MPLS VPN介紹、對比、分析

2019-11-03 09:09:22

字體：大中小

供稿：網(wǎng)友

中國電信集團北京研究院毛擁華 1. VPN技術(shù)簡介

　　VPN是運營商通過其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)，即在用戶的角度VPN是用戶的一個專有網(wǎng)絡(luò)。對于運營商來說公網(wǎng)包括公共的骨干網(wǎng)和公共的運營商邊界設(shè)備。地理上彼此分離的VPN成員站點通過客戶端設(shè)備（CPE）連接到對應(yīng)的運營商邊界設(shè)備（PE），通過運營商的公網(wǎng)組成客戶的VPN網(wǎng)絡(luò)。

2. 傳統(tǒng)的VPN組網(wǎng)方式

　　傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于客戶端設(shè)備的安全VPN。

　　專線VPN使用靜態(tài)的虛電路（如ATM PVC、FR PVC 等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。VPN成員站點連接到運營商的邊界設(shè)備（PE），由運營商負責建立VPN成員站點之間的虛電路連接，客戶對屬于自己VPN的站點的路由進行自主的控制和管理。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進行大量的手工配置工作。

　　對于基于客戶端設(shè)備的（CE Based）VPN，VPN的功能全部在客戶端的設(shè)備中實現(xiàn)。運營商的設(shè)備對客戶的VPN來說是完全透明的。客戶可以通過購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機上安裝相應(yīng)的VPN功能軟件就可以開始獨立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Internet的客戶私有流量。這個解決方案的最大缺點就是客戶需要購買、配置和維護昂貴的VPN網(wǎng)關(guān)設(shè)備，同時也意味著需要高素質(zhì)的網(wǎng)絡(luò)管理人員對VPN網(wǎng)關(guān)設(shè)備和整個VPN網(wǎng)絡(luò)進行有效的管理和維護，相應(yīng)也會帶來企業(yè)網(wǎng)絡(luò)成本的上升。

3. MPLS VPN

　　MPLS技術(shù)提供了類似于虛電路的標簽交換業(yè)務(wù)，這種基于標簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡(luò)安全性。同時相對于傳統(tǒng)的VPN技術(shù)來說，MPLS VPN可以實現(xiàn)底層標簽自動的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價，更快速。同時MPLS VPN可以充分的利用MPLS技術(shù)的一些先進的特性，比如說MPLS 流量工程能力，MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLS VPN可以向客戶提供不同服務(wù)質(zhì)量等級的服務(wù)，也更容易實現(xiàn)跨運營商骨干網(wǎng)服務(wù)質(zhì)量的保證。同時MPLS VPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無法提供的業(yè)務(wù)種類，比如像支持VPN地址空間復(fù)用。對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負責，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設(shè)備維護上的投資和成本。基于MPLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純?nèi)龑拥?a >ip VPN和隧道方式的VPN的替代技術(shù)，在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補充。

　　具體到MPLS VPN的實現(xiàn)方式，根據(jù)運營商邊界設(shè)備PE是否參與客戶的路由，運營商在建立基于IP/MPLS的VPN時有兩種選擇：

　　第三層的解決方案, 通常稱作是Layer3 MPLS VPNs

　　第二層的解決方案，通常稱作是Layer2 MPLS VPNs

　　衡量一個VPN解決方案的優(yōu)劣主要基于以下幾點的考慮：

支持的業(yè)務(wù)種類；

可以向用戶提供的連接的種類；

擴展性；

部署的復(fù)雜度；

業(yè)務(wù)開展的復(fù)雜度；

管理和維護的復(fù)雜度；

部署的成本；

管理和維護的成本。

　　當然這些因素并不是絕對的，實際的應(yīng)用中很難簡單的說這兩個方案誰優(yōu)誰劣。兩個方案都有其優(yōu)缺點，有其特定的業(yè)務(wù)模式，也都還處在不斷完善發(fā)展的階段，選擇一個方案的關(guān)鍵是運營商實際的網(wǎng)絡(luò)運營環(huán)境，和運營商自身的業(yè)務(wù)定位，要向客戶提供什么樣的服務(wù)模式。

4. Layer3 MPLS VPN

　　Layer3 MPLS VPN是一種基于路由方式的MPLS VPN解決方案，ITEF RFC2547中對這種VPN技術(shù)進行了描述，MPLS Layer3 VPN也被稱作是BGP/MPLS VPNs。BGP/MPLS VPN使用類似傳統(tǒng)路由的方式進行IP分組的轉(zhuǎn)發(fā)，在路由器接收到IP數(shù)據(jù)包以后，通過在轉(zhuǎn)發(fā)表查找IP數(shù)據(jù)包的目的地址，然后使用預(yù)先建立的LSP進行IP數(shù)據(jù)跨運營商骨干的傳送。為了使運營商的路由器可以感知客戶網(wǎng)絡(luò)的可達性信息，運營商的邊界路由器（PE）和客戶端路由器（CE）進行路由信息的交互。PE和CE之間的路由交換可以采用靜態(tài)路由，也可以采用RIP、OSPF、ISIS和BGP等動態(tài)的路由協(xié)議。BGP/MPLS VPN的解決方案支持對等方式的VPN網(wǎng)絡(luò)結(jié)構(gòu)。PE之間屬于同一MPLS VPN的路由信息通過BGP協(xié)議承載進行交互。PE路由器使用LSP進行路由轉(zhuǎn)發(fā)，對于運營商路由器P并不需要知道客戶VPN網(wǎng)絡(luò)的信息，這種透明可以有效的減小P路由器的負擔，提高網(wǎng)絡(luò)的擴展性和業(yè)務(wù)開展的靈活性。通過PE之間、PE和CE之間的路由交互，客戶的路由器可以知道屬于同一個VPN的網(wǎng)絡(luò)拓撲信息。BGP/MPLS VPNs 可以解決基于純IP Layer3 VPN無法實現(xiàn)的一些功能，主要有：

