Ｌ１ＶＰＮ的現狀與未來發展

Current Status and Future Development of L1VPN

摘要：智能光網絡以及自動交換光網絡/通用多協議標記交換(ASON/GMPLS)的快速發展為現有網絡帶來了許多新的增值業務，其中包括新的層一的虛擬專用網(L1VPN)業務。L1VPN應用模式有多種，國際電信聯盟電信標準部門(ITU-T)的標準中定義了4種應用場景，分別是多業務骨干網、運營商的運營商(Carrier’s carrier)、層一的資源交易以及跨服務提供商(SP)的L1VPN。L1VPN的業務模型主要關注L1VPN業務的配置和管理等問題。因特網工程任務組(IETF)定義了兩類L1VPN業務模型：基于管理平面的L1VPN業務模型和基于控制平面的業務模型。L1VPN的成功實現和應用，原因在于除了L1VPN能為用戶提供新的增值業務外，安全、高效、靈活、可管理的特性能為運營商和用戶帶來雙贏的局面。

關鍵詞：虛擬專用網；業務模型；智能光網絡

Abstract: The rapid development of intelligent optical networks along with Automatically Switched Optical Networks/Generalized Multi-protocol Label Switching (ASON/GMPLS) has brought abundant new value-added services in current networks， including the newly-developed Layer 1 Virtual Private Network (L1VPN) services. L1VPN has many application situations， particularly 4 as defined in ITU-T’s standards， i.e.， multi-service backbone network， carrier’s carrier， resource trade in Lay 1， and multi-Service Providers (SP) L1VPN. The L1VPN service model mainly deals with the configuration and management of L1VPN services. IETF has defined two types of models: one is based on the management plane and the other is based on the control plane. The successful implementation of L1VPN results from the reasons that it brings users with new value-added services and bears distinct advantages in security， effectiveness， flexibility and management， thus leading to a win-win play for operators and users.

Key words:VPN; service model; intelligent optical network

層一的虛擬專用網(L1VPN)業務即通常所說的光虛擬專用網(OVPN)。作為虛擬專用網(VPN)的一種實現方式，L1VPN能為其用戶提供低成本的網絡基礎設施，并在此基礎設施上為其用戶提供安全的、具有服務質量(QoS)保障的層一業務。

所謂層一業務是指處于開放系統互連(OSI)第1層的光或時分復用(TDM)業務。

根據業務連接特征以及業務控制能力特征，國際電信聯盟電信標準部門(ITU-T)將第1層業務分為以下兩種類 ^[1]：

(1)類型1

類型1為單連接業務，即一個客戶，2個網元客戶邊緣設備(CE)間的連接業務。根據業務連接類型，又可細分為靜態業務和動態業務兩種。

(2)類型2

類型2為多連接業務，即一個客戶，3個或3個網元CE以上之間的連接業務。根據業務連接類型，也可細分為靜態業務和動態業務兩種。

ITU-T將L1VPN定義為類型2第1層業務中的動態連接業務，目前它實現的是一種點到點的連接。提供L1VPN業務的運營商是可以開展帶寬租用、帶寬批發等批發業務的運營商，其用戶包括業務提供商(SP)、企業用戶等等。圖1所示為L1VPN的參考模型。

智能光網絡能為用戶提供靈活、快速的業務帶寬分配和連接建立，因此基于智能光網絡的L1VPN也豐富了其實現方式。ITU-T定義了實現L1VPN應滿足的需求，包括L1VPN所提供的業務特征需求，連接的動態控制需求，安全、計費、用戶地址、連接受限、策略、生存性需求等，其中在動態連接控制方面，ITU-T要求L1VPN的連接由軟永久連接(SPC)和交換連接(SC)來完成。雖然為支持這種需求目前ITU-T在智能光網絡方面的標準仍有待進一步完善，但能看出這種需求實際上適應了智能光網絡發展的趨勢。

1 L1VPN的功能模型及應用

1.1 功能模型

L1VPN參考模型定義了CE、客戶設備(C)、網絡邊緣設備(PE)、網絡設備(P)等等節點，從應用的角度看，L1VPN業務對C節點設備來說與一條客戶網絡內的鏈路并沒有什么不同；同樣，P節點設備并不維護與L1VPN相關的狀態信息，也不參與任何與L1VPN相關的處理過程，因此在L1VPN模型中只有CE和PE節點是重要的，相應的L1VPN功能也是僅與CE節點和PE節點相關的。

