ＶＰＬＳ技術及其應用

摘要：以太網技術正以前所未有的速度向前發展，并向城域網邁進。在眾多城域以太網技術中，虛擬專用局域網業務(VPLS)作為一種二層虛擬專用網(VPN)技術，由于技術簡單可靠、易于實現等優點而廣受關注。VPLS有效結合了互聯網協議/多協議標簽交換(IP/MPLS)、VPN和以太網交換等多種技術的特點，實現廣域范圍的多點到多點局域網(LAN)互連，其核心技術包括控制平面的基于標記分發協議(LDP)或邊界網關協議(BGP)的偽線建立與維護、數據平面的媒體訪問控制(MAC)地址學習、傳送平面的偽線封裝等。通過分層結構，VPLS可以跨域提供虛擬局域網業務。基于其獨特的技術優勢，VPLS可以提供大客戶二層VPN、城域基礎網絡建設、個人分布式業務等多個層次的應用。

關鍵詞：虛擬專用局域網業務；城域以太網；偽線；地址學習

Abstract: The Ethernet has experienced unprecedented progress of development， and is evolving forward as a metro area carrier grade transport alternative. Among all the metro-Ethernet technologies， Virtual Private LAN Service (VPLS)， a layer 2 Virtual Private Network (VPN) technology， is widely used due to its simplicity， reliability， and ease of deployment. With the integration of IP/Multi Protocol Label Switching (MPLS)， VPN and Ethernet switching， VPLS is capable of providing multipoint-to-multipoint emulated Local Area Network (LAN) service. The key elements of VPLS include Label Distribution Protocol (LDP)/Border Gateway Protocol (BGP) based on pseudo-wire setup and maintenance in the control plane， Media Access Control (MAC) address learning in the data plane and pseudo-wire encapsulation in the transport plane. Hierarchical architecture can be used to create VPLS service that spans multiple service provider domains. Owing to its unique technical advantages， the applications of VPLS may cover lay 2 VPN for business customers， municipal communication infrastructure and personal distributed services， etc.

Key words: virtual private LAN service; metro Ethernet; pseudo-wire; address learning

以太網由于其技術優勢，已成為一種無所不在的局域網組網方式，并進而向城域網滲透，一個重要的趨勢是由城域的多協議標記交換(MPLS)來承載以太網數據幀，以提供異地分布局域網互聯的虛擬以太網業務[1-2]。

近年來，國際產業界對IP和以太網的投資呈現一種齊頭并進的趨勢，其中EoMPLS(Ethernet over MPLS)增長尤為迅速[3]。同時，IEEE、IETF、ITU-T和城域以太網論壇(MEF)等標準化組織對以太網及其衍生技術(如IEEE 802.1ah、IEEE 802.1Qay)也進行了大量深入的研究。

虛擬專用局域網業務(VPLS)是分組交換網(PSN)提供的一項業務，旨在通過預先建立的隧道和隧道中的偽線連接為用戶提供專用的局域網(LAN)互聯服務，屬于二層VPN(L2VPN)的范疇。原則上VPLS可以使用任何類型的隧道，如MPLS LSP、GRE、L2TP、IPsec等，目前應用最廣的是MPLS隧道，它有效地結合了IP/MPLS、VPN和以太網交換等多種技術的特點，支持廣域范圍內多點到多點的LAN互連，是EoMPLS的一項重要技術。對運營商而言，L2VPN簡單、透明，可降低整體復雜性，并可增強網絡的互操作性。