　　支持地址重疊，即同時支持使用公有地址的客戶端設(shè)備和私有地址的客戶端設(shè)備，或者多個VPN使用同一個地址空間；

　　支持重疊VPN，即一個站點可以同時屬于多個VPN。

　　對于傳統(tǒng)基于路由的VPN來說，要解決以上的問題有一定的挑戰(zhàn)性。MPLS VPN使用VPN路由轉(zhuǎn)發(fā)表（VRF）解決地址重疊的問題。在運營商PE路由器上使用基于每VPN的路由轉(zhuǎn)發(fā)表隔離不同VPN的路由。通過路由信息的隔離，實現(xiàn)支持VPN地址的重疊。如果一個PE上有多個CE屬于同一個VPN，那么這些CE共享PE上的VPN路由轉(zhuǎn)發(fā)表。對于重疊VPN的情況，重疊發(fā)生的站點需要使用獨立的VRF表存儲來自其所屬VPN的路由信息。地址重疊的另一個問題是，PE路由器從鄰居的BGP更新中會收到屬于不同VPN的重疊路由信息。為了區(qū)別來自不同VPN的路由信息，PE使用8 octet的路由標識（RD）對來自不同VPN的路由信息進行標識。這個8 octet的路由標識作為4 octet的IP地址前綴的擴展構(gòu)成了一個新的地址類（VPN－IPv4地址）。RD不參與路由發(fā)布的過程，它所起的作用僅僅是區(qū)分屬于不同VPN站點的路由。RD和VRF之間建立了一種一一映射的關(guān)系，VRF在發(fā)布路由信息時將同時附帶相應(yīng)的RD信息。對于重疊VPN的情況，這類站點雖然同時屬于多個VPN，但是它只需要一個RD，并不需要多個RD以對應(yīng)多個VRF，其主要的目的是為了節(jié)省PE路由器上的存儲資源。對于這類的VPN成員站點，路由分布的策略和單一VPN成員站點是一致的。為了防止PE路由器接收到不屬于該PE 上VPN成員的路由信息而浪費PE的資源，MPLS VPN使用BGP的擴展屬性來控制運營商網(wǎng)絡(luò)中路由信息的發(fā)布。這個功能是通過對BGP的團體屬性來實現(xiàn)的，所有的客戶VPN都被賦予一個唯一的團體屬性值。在PE接收到一條路由時，BGP進程將檢查該路由的擴展屬性，如果該屬性和該PE上承載的VPN的擴展屬性相同PE將接收該路由，如果不同，PE將忽略這些BGP路由。通過這種方式，PE路由器可以避免存儲一些不必要的路由信息，提高網(wǎng)絡(luò)的可擴展性。圖1 簡單的示意了Layer 3 MPLS VPN的解決方案。

　　從以上的分析可以看出，MPLS VPN可以支持創(chuàng)建重疊VPN，所謂重疊VPN是指同一個站點同時屬于多個VPN的情況。這種功能特別適用于企業(yè)之間并購時的網(wǎng)絡(luò)整合或者企業(yè)之間由于合作的需要，相互之間需要共享網(wǎng)絡(luò)資源。用戶將依靠服務(wù)提供商來實現(xiàn)特定的路由控制，也就是說，路由控制來自于CE路由器并且派送到PE路由器。在圖1中，用戶A，站點1，既歸屬于VPN A，又歸屬于VPNC 。該站點的路由信息由本地PE路由器在一個RD中進行通告，這個RD同時包含了兩個Route Target擴展屬性：一個用于VPN A，另一個用于VPN C。遠端的PE根據(jù)BGP擴展屬性對來自該PE的路由信息進行接收和處理。

　　當通告一個VPN-IPv4路由時， BGP信息中攜帶了VPN的內(nèi)標簽信息和相關(guān)VPN的BGP 下一跳信息。PE路由器可以通過LSP可以建立兩兩之間之間的通信。這些LSP可以看做是MPLS VPN的外層標簽，可以通過多種信令協(xié)議方式建立，比如LDP或者RSVP/TE。當PE接收到一個目的為遠端VPN站點的IP分組時，PE給分組包附加兩層MPLS標簽，如圖2所示。

　　外標簽或者稱作是隧道標簽用于標識BGP的下一跳即遠端PE的地址；內(nèi)標簽或者稱之為VPN標簽標識PE上特定的VPN成員，具體的說應(yīng)該是標識到PE上的VRF。P路由器只是根據(jù)標簽進行數(shù)據(jù)轉(zhuǎn)發(fā)，整個過程VPN過程對于P路由器透明。

