增加了網(wǎng)絡(luò)管理維護(hù)和故障發(fā)現(xiàn)、檢查和修復(fù)的復(fù)雜度。隨著VPN用戶數(shù)量的增加，運(yùn)營商邊界路由器的配置文件也將變得越來越龐大，網(wǎng)絡(luò)的可運(yùn)營可管理的能力也隨之下

38、降。對(duì)于Layer2MPLSVPN來說，情況相對(duì)要簡單一些，因?yàn)檫\(yùn)營商不需要管理和維護(hù)屬于客戶的路由信息。對(duì)于大多數(shù)的Layer2MPLSVPN解決方案來說也不需要BGP作標(biāo)簽的分配和路由信息的傳遞。網(wǎng)絡(luò)的管理和維護(hù)相對(duì)比較簡單。但是，對(duì)于kompella和某些VPLS的Layer2MPLSVPN解決方案來說，BGP仍然作為標(biāo)簽分配的信令協(xié)議使用。無論那種實(shí)現(xiàn)的方式，運(yùn)營商在管理和維護(hù)Layer2MPLSVPN時(shí)只需要處理簡單的VC概念和VPN和PE路由器端口之間的映射關(guān)系，具體到每一個(gè)PE上，運(yùn)營商只需要維護(hù)單一的全局路由表,記錄Layer2MPLSVPNMAC地址和轉(zhuǎn)發(fā)路徑信息的轉(zhuǎn)發(fā)表可以

39、使用靜態(tài)的配置或者是通過PE動(dòng)態(tài)的學(xué)習(xí)獲得丄ayer2MPLSVPN和L3MPLSVPN面臨的一個(gè)共同的問題就是，隨著VPN網(wǎng)絡(luò)規(guī)模的擴(kuò)張和VPN站點(diǎn)數(shù)量的增加，運(yùn)營商邊界的PE路由器的配置文件將變得十分的龐大，對(duì)于這個(gè)問題可以采用VPN成員的自動(dòng)發(fā)現(xiàn)機(jī)制將配置文件控制在一個(gè)合理的范圍，或是采用基于圖形的MPLSVPN管理軟件簡化管理和維護(hù)的難度。6.7運(yùn)營成本對(duì)比兩種MPLSVPN部署的成本，L3的解決方案要比L2的解決方案稍高一些。L3的解決方案要求運(yùn)營商邊界的PE路由器同時(shí)處理多個(gè)路由表，相對(duì)于L2解決方案對(duì)邊界路由器的要求要苛刻一些。特定的網(wǎng)絡(luò)解決方案的運(yùn)營維護(hù)成本主要取決于網(wǎng)絡(luò)的復(fù)雜

40、程度，網(wǎng)絡(luò)越復(fù)雜，對(duì)網(wǎng)絡(luò)運(yùn)營管理人員的專業(yè)要求更高，業(yè)務(wù)開展的周期也會(huì)相應(yīng)的延長。所以，在同等網(wǎng)絡(luò)規(guī)模的前提下L3MPLSVPN的運(yùn)營成本高于Layer2MPLSVPN。7.MPLSVPN應(yīng)用的分析和建議從以上的分析中，我們可以得出，MPLSVPN技術(shù)是未來構(gòu)建VPN網(wǎng)絡(luò)的技術(shù)發(fā)展方向，無論是相對(duì)于傳統(tǒng)的基于電路或者虛電路方式的二層VPN組網(wǎng)技術(shù)還是傳統(tǒng)基于CPE設(shè)備的IP隧道VPN技術(shù)或者是基于傳統(tǒng)基于運(yùn)營商網(wǎng)絡(luò)的VPN解決方案，MPLSVPN技術(shù)都有著明顯的優(yōu)勢,MPLSVPN依托MPLS技術(shù)可以提供更多元化的業(yè)務(wù)種類，多種服務(wù)質(zhì)量，MPLS也為MPLSVPN提供了基于標(biāo)簽的內(nèi)在安全機(jī)制和

41、基于LSP保護(hù)的保護(hù)機(jī)制，簡化了運(yùn)營商和客戶對(duì)VPN進(jìn)行管理維護(hù)的工作量，縮短了運(yùn)營商提供VPN業(yè)務(wù)的周期，使運(yùn)營商可以面對(duì)市場的需求做出靈活的反應(yīng)。但是運(yùn)營商向MPLSVPN技術(shù)的演進(jìn)應(yīng)該是應(yīng)該循序漸進(jìn)的過程。對(duì)于大多數(shù)的運(yùn)營商來說，目前其數(shù)據(jù)業(yè)務(wù)的主要來源還是面向客戶的傳統(tǒng)L2VPN和專線業(yè)務(wù)。實(shí)施MPLSVPN的過程必須充分的考慮已有網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營結(jié)構(gòu)和當(dāng)前的網(wǎng)絡(luò)業(yè)務(wù)模式。MPLSVPN作為一項(xiàng)新業(yè)務(wù)，一方面其自身還處在一個(gè)不斷的發(fā)展和完善的時(shí)期，另一方面對(duì)于大多數(shù)的運(yùn)營商來說沒有大規(guī)模運(yùn)營MPLSVPN的經(jīng)驗(yàn)，貿(mào)然的實(shí)施MPLSVPN技術(shù)有很大的風(fēng)險(xiǎn)。建議運(yùn)營商在保持原有業(yè)務(wù)的同時(shí)，可

42、以利用運(yùn)營商的MPLS骨干網(wǎng)推出MPLSVPN的業(yè)務(wù)作為傳統(tǒng)專線業(yè)務(wù)的補(bǔ)充，使用優(yōu)惠的資費(fèi)政策吸引一部分中小用戶，積累一定的運(yùn)營經(jīng)驗(yàn)。具體到MPLSVPN的兩種實(shí)現(xiàn)方式，Layer3MPLSVPN由于發(fā)展的時(shí)間較長，其協(xié)議本身相對(duì)完善一些，一些運(yùn)營商已開始了Layer3MPLSVPN業(yè)務(wù)的一些嘗試。Layer3MPLSVPN由于其實(shí)現(xiàn)機(jī)制的問題，其網(wǎng)絡(luò)的運(yùn)營管理和維護(hù)，以及運(yùn)營商邊界路由器需要存儲(chǔ)大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴(kuò)展性問題要求必須對(duì)Layer3MPLSVPN的實(shí)施進(jìn)行很好的規(guī)劃。雖然IETF也在就這方面的問題不斷的對(duì)Layer3MPLSVPN進(jìn)行改進(jìn)，但是在目前技術(shù)和網(wǎng)絡(luò)條件都不成熟的情況下Layer3MPLSVPN的應(yīng)用應(yīng)定位于中小規(guī)模的企業(yè)VPN用戶。等Layer3MPLSVP