本文主要討論以MPLS LSP作為傳送隧道、標記分發協議(LDP)作為偽線建立信令的VPLS技術及其應用。

1 VPLS體系架構與核心技術

1.1 VPLS的體系架構

VPLS的基本拓撲模型如圖1所示。設，企業客戶A和B各有3個分部分別位于區域1、2和3。為了互聯客戶位于這3個區域的局域網，運營商在區域1、2和3設置了3個接入VPLS業務的設備，稱為運營商邊界設備(PE)。相應地，客戶各個局域網設置有和運營商網絡接口的設備，稱為客戶邊界設備(CE)，經聯接電路(AC)和對應的運營商設備PE1、PE2、PE3相聯。AC的形式和VPLS無關，可以是物理以太網端口、邏輯以太網端口、幀中繼鏈路、ATM PVC，甚至是以太網偽線[4-5]。各個PE通過隧道相連，在圖1中，每個隧道中建立了兩條偽線(PW)，分別服務于客戶A和客戶B。偽線是PSN中采用二層技術建立的一對節點之間的仿真點對點雙向連接，可由兩條單向的LSP承載構成。運營商通過PE和互聯偽線在公眾PSN上傳送客戶不同區域LAN之間的業務數據流，由此將客戶分布于不同區域的多個LAN互聯成為一個仿真的LAN，稱之為一個VPLS實例，每個區域的LAN可視為該仿真局域網的一個網段。由于IP/MPLS骨干網可以是一個域，也可以由互聯的多個域組成，可跨越很大的范圍，因此通過這樣的VPLS，運營商可以為客戶提供跨城域網或廣域網的LAN互聯業務，對客戶而言，組網簡單方便，無需更改自己原有的網絡部署。

由圖1可知，PE間隧道承載的是多個VPLS實例的聚合業務流，相當于傳輸網中的復用器功能。隧道建立方式取決于所采用的隧道技術，例如在MPLS網絡中，可采用LDP協議建立。隧道中的偽線承載的是單個VPLS實例業務流，相當于分路器功能，相應地每個偽線都賦予一個分路器標識(PWD)，可稱為偽線標識符。VPLS實例的構建就是在對應PE之間建立起偽線連接，需要定義相應的偽線控制信令，可通過隧道建立信令的擴展實現。建立起VPLS實例后，PE將承擔起仿真網橋的功能，將客戶某一區域LAN經由AC送入的以太網幀轉發至適當的偽線，即可送達目的區域LAN，由此完成客戶不同區域LAN的互聯。

由此可知，VPLS主要包括3方面的技術：

(1)控制平面技術，即偽線控制信令，完成偽線連接的建立和維護[6-8]，其功能包括偽線建立與拆除、偽線狀態改變通告以及偽線保護機制等。

(2)數據平面技術，主要是PE的數據橋接轉發功能，尤其是MAC地址學習功能。

(3)傳送平面技術，指的是VPLS數據包傳送的偽線封裝方式。

1.2基于LDP的偽線建立

端到端仿真偽線(PW3E)的網絡參考模型如圖2所示[9]。為便于說明，假設PE1為入口路由器，PE2為出口路由器，兩者之間建立MPLS LSP隧道，隧道中可承載許多偽線，每條偽線對應于CE-PE之間的一條AC，仿真傳送相應AC上承載的原始業務，原始業務的類型沒有限制，可以是幀中繼、ATM、以太網、IP等各種業務。所謂偽線連接建立就是通過一定的信令協議使PE1和PE2協商一致，建立仿真偽線和隧道的綁定，以及偽線和各自相應端口的AC的綁定。

針對PSN為MPLS網絡的情況，可重用LDP作為偽線建立和維護信令。LDP的核心是建立MPLS隧道標記和轉發等價類(FEC)之間的綁定關系，因此只要將偽線視為一類FEC，即可直接套用LDP協議，建立起偽線和隧道之間的綁定關系。

