劉衛(wèi)俊 陳惠英

(1、中國電信股份有限公司湖州分公司，浙江 湖州313000 2、湖州師范學(xué)院，浙江 湖州313000)

1 概述

目前在城域網(wǎng)上的VPN（虛擬專用交換網(wǎng)服務(wù)，Virtual Private Switched Network Service） 應(yīng)用主要采用的是MPLS VPN、基 于L2TP 或PPTP 的IP-VPN 技術(shù)等。一些傳統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)技術(shù)也可以提供給用戶組建網(wǎng)絡(luò)如DDN、幀中繼、ATM以及新興的MSTP。但是這些技術(shù)都不同程度存在一些應(yīng)用和技術(shù)上的限制，如：應(yīng)用最廣泛的MPLS VPN、基于VLAN 方式的以太網(wǎng)交換VPN、傳統(tǒng)的基礎(chǔ)網(wǎng)技術(shù)。一方面，在MPLS 中第三層VPN 對企業(yè)客戶提出了一些不可接受的要求，一些企業(yè)不愿將網(wǎng)絡(luò)控制權(quán)交給服務(wù)商；另一方面，一些企業(yè)更注重對等數(shù)據(jù)通信，在以太交換式園區(qū)網(wǎng)中更容易建立可靠的對等通信，因為這種網(wǎng)絡(luò)一般采用多點服務(wù)架構(gòu)。隨著交換式以太網(wǎng)規(guī)模的日益增長，其可擴(kuò)展性限制日漸突出，如：生成樹協(xié)議可擴(kuò)展性有限而無法滿足網(wǎng)絡(luò)冗余和流量設(shè)計的要求；在交換式以太網(wǎng)域中只能使用有限的地址空間。在幀中繼或ATM 等廣域網(wǎng)中由于使用集中式星型服務(wù)結(jié)構(gòu)，而且?guī)捰邢?，使得這一要求更難滿足。然而，VPLS 技術(shù)的誕生，有效解決了以上各種組網(wǎng)方案的不足，可以滿足當(dāng)前新興的企業(yè)組網(wǎng)需求，實現(xiàn)完整的基于以太網(wǎng)的多點接入服務(wù)[1][2]。

圖1 VPLS 組網(wǎng)

2 VPLS 技術(shù)介紹

VPLS（虛擬專用交換網(wǎng)服務(wù)，Virtual Private LAN Service）技術(shù)對用戶來說是一種L2 VPN，融合了IP / MPLS VPN 以及以太網(wǎng)交換VPN 等技術(shù)的優(yōu)點，完成了WAN 范圍內(nèi)多點至多點的局域網(wǎng)互聯(lián)服務(wù)。VPLS 是運行在MPLS 協(xié)議上的一種技術(shù)，在VPLS 網(wǎng)絡(luò)中，用戶的各個接入點都是通過2 層接入到PE 的，運營商的網(wǎng)絡(luò)對于用戶來說就是一個網(wǎng)橋，每個PE 上為不同的用戶建立一個VSI（Virtual Switch Instance）。VPLS 利用信令協(xié)議在VPLS 網(wǎng)絡(luò)中的PE 節(jié)點之間建立及維護(hù)PW（虛鏈路，Pseudo Wire），將二層協(xié)議幀封裝后在PW 上傳輸及交換，使廣域網(wǎng)范圍內(nèi)多個局域網(wǎng)在數(shù)據(jù)鏈路層面。VPLS 技術(shù)的實現(xiàn)主要包括控制平面和數(shù)據(jù)平面，控制平面完成虛鏈路的建立、拆除以及狀態(tài)改變通告，是實現(xiàn)成員發(fā)現(xiàn)和信令機(jī)制的過程。數(shù)據(jù)平面由PE 負(fù)責(zé)完成數(shù)據(jù)的轉(zhuǎn)發(fā)，主要完成用戶二層報文的轉(zhuǎn)發(fā)和封裝過程[3][4]。通過AC（接入電路）與PE 設(shè)備的連接，在PE 之間建立公網(wǎng)隧道或PW 虛擬接口接收到的數(shù)據(jù)幀，并根據(jù)該虛擬接口確定其所屬的VPLS 實例，所有虛擬接口通過該VPLS 實例下的虛擬二層網(wǎng)橋進(jìn)行交換。VPLS 組網(wǎng)的模型如圖1 所示。

