MPLS二层VPNVLL技术白皮书.docx

1、MPLS二层VPNVLL技术白皮书Quidway S8500技术白皮书系列MPLS二层VPN（VLL）技术白皮书V1.00华为技术有限公司Huawei Technologies Co., Ltd.1概述随着社会发展，经济全球化的趋势越来越明显，越来越多的企业分布范围日益扩大，公司员工的移动性也不断增加，迫切需要电信运营商提供链路以便企业将各分支机构连接起来，组成自己的企业网，同时方便公司出差员工在企业外部访问企业内部网络资源。最初，电信运营商是以专线租赁的方式为企业提供专用链路，这种方式的主要缺点是：不适合于当前企业分支多、增加快的特点，且价格相对昂贵，难于管理。此后，随着ATM和帧中继技术的

2、兴起，电信运营商转而使用虚电路方式为客户提供点到点的二层链接，客户再在其上建立自己的三层网络以承载IP、IPX等数据流。当今IP网络已经遍布全球，利用现有IP网络为企业提供低成本专网逐渐成为各大运营商的关注点。因此，一种在IP网上提供VPN服务、可方便设定任意速率、配置简单的技术应运而生，这种技术即MPLS VPN业务。MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，它用短而定长的标签来封装网络层分组。MPLS技术综合IP技术和ATM技术的优点，采纳了面向无连接的控制和面向连接的数据转发。MPLS能从IP路由协议和控制协议中得到支持，同时，还支持基

3、于策略的约束路由，它路由功能强大、灵活，可以满足各种新应用对网络的要求。MPLS最初用来提高路由器的转发速度而提出一个协议，但是由于其固有的优点，它的用途已不仅仅局限于此，还在流量工程（Traffic Engineering）、VPN等方面得到广泛的应用，从而日益成为大规模IP网络的重要标准。传统VPN使用第二层隧道协议（L2TP、L2F和PPTP等）或者第三层隧道技术（IPSec、GRE等），获得了很大成功，被广泛应用。但是，随着VPN范围的扩大，传统VPN在可扩展性和可管理性等方面日益表现出不足；另外，QoS（Quality of Service）和安全问题也是传统VPN难以解决的问题。通

4、过MPLS技术可以非常容易地实现基于IP技术的VPN业务，而且可以满足VPN可扩展性和易管理的需求。利用MPLS构造的VPN，还提供了实现增值业务的可能；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。基于MPLS的VPN业务有两种，分别是L3 MPLS VPN和L2 MPLS VPN，L2 MPLS VPN包括VPLS和VLL，VLL适用于点到点的组网应用模式，VPLS可以实现点到多点、多点到多点的VPN组网。从用户的角度来看，整个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层连接。本文主要描述VLL模式L

5、2 MPLS VPN。2基本模型2.1L2 MPLS VPN模型图1 L2 MPLS VPN模型服务提供商提供四个网络接入点，为两个客户提供VPN服务。其中VPN2有位于不同地点的两个站点，而VPN1由位于不同地点的三个站点组成。上图说明了L2 MPLS VPN基本模型，其中包含三个重要组成部分：CE、PE和P。CE和PE的划分主要是从运营商与用户的管理范围来划分的，CE和PE是两者管理范围的边界。2.2L2 MPLS VPN的优点具有更高的可扩展性克服了传统的ATM或FR网络中扩展复杂的缺点，MPLS VPN通过使用标签栈技术，可以在一条LSP中复用多条虚电路，PE只要维护一条LSP信息，因

6、此大大提高了系统的可扩展性。管理责任分明L2 MPLS VPN运营商仅负责提供二层的连接性，客户负责三层的连接性。用户配置错误引起路由振荡，不会影响运营商网络的稳定性。更好的安全性和保密性能提供等同与ATM或FR VPN网络的安全性和保密性。由于用户自己维护其路由信息，运营商不必考虑各个用户的地址重叠问题，也不用担心一个用户的路由信息会泄漏到其它用户的私有网络中。一方面减轻了运营商的管理负担， 另一方面，也增加了用户信息的安全性。多网络协议支持运营商只提供二层链接，客户可以使用任何三层协议，如IP、IPv6、IPX、SNA等。传统L2 VPN客户网络可以平滑升级L2 MPLS VPN对于用户是