為此，LDP擴展定義了兩個偽線FEC：PWid和通用PWid。PWid中的參數PWtype定義了偽線的類型，大體對應于偽線仿真的原始業務，如幀中繼、ATM、HDLC、PPP、SDH等；參數PWid則指定了該類型中的一條具體的偽線，即定位AC的位置。對于同一偽線PE1和PE2應配置相同的PWtype和PWid。通用PWid除了PWtype以外，用AGI、SAII、TAII 3個參數來定位偽線的AC位置。其中，AGI是聯接組標識符，指示AC電路群組，例如可為VPN標識、VLAN標識等；AII為聯接電路標識符，具體定位群組中的某條AC電路；SAII和TAII則分別指示源(即本端)AC電路和目的(即遠端)AC電路。對于VPLS應用來說，AGI取為VPLS標識號，由于偽線是網狀互聯且不作為中轉線路使用，由VPLS標識就能定位AC位置，因此SAII和TAII無需使用，均置為零值。

偽線建立的LDP信令過程采用下游自發標記分發模式和自由標記保存方式，即偽線建立過程由出口路由器PE2向入口路由器PE1方向主動發起，建立消息是標記映射消息(LMM)，消息中帶有兩個信息元素，一是偽線FEC，可以是PWid或通用PWid；另一是隧道標記，采用MPLS中定義的20位的通用標記，由此將MPLS LSP隧道和偽線綁定。PE1收到該消息后，檢查反向(PE2→PE1)的PW LSP是否已建立，如尚未建立，則類似地向PE2發送LMM消息，藉此建立起雙向的偽線連接。如果PE1不能辨識LMM消息中的偽線FEC，則回送標記釋放消息(LRM)予以拒絕。

偽線建立后，PE之間可以通過LDP協議交互偽線的狀態，對偽線進行維護，還可通過LDP告知其他PE刪除已學習的MAC地址，以加快轉發表收斂過程。

1.3 偽線封裝

偽線封裝格式如圖3所示。其中，偽線凈荷就是在偽線上傳送的用戶以太網幀；任選的控制字包含一個16位的序號，供對端PE檢測傳送的以太網幀錯序、重復或丟失，封裝是否包含控制字可根據應用需要而定，由LMM消息中的偽線FEC指示；偽線標識符用以標識偽線；隧道標記是MPLS LSP的封裝；最下面則是MPLS基于的分組交換網的鏈路層和物理層。

用戶以太網幀由AC到達PE后，PE首先去除幀頭擾碼和幀校驗碼，然后根據偽線的類型對用戶以太網幀可能有的標簽進行適當的處理。在VPLS應用中有兩類偽線：以太網偽線和以太網VLAN偽線，所建立的偽線的類型在偽線FEC中指示。以太網偽線按照本原模式處理標簽，其規則是：如果用戶以太網幀中帶有網絡運營商設置的業務標識標簽，如VPLS實例標識，該標簽的目的是用于標識不同的客戶、同一客戶不同服務質量(QoS)的業務等，則入口PE應將該標簽剝離，出口PE根據情況或者再插入業務標識標簽，或者不再插入；如果用戶以太網幀中帶有客戶自己設置的標簽，如VLAN標記，則PE保留該標簽不變。因此，在以太網偽線上傳送的總是原始的用戶以太網幀。以太網VLAN偽線按照標簽模式處理，其規則是：如果用戶以太網幀中帶有網絡運營商設置的業務標識標簽，如指示VPLS實例的VLAN標識，則PE保留該標簽不變，但是若偽線建立時規定了應使用的標識，則必須用該標識替換已有的VLAN標識；如果用戶以太網幀未帶有業務標識標簽，則PE應加上偽線建立時約定的標簽，若未約定則加上空標簽。因此，在以太網VLAN偽線上傳送的用戶以太網幀總是帶有業務標識標簽。

1.4 MAC地址學習

在數據平面中，PE的角色是一個虛擬交換實例(VSI)，需執行網橋的過濾、學習和轉發功能。所謂過濾就是對流經的所有以太網幀頭都要進行檢查和分析；學習就是通過分析幀頭中的MAC地址，建立轉發表條目，即MAC地址與其轉發偽線或AC的綁定關系；轉發就是根據以太網幀的目的MAC地址，查找轉發表將單播以太網幀轉發至其綁定的偽線或AC，對于廣播幀或者目的MAC地址未知的單播幀，則廣播發至所有的偽線。

