吳亞彬，張桂玉，易昕昕，劉 暢（中訊郵電咨詢設(shè)計院有限公司，北京 100048）

0 引言

隨著計算機網(wǎng)絡(luò)的日益發(fā)展，運營商為越來越多的企業(yè)大客戶提供VPN 服務(wù)，使得VPN 技術(shù)的應(yīng)用得到了極大的推動。通過使用基于MPLS 的2 層VPN 技術(shù)，運營商可以更加充分地利用骨干網(wǎng)絡(luò)的資源。相較于3 層VPN，2 層VPN 的復(fù)雜性大幅下降，能夠縮短開通周期，快速提供服務(wù)。伴隨EVPN 技術(shù)在2 層VPN 中的應(yīng)用，也將進一步簡化配置，提升效率，滿足運營商網(wǎng)絡(luò)服務(wù)在便捷性、靈活性以及可靠性等方面的演進需求。

1 2層專線組網(wǎng)技術(shù)

現(xiàn)有基于MPLS 2 層VPN 解決方案提供了運營商網(wǎng)絡(luò)和客戶的VPN 網(wǎng)絡(luò)之間的完全獨立，通過統(tǒng)一的MPLS 網(wǎng)絡(luò)提供基于不同數(shù)據(jù)鏈路層的2層VPN，實現(xiàn)在不同站點之間建立2 層連接。與3 層VPN 相比，MPLS L2VPN 的可擴展性更強，能夠支持更多的VPN和用戶接入，保障私網(wǎng)路由的安全性和可靠性，同時也支持IPv4、IPv6等多種網(wǎng)絡(luò)協(xié)議。

目前L2VPN 可以提供點到點（VLL）和點到多點（VPLS）2種方式的組網(wǎng)服務(wù)。基于LDP的擴展實現(xiàn)了VLL 點到點的解決方案，通過引入虛電路（VC-virtual circuit）的概念來承載2層數(shù)據(jù)的傳輸，使用MPLS標簽的方式在骨干網(wǎng)創(chuàng)建LSP 隧道。隧道LSP 提供PE 質(zhì)檢的隧道連接，VC 承載特定用戶（VPN）的數(shù)據(jù)幀。VLL 可以提供點到點的L2VPN 服務(wù)，但是不能實現(xiàn)多站點間的互聯(lián)。

VPLS 技術(shù)是一種在公用網(wǎng)絡(luò)中實現(xiàn)點到多點的MPLS 2層VPN解決方案，提供跨越廣域網(wǎng)的模擬LAN服務(wù)的2 層VPN 服務(wù)。VPLS 實際上是在PE 之間建立了1個全網(wǎng)狀仿真點到多點的VC 連接，使得用戶可以對于網(wǎng)絡(luò)規(guī)模較大，分支機構(gòu)遍布不同地域的客戶，VPLS是一種更加完善的解決方案。VPLS在用戶側(cè)使用以太網(wǎng)接口，可以支持快速靈活的服務(wù)部署，運營商對IP 路由不需要感知管理，也簡化了運營商網(wǎng)絡(luò)的管理運營，保證了用戶私網(wǎng)路由的安全可靠。VPLS可以支持大量站點接入，但是，無法避免廣播、多播流量等在網(wǎng)絡(luò)中的復(fù)制，導致帶寬利用率較低。