5. MPLS Layer2 VPN

　　基于MPLS的第二層VPN解決方案保留了傳統(tǒng)基于第二層VPN解決方案的優(yōu)勢。MPLS L2 VPN降低了VPN業(yè)務(wù)開通復(fù)雜度，特別是在現(xiàn)有的VPN中增加站點時，在大多數(shù)情況下只需把供應(yīng)商邊緣（PE）路由器連接到新站點上即可，相應(yīng)也減小了業(yè)務(wù)提供的周期。通過采用MPLS技術(shù)，可以在多元融合的網(wǎng)絡(luò)中運行二層VPN、三層VPN、流量工程、Diffserv及許多其它業(yè)務(wù)，服務(wù)提供商可以為IP、第三層（MPLS/IP）和二層VPN共同管理和維護單一的基于MPLS的網(wǎng)絡(luò)。基于第二層的MPLS VPN解決方案提供了運營商網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)之間的完全獨立，也就是說，運營商邊界的PE設(shè)備和CE設(shè)備之間沒有進行路由交換，運營商只是簡單向客戶提供一些基于2層的網(wǎng)絡(luò)功能。運營商的網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)和完全架構(gòu)在層疊的網(wǎng)絡(luò)模型上，從客戶的角度看運營商只是提供了一個簡單的2層連接。這種透明簡化了運營商網(wǎng)絡(luò)的結(jié)構(gòu)和配置管理，同時也提供了對客戶的多業(yè)務(wù)支持能力，運營商除了傳統(tǒng)的IP業(yè)務(wù)以外，還可以向客戶提供IPv4, IPv6, IPX, DECNet, OSI, SNA等等業(yè)務(wù)，以及一些傳統(tǒng)基于電路業(yè)務(wù)的仿真，比如說FR、ATM等。

　　目前Layer2 MPLS VPN的解決方案可以提供以下兩種連接方式的服務(wù)：

－點到點連接

－點到多點連接

5.1 點到點仿真虛電路

　　對于點到點仿真虛電路方式的Layer2 MPLS VPN主要是基于以下的幾個IETF草案，這幾個草案基本上已經(jīng)成為點到點方式L2 VPN的事實標準：

“draft-martini-l2circuit-trans-mpls-0x.txt”

“draft-martini-l2circuit-encap-mpls-0x.txt”

“draft-kompella-mpls-l2vpn-0x”

“draft-kompella-ppvpn-l2vpn-0x”

　　這幾個草案基本上可以劃分為Layer2 MPLS VPN兩個主要的技術(shù)流派： Martini和Kompella。兩種解決方案在數(shù)據(jù)層面非常相似，都支持多種二層技術(shù)。兩個草案的區(qū)別主要在控制層面；前者支持點對點的服務(wù)，后者可以支持點對多點服務(wù)。 Draft-Martini不包括用于VPN成員自動發(fā)現(xiàn)機制，更多的操作需要手工完成。支持Martini的運營商和設(shè)備廠家主要有Level 3 Communications, Cisco Systems, Nortel Networks, Laurel Networks, Vivace Networks, Mazu Networks, Gone2 Ltd., Global Crossing, Cable & Wireless, and Juniper Networks, Inc.。支持Kompella的主要有Juniper Networks, Telefónica Data, Cable & Wireless, CoSine Communications, WorldCom, KPN Dutch Telecom, Nortel Networks, and Unisphere Networks.。由于Draft-Martini比Draft-Kompella的機制簡單，實現(xiàn)起來比Draft-Kompella容易，所以提供MPLS的2層VPN的廠家基本上都支持Martini草案，能支持Kompella方式的廠家比較少。

5.1.1 Draft-Martini基于MPLS的二層VPN

　　Martini草案的基于MPLS的二層VPN是一種點對點的解決方案。可以支持的二層技術(shù)主要有：幀中繼、ATM AAL5 CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)。

　　為了通過運營商MPLS網(wǎng)絡(luò)承載L2幀，Martini草案引入VC（虛連接）的概念。VC通過MPLS標簽棧的方式在MPLS骨干網(wǎng)由LSP構(gòu)建的隧道中進行復(fù)用，其標簽的結(jié)構(gòu)如圖 3所示。

　　LSP可以看作是承載多條VC的隧道，VC可以看作是實際承載L2幀的電路，VC實際是隧道LSP中的子LSP。隧道LSP提供PE之間的隧道連接，VC承載特定用戶（VPN）的數(shù)據(jù)幀。隧道ISP的建立方式可以有多種，可以使用LDP的方式或者是RSVP/CR-LDP等信令協(xié)議。PE之間VC 標簽的分發(fā)使用下游標簽分配的方式，可以采用靜態(tài)分配的方法也可以通過信令進行分配，VC和傳統(tǒng)的LSP一樣也是單向的，為了獲得雙向的VC連接必須對VC兩端的PE都進行配置。為了實現(xiàn)這種等級化的結(jié)構(gòu)，在用戶（VPN）的數(shù)據(jù)幀穿透運營商的網(wǎng)絡(luò)時被打上了兩層的標簽：

外層標簽或者隧道標簽：用于標識隧道LSP，用于定位特定的目的PE路由器；

內(nèi)層標簽或者VC標簽：用于標識用戶的連接，用于定位目的PE路由器上特定的VPN成員站點。

　　如圖4所示，以PE1為源端、PE2為目的端為例，當PE1發(fā)送一個二層PDU到PE2時，PE1首先為二層凈荷添加一個VC標簽，然后添加一個隧道標簽。隧道標簽用來確定MPLS分組從PE1到PE2的通路；只有MPLS分組到達PE2時，VC標簽才可見，PE2對分組的處理取決于VC標簽的內(nèi)容。