7、透明的，当运营商从ATM、FR等传统的二层VPN向L2 MPLS VPN升级时，用户不需要重新进行任何配置，除了切换时可能造成短时间的数据丢失外，对用户来说几乎没有任何影响。3特性介绍3.1术语VLL（Virtual Leased Line）:虚拟租用线路，在MPLS网络上提供的一种点到点的L2 VPN业务。VPLS（Virtual Private LAN Service）:虚拟专用局域网服务，在MPLS网络上提供的一种点到多点、多点到多点的L2 VPN业务。CE（Custom Edge）:直接与服务提供商相连的用户边缘设备。有接口直接与服务提供商相连，可以是路由器或交换机。CE“感知”不到V

8、PN的存在。PE（Provider Edge Router）:运营商边缘设备，与CE直接相连。MPLS网络中，对VPN的所有处理都发生在PE上，PE需要支持MPLS VPN。P（Provider）:运营商MPLS网络中的骨干设备，不和CE直接相连。P设备需要支持MPLS。PHP（Penultimate Hop Popping）:倒数第二跳弹出，MPLS和IP交换中为了减少标签双重查找的复杂性，PE设备可以请求上游邻居弹出一层标签。CCC（Circuit Cross Connect）:电路交叉连接，L2 MPLS VPN的一种实现方式。LSP（Label Switching Path）:标签交换

9、路径，MPLS网络中通过信令或静态配置的数据转发路径。LDP（Label Distribution Protocol）:标签分发协议，MPLS的核心协议之一，对分组进行分类，依据不同的类别为分组打上标签，建立标签交换路径。3.2帧格式L2 MPLS VPN帧格式为：图2 L2 MPLS VPN（VLL）帧格式隧道标签（外层标签）：MPLS标签，用于将报文从一个PE传递到另一个PE。VC标签（内层标签）：用来标识PE-CE间链路的内层标签，CCC方式的L2 MPLS VPN没有这层标签。L2 MPLS VPN支持的链路层封装类型为Ethernet和VLAN。目前要求同一个VPN的各个节点使用统一

10、的封装类型。3.3报文转发过程L2 MPLS VPN利用标签栈来实现用户报文在MPLS网络中的透明传送。PE之间通过静态配置或信令协议建立隧道，PE为CE发来的报文添加VC标签和隧道标签，通过PE之间的MPLS隧道发送到远端PE；远端PE收到该报文后，剥离隧道标签后根据VC标签将报文发到相应的CE。PE间的封装格式没有考虑外层隧道标签PHP操作；如果考虑外层隧道标签的PHP操作，报文出口PE收到的报文只有单层MPLS标签（内层标签）。报文在MPLS网络转发过程中，标签栈变化如下图所示：图3 L2 MPLS VPN（VLL）标签栈处理4L2 MPLS VPN（VLL）的实现4.1CCC方式CCC

11、方式是通过配置静态LSP来实现L2 MPLS VPN的一种方式。与普通的L2 MPLS VPN不同的是，CCC采用一层标签，即隧道标签，来传送用户数据，因此对LSP的使用是独占的。可以在两端PE-CE之间配置透明的连接。通过这种方式，源CE的报文可以被发送到目的CE中去。 CCC连接分为本地CCC连接和远程CCC连接。对于本地CCC连接，CE连接到同一个PE设备上，PE相当于一个二层交换机。对于远程CCC连接，两个CE连接到不同的PE上，使用PE之间独享的静态LSP作为隧道，不需要任何信令协议传递二层VPN信息。这种情况下，PE转发时使用该LSP对应的标签。图4 CCC连接在上图中，VPN2的