綜上所述，目前傳統(tǒng)MPLS L2VPN 已有應(yīng)用，但是仍然存在路由無法快速收斂、廣播泛洪等問題，難以滿足網(wǎng)絡(luò)訴求。

2 EVPN原理

2.1 EVPN控制面實現(xiàn)原理

EVPN 很好地改善了傳統(tǒng)L2VPN 技術(shù)下的一系列缺陷和問題，EVPN 重新定義了一種新的BGP NLRI（Network Layer Reachable Information）來承載所有的EVPN 路由，以此實現(xiàn)控制平面和轉(zhuǎn)發(fā)平面的分離，引入BGP協(xié)議承載MAC可達信息，從控制平面學習遠端MAC 地址，將IP VPN 的技術(shù)優(yōu)勢引入到以太網(wǎng)絡(luò)中。EVPN定義了5種路由類型，包括以太網(wǎng)自動發(fā)現(xiàn)路由（Ethernet AD Route）、MAC/IP 發(fā)布路由（MAC Adver?tisement Route）、包含性組播以太網(wǎng)標簽路由（Inclu?sive Multicast Route）、以太網(wǎng)段路由（Ethernet Segment Route）以及IP 前綴路由（IP Prefix Route）。通過這5種可達路由信息的發(fā)布、撤銷和接受處理來實現(xiàn)控制平面。

a）以太網(wǎng)自動發(fā)現(xiàn)路由：可以用來通告ES 信息，在多歸組網(wǎng)場景中實現(xiàn)水平分割、負載分擔等特性。

b）MAC/IP 發(fā)布路由：用來通告MAC 地址和主機IP地址信息。

c）包含性組播以太網(wǎng)標簽路由：在EVPN VXLAN組網(wǎng)中用來通告VTEP 及其所屬VXLAN 信息，以實現(xiàn)自動發(fā)現(xiàn)VTEP、自動建立VXLAN 隧道、自動關(guān)聯(lián)VX?LAN隧道。

d）以太網(wǎng)段路由：用來通告ES 及其連接的VTEP或PE信息，以實現(xiàn)DF選舉等功能。

e）IP前綴路由：用來以IP前綴的形式通告引入的外部路由。

EVPN 在克服傳統(tǒng)L2VPN 缺陷的同時，也帶來了以下益處。

a）EVPN 同時支持L2 和L3 業(yè)務(wù)，集成了L3VPN的管理、擴展能力。

b）歸屬多宿主，實現(xiàn)PE 間的負載分擔，支持L3快速倒換收斂，對廣播、未知單播和組播流量實現(xiàn)優(yōu)化，提高網(wǎng)絡(luò)效率。

c）具有靈活的網(wǎng)絡(luò)設(shè)計，數(shù)據(jù)平面采用MPLS 和IP 協(xié)議，同時基于BGP 實現(xiàn)控制平面，對網(wǎng)絡(luò)規(guī)模沒有限制，集成IP VPN的自動發(fā)現(xiàn)，簡化部署和管理。

d）轉(zhuǎn)控分離，控制平面可以單獨學習轉(zhuǎn)發(fā)信息，避免L2泛洪。

2.2 EVPN減少廣播泛洪

EVPN 通過ARP 應(yīng)答減少報文泛洪問題。為避免廣播發(fā)送的ARP請求報文占用核心網(wǎng)絡(luò)帶寬，PE會根據(jù)接收到的ARP 請求和ARP 應(yīng)答報文、BGP EVPN 路由在本地建立ARP 泛洪抑制表項。當PE 再收到本地站點內(nèi)虛擬機請求其他虛擬機MAC 地址的ARP 請求時，優(yōu)先根據(jù)ARP 泛洪抑制表項進行代答。如果沒有對應(yīng)表項，則通過LSP 將ARP 請求泛洪到其他站點。ARP泛洪抑制功能可以大大減少ARP泛洪次數(shù)。

第1步：PEI 收到CE1 發(fā)送的ARP 請求報文后，會構(gòu)造一個MAC/IP 路由（Type2），發(fā)送給所有的PE，包含IP和MAC信息。

第2步：PE4緩存ARP中的MAC和IP信息。

第3步：CE4 發(fā)送1.1.1.1 的ARP 請求，PE4 查詢緩存，直接回復(fù)。

3 EVPN組網(wǎng)場景

3.1 EVPN VPWS

EVPN VPWS 即點到點專線業(yè)務(wù)場景，又稱為Eline，如圖1所示。首先需要服務(wù)提供方按照要求進行配置信息、接口文檔等準備工作，并與平臺管理員進行接入咨詢溝通，然后由平臺管理員完成能力入駐工作。