　　隧道標簽用來確定通過MPLS網(wǎng)絡(luò)的通路，VC標簽用來識別端點的VLAN、VPN、或連接。例如，如果MPLS分組的凈荷是ATM AAL5 協(xié)議數(shù)據(jù)單元時，PE2能從VC標簽推斷出凈荷對應(yīng)的出口，以及AAL5 PDU的VPI/VCI值。如果凈荷是幀中繼PDU時，PE2能從VC標簽推斷出凈荷對應(yīng)的出口，以及DLCI值。如果凈荷是以太網(wǎng)幀時，PE2能從VC標簽推斷出凈荷對應(yīng)的出口，及VLAN識別符。

　　使用隧道標簽和VC標簽的方法，可以將多個二層“VC”復(fù)用到單個“Tunnel”中，可以節(jié)省運營商骨干MPLS網(wǎng)絡(luò)中對LSP的需求量，有利于提高網(wǎng)絡(luò)的擴展性。

5.1.2 Draft-kompella基于MPLS的二層VPN

　　Kompella草案的基于MPLS的二層VPN是一種點對多點的解決方案。但是和下面將要提到的VPLS對比，Kompella方式的點對多點連接只是一種點到點連接的集合。和Martini方式相比，Kompella的優(yōu)勢是引入了VPN的自動發(fā)現(xiàn)機制，在網(wǎng)絡(luò)初始化時需要對VPN的所有站點進行配置，一旦初始化完成后，只需對新添加的站點進行配置，而不必觸及已配置的站點。Kompella的自動發(fā)現(xiàn)機制使用BGP作為VC標簽分配的信令，整個VPN建立的過程充分的借鑒的L3 MPLS VPN實現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會話，相互交換VPN成員信息和VPN能力的協(xié)商，其網(wǎng)絡(luò)結(jié)構(gòu)如圖5所示。

　　對于大型的IP運營商來說，其網(wǎng)絡(luò)中原有運行的BGP可以作為Kompella方式Layer2 MPLS VPN的信令載體，在同一個信令平臺上可以同時提供L2和L3的VPN業(yè)務(wù)。對于網(wǎng)絡(luò)的運營和維護來說也不會增加很大的負擔。基于Layer3 MPLS VPN的運營商經(jīng)驗也完全可以被Komplla VPN借鑒，比如說VPN跨域的問題，Kompella就可以采用和Layer3 MPLS VPN相似的方法實現(xiàn)，而Martini VPN的跨域問題解決起來就比較的困難。但是，Kompella VPN在借鑒了Layer3 MPLS VPN思想的同時也不可避免的繼承了Layer3 MPLS VPN 實現(xiàn)、配置管理復(fù)雜、業(yè)務(wù)提供周期長等缺點，導(dǎo)致了目前支持和實現(xiàn)Kompella的廠家較少，有關(guān)這方面的問題還處于進一步研究的過程中。

　　在數(shù)據(jù)層面上Kompella和借鑒了Martini的封裝格式，可以支持：幀中繼、ATM AAL5 CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)等二層技術(shù)。

5.2 點到多點連接（VPLS）

　　目前在IETF中有多個草案解決L2多點連接的問題，這些草案的主要目標都是為了解決Layer 2以太幀透過運營商IP/MPLS 網(wǎng)絡(luò)進行點到多點傳送的問題。通過運營商的IP/MPLS網(wǎng)絡(luò)，Layer2 MPLS VPN可以仿真一個局域網(wǎng)交換機，具有基于MAC地址對用戶的數(shù)據(jù)幀進行轉(zhuǎn)發(fā)的能力。最終的目的是構(gòu)架客戶端基于L2交換的VPN網(wǎng)絡(luò)。這種解決方案一般也稱作是VPLS（Virtual PRivate LAN Services）。VPLS技術(shù)的核心思想在草案“draft-lasserre-vkompellappvpn- vpls-0x.txt”中有詳細的描述，以下的幾個草案對lasserre草案中的思想進行了擴充或者是提出了一些廠家特有的解決方案：

draft-kompella-ppvpn-vpls-00.txt

draft-kompella-ppvpn-dtls-01.txt

draft-lasserre-tls-mpls-00.txt

draft-heinanen-dns-ldp-vpls-00.txt

draft-tsenevir-gre-vpls-00.txt

draft-augustyn-vpls-arch-00.txt

draft-khandekar-ppvpn-hvpls-mpls-00.txt

draft-sajassi-vpls-architectures-00.txt

　　VPLS 的解決方案實際上是對Martini解決方案中引入概念的擴展。VPLS實際上是在PE之間建立了一個全網(wǎng)狀的VC連接來仿真點到多點的連接。值得注意的是VC是一個單向的連接，為了承載雙向的數(shù)據(jù)流，需要一對VC連接。 VC標簽信息的交換主要有兩種方法，一種是LDP標簽分配方式，另外一種是BGP標簽分配的方式。客戶VPN使用32bit的VPN ID進行標識，也有一些草案中使用56bit或者64bit的VPN ID進行擴展。還有一種解決方案是將VPN ID存儲在DNS系統(tǒng)中進行統(tǒng)一的管理控制，可以簡化業(yè)務(wù)提供的過程。在VPLS中，VLAN ID對于運營商網(wǎng)絡(luò)來說沒有任何的意義，運營商的網(wǎng)絡(luò)根據(jù)為客戶VPN分配的標簽進行標簽交換，所以對于Layer2 MPLS VPN來說，它可以不受最大4095個VLAN數(shù)目的限制。PE設(shè)備的功能體（多數(shù)情況下是PE路由器）像普通的二層交換機一樣進行MAC地址的學(xué)習，唯一的不同是Layer2 MPLS VPN通過VC進行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。通過MAC地址的學(xué)習每個承載VPN的PE上都會生成相應(yīng)的MAC地址轉(zhuǎn)發(fā)表，這個轉(zhuǎn)發(fā)表稱作是VFI （Virtual Forwarding Instance），VFI和PE上的VPN之間是一一對應(yīng)的關(guān)系。和Layer3 MPLS VPN一樣，為了合理地利用設(shè)備的資源，Layer2 MPLS VPN的PE設(shè)備上只存儲它承載的VPN的MAC轉(zhuǎn)發(fā)表，而不是網(wǎng)絡(luò)中所有VPN的MAC轉(zhuǎn)發(fā)表。P路由器不進行任何的MAC地址學(xué)習，整個Layer2 MPLS VPN的建立過程對P路由器是透明的。