12、Site1和Site2通过两条“红色实线”（称为本地CCC连接）进行互连，它们接入的PE相当于一个二层交换机，它们之间不需要LSP隧道。可以直接进行VLAN、ETHERNET、FR、ATM AAL5、PPP、 HDLC等链路类型的数据交换。而对于上图中VPN1的Site1和Site2，它们通过“红色虚线蓝色实线”（称为远程CCC连接）互连。需要配置两条静态LSP，PE1到PE3的“红色虚线”表示从Site2到Site1的LSP， PE3到PE1的“蓝色实线”表示的从Site1到Site2的LSP。“红色虚线”以及“蓝色实线”组成一条双向的虚链路，为客户提供二层VPN连接。这种方式的最大优点是：

13、不需要任何标签信令传递二层VPN信息，只要能支持MPLS转发即可。此外，由于LSP是专用的，可以提供QoS保证。4.2Martini方式这种方式遵循草案draft-martini-l2circuit-trans-mpls，使用LDP作为传递VC信息的信令。在Martini方式中，PE之间将建立LDP的远端会话，PE为CE的每条链接分配一个VC标签，并通过LDP建立的LSP转发到远端PE。这样，在LSP上建立了一条虚链路。和CCC方式相比，Martini方式不能提供本地交换功能，但服务运行商网络中的一条LSP可以被多条虚链路共享使用。如下图，VPN1的Site1与Site2之间的虚链路使用LSP

14、1和LSP2，VPN2的Site1与Site2之间的虚链路也共享使用LSP1和LSP2。在入口PE上，进入LSP之前，先在数据包内层打上VC标签，然后再打上LSP的标签(栈)，这样，到达远端PE上时，剥离LSP外层标签(栈)后，根据VC标签将数据报文转发到正确的CE上。图5 Martini方式L2 VPN如图5所示，从VPN1的Site1中来的VLAN 10报文，在到达PE0后，PE0先打上VC Label 3055，然后再打上LSP1的出标签1001，即进入LSP1隧道；对于VPN2的Site2上来的VCI601的ATM报文，PE0在其上打上VC Label3099，然后再打上LSP1的出标

15、签1001，同样进入LSP1隧道。这些报文在到达PE1前，P倒数第二跳弹出（PHP）LSP1的入标签1003，PE1根据VC Label3055，就会选择到VPN1的Site2的出接口；根据VC Label3099，就会选择到VPN2的Site1的出接口，因为VC Label (3055、3099)是远端PE-1在建立各自VC时，通过LDP信令传给入口PE0的。对于反方向，依次类推。在Martini方式中，运营商网络的PE设备只需要保存少量的VC标签和LSP的映射信息，P设备不需要处理任何二层VPN信息，所以扩展性好。此外，当需要新增一条虚链路时，只要在相关的两端PE设备上各配置一条单向虚链路

16、即可，不影响网络的运行。Martini方式适合稀疏的二层连接，例如星型连接。4.3Kompella方式遵循草案draft-kompella-ppvpn-l2vpn来实现。各个PE之间通过建立IBGP会话自动发现二层VPN的各个站点，并传递VPN信息。二层VPN信息通过扩展BGP在PE间传播。在标签分配方面，Kompella方式L2 MPLS VPN采取标签块的方式，标签块的大小等于CE range（由用户指定），以便一次为多个连接分配标签。这种方式允许用户为VPN分配一些额外的标签备用，可以减少VPN部署和扩容时的配置工作量。Kompella方式使用vpn-target来区分不同的VPN，这使

17、得VPN组网具备了极大的灵活性，可以适用于各种VPN网络拓扑。与Martini方式L2 MPLS VPN不同，Kompella方式不是直接对CE与CE之间的链接进行操作，而是在整个服务提供商网络中划分不同的VPN，在VPN内部对CE进行编号。要建立两个CE之间的连接时，只需要在PE上设置本地CE和远程CE的CE ID，并指定本地CE的这个连接分的虚链路ID。图6 Kompella方式二层VPN如图6所示，一个VPN初始包含四个站点（site 0site 3），共接入6个客户设备（CE 0CE 5）。为了使这6个CE设备相互通信，需要建立CE之间的全连接拓朴结构，即每个CE与其它5个CE各建立一