基于這種考慮，ITU-T分別針對PE節點和CE節點在L1VPN模型中定義了各自的功能集，并對其中主要的功能特性及其實現方式了進行歸納整理。

1.2 L1VPN的應用

L1VPN應用模式有多種，ITU-T的標準中定義了4種應用場景，分別是多業務骨干網、運營商的運營商(Carrier’s carrier)、L1資源交易以及跨服務提供商(SP)的L1VPN。在具體實現模式上也有多種劃分方法，根據客戶網絡與服務層網絡之間的關系可分為重疊應用模式和對等應用模式，根據資源占有方式可分為資源分割模式和域服務模式^[2]。

在具體的L1VPN所承載的業務方面，那些對光網絡傳送帶寬需求較大，同時對QoS和安全也有嚴格要求的業務，將會成為L1VPN所承載的主要業務。這些業務包括銀行業務、存儲網絡業務和網格計算業務等，其應用場景如圖2所示。

圖2(a)為銀行業務應用L1VPN的場景圖。銀行是電信運營商的主要客戶之一，銀行的總行、各個分行、數據中心等功能部門通過電信運營商提供的L1VPN業務來完成在線數據的交換、管理和備份，同時L1VPN也能確保這些數據的完整性和安全性。

存儲區域網絡(SAN)是L1VPN應用的另外一個主要場景。SAN通過存儲協議可在各個數據中心之間進行多點到多點(Any to any)的連接，而具體的連接可以通過基于控制平面技術的L1VPN的方式來實現，這同樣能保障數據的完整性和安全性。圖2(b)為SAN業務應用L1VPN的場景。

圖2(c)為網格計算應用L1VPN的實例。有效的網格計算對承載網格計算業務的網絡的吞吐量、時延、抖動等特性要求很高，此外網格計算的動態呼叫特性也要求承載網絡具有動態連接和資源分配的能力。何時何地進行端倒端連接的建立、刪除以及帶寬分配是網格計算工作流程的組成部分。

2 業務模型

L1VPN的業務模型主要關注L1VPN業務的配置和管理等問題，不同的配置和管理策略產生了不同的L1VPN業務模型。

ITU-T明確定義了L1VPN應采用SPC或SC的方式來實現。

因特網工程任務組(IETF)從具體的客戶接口類型的角度定義了兩類L1VPN業務模型^[3]：基于管理平面的L1VPN業務模型和基于控制平面的業務模型。

基于控制平面的業務模型又可根據信息交換的類型分為基于信令的L1VPN和增強型的L1VPN，而增強型L1VPN又可根據路由信息交換類型進一步細分為虛擬節點的L1VPN、虛擬鏈路的L1VPN和每虛擬專用網對等的L1VPN。L1VPN業務模型如圖3所示。

2.1 基于管理平面的L1VPN

在基于管理平面的L1VPN業務模型下，客戶與業務提供商之間的交互僅通過管理平面來完成，即客戶端的網絡管理系統(NMS)向業務提供商的NMS發送請求建立L1VPN連接的請求。業務提供商的NMS處理此請求，并向客戶端NMS發送響應結果，包括：連接建立成功與否、連接建立失敗情況下的原因、檢測到的傳送平面的故障、采用的恢復措施、QoS參數與SLA中的匹配情況等。

這種業務模型下L1VPN業務連接的建立是通過網管系統觸發建立的，因此業務連接建立通過SPC的方式實現。基于管理平面的L1VPN業務模型如圖4所示。

這種模式對ASON的框架沒有影響，而且CE和PE不需要各自控制平面之間的互通，因此目前的ASON網絡框架能夠完全支持這種模式。

此種模型的好處是能避免在入口CE處的錯誤配置，而且不需要PE-CE間的信任關系；缺點是客戶對流量工程(TE)可達性信息不可知，而且要求配置CE-CE間的路由鄰接關系，這可能會帶來N 平方問題。

2.2 基于信令的L1VPN

基于信令的L1VPN也稱為L1VPN基本模式。此種模型下，CE-PE控制平面之間的交互僅限于信令消息的交互，CE使用用戶網絡接口(UNI)動態地請求、修改和刪除L1VPN連接，即L1VPN的業務連接建立是通過SC的方式實現的。

基于信令的L1VPN業務模型如圖5所示。

根據CE-PE間的控制平面交互方式以及CE-PE和PE-PE間數據鏈路之間的關系，CE-PE間的信令可分為嵌套方式、接合方式和混合方式3種^[4]。在嵌套方式中，CE-PE間控制平面和數據通道都采用嵌套的方式來實現；在接合方式中，嵌套關系只存在于CE-PE間的控制平面，數據通道之間不存在嵌套關系；在混合方式中，CE-PE間的控制平面和數據通道之間都不存在嵌套關系。