　　PE不必像傳統(tǒng)的L2 交換機一樣運行STP協(xié)議，因為在Layer2 MPLS VPN中使用MPLS的內(nèi)在保護機制進行鏈路的保護，而且VPLS的PE之間采用的全網(wǎng)狀連接的VC，PE之間的流量相互可以直達，所以不會產(chǎn)生L2 交換網(wǎng)絡(luò)中通常會遇到的線路保護和線路環(huán)路的問題，所以也就沒有使用STP協(xié)議的必要。Layer2 MPLS VPN可以避免通常L2交換網(wǎng)絡(luò)中因為使用STP帶來的網(wǎng)絡(luò)恢復(fù)的周期長、網(wǎng)絡(luò)的控制性受限制等問題。如圖6中所示，VPLS中也可以實現(xiàn)重疊VPN的網(wǎng)絡(luò)結(jié)構(gòu)，站點1同時屬于VPN A和VPN C，在數(shù)據(jù)平面VPN A和VPN C的數(shù)據(jù)可以通過不同的VLAN ID使用802.1q復(fù)用到單一物理接入鏈路上。在控制平面，客戶需要對其路由協(xié)議的發(fā)布進行一定的策略控制，決定路由發(fā)布和VPN之間的對應(yīng)關(guān)系。對運營商而言，路由的管理和控制是由用戶進行的，運營商的維護管理的工作簡單。

6. Layer3和Layer2 VPN綜合比較及分析

　　從以上的分析中可以看出，基于MPLS的L2和L3解決方案各有其優(yōu)缺。對于運營商來說到底采用何種方式在網(wǎng)絡(luò)中實施MPLS VPN需要考慮L2 和L3方案各自的優(yōu)缺，結(jié)合網(wǎng)絡(luò)的現(xiàn)狀，方案實施的成本，以及對當前和將來業(yè)務(wù)的綜合分析、預(yù)測。

6.1 支持的服務(wù)類型

　　對于L3的MPLS 來說，由于路由協(xié)議和信令協(xié)議的限制面前只支持純IP的業(yè)務(wù)，而L2 VPN的解決方案由于采用二層的透傳技術(shù)，對于客戶側(cè)的很多三層協(xié)議是透明的，這些協(xié)議包括：IPv4、IPv6、IPX，DECnet，OSI，SNA等等。相對于L3來說，L2對于用戶業(yè)務(wù)類型的要求限制要少一些。尤其，現(xiàn)在很多的組織已經(jīng)或者正在準備開始使用IPv6，將來也會有很多的企業(yè)向IPv6遷移。對于運營商來說，如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)。對于L3的 VPN來說需要對面前IPv4的路由技術(shù)和對面前M-BGP的功能進行增強，生成一個新的VPNIPv6的address family 。其間，還會涉及到對運營商邊界路由器軟件或者硬件上的升級。對于L2的VPN來說，可以繼續(xù)的為這些企業(yè)用戶提供VPN的業(yè)務(wù)。Layer 2 MPLS VPN的特性也使其也可以很容易的實現(xiàn)目前困擾Layer 3 MPLS VPN的很多技術(shù)，比如說網(wǎng)絡(luò)的組播，L3 MPLS VPN有關(guān)組播能力的支持還有待進一步的研究。

6.2 組網(wǎng)能力

　　運營商在向客戶通過MPLS VPN服務(wù)的時候可以采用多種的組網(wǎng)方式，MPLS L2和L3的VPN都支持以下的幾種VPN組網(wǎng)方式：

1. Point-to-Point.

2. Hub and Spoke.

3. Partial Mesh.

4. Full Mesh.

5. Overlapping VPNs.

　　由于實現(xiàn)機制的不同，MPLS L2和L3 VPN對以上幾種組網(wǎng)方式的支持能力有差異。具體來說，Layer3 MPLS VPN對于1、4、5組網(wǎng)方式的支持能力好，而對2、3組網(wǎng)方式的支持相對比較的復(fù)雜。對于Layer2 MPLS VPN來說，實現(xiàn)1、2、3、4連接的能力強。為什么會產(chǎn)生這種差異呢？Layer2 MPLS VPN直接采用VC的方式構(gòu)建VPN站點直接的連接，相對于通過控制BGP的路由傳遞建立的Layer3 MPLS VPN來說，在組網(wǎng)的能力上更靈活一些。但是Layer2 MPLS VPN在支持連接方式5即重疊VPN的時候，需要對重疊發(fā)生處的CE設(shè)備進行一定的配置，CE設(shè)備需要對發(fā)布到PE的路由信息進行控制。在這個過程中，對于客戶來說會喪失一部分三層路由的透明性。