圖1 EVPN VPWS組網(wǎng)場景

PE1 和PE2 分別配置EVPL 實例和EVPN-VPWS實例，其中EVPL 實例需要分別與AC 口及EVPN-VP?WS 實例綁定，并且每個EVPL 實例需要配置本端Ser?vice ID 和遠端Service ID。配置完成后，本地PE 將生成AC口和EVPL實例的轉(zhuǎn)發(fā)關(guān)聯(lián)表項。

PE1和PE2分別向?qū)Χ税l(fā)送EVI AD 路由，EVI AD路由攜帶有RD、RT（Route Target）、下一跳、本地ser?vice ID、EVPL標簽或SRv6 SID等信息。

PE1 和PE2 分別從對端收到EVI AD 路由，匹配RT 交叉到對應(yīng)EVPN-VPWS 實例，并根據(jù)下一跳信息迭代MPLS或SRv4隧道，或者根據(jù)SRv6 SID迭代SRv6隧道。如果檢查發(fā)現(xiàn)收到的路由上Service ID 和本地EVPL實例上配置的遠端Service ID 相同，則生成MPLS或SRv4/v6隧道和本地EVPL實例的轉(zhuǎn)發(fā)關(guān)聯(lián)表項。

相比于傳統(tǒng)VPWS 點到點的組網(wǎng)，EVPN 具有以下優(yōu)勢。

a）可以提供和傳統(tǒng)VPWS一樣的點到點（P2P）業(yè)務(wù)，無需MAC學習。

b）通過EVPN-BGP 的鏈路發(fā)現(xiàn)和信令機制，不再需要PW全連接。

c）引入控制平面，可以實現(xiàn)雙活以及PE發(fā)現(xiàn)。

3.2 EVPN VPLS

EVPN VPLS 表示多點到多點業(yè)務(wù)，是控制層采用MP BGP 通告EVPN 路由信息，數(shù)據(jù)層采用MPLS 封裝的2 層VPN 技術(shù)。PE 通過查找MAC 地址表轉(zhuǎn)發(fā)數(shù)據(jù)報文，為用戶提供多點到多點的2 層服務(wù)，如圖2 所示。

圖2 EVPN VPLS 組網(wǎng)場景

3.2.1 MAC地址學習

a）CE1發(fā)起ARP,請求CE3的MAC地址。

b）PE1 收到CE1 發(fā)來的ARP 請求，從數(shù)據(jù)平面學習AC 側(cè)的MAC 地址MAC1，同時會泛洪ARP 請求給PE2和PE3，將MAC1寫入BGP MAC AD 路由中通告給PE2和PE3。

c）PE2 和PE3 收到PE1 廣播的ARP 請求，泛洪給CE2和CE3。

d）PE2 和PE3 從PE1 的BGP 控制平面學習MAC1，將MAC1寫入MAC表中。

e）PE3 收到CE3 的ARP 回復(fù)，從AC 側(cè)學習MAC3，將MAC3通告給其他的PE，轉(zhuǎn)發(fā)數(shù)據(jù)包給PE1。

3.2.2 流量轉(zhuǎn)發(fā)過程

a）CE1單播流量給CE2和CE3。

b）PE1 在MAC 表中查找目的MAC，封裝MPLS 標簽和EVPN標簽，轉(zhuǎn)發(fā)流量給遠端的PE。

c）出口PE2或PE3彈出MPLS標簽和EVPN標簽，獲取對應(yīng)EVPN 實例，并在MAC 表中查找目的MAC，轉(zhuǎn)發(fā)流量給CE。

3.3 E-TREE

隨著EVPN 網(wǎng)絡(luò)上承載業(yè)務(wù)量的不斷增加，EVPN所管理的用戶MAC 地址也會不斷增加，這些用戶MAC 地址會隨EVPN 路由在網(wǎng)絡(luò)中擴散，最終同一廣播域中所有接口都可以2層互通。但對于沒有互訪需求的用戶既無法隔離BUM（Broadcast Unknown-uniast Multicast）流量，也無法隔離單播流量。因此如果用戶希望同一廣播域中無互訪需求的用戶接口之間可以相互隔離，則可以在網(wǎng)絡(luò)中部署EVPN E-Tree功能。

