关于L2VPN与L3VPN的详细介绍与对比.pdf

《关于L2VPN与L3VPN的详细介绍与对比.pdf》由会员分享，可在线阅读，更多相关《关于L2VPN与L3VPN的详细介绍与对比.pdf（11页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 1、VPN 技术简介 VPN 就是运营商通过其公网向用户提供得虚拟专有网络,即在用户得角度 VPN 就是用户得一个专有网络。对于运营商来说公网包括公共得骨干网与公共得运营商边界设备。地理上彼此分离得VPN 成员站点通过客户端设备(CPE)连接到对应得运营商边界设备(PE),通过运营商得公网组成客户得 VPN 网络。2、传统得 VPN 组网方式 传统得 VPN 主要采取两种组网得方式:专线 VPN 与基于客户端设备得安全 VPN。专线 VPN 使用静态得虚电路(如 ATMPVC、FRPVC 等)连接客户得站点,形成一个二层得VPN 骨干网。VPN 成员站点连接到运营商得边界设备(PE),由运营

2、商负责建立 VPN 成员站点之间得虚电路连接,客户对属于自己 VPN 得站点得路由进行自主得控制与管理。采用这种方式组建VPN无论对运营商或者就是对客户来说成本都就是很高得,而且二层虚电路得业务提供得周期长,网络管理人员需要进行大量得手工配置工作。对于基于客户端设备得(CEBased)VPN,VPN 得功能全部在客户端得设备中实现。运营商得设备对客户得 VPN 来说就是完全透明得。客户可以通过购买相应得 VPN 设备或者在现有得路由器、网关或者甚至就是 PC 机上安装相应得 VPN 功能软件就可以开始独立构建基于客户端设备得 VPN。由于 VPN 得成员站点之间通常就是通过非信任得 Inter

3、net 实现互连得,所以一般基于客户端设备得 VPN 在实现时都引入某些安全机制保护站点之间跨 Internet 得客户私有流量。这个解决方案得最大缺点就就是客户需要购买、配置与维护昂贵得 VPN 网关设备,同时也意味着需要高素质得网络管理人员对 VPN 网关设备与整个 VPN 网络进行有效得管理与维护,相应也会带来企业网络成本得上升。3、MPLS VPN MPLS 技术提供了类似于虚电路得标签交换业务,这种基于标签得交换可以提供类似于帧中继、ATM 得网络安全性。同时相对于传统得 VPN 技术来说,MPLSVPN 可以实现底层标签自动得分配,在业务得提供上比传统得 VPN 技术更廉价,更快速

4、。同时 MPLSVPN 可以充分得利用MPLS技术得一些先进得特性,比如说MPLS流量工程能力,MPLS得服务质量保证,结合这些能力,MPLS VPN可以向客户提供不同服务质量等级得服务,也更容易实现跨运营商骨干网服务质量得保证。同时 MPLS VPN 还可以向客户提供传统基于路由技术 VPN 无法提供得业务种类,比如像支持 VPN 地址空间复用。对于 MPLS 得客户来说,运营商得 MPLS 网络可以提供客户需要得安全机制,以及组网得能力,VPN 底层连接得建立、管理与维护主要由运营商负责,客户运营其 VPN 得维护与管理都将比传统得 VPN 解决方案简单,也减低了企业在人员与设备维护上得投

5、资与成本。基于 MPLS 得 VPN 可以作为传统得基于二层专线得VPN、纯三层得 IP VPN 与隧道方式得 VPN 得替代技术,在现阶段可以作为传统 VPN 技术得有效补充。具体到 MPLSVPN 得实现方式,根据运营商边界设备 PE 就是否参与客户得路由,运营商在建立基于 IP/MPLS 得 VPN 时有两种选择:第三层得解决方案,通常称作就是 Layer3MPLSVPNs 第二层得解决方案,通常称作就是 Layer2MPLSVPNs 衡量一个 VPN 解决方案得优劣主要基于以下几点得考虑:支持得业务种类;可以向用户提供得连接得种类;扩展性;部署得复杂度;业务开展得复杂度;管理与维护得复