6.3 網(wǎng)絡(luò)擴展性

　　在對比L3解決方案和L2解決方案擴展性的時候我們可以發(fā)現(xiàn)許多共同的地方。一般來說對于MPLS VPN來說網(wǎng)絡(luò)的擴展性主要受以下幾個因素的限制。一個限制因素是運營商邊界的LSR最大可以支持的LSP或者是VC的數(shù)量；另一個限制因素是運營商邊界路由器上可以存儲的配置文件的大小。配置文件包括邊界路由器的全局路由信息和相關(guān)的VPN配置信息。對于L3 的MPLS VPN來說，配置文件包括VRF（virtual route forwarding ）、RD、BGP擴展屬性的信息和路由過濾的策略。對于 MPLS 2層的解決方案來說，配置文件包括VPN對等PE的靜態(tài)配置信息以及端口和VPN之間的映射關(guān)系。如果在Layer2 MPLS VPN解決方案中引入VPN成員站點的自動發(fā)現(xiàn)機制，可以極大的簡化Layer2 MPLS VPN的配置過程和控制配置文件的規(guī)模。

　　對于L3的解決方案來說，運營商邊界PE上可以存儲的路由的數(shù)量也是影響VPN擴展性的一個重要因素。運營商邊界路由器上存儲在來自所有成員VPN的路由信息。減小運營商路由器PE上路由數(shù)量的方法是盡可能的對VPN的路由進行匯總。L2解決方案同樣也存在這樣的限制，解決的方法是使用一定的策略對PE路由器上MAC地址的數(shù)量進行限制，防止來自VPN的大量源MAC地址信息使PE路由器溢出。

6.4 網(wǎng)絡(luò)部署的難易程度

　　實施L3的MPLS解決方案通常需要高端的PE設(shè)備作為運營商邊界LSR，因為在L3 的情況中作為運營商邊界的LSR需要處理大量的路由表信息，而且還要同時處理多個路由表的信息。在實施L3的VPN時需要部署M-BGP作為傳遞內(nèi)標簽的信令協(xié)議，對于網(wǎng)絡(luò)中已經(jīng)部署了大量的BGP協(xié)議的大型IP網(wǎng)絡(luò)來說，其運營商傾向于開展L3的VPN解決方案，以充分的利用網(wǎng)絡(luò)中已部署的BGP協(xié)議。在運營商實際的業(yè)務(wù)實施的過程中，需要對原有的BGP進行一些調(diào)整，包括對BGP路由反射簇的調(diào)整和對路由聯(lián)盟的調(diào)整，調(diào)整的目標是對BGP路由反射器或者聯(lián)盟邊界路由器的負載進行均衡，防止網(wǎng)絡(luò)中的某些設(shè)備負載過大，提高網(wǎng)絡(luò)的擴展性。這些調(diào)整需要進行合理的規(guī)范，深入的分析和研究，保證L3 VPN的實施不會對網(wǎng)絡(luò)中原有的網(wǎng)絡(luò)穩(wěn)定性和擴展性產(chǎn)生影響。

　　對于L2 VPN的解決方案來說，對PE的要求相對簡單，多數(shù)的解決方案不需要使用BGP作為標簽分配的信令協(xié)議，所以PE之間不需要運行BGP協(xié)議。對于那些網(wǎng)絡(luò)中原來沒有運行BGP，或者是不希望繼續(xù)使用BGP作為標簽分配信令的運營商來說，L2 VPN的解決方案就比較吸引力。當然，對于那些希望利用原有的BGP協(xié)議的運營商來說，也可以采用使用BGP作標簽分配的L2 VPN解決方案進行實施。對于跨域的MPLS VPN來說，使用BGP作為跨域標簽分配的工具比單純使用LDP作跨域標簽分配更簡單，更容易實現(xiàn)，有更好的網(wǎng)絡(luò)擴展性。

6.5 業(yè)務(wù)提供過程

　　L3 MPLS VPN業(yè)務(wù)的提供需要運營商通過控制路由信息為用戶定制VPN的網(wǎng)絡(luò)拓撲。具體的說就是要設(shè)計包含客戶路由信息的VRF，制定RD和路由屬性的分配方法。多個端口是否共享一個VRF，或者在重疊VPN方式中VRF包含來自多個VPN的路由信息，這些問題都需要運營商進行仔細的規(guī)劃和實施。運營商還需要創(chuàng)建和維護于客戶CE路由器之間的路由交換。相對來說，Layer2 MPLS VPN的業(yè)務(wù)提供比較簡單。運營商PE上只需要配置相應(yīng)的PE之間的VC連接以及PE端口或者電路和VPN之間的映射。目前在IETF中提出了很多PE VPN成員站點的自動發(fā)現(xiàn)機制，來增加Layer2 MPLS VPN的智能化，隨著VPN自動發(fā)現(xiàn)機制的標準化，Layer2 MPLS VPN的配置將進一步的簡化。

6.6 運營管理和維護

　　運營商在管理和維護L3的MPLS VPN，作配置改動或者進行故障的檢查和修復(fù)時，實際上主要是處理路由器BGP對等會話，各種擴展屬性的BGP路由和路由器的發(fā)布和控制，以及運營商邊界PE和客戶路由器CE之間的對等關(guān)系。在很多大型的IP網(wǎng)絡(luò)中，為了增加網(wǎng)絡(luò)的擴展性，使用了BGP路由反射器或者是聯(lián)盟對自治域內(nèi)的IBGP會話進行控制，這些措施在提高網(wǎng)絡(luò)擴展性的同時也增加了網(wǎng)絡(luò)管理維護和故障發(fā)現(xiàn)、檢查和修復(fù)的復(fù)雜度。隨著VPN用戶數(shù)量的增加，運營商邊界路由器的配置文件也將變得越來越龐大，網(wǎng)絡(luò)的可運營可管理的能力也隨之下降。