MAC地址學習的具體方法是：當PE從AC收到以太網幀時，若PE轉發表中沒有與該幀的源MAC地址對應的轉發條目，則PE將該MAC地址與該AC綁定，此后若有目的地址為該MAC地址的以太網幀從偽線到達PE時，PE就將該幀轉發至該AC。當PE從偽線上收到以太網幀時，若PE轉發表中沒有與該幀的源MAC地址對應的轉發條目，則PE將該MAC地址與該偽線綁定，此后若有目的地址為該MAC地址的以太網幀經由AC到達PE時，PE就將該幀轉發至該偽線。每個MAC地址條目都設置有老化定時器，直至定時器到時時始終沒有以太網幀從該MAC地址到達，則刪除該長期不用的MAC地址條目，這就是地址老化機制。當偽線或AC狀態改變時，PE需重新運行網橋學習機制。

網橋轉發的一個基本要求是不能形成環路，在以太網中使用生成樹協議(STP)防止轉發環路的產生，但是其收斂速度較慢。為了提高效率，VPLS采用所有PE網狀互聯的拓撲結構，確保網絡的全連通性；幀的轉發遵從“范圍分割”的規則，即任何PE從偽線收到以太網幀后不允許再通過偽線轉發給其他PE，確保不會產生環路。

2 分層VPLS

上述PE網狀互聯的拓撲結構，要求每個VPLS實例建立n×(n -1)/2條偽線，其中n為PE的數量，這將造成很大的網絡資源消耗、信令開銷和數據幀復制處理開銷，限制了它的可擴展性。為此，引入了分級VPLS(HVPLS)技術，其基本思想是將VPLS網絡劃分成接入層和核心層，接入層設備的位置臨近客戶，對多個客戶區域(CE)的業務流進行匯聚，然后通過直聯偽線，即輻條狀偽線送至核心層的PE，以減少核心層網狀互聯偽線的數量。

分層VPLS網絡模型如圖4所示，有兩種接入層設備：MTU-s和PE-r。其中，MTU-s是多客戶交換設備(s表示交換)，內置VSI功能實體，支持2層交換功能和所有端口上的橋接學習和幀復制功能。CE1、CE2和CE3是某VPLS實例的3個網點區域，它們之間的數據交互由MTU-s的VSI交換功能完成，無需傳送至核心層處理，各CE至遠端的數據流則經其匯聚后送往核心層的PE1-rs。由于MTU-s具有交換功能，因此對于每個VPLS實例只需設置一條偽線，圖4中雖然各CE經由兩條AC電路接入MTU-s，但它和PE1-rs之間僅需設置1條輻條偽線。為了提高可靠性，MTU-s也可以同時與多個核心層PE連接。PE-r是接入路由設備(r表示路由)，僅支持路由功能，不支持任何橋接功能。因此對于每一條接入AC需要建立一條直聯至核心層PE的輻條偽線，來自AC的數據幀將路由至對應的偽線，因此CE4和CE5或CE6之間的數據流必需經由PE3-rs轉發。核心層的PE-rs網狀互聯，既有路由功能也有交換功能(故以下標rs記之)。由于接入層設備的引入，減少了網狀互聯PE-rs的數量，從而提高了VPLS的可擴展性。

進一步，上述通過輻條偽線將各個接入設備聯至核心層的接入層結構還可以擴展為以太接入網絡。目前許多運營商部署的以太接入網絡都支持VPLS，它們通過添加運營商設置的VLAN標簽識別VPLS實例，這樣分層VPLS模型將擴展成為由接入層VPLS和核心層VPLS構成的兩層結構。通常將MTU-s和PE-r統稱為用戶PE(U-PE)，核心層的PE-rs稱為網絡PE(N-PE)，U-PE和N-PE之間不再是簡單的輻條偽線直聯方式，而是經由接入VPLS網絡的連接方式，接入VPLS可以基于802.1ad(Q in Q)或MPLS技術。這樣，多達數千個VPLS客戶的網點區域可以通過接入網絡匯聚接入，同樣規模的核心網可為更多的客戶提供VPLS服務，從而有效地提高了VPLS應用的可擴展性。

