VPLS 在城域網中的應用

劉衛俊 陳惠英

(1、中國電信股份有限公司湖州分公司，浙江 湖州313000 2、湖州師范學院，浙江 湖州313000)

1 概述

目前在城域網上的VPN（虛擬專用交換網服務，Virtual Private Switched Network Service） 應用主要采用的是MPLS VPN、基 于L2TP 或PPTP 的IP-VPN 技術等。一些傳統的基礎網絡技術也可以提供給用戶組建網絡如DDN、幀中繼、ATM以及新興的MSTP。但是這些技術都不同程度存在一些應用和技術上的限制，如：應用最廣泛的MPLS VPN、基于VLAN 方式的以太網交換VPN、傳統的基礎網技術。一方面，在MPLS 中第三層VPN 對企業客戶提出了一些不可接受的要求，一些企業不愿將網絡控制權交給服務商；另一方面，一些企業更注重對等數據通信，在以太交換式園區網中更容易建立可靠的對等通信，因為這種網絡一般采用多點服務架構。隨著交換式以太網規模的日益增長，其可擴展性限制日漸突出，如：生成樹協議可擴展性有限而無法滿足網絡冗余和流量設計的要求；在交換式以太網域中只能使用有限的地址空間。在幀中繼或ATM 等廣域網中由于使用集中式星型服務結構，而且帶寬有限，使得這一要求更難滿足。然而，VPLS 技術的誕生，有效解決了以上各種組網方案的不足，可以滿足當前新興的企業組網需求，實現完整的基于以太網的多點接入服務[1][2]。

圖1 VPLS 組網

2 VPLS 技術介紹

VPLS（虛擬專用交換網服務，Virtual Private LAN Service）技術對用戶來說是一種L2 VPN，融合了IP / MPLS VPN 以及以太網交換VPN 等技術的優點，完成了WAN 范圍內多點至多點的局域網互聯服務。VPLS 是運行在MPLS 協議上的一種技術，在VPLS 網絡中，用戶的各個接入點都是通過2 層接入到PE 的，運營商的網絡對于用戶來說就是一個網橋，每個PE 上為不同的用戶建立一個VSI（Virtual Switch Instance）。VPLS 利用信令協議在VPLS 網絡中的PE 節點之間建立及維護PW（虛鏈路，Pseudo Wire），將二層協議幀封裝后在PW 上傳輸及交換，使廣域網范圍內多個局域網在數據鏈路層面。VPLS 技術的實現主要包括控制平面和數據平面，控制平面完成虛鏈路的建立、拆除以及狀態改變通告，是實現成員發現和信令機制的過程。數據平面由PE 負責完成數據的轉發，主要完成用戶二層報文的轉發和封裝過程[3][4]。通過AC（接入電路）與PE 設備的連接，在PE 之間建立公網隧道或PW 虛擬接口接收到的數據幀，并根據該虛擬接口確定其所屬的VPLS 實例，所有虛擬接口通過該VPLS 實例下的虛擬二層網橋進行交換。VPLS 組網的模型如圖1 所示。