　　對于Layer2 MPLS VPN來說，情況相對要簡單一些，因為運營商不需要管理和維護屬于客戶的路由信息。對于大多數(shù)的Layer2 MPLS VPN解決方案來說也不需要BGP作標簽的分配和路由信息的傳遞。網(wǎng)絡(luò)的管理和維護相對比較簡單。但是，對于kompella和某些VPLS的Layer2 MPLS VPN解決方案來說，BGP仍然作為標簽分配的信令協(xié)議使用。無論那種實現(xiàn)的方式，運營商在管理和維護Layer2 MPLS VPN時只需要處理簡單的VC概念和VPN和PE路由器端口之間的映射關(guān)系，具體到每一個PE上，運營商只需要維護單一的全局路由表，記錄Layer2 MPLS VPN MAC地址和轉(zhuǎn)發(fā)路徑信息的轉(zhuǎn)發(fā)表可以使用靜態(tài)的配置或者是通過PE動態(tài)的學(xué)習獲得。Layer2 MPLS VPN和L3 MPLS VPN面臨的一個共同的問題就是，隨著VPN網(wǎng)絡(luò)規(guī)模的擴張和VPN站點數(shù)量的增加，運營商邊界的PE路由器的配置文件將變得十分的龐大，對于這個問題可以采用VPN成員的自動發(fā)現(xiàn)機制將配置文件控制在一個合理的范圍，或是采用基于圖形的MPLS VPN管理軟件簡化管理和維護的難度。

6.7 運營成本

　　對比兩種MPLS VPN部署的成本，L3的解決方案要比L2的解決方案稍高一些。L3的解決方案要求運營商邊界的PE路由器同時處理多個路由表，相對于L2解決方案對邊界路由器的要求要苛刻一些。特定的網(wǎng)絡(luò)解決方案的運營維護成本主要取決于網(wǎng)絡(luò)的復(fù)雜程度，網(wǎng)絡(luò)越復(fù)雜，對網(wǎng)絡(luò)運營管理人員的專業(yè)要求更高，業(yè)務(wù)開展的周期也會相應(yīng)的延長。所以，在同等網(wǎng)絡(luò)規(guī)模的前提下L3 MPLS VPN的運營成本高于Layer2 MPLS VPN。

7. MPLS VPN應(yīng)用的分析和建議

　　從以上的分析中，我們可以得出，MPLS VPN技術(shù)是未來構(gòu)建VPN網(wǎng)絡(luò)的技術(shù)發(fā)展方向，無論是相對于傳統(tǒng)的基于電路或者虛電路方式的二層VPN組網(wǎng)技術(shù)還是傳統(tǒng)基于CPE設(shè)備的IP隧道VPN技術(shù)或者是基于傳統(tǒng)基于運營商網(wǎng)絡(luò)的VPN解決方案，MPLS VPN技術(shù)都有著明顯的優(yōu)勢，MPLS VPN依托MPLS技術(shù)可以提供更多元化的業(yè)務(wù)種類，多種服務(wù)質(zhì)量，MPLS也為MPLS VPN提供了基于標簽的內(nèi)在安全機制和基于LSP保護的保護機制，簡化了運營商和客戶對VPN進行管理維護的工作量，縮短了運營商提供VPN業(yè)務(wù)的周期，使運營商可以面對市場的需求做出靈活的反應(yīng)。

　　但是運營商向MPLS VPN技術(shù)的演進應(yīng)該是應(yīng)該循序漸進的過程。對于大多數(shù)的運營商來說，目前其數(shù)據(jù)業(yè)務(wù)的主要來源還是面向客戶的傳統(tǒng)L2 VPN和專線業(yè)務(wù)。實施MPLS VPN的過程必須充分的考慮已有網(wǎng)絡(luò)的網(wǎng)絡(luò)運營結(jié)構(gòu)和當前的網(wǎng)絡(luò)業(yè)務(wù)模式。MPLS VPN作為一項新業(yè)務(wù)，一方面其自身還處在一個不斷的發(fā)展和完善的時期，另一方面對于大多數(shù)的運營商來說沒有大規(guī)模運營MPLS VPN的經(jīng)驗，貿(mào)然的實施MPLS VPN技術(shù)有很大的風險。建議運營商在保持原有業(yè)務(wù)的同時，可以利用運營商的MPLS骨干網(wǎng)推出MPLS VPN的業(yè)務(wù)作為傳統(tǒng)專線業(yè)務(wù)的補充，使用優(yōu)惠的資費政策吸引一部分中小用戶，積累一定的運營經(jīng)驗。

　　具體到MPLS VPN的兩種實現(xiàn)方式，Layer3 MPLS VPN由于發(fā)展的時間較長，其協(xié)議本身相對完善一些，一些運營商已開始了Layer3 MPLS VPN業(yè)務(wù)的一些嘗試。Layer3 MPLS VPN由于其實現(xiàn)機制的問題，其網(wǎng)絡(luò)的運營管理和維護，以及運營商邊界路由器需要存儲大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴展性問題要求必須對Layer3 MPLS VPN的實施進行很好的規(guī)劃。雖然IETF也在就這方面的問題不斷的對Layer3 MPLS VPN進行改進，但是在目前技術(shù)和網(wǎng)絡(luò)條件都不成熟的情況下Layer3 MPLS VPN的應(yīng)用應(yīng)定位于中小規(guī)模的企業(yè)VPN用戶。等Layer3 MPLS VPN本身的協(xié)議完善及運營商本身積累了一定的網(wǎng)絡(luò)運營管理經(jīng)驗以后再進行全網(wǎng)的普及。