6、杂度;部署得成本;管理与维护得成本。当然这些因素并不就是绝对得,实际得应用中很难简单得说这两个方案谁优谁劣。两个方案都有其优缺点,有其特定得业务模式,也都还处在不断完善发展得阶段,选择一个方案得关键就是运营商实际得网络运营环境,与运营商自身得业务定位,要向客户提供什么样得服务模式。4、Layer3MPLSVPN Layer3MPLSVPN就是一种基于路由方式得MPLSVPN解决方案,ITEF RFC2547中对这种VPN 技术进行了描述,MPLS Layer3 VPN 也被称作就是 BGP/MPLS VPNs。BGP/MPLS VPN使用类似传统路由得方式进行 IP 分组得转发,在路由器接收到

7、 IP 数据包以后,通过在转发表查找 IP 数据包得目得地址,然后使用预先建立得 LSP 进行 IP 数据跨运营商骨干得传送。为了使运营商得路由器可以感知客户网络得可达性信息,运营商得边界路由器(PE)与客户端路由器(CE)进行路由信息得交互。PE 与 CE 之间得路由交换可以采用静态路由,也可以采用RIP、OSPF、ISIS 与 BGP 等动态得路由协议。BGP/MPLS VPN 得解决方案支持对等方式得VPN 网络结构。PE 之间属于同一 MPLS VPN 得路由信息通过 BGP 协议承载进行交互。PE路由器使用 LSP 进行路由转发,对于运营商路由器 P 并不需要知道客户 VPN 网络得

8、信息,这种透明可以有效得减小 P 路由器得负担,提高网络得扩展性与业务开展得灵活性。通过 PE 之间、PE 与 CE 之间得路由交互,客户得路由器可以知道属于同一个 VPN 得网络拓扑信息。BGP/MPLSVPNs 可以解决基于纯 IPLayer3 VPN 无法实现得一些功能,主要有:支持地址重叠,即同时支持使用公有地址得客户端设备与私有地址得客户端设备,或者多个 VPN 使用同一个地址空间;支持重叠 VPN,即一个站点可以同时属于多个 VPN。对于传统基于路由得 VPN 来说,要解决以上得问题有一定得挑战性。MPLSVPN 使用 VPN路由转发表(VRF)解决地址重叠得问题。在运营商 PE

9、路由器上使用基于每 VPN 得路由转发表隔离不同 VPN 得路由。通过路由信息得隔离,实现支持 VPN 地址得重叠。如果一个 PE 上有多个 CE 属于同一个 VPN,那么这些 CE 共享 PE 上得 VPN 路由转发表。对于重叠 VPN 得情况,重叠发生得站点需要使用独立得 VRF 表存储来自其所属 VPN 得路由信息。地址重叠得另一个问题就是,PE 路由器从邻居得 BGP 更新中会收到属于不同 VPN 得重叠路由信息。为了区别来自不同 VPN 得路由信息,PE 使用 8octet 得路由标识(RD)对来自不同 VPN 得路由信息进行标识。这个 8octet 得路由标识作为 4 octet

10、得 IP 地址前缀得扩展构成了一个新得地址类(VPNIPv4 地址)。RD 不参与路由发布得过程,它所起得作用仅仅就是区分属于不同VPN 站点得路由。RD 与 VRF 之间建立了一种一一映射得关系,VRF 在发布路由信息时将同时附带相应得 RD 信息。对于重叠 VPN 得情况,这类站点虽然同时属于多个 VPN,但就是它只需要一个RD,并不需要多个RD以对应多个VRF,其主要得目得就是为了节省PE路由器上得存储资源。对于这类得 VPN 成员站点,路由分布得策略与单一 VPN 成员站点就是一致得。为了防止 PE 路由器接收到不属于该 PE 上 VPN 成员得路由信息而浪费 PE 得资源,MPLS