EVPN E-Tree 功能通過對接入側(cè)的接口設(shè)定Root或Leaf 屬性來實現(xiàn)MEF（Metro Ethernet Forum）定義的E-Tree模型，如圖3所示。

圖3 E-Tree組網(wǎng)場景

a）Leaf 屬性的接口只能和Root 屬性的接口相互發(fā)送流量，Leaf 屬性的接口之間是相互隔離的。

b）Root 屬性的接口既可以和其他Root 屬性的接口相互通信，也可以和Leaf屬性的接口相互通信。

如CE2 與PE1 的互連接口MAC 地址為MAC1，此接口是Leaf 屬性，所以攜帶MAC1 地址的MAC 路由會攜帶EVPN E-Tree的擴展團體屬性。該屬性的Leaf標簽字段所有位將全部被設(shè)置為0，F(xiàn)lags 的L 位被設(shè)置為1。

PE2 在收到PE1 的MAC 路由后，會檢查Flags 的L位。由于該位被設(shè)置為1，所以PE2 會將本地MAC 路由表中MAC1對應(yīng)的表項打上標記。

當PE2從自己的Leaf屬性接口收到發(fā)往CE2的流量時，PE2 會根據(jù)本地MAC 路由表中標記確認該流量需要被發(fā)送到遠端Leaf屬性接口，然后將該流量丟棄，從而實現(xiàn)Leaf 屬性的接口之間對已知單播流量的隔離。

EVPN組網(wǎng)相較于傳統(tǒng)VPLS具有如下改進點。

a）EVPN網(wǎng)絡(luò)側(cè)通過控制面學習MAC，傳統(tǒng)VPLS通過數(shù)據(jù)面泛洪學習。

b）EVPN 可以實現(xiàn)雙活，傳統(tǒng)VPLS 只能主備。EVPN網(wǎng)絡(luò)側(cè)有多條路徑，傳統(tǒng)VPLS路徑單一。

c）EVPN收斂速度比傳統(tǒng)VPLS更快。

d）EVPN 通過擴展的BGP 發(fā)現(xiàn)鄰居，PE 只需要和RR 建立鄰居；傳統(tǒng)VPLS 需要所有PE 之間Full Mesh配置。

4 企業(yè)專線組網(wǎng)應(yīng)用分析

經(jīng)過上述EVPN 的組網(wǎng)模式和技術(shù)原理分析，在企業(yè)專線組網(wǎng)中，EVPN 技術(shù)的應(yīng)用是必不可少的，特別是在數(shù)據(jù)中心以及政企類業(yè)務(wù)組網(wǎng)中，能夠滿足2、3 層互通的需求。依托EVPN 能夠?qū)崿F(xiàn)轉(zhuǎn)發(fā)平面和控制平面分離，具備負載分擔、快速收斂的能力，提供更加可靠、智能的網(wǎng)絡(luò)。

在當前數(shù)字經(jīng)濟高速發(fā)展，國家推進“新基建”的建設(shè)要求的大背景下，云計算、大數(shù)據(jù)等成為各個企業(yè)數(shù)字化轉(zhuǎn)型的重要支柱。企業(yè)發(fā)展趨向大規(guī)模、分布式建設(shè)、數(shù)字化等方向，也產(chǎn)生了企業(yè)在一點入云、多點組網(wǎng)等場景下的需求。