3 VPLS的應用

在過去的10多年里，以太網技術得到了迅速的發展和廣泛的應用，部署成本也越來越低。VPLS作為以太網向城域網/廣域網的延伸，綜合了網絡性能(如數據保密性、可靠性、QoS、運營成本低)和網絡規模(如組網靈活型、用戶網絡與運營商網絡的相對獨立性、網絡可擴性)的優勢，為網絡運營和業務運營提供了新的選擇，運營商可以依據客戶類型和業務屬性靈活部署VPLS。可以設想，VPLS可應用于大客戶跨域二層VPN、建設基于VPLS的城市基礎網絡、分布式個人綜合業務應用等領域。

3.1 大客戶跨域二層VPN

這是VPLS最為直接的應用。相對于三層VPN而言，VPLS具有以下技術優勢：

(1)用戶網絡與運營商網絡相對獨立，運營商網絡為用戶數據提供數據隔離和透明傳輸，確保了用戶數據的安全性，屏蔽了運營商網絡復雜造成的影響。

(2)在MPLS網絡上實施以太網的多點服務功能，可以實現MPLS技術和以太網技術的優勢互補。

(3)技術簡單可靠、部署靈活、可擴展性好。

對于公司客戶而言，其業務可能遍及全省、全國乃至全球，因此通過VPLS/HVPLS將公司客戶各分支機構進行二層VPN連接是一種很好的選擇。當VPLS網絡規模較大時(節點多，地理范圍大)，可以采用基于邊界網關協議(BGP)的VPLS和基于LDP的VPLS相結合的HVPLS，核心層使用BGP方式，接入層使用LDP方式。

3.2 建設基于VPLS的城市基礎網絡

建設可運營、可管理的城市通信網絡應該像水、電、氣等那樣成為城市的基礎設施。基于VPLS的城域基礎網絡運營參考模型如圖5所示[10]，城市基礎網絡的商業運營和運行支撐系統負責基于MPLS/VPLS的城市基礎網絡的建設、運營和維護，零售業務用戶與零售業務提供商簽訂業務使用合同，零售業務提供商向城市基礎網絡的商業運營和運行支撐系統支付流量傳輸費用。

基于MPLS/VPLS的城市基礎網絡可包括多個層次，如用戶層、接入層、分布層、本地核心層、區域核心層、業務提供層、業務提供接入層等。用戶層接入用戶，接入層和分布層將用戶流量進行匯聚，本地核心層和區域核心層將匯聚流量在高速主干鏈路上傳送，業務提供層和業務提供接入層將業務提供商接入網絡核心層。MPLS/VPLS連通核心層(含本地核心層和區域核心層)的交換機和面向業務提供商的交換機，對于每種業務，網絡為其創建VPLS實例，并利用MPLS標記中的EXP字段指定服務質量等級。

3.3 分布式個人綜合業務應用

隨著社會的發展，以客戶為中心的通信方式將成為一種潛在應用，它將用戶的個域網(PAN)、家庭網絡(HN)和辦公室網絡(ON)通過城域網或廣域網聯通，用戶可對所有上述子網的設備和會話進行控制[11-14]。

為此，可以通過3條AC分別將PAN網關、家庭網關和ON網關連接至城域網的PE，PE為用戶創建VPLS實例，并通過偽線連通用戶VPLS實例的轉發器。從用戶的角度看，VPLS網絡如同是一臺“分布式”的以太網交換機。通過VPLS，用戶可以方便地控制子網設備、創建會話，安全可靠地實現隨時、隨地、隨意的通信。