在L1VPN成員發現及配置方面，這種模式可采用邊界網關協議(BGP)或內部網關協議(IGP)進行L1VPN客戶可達性信息以及成員信息的動態維護，也可以通過網管系統對這些信息進行靜態配置。在采用IGP協議時需要進行相應的擴展，即定義新的鏈路狀態通告(LSA)。

如果支持這種模式，目前ASON框架下的信令和路由協議(即采用IGP進行L1VPN信息維護的情況)都需要進行相應的擴展。

2.3 增強型L1VPN

在增強型L1VPN模型中，在CE-PE間的UNI接口處進行交換的控制平面信息除了信令消息以外，還包括與L1VPN相關的TE可達性信息的交互。這種模型中，PE通過UNI接口向L1VPN中其他CE和PE發布新的成員注冊/注銷以及連接建立/刪除信息，因而有助于CE學習其所屬的L1VPN中其他遠端CE及CE-PE間鏈路的信息。

業務連接建立是由客戶設備CE觸發，業務連接為SC方式。增強型L1VPN業務模型如圖6所示。

這種模型根據CE-PE間的路由信息交互類型，又可分為虛擬節點模式、虛擬鏈路模式和每VPN對等模式3種，如圖7所示。其中(a)為虛擬節點模式，(b)為虛擬鏈路模式，(c)為每VPN對等(Per-VPN peer)模式。

虛擬節點模式是將運營商的網絡當作是一個節點來處理，L1VPN中的每一個CE成員都被看作是連接到此虛擬的節點上，CE通過CE-PE間的路由協議接收CE-PE間的鏈路信息和同一L1VPN中遠端CE的信息。

虛擬鏈路模式是將PE節點間的物理連接當作一條虛擬的鏈路來處理，CE通過CE-PE間的路由協議接收CE-PE間的鏈路信息、同一L1VPN中遠端CE的信息以及虛擬鏈路的信息。

每VPN對等模式可看作是虛擬節點模式和虛擬鏈路模式的一個超集，運營商根據VPN來劃分TE鏈路，并且將每VPN的TE鏈路信息發送給相應的CE。在全部或部分網絡資源由L1VPN專用時，這種模型比較有用。CE通過CE-PE間的路由協議接收CE-PE間的鏈路信息、同一L1VPN中遠端CE的信息以及此L1VPN專用的資源信息。

增強型L1VPN主要解決在CE-CE路由鄰接的N 平方問題，要實現這種模型，目前的ASON框架需要做較大的擴展。

3 L1VPN的現狀

ITU-T定義的L1VPN其連接方式為SPC和SC，因此需要采用控制平面來實現L1VPN的業務連接，這要求運營商網絡的控制平面應具備帶寬調整功能、L1VPN拓撲更新功能、L1VPN成員組管理功能、安全功能、業務的快速提供功能以及業務調度功能等這些L1VPN所要求的基本功能。

實現控制平面的技術目前不外乎IETF的通用多協議標記交換(GMPLS)協議以及ITU-T的ASON框架這兩種技術。

IETF是采用GMPLS協議來實現L1VPN的，這方面的工作主要由L1VPN工作組來完成，目前已經定義了框架、業務模式等^[3-4]，但仍有待完善，尚未發布有正式的RFC。

ASON方面，ITU-T的G.8080已經包含了進行處理L1VPN的基本框架，但并不能完全支持L1VPN。為了支持L1VPN功能，ASON框架中的信令、路由、發現協議等需要進行相應擴展。

目前G.8080尚未開展這方面的工作，但如果要支持L1VPN，這方面的工作必須進行。實際上，L1VPN對ASON框架的影響可能是全方面的，包括參考點、呼叫控制、信令、路由、自動發現等等ASON組件。

(1)參考點

L1VPN的PE-CE之間沒有路由信息。從網絡分離的觀點來看，這樣的限制是很有好處的，但對L1VPN卻未必如此。從前面的L1VPN業務模型也可以看到，在CE之間動態地進行路由信息的交換對VPN的操作很有好處。

ASON是一種重疊模型，不允許在UNI處進行路由信息的處理。為了支持L1VPN，UNI處應考慮能支持這樣的信息。特別是，當子網連接點池(SNPP)鏈路被分配給L1VPN時，L1VPN的拓撲應提供給L1VPN的用戶CE；此外，為支持L1VPN，ASON也應支持將L1VPN的地址可達性信息發送給L1VPN的用戶，這同樣需要對ASON框架進行擴展。