4.1 企業(yè)一點入云專線場景

隨著云計算市場的快速發(fā)展，越來越多的企業(yè)將數(shù)據(jù)放在公有云池中。例如某客戶數(shù)據(jù)在公有云，辦公樓宇在地（市），需要通過專線進行公有云服務(wù)訪問，進行數(shù)據(jù)互通，并且保證業(yè)務(wù)的安全性和可靠性。

客戶CE 就近連接運營商PE 設(shè)備，一跳進入骨干網(wǎng)，最大程度地保障便捷性和安全性，運營商骨干網(wǎng)通過EVPN VPWS 建立專線，提供高可靠性服務(wù)，同時其出口PE 直連公有云資源池，保證時延最低。EVPN的配置簡單，協(xié)議簡化，能夠解決傳統(tǒng)電路施工周期長的問題，快速開通提供服務(wù)，滿足企業(yè)客戶一點入云需求，如圖4所示。

圖4 企業(yè)一點入云專線場景

4.2 企業(yè)多點組網(wǎng)場景

一些大型銀行、金融、證券類企業(yè)，對業(yè)務(wù)的可靠性和安全性有著較高要求，同時有多個分支機構(gòu)分布在各個地（市），需要保證總部與各分支機構(gòu)都能進行網(wǎng)絡(luò)互通。

不同地（市）的分支機構(gòu)就近接入運營商PE設(shè)備，總部機構(gòu)通過雙歸接入運營商骨干網(wǎng)，建立EVPN VPLS 專線，總部節(jié)點采用雙活模式保證流量負載分擔。通過使用EVPN，為客戶提供大型企業(yè)扁平化組網(wǎng)，保證業(yè)務(wù)的便捷性和實時性，通過雙歸接入，提供高可靠性的網(wǎng)絡(luò)，實現(xiàn)流量負載分擔，滿足企業(yè)多點組網(wǎng)需求，如圖5所示。

圖5 企業(yè)多點組網(wǎng)場景

4.3 組網(wǎng)案例模擬驗證

某企業(yè)客戶需要2 層專線組網(wǎng)，同時要保障業(yè)務(wù)的高可靠性，采用EVPN 雙歸雙活模式進行組網(wǎng)。模擬網(wǎng)絡(luò)拓撲如圖6 所示，用戶有2 個站點：客戶CE1 和CE2，其中CE1 和PE1，CE1 與PE2，CE2 與PE3 均采用單鏈路接入，CE1根據(jù)業(yè)務(wù)需求采用雙歸雙活模式，實現(xiàn)負載分擔，保障業(yè)務(wù)高可靠性。

圖6 組網(wǎng)拓撲

4.3.1 配置步驟

a）IGP和MPLS基礎(chǔ)配置。

b）配置BGP。

c）全局配置VPN源地址。

d）創(chuàng)建EVPL，綁定對應(yīng)的EVPN 實例，配置EVPN VPWS業(yè)務(wù)。

4.3.2 結(jié)果驗證

結(jié)果顯示，在CE1 上可以實現(xiàn)負載分擔，流量無丟包情況發(fā)生，如圖7所示。

圖7 雙向流量無丟包

5 結(jié)束語

綜上所述，EVPN的出現(xiàn)解決了傳統(tǒng)2層網(wǎng)絡(luò)中的很多問題，在企業(yè)專線組網(wǎng)中能發(fā)揮很大作用。EVPN 接入側(cè)和網(wǎng)絡(luò)側(cè)能夠按需實現(xiàn)單活和雙活，保障鏈路負載分擔，提升網(wǎng)絡(luò)利用率，同時基于控制平面快速收斂能夠?qū)崿F(xiàn)故障路徑快速切換。隨著云計算的快速發(fā)展，復(fù)雜的企業(yè)組網(wǎng)和大規(guī)模數(shù)據(jù)中心對網(wǎng)絡(luò)的要求越來越高，對用戶來說，運營商只是提供網(wǎng)絡(luò)管道，感知不到變化；對運營商來說，EVPN 是更優(yōu)的選擇。