LDP 和BGP 是VPLS 組網常用的兩種信令協議，它們用來創建虛鏈路，其中LDP 協議雖然對PE 設備的要求不高，但是這種協議模式下無法實現VPN 成員的自動發現，必須通過手動方式配置實現。BGP 協議可以實現VPN 成員的自動發現，但是要求PE 必須運行BGP 協議，利用BGP 的多協議擴展來傳遞VPLS 成員信息，通過路由反射可以使網絡有很好的擴展性。二層網絡中，通常開啟STP 協議來進行防環，在VPLS 技術中，為避免環路的產生，需要在所有參與VPLS 業務的PE 設備間建立全網狀的虛擬電路，就是全網狀連接，LDP 協議在PE 設備上兩兩之間建立LDP 連接，如果PE 數量比較大的話，LDP 的連接數也會增大，不但會導致信令開銷較大，網絡資源消耗增大，而且擴展性也較差，不利于城域網業務的發展。VPLS 網絡中，PE 設備需要支持水平分割轉發，所以從公網側PW 收到的數據包不能再轉發到其他PW 上，只能轉發到私網側，從PE 收到的報文不能轉發到其他PE。為了解決大型網絡中信令開銷大，不易擴展，影響業務部署的問題，提出了層次化VPLS 模型。層次化后的VPLS 網絡在相同網絡節點數量的情況下，PE 設備之間的PW 連接數要比全連接VPLS 的PW 連接數明顯減少。采用LDP 和BGP 這兩種信令都可以實現層次化的VPLS，可以有效解決大型網絡中信令開銷大，不易擴展，影響業務部署的問題。層次化后，在相同的網絡節點數下，PE 設備之間的PW 連接數將少于全連接的VPLS 之間的PW 連接數，采用LDP 和BGP 這兩種信令都可以實現層次化的VPLS。大型網絡核心層適合使用BGP 方式，PE本身運行BGP 還能滿足有跨域需求的情況。在有的網絡中VPLS 的節點比較少，很少跨域或者不需要跨域的情況，尤其是PE 不運行BGP 的時候，使用LDP 的方式組網更常見。當VPLS網絡規模比較大時，節點多，地域范圍大，往往采用這兩種方式結合的HVPLS（層次化VPLS：hierarchical VPLS），網絡核心層使用BGP 方式，接入層使用LDP 方式[3][4]。層次化的VPLS 的示意圖如圖2 所示。

圖2 層次化的VPLS 的示意圖

3 VPLS 在城域網中的部署

3.1 部署MPLS

3.1.1 MPLS 協議部署在各城域網的業務控制層，并加入骨干網的MPLS 域。

3.1.2 城域網出口路由器和骨干網作為MPLS 域中的P 路由器，負責該域中MPLS 標簽的分發和數據轉發。

3.1.3 BRAS 和業務路由器作為MPLS 域中的PE 路由器，負責用戶的接入，并將用戶報文添加到MPLS 標簽中，在MPLS 骨干路由器上轉發。

3.2 部署以太網Martin 和VPLS

在各PE 上部署基于MPLS 的以太網Martin 和VPLS，通過MPLS LDP 或RSVP 協議建立LSP 隧道，用于實現虛擬專線的點到點以太網Martin 服務，提供全透明的用戶專線服務；以及多點對多點以太網互聯服務，具有QoS 服務保證和嚴格的SLA分層服務。由于VPLS 的PE 之間需要全網狀連接，VPLS 域的大小受到很大限制。建議此階段只開放本地業務，或者在省的范圍內每個本地網選擇一臺PE 做全省的VPLS 互聯。

3.3 部署分層的VPLS（HVPLS）

在各城域網部署HVPLS 的MTU 層，設置獨立的MTU，與骨干網PE 路由器以LDP 協議交換標簽，骨干PE 的作用類似于BGP 中的RR 路由器，PE 之間的LSP 連接大大減少，網絡的可擴展性也明顯增強。

3.4 城域網業務路由器上配置VPLS

3.4.1 首先配置IGP 協議，同時把和業務路由器互聯的端口加入，實現PE 間公網互通。

3.4.2 創建本地VLAN，透傳到本地端口。

3.4.3 和對端互聯的端口加入MPLS 封裝，配置LDP，生成相應路由協議。

3.4.4 建立BGP 鄰居并分發相應的VPN 信息，PE 間建立傳輸數據所使用的隧道以隔離公網。

3.4.5 PE 上使能VPLS 功能，PE 上創建VSI 并綁定AC。

3.4.6 創建MPLS 標簽交換路徑LSP，根據網絡規劃和拓撲設置community 值。

3.4.7 VPN 路由的建立和重分發。

4 結論

由以上介紹可知，VPLS 技術充分利用了運營商已部署的MPLS 網絡，提供類似于城域網/廣域網上的以太網多點服務，這是目前運營商最重要的以太網技術之一。由于用戶自己維護路由信息，運營商不必考慮用戶之間的地址重疊，一個用戶的路由信息不會分發到其他用戶的專網，如此可大大減輕運營商的管理負擔，并可以有效提高用戶信息的安全性和可靠性。