　　Layer2 MPLS VPN的出現(xiàn)是MPLS VPN技術(shù)的一個新亮點，隨著其協(xié)議的成熟和標準的確定，Layer2 MPLS VPN將成為MPLS VPN技術(shù)的主流技術(shù)。Layer2 MPLS VPN技術(shù)可以實現(xiàn)幀中繼、ATM、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)和多種二層鏈路技術(shù)的互通，運營商和客戶之間的責任明確，運營模式清晰，是邁向IP/MPLS全業(yè)務(wù)網(wǎng)的關(guān)鍵一步，可以實現(xiàn)真正意義上的多網(wǎng)合一。在演進的過程中原有的非IP接入電路技術(shù)（FR、ATM）可以實現(xiàn)重復(fù)利用，可以最大限度的為運營商節(jié)省網(wǎng)絡(luò)升級的投資。與Layer3 MPLS VPN的解決方案比較，Layer2 MPLS VPN可以提供更好的網(wǎng)絡(luò)擴展性，還可以支持除IP以外的多種協(xié)議（IPX，SNA等）所以更適合在大型的VPN網(wǎng)絡(luò)中使用，特別是在多級運營商或者運營商的多級網(wǎng)絡(luò)環(huán)境中（Carrier Support Carrier）。對于客戶來說從傳統(tǒng)的二層VPN升級到Layer2 MPLS VPN的過程是透明的，客戶路由器原有的電路映射關(guān)系不需要進行任何的改動。就目前來說，Layer2 MPLS VPN面臨的最大問題就是協(xié)議不成熟，沒有標準化。目前設(shè)備廠家間解決方案種類繁多，大多數(shù)的設(shè)備只實現(xiàn)了協(xié)議定義的基本功能，還不具備全業(yè)務(wù)支持的能力，各種解決方案之間也無法實現(xiàn)互通。Layer2 MPLS VPN協(xié)議本身的不完善也是制約其應(yīng)用的一個重要因素，目前大多數(shù)的Layer2 MPLS VPN的配置過程都需要進行大量的手工配置，不適合組大規(guī)模的網(wǎng)絡(luò)。對于一個適合進行大規(guī)模部署的網(wǎng)絡(luò)解決方案來說，必須要支持自動發(fā)現(xiàn)和機制，減少配置過程中因為人為失誤造成配置錯誤的可能性。另外，除了以BGP作為信令協(xié)議的解決方案以外，Layer2 MPLS VPN的跨域問題還沒有能夠完全的解決。Layer2 MPLS VPN業(yè)務(wù)的成熟需要運營商積累一定的運營經(jīng)驗，其業(yè)務(wù)本身也需要市場和客戶認可的過程。

　　綜合以上的分析，運營商可以根據(jù)自身的網(wǎng)絡(luò)情況選擇使用什么樣的方式、什么樣的技術(shù)和什么樣的運營模式提供其MPLS VPN的業(yè)務(wù)。對于傳統(tǒng)處于壟斷地位的運營商來說可以采用循序漸進的方式，將MPLS VPN作為其傳統(tǒng)VPN業(yè)務(wù)的一種補充，同時可以采用設(shè)備代管代維或者其它運營模式獲取單純帶寬批發(fā)之外的利潤。采用逐步替換的方式完成向IP/MPLS全業(yè)務(wù)網(wǎng)的演進。對于新型的寬帶業(yè)務(wù)運營商或者是需要重新進行網(wǎng)絡(luò)建設(shè)或者網(wǎng)絡(luò)升級的傳統(tǒng)運營商來說，其本身處于競爭的地位，沒有什么原有技術(shù)的限制和負擔，所以可以直接的采用MPLS VPN技術(shù)構(gòu)建其VPN業(yè)務(wù)體系。利用MPLS VPN靈活，低成本，業(yè)務(wù)提供周期短的特點，采用L2和L3結(jié)合的方式向客戶提供MPLS VPN業(yè)務(wù)，通過面向中小型企業(yè)用戶和寬帶上網(wǎng)的業(yè)務(wù)提供，積累運營的經(jīng)驗，逐步的擴大目標業(yè)務(wù)群，增加網(wǎng)絡(luò)的覆蓋范圍，最終實現(xiàn)跨大區(qū)域提供大型VPN業(yè)務(wù)的能力。在網(wǎng)絡(luò)建設(shè)發(fā)展的初期，可以采用少量傳統(tǒng)技術(shù)如幀中繼、ATM技術(shù)和MPLS VPN結(jié)合向客戶提供服務(wù)，滿足客戶的不同需求。在MPLS VPN網(wǎng)絡(luò)發(fā)展成熟到一定的階段，采用在幀中繼、ATM設(shè)備中引入MPLS VPN，或是將這些幀中繼、ATM設(shè)備推向網(wǎng)絡(luò)邊緣的方式全面實現(xiàn)網(wǎng)絡(luò)向IP/MPLS全業(yè)務(wù)網(wǎng)的演進。

摘自《中國電信網(wǎng)》

上一篇：MPLS包頭結(jié)構(gòu)在協(xié)議棧中的位置

下一篇：典型LMDS系統(tǒng)構(gòu)成