18、条虚链路。Kompella方式也可以象CCC方式一样建立本地连接。用户可以预留配置，在以后新增加二层VPN站点时，只配置新站点所连接的PE，而不必配置其它的PE。如图6，在初始时在各个PE上为每个CE分配的标签数大于等于6，并且事先绑定了到CE6的链路，则当新加入Site4中的CE6时，只需在PE2上增加CE6以及在其下绑定到其它CE的链路即可。5组网综述5.1综合组网Kompella方式适合大型企业使用。其站点较大，路由数目多，接入方式比较单一，要求站点到站点的QoS，自身具备较强的网络管理能力。原来采用专线或传统VPN的企业，可以平稳的过渡到L2 MPLS VPN；运营商主要为其提供具有严

19、格的QoS保证的二层链路。Martini方式配置相对比较复杂，不适合大规模应用，但比较灵活，适合于在大企业内部或小型运营商。他们面向局域网用户，解决了以太网不能长距离传输的问题。众多以太网交换机厂商均支持这一协议。如运营商A拥有全国骨干，运营商B在多个城市有自己的驻地网，租用运营商A的带宽，将各地的网络互连起来。运营商B具有足够的网络管理和维护能力，为了保持路由的私有性，采取L2 MPLS VPN组网方式。图7 综合组网图6Quidway S8500特色介绍6.1丰富的L2 VPN实现方式IETF的PPVN（Provider-Provisioned Virtual Private Networ

20、k）工作组制定了多个框架草案，其中最主要的两种为Martini草案和Kompella草案。Quidway S8500严格遵守IETF草案，实现了Martini、Kompella和CCC方式的L2 MPLS VPN，全方位满足用户需要。用户可以根据自己的网络拓扑，选择一种或多种合适的组网方案。L2 MPLS VPN的多种实现方式，也考虑到了与其他厂商的兼容性；保证了与其他厂商设备实现成功对接。6.2多种分布式处理模式增强型业务板支持MPLS VPN功能，但要比同类型的标准型业务板（不支持MPLS VPN）的价格高。S8500系列核心交换机支持多种模式的MPLS VPN功能，为用户量身定做提供多样

21、化差异化的MPLS VPN业务；满足不同用户在MPLS VPN业务性能、可靠性、端口利用率等方面的差异化需求，最大限度的降低用户的TCO（总拥有成本）。整机增强板模式图8 整机增强板模式整机全部采用增强型业务板，所有业务板都能够进行MPLS VPN业务处理，如：不同的VPN绑定不同的VPN实例、封装MPLS标签、标签转发等。在MPLS VPN处理性能上没有阻塞，保证所有MPLS VPN业务都能够线速处理，实现整机MPLS分布式线速转发。部分增强板模式图9 部分增强板模式整机采用多块增强型业务板和多块标准型业务板混插，多块增强型业务板之间可以进行MPLS VPN业务的负载分担。这种模式下的MPL

22、S VPN处理业务性能上取决于MPLS VPN均衡端口的数量和P设备侧出端口的数量，整机MPLS VPN处理性能为MPLS VPN均衡端口的数量和P侧出端口的数量中较小的线速处理能力。单块增强板模式图10 单块增强板模式整机采用一块增强型业务板和标准型业务板混插，标准型业务板和增强型业务板是多对一的关系。增强型业务板提供MPLS VPN业务处理。满足用户建设初期对MPLS VPN性能要求不高的需求，并很容易平滑演进到性能更高的部分增强板模式模式和整机增强板模式模式。6.3协议报文透传报文在MPLS网络中只根据外层的MPLS标签进行转发，并不关心用户数据是普通报文还是协议报文。用户的所有二三层协议报文都将透传，私网的协议报文不参与跟服务提供商的协议交互，私网的协议数据不影响公网协议。6.4多种MPLS VPN混合处理VLL的实现与其他MPLS VPN（L3 MPLS VPN、 VPLS）没有任何互斥，可以在一台S8500设备同时处理多种MPLS VPN。但在同一个接口下，不能同时运行多种MPLS VPN，即：要么二层，要么三层。