11、VPN 使用 BGP 得扩展属性来控制运营商网络中路由信息得发布。这个功能就是通过对 BGP得团体属性来实现得,所有得客户 VPN 都被赋予一个唯一得团体属性值。在 PE 接收到一条路由时,BGP进程将检查该路由得扩展属性,如果该属性与该PE上承载得VPN得扩展属性相同 PE 将接收该路由,如果不同,PE 将忽略这些 BGP 路由。通过这种方式,PE 路由器可以避免存储一些不必要得路由信息,提高网络得可扩展性。从以上得分析可以瞧出,MPLSVPN 可以支持创建重叠 VPN,所谓重叠 VPN 就是指同一个站点同时属于多个 VPN 得情况。这种功能特别适用于企业之间并购时得网络整合或者企业之间由于

12、合作得需要,相互之间需要共享网络资源。用户将依靠服务提供商来实现特定得路由控制,也就就是说,路由控制来自于 CE 路由器并且派送到 PE 路由器。在图 1 中,用户 A,站点 1,既归属于 VPNA,又归属于 VPNC。该站点得路由信息由本地 PE 路由器在一个 RD 中进行通告,这个 RD 同时包含了两个 Route Target 扩展属性:一个用于 VPN A,另一个用于 VPN C。远端得 PE 根据 BGP 扩展属性对来自该 PE 得路由信息进行接收与处理。当通告一个 VPN-IPv4 路由时,BGP 信息中携带了 VPN 得内标签信息与相关 VPN 得 BGP下一跳信息。PE 路由器

13、可以通过 LSP 可以建立两两之间之间得通信。这些 LSP 可以瞧做就是 MPLSVPN 得外层标签,可以通过多种信令协议方式建立,比如 LDP 或者 RSVP/TE。当 PE接收到一个目得为远端 VPN 站点得 IP 分组时,PE 给分组包附加两层 MPLS 标签。外标签或者称作就是隧道标签用于标识 BGP 得下一跳即远端 PE 得地址;内标签或者称之为 VPN 标签标识 PE 上特定得 VPN 成员,具体得说应该就是标识到 PE 上得 VRF。P 路由器只就是根据标签进行数据转发,整个过程 VPN 过程对于 P 路由器透明。5、MPLSLayer2VPN 基于 MPLS 得第二层 VPN

14、解决方案保留了传统基于第二层 VPN 解决方案得优势。MPLSL2VPN 降低了 VPN 业务开通复杂度,特别就是在现有得 VPN 中增加站点时,在大多数情况下只需把供应商边缘(PE)路由器连接到新站点上即可,相应也减小了业务提供得周期。通过采用 MPLS 技术,可以在多元融合得网络中运行二层 VPN、三层 VPN、流量工程、Diffserv及许多其它业务,服务提供商可以为 IP、第三层(MPLS/IP)与二层 VPN 共同管理与维护单一得基于 MPLS 得网络。基于第二层得 MPLSVPN 解决方案提供了运营商网络与客户得 VPN网络之间得完全独立,也就就是说,运营商边界得 PE 设备与 C

15、E 设备之间没有进行路由交换,运营商只就是简单向客户提供一些基于 2 层得网络功能。运营商得网络与客户得 VPN 网络与完全架构在层叠得网络模型上,从客户得角度瞧运营商只就是提供了一个简单得2层连接。这种透明简化了运营商网络得结构与配置管理,同时也提供了对客户得多业务支持能力,运营商除了传统得 IP 业务以外,还可以向客户提供 IPv4,IPv6,IPX,DECNet,OSI,SNA 等等业务,以及一些传统基于电路业务得仿真,比如说 FR、ATM 等。目前 Layer2MPLSVPN 得解决方案可以提供以下两种连接方式得服务:点到点连接 点到多点连接 5、1 点到点仿真虚电路 对于点到点仿真虚

16、电路方式得 Layer2MPLSVPN 主要就是基于以下得几个 IETF 草案,这几个草案基本上已经成为点到点方式 L2VPN 得事实标准:“draft-martini-l2circuit-trans-mpls-0 x、txt”“draft-martini-l2circuit-encap-mpls-0 x、txt”“draft-kompella-mpls-l2vpn-0 x”“draft-kompella-ppvpn-l2vpn-0 x”这几个草案基本上可以划分为 Layer2MPLSVPN 两个主要得技术流派:Martini 与Kompella。两种解决方案在数据层面非常相似,都支持多种二层