LDP 和BGP 是VPLS 組網(wǎng)常用的兩種信令協(xié)議，它們用來創(chuàng)建虛鏈路，其中LDP 協(xié)議雖然對PE 設(shè)備的要求不高，但是這種協(xié)議模式下無法實現(xiàn)VPN 成員的自動發(fā)現(xiàn)，必須通過手動方式配置實現(xiàn)。BGP 協(xié)議可以實現(xiàn)VPN 成員的自動發(fā)現(xiàn)，但是要求PE 必須運行BGP 協(xié)議，利用BGP 的多協(xié)議擴(kuò)展來傳遞VPLS 成員信息，通過路由反射可以使網(wǎng)絡(luò)有很好的擴(kuò)展性。二層網(wǎng)絡(luò)中，通常開啟STP 協(xié)議來進(jìn)行防環(huán)，在VPLS 技術(shù)中，為避免環(huán)路的產(chǎn)生，需要在所有參與VPLS 業(yè)務(wù)的PE 設(shè)備間建立全網(wǎng)狀的虛擬電路，就是全網(wǎng)狀連接，LDP 協(xié)議在PE 設(shè)備上兩兩之間建立LDP 連接，如果PE 數(shù)量比較大的話，LDP 的連接數(shù)也會增大，不但會導(dǎo)致信令開銷較大，網(wǎng)絡(luò)資源消耗增大，而且擴(kuò)展性也較差，不利于城域網(wǎng)業(yè)務(wù)的發(fā)展。VPLS 網(wǎng)絡(luò)中，PE 設(shè)備需要支持水平分割轉(zhuǎn)發(fā)，所以從公網(wǎng)側(cè)PW 收到的數(shù)據(jù)包不能再轉(zhuǎn)發(fā)到其他PW 上，只能轉(zhuǎn)發(fā)到私網(wǎng)側(cè)，從PE 收到的報文不能轉(zhuǎn)發(fā)到其他PE。為了解決大型網(wǎng)絡(luò)中信令開銷大，不易擴(kuò)展，影響業(yè)務(wù)部署的問題，提出了層次化VPLS 模型。層次化后的VPLS 網(wǎng)絡(luò)在相同網(wǎng)絡(luò)節(jié)點數(shù)量的情況下，PE 設(shè)備之間的PW 連接數(shù)要比全連接VPLS 的PW 連接數(shù)明顯減少。采用LDP 和BGP 這兩種信令都可以實現(xiàn)層次化的VPLS，可以有效解決大型網(wǎng)絡(luò)中信令開銷大，不易擴(kuò)展，影響業(yè)務(wù)部署的問題。層次化后，在相同的網(wǎng)絡(luò)節(jié)點數(shù)下，PE 設(shè)備之間的PW 連接數(shù)將少于全連接的VPLS 之間的PW 連接數(shù)，采用LDP 和BGP 這兩種信令都可以實現(xiàn)層次化的VPLS。大型網(wǎng)絡(luò)核心層適合使用BGP 方式，PE本身運行BGP 還能滿足有跨域需求的情況。在有的網(wǎng)絡(luò)中VPLS 的節(jié)點比較少，很少跨域或者不需要跨域的情況，尤其是PE 不運行BGP 的時候，使用LDP 的方式組網(wǎng)更常見。當(dāng)VPLS網(wǎng)絡(luò)規(guī)模比較大時，節(jié)點多，地域范圍大，往往采用這兩種方式結(jié)合的HVPLS（層次化VPLS：hierarchical VPLS），網(wǎng)絡(luò)核心層使用BGP 方式，接入層使用LDP 方式[3][4]。層次化的VPLS 的示意圖如圖2 所示。