4 結束語

VPLS充分利用運營商已經部署的MPLS網絡，不但能為大客戶提供LAN互聯服務，而且可作為城域網的基礎設施，已被視為重要的電信級以太網技術之一，具有良好的市場前景。進一步的研究可包括：利用冗余和多穴機制提高VPLS業務的可靠性；在保證QoS的前提下，通過有效的資源控制提高VPLS的網絡資源利用率；構建重疊網絡業務承載模型，增強VPLS承載增值業務和融合業務的能力。最后需要指出的是，VPLS和其他城域以太網技術是互補的關系，必須根據實際情況作出合理的選擇和有機的結合，才能獲得最佳的效果。

5 參考文獻

[1] MALIS A G. Converged services over MPLS[J]. IEEE Communications Magazine， 2006，44(9): 150-156.

[2] ALLAN D， Bragg N， McGuire A， et al. Ethernet as carrier transport infrastructure[J]. IEEE Communications Magazine， 2006， 44(2):95-101.

[3] SEERY M. Packet transport trends: IP/MPLS Success challenged as deployment footprint expands[J]. IEEE Communications Magazine， 2008， 46(7):103-107.

[4] ANDERSSON L， ROSEN E. Framework for layer 2 virtual private networks (L2VPNs) [J].IETF RFC 4664.2006.

[5] ANDERSSON L， MADSEN T. Provider provisioned virtual private network (VPN) terminology[J]. IETF RFC 4026.2005.

[6] BRYANT S， PATE P. Pseudo wire emulation edge-to-edge (PWE3) architecture[S]. IETF RFC 3985， 2005.

[7] MARTINI L， ROSEN E， EL-AAWAR N， et al. Pseudowire setup and maintenance using the label distribution protocol (LDP) [S]. IETF RFC 4447. 2006.

[8] LASSERRE M， KOMPELLA V.Virtual private LAN service (VPLS) using label distribution Protocol (LDP) Signaling[S]. IETF RFC 4762. 2007.

[9] MARTINI L， ROSEN E， EL-AAWAR N， et al. Encapsulation methods for transport of Ethernet over MPLS networks[S]. IETF RFC 4448. 2006.

[10] MOERMAN K， FISHBURN J， LASSERRE M， et al. Utah’s UTOPIA: An Ethernet-based MPLS/VPLS triple play deployment[J]. IEEE Communications Magazine， 2005， 43(11):142-150.

[11] ATKINSON R C， IRVINE J， DUNLOP J， et al. The personal distributed environment[J]. IEEE Wireless Communications， 2007， 14(2) 62-69.

[12] AUSUSTYN W， SERBEST Y. Service requirements for layer 2 provider-provisioned virtual private networks (L2VPNs) [S]. IETF RFC 4665. 2006.

[13] ITU-T Draft Recommendation Y.enet. Ethernet QoS control for next generation networks[R]. Geneva， 2008.

[14] BOCCI M， COWBURN I， GUILLET J. Network high availability for Ethernet services using IP/MPLS networks[J]. IEEE Communications Magazine， 2008， 46(3): 90-96.

收稿日期：2008-09-16

作者簡介

徐名海，南京郵電大學通信與信息工程學院講師，博士。主要研究領域為資源控制與QoS、移動性管理和網絡認知技術。曾主持2項省級科研項目，參加1項“973”項目和1項國家自然科學基金項目研究，提交6份國際通信標準提案和2項發明專利，發表SCI/EI/ISTP檢索學術論文8篇。

糜正琨，南京郵電大學通信與信息工程學院教授、博士生導師，中國通信學會會士。目前主要研究方向是下一代網絡技術和異構網絡融合技術。曾獲江蘇省科技進步二等獎一項，信息產業部科技進步二等獎和三等獎各一項，已發表SCI、EI收錄論文30余篇，出版專著和國家級教材8部，申請國家發明專利4項。