(2)地址

ASON為UNI分配了全網唯一的傳送資源地址(TRA)，即光互聯論壇(OIF)定義的傳送網分配地址(TNA)，為支持L1VPN，ASON框架也應支持對分配給L1VPN的私有SNPP鏈路地址進行定義。

(3)呼叫控制

L1VPN的連接是通過SPC和SC來實現的，ASON的呼叫連接控制應能區分普通的SPC、SC連接請求和L1VPN連接請求。

支持這樣的需求要求網絡呼叫控制器(NCC)能夠進行L1VPN私有地址與TRA地址之間的解析。同樣，NCC所處理的連接接入策略也需要結合L1VPN的策略來協同處理業務連接請求，L1VPN的策略包括VPN的成員信息和連接限制等等。

(4)連接控制

ASON架構中的連接控制組件完成L1VPN連接請求與其他正常的連接請求，相應的信令機制需要進行相應擴展。

目前UNI接收到的UNI控制消息無法區分L1VPN業務與其他應用。在CE-PE之間連接有多個VPN的時候，相應的控制消息也無法區分，這都需要進行擴展。

(5)路由控制

ASON應能對每一L1VPN維護不同的拓撲和地址信息，路由控制組件(RC)應能根據分配給L1VPN的SNPP信息完成相應的路由計算功能。

(6)自動發現

在自動發現方面，為支持L1VPN功能，ASON也應進行相應的擴展，包括支持SNPP與L1VPN自動關聯的功能；此外，LRM功能組件應能驗證此關聯的正確性。

從上面可以看出，為支持動態的L1VPN業務，ASON框架仍有許多待完善的地方。基于這種原因，目前各個廠商所實現的L1VPN基本上都是通過管理平面來實現，其業務連接以及L1VPN成員信息和鏈路信息也是通過網管靜態配置。

4 未來發展

L1VPN的成功實現和應用在很大程度上要取決于智能光網絡的控制平面技術在L1VPN方面標準化的成熟度，特別是在多廠商設備、垮域組網的網絡環境下，標準的成熟度就顯得更加重要。

雖然IETF在支持L1VPN的GMPLS協議方面尚未有正式的RFC發布以及ITU-T的ASON在L1VPN方面也有待于進一步完善，但這方面的工作一直在進行，而且有越來越多的廠商和運營商都參與到這方面的標準制訂中來，這加快了L1VPN在控制平面技術方面的標準化的進程。目前定義的L1VPN業務連接都是P2P的連接，這在L1VPN規模較大時將會造成網絡資源的浪費。未來的L1VPN勢必會支持P2MP的業務連接，這也是L1VPN對光網絡控制平面的需求之一。

在應用方面，L1VPN如何與L2/L3VPN協調，即多層VPN問題，也是未來需要解決的問題之一。目前L1VPN與L2VPN和L3VPN都是獨立進行規范的，但在實際運營商的網絡中它們很可能會共存，比如在ITU-T定義的運營商的運營商應用模式中，運營商可以在L1VPN的基礎上為客戶提供L2/L3VPN的業務。合理地解決多層VPN這樣的問題將能有效地提高全網資源的利用率，實現全網VPN的優化配置。

作為光網絡最有潛力的增值業務之一，L1VPN幾乎是隨著智能光網絡的出現而同時出現的。運營商特別是服務提供商對L1VPN的興趣隨著智能光網絡建設的加快也在逐步增加，其原因在于除了L1VPN能為用戶提供新的增值業務外，其安全、高效、靈活、可管理的特性能為運營商和用戶帶來雙贏的局面。

5 參考文獻

[1] ITU-T Y.1312. Layer 1 virtual private network generic requirements and architecture elements [S]. 2003.

[2] XUE Y， DUNBER L. Viable virtual private optical network (VPON) service models for IP over optical [C]// Proceedings of National Fiber Engineers Conference: Vol 1， Jul 8-12，2001， Baltimore， MD，USA. 2001:212-220.

[3] Draft-ietf-l1vpn-applicability-01.txt. Applicability analysis of generalized multi-protocol label switching (GMPLS) protocols to layer 1: virtual private networks [S]. 200l.

[4] Draft-fedyk-l1vpn-basic-mode-01.txt. Layer 1 VPN basic mode [S]. 2006.

收稿日期：2006-09-15

作者簡介

司昕，中國科學院自動化研究所畢業，博士。中興通訊股份有限公司光傳輸產品線經理，主要研究領域為光傳輸與光網絡，長期從事光傳輸產品的研究開發、戰略策劃以及標準研究工作。作為課題負責人，先后主持了兩項國家“863”計劃項目。已發表論文20篇，發明專利4項。