圖2 層次化的VPLS 的示意圖

3 VPLS 在城域網(wǎng)中的部署

3.1 部署MPLS

3.1.1 MPLS 協(xié)議部署在各城域網(wǎng)的業(yè)務(wù)控制層，并加入骨干網(wǎng)的MPLS 域。

3.1.2 城域網(wǎng)出口路由器和骨干網(wǎng)作為MPLS 域中的P 路由器，負(fù)責(zé)該域中MPLS 標(biāo)簽的分發(fā)和數(shù)據(jù)轉(zhuǎn)發(fā)。

3.1.3 BRAS 和業(yè)務(wù)路由器作為MPLS 域中的PE 路由器，負(fù)責(zé)用戶的接入，并將用戶報文添加到MPLS 標(biāo)簽中，在MPLS 骨干路由器上轉(zhuǎn)發(fā)。

3.2 部署以太網(wǎng)Martin 和VPLS

在各PE 上部署基于MPLS 的以太網(wǎng)Martin 和VPLS，通過MPLS LDP 或RSVP 協(xié)議建立LSP 隧道，用于實現(xiàn)虛擬專線的點到點以太網(wǎng)Martin 服務(wù)，提供全透明的用戶專線服務(wù)；以及多點對多點以太網(wǎng)互聯(lián)服務(wù)，具有QoS 服務(wù)保證和嚴(yán)格的SLA分層服務(wù)。由于VPLS 的PE 之間需要全網(wǎng)狀連接，VPLS 域的大小受到很大限制。建議此階段只開放本地業(yè)務(wù)，或者在省的范圍內(nèi)每個本地網(wǎng)選擇一臺PE 做全省的VPLS 互聯(lián)。

3.3 部署分層的VPLS（HVPLS）

在各城域網(wǎng)部署HVPLS 的MTU 層，設(shè)置獨立的MTU，與骨干網(wǎng)PE 路由器以LDP 協(xié)議交換標(biāo)簽，骨干PE 的作用類似于BGP 中的RR 路由器，PE 之間的LSP 連接大大減少，網(wǎng)絡(luò)的可擴(kuò)展性也明顯增強(qiáng)。

3.4 城域網(wǎng)業(yè)務(wù)路由器上配置VPLS

3.4.1 首先配置IGP 協(xié)議，同時把和業(yè)務(wù)路由器互聯(lián)的端口加入，實現(xiàn)PE 間公網(wǎng)互通。

3.4.2 創(chuàng)建本地VLAN，透傳到本地端口。

3.4.3 和對端互聯(lián)的端口加入MPLS 封裝，配置LDP，生成相應(yīng)路由協(xié)議。

3.4.4 建立BGP 鄰居并分發(fā)相應(yīng)的VPN 信息，PE 間建立傳輸數(shù)據(jù)所使用的隧道以隔離公網(wǎng)。

3.4.5 PE 上使能VPLS 功能，PE 上創(chuàng)建VSI 并綁定AC。

3.4.6 創(chuàng)建MPLS 標(biāo)簽交換路徑LSP，根據(jù)網(wǎng)絡(luò)規(guī)劃和拓?fù)湓O(shè)置community 值。

3.4.7 VPN 路由的建立和重分發(fā)。

4 結(jié)論

由以上介紹可知，VPLS 技術(shù)充分利用了運營商已部署的MPLS 網(wǎng)絡(luò)，提供類似于城域網(wǎng)/廣域網(wǎng)上的以太網(wǎng)多點服務(wù)，這是目前運營商最重要的以太網(wǎng)技術(shù)之一。由于用戶自己維護(hù)路由信息，運營商不必考慮用戶之間的地址重疊，一個用戶的路由信息不會分發(fā)到其他用戶的專網(wǎng)，如此可大大減輕運營商的管理負(fù)擔(dān)，并可以有效提高用戶信息的安全性和可靠性。