17、技术。两个草案得区别主要在控制层面;前者支持点对点得服务,后者可以支持点对多点服务。Draft-Martini 不包括用于VPN 成员自动发现机制,更多得操作需要手工完成。支持 Martini 得运营商与设备厂家主要有Level 3 munications,Cisco Systems,Nortel Networks,Laurel Networks,Vivace Networks,Mazu Networks,Gone2 Ltd、,Global Crossing,Cable&Wireless,and Juniper Networks,Inc、。支持Kompella 得主要有 Juniper Net

18、works,Telefnica Data,Cable&Wireless,CoSine munications,World,KPN Dutch Tele,Nortel Networks,and Unisphere Networks、。由于 Draft-Martini 比 Draft-Kompella 得机制简单,实现起来比 Draft-Kompella 容易,所以提供 MPLS 得 2 层 VPN 得厂家基本上都支持 Martini 草案,能支持 Kompella 方式得厂家比较少。5.1.1Draft-Martini 基于 MPLS 得二层 VPN Martini 草案得基于 MPLS 得二层

19、 VPN 就是一种点对点得解决方案。可以支持得二层技术主要有:帧中继、ATMAAL5CPCS 模式、ATM 透明信元模式、以太网、以太网 VLAN、HDLC、PPP、SONET/SDH 链路仿真服务。为了通过运营商 MPLS 网络承载 L2 帧,Martini 草案引入 VC(虚连接)得概念。VC 通过MPLS 标签栈得方式在 MPLS 骨干网由 LSP 构建得隧道中进行复用,其标签得结构如图 3 所示。LSP 可以瞧作就是承载多条 VC 得隧道,VC 可以瞧作就是实际承载 L2 帧得电路,VC 实际就是隧道 LSP 中得子 LSP。隧道 LSP 提供 PE 之间得隧道连接,VC 承载特定用户

20、(VPN)得数据帧。隧道 ISP 得建立方式可以有多种,可以使用 LDP 得方式或者就是 RSVP/CR-LDP 等信令协议。PE 之间 VC 标签得分发使用下游标签分配得方式,可以采用静态分配得方法也可以通过信令进行分配,VC与传统得LSP 一样也就是单向得,为了获得双向得VC连接必须对VC两端得 PE 都进行配置。为了实现这种等级化得结构,在用户(VPN)得数据帧穿透运营商得网络时被打上了两层得标签:外层标签或者隧道标签:用于标识隧道 LSP,用于定位特定得目得 PE 路由器;内层标签或者VC标签:用于标识用户得连接,用于定位目得PE路由器上特定得VPN 成员站点。以 PE1 为源端、PE

21、2 为目得端为例,当 PE1 发送一个二层 PDU 到 PE2 时,PE1 首先为二层净荷添加一个 VC 标签,然后添加一个隧道标签。隧道标签用来确定 MPLS 分组从 PE1 到PE2得通路;只有 MPLS 分组到达 PE2 时,VC 标签才可见,PE2 对分组得处理取决于 VC 标签得内容。隧道标签用来确定通过 MPLS 网络得通路,VC 标签用来识别端点得 VLAN、VPN、或连接。例如,如果 MPLS 分组得净荷就是 ATMAAL5 协议数据单元时,PE2 能从 VC 标签推断出净荷对应得出口,以及 AAL5PDU 得 VPI/VCI 值。如果净荷就是帧中继 PDU 时,PE2 能从

22、VC标签推断出净荷对应得出口,以及 DLCI 值。如果净荷就是以太网帧时,PE2 能从 VC 标签推断出净荷对应得出口,及 VLAN 识别符。使用隧道标签与VC标签得方法,可以将多个二层“VC”复用到单个“Tunnel”中,可以节省运营商骨干 MPLS 网络中对 LSP 得需求量,有利于提高网络得扩展性。5.1.2Draft-kompella 基于 MPLS 得二层 VPN Kompella 草案得基于 MPLS 得二层 VPN 就是一种点对多点得解决方案。但就是与下面将要提到得 VPLS 对比,Kompella 方式得点对多点连接只就是一种点到点连接得集合。与Martini 方式相比,Kom

23、pella 得优势就是引入了 VPN 得自动发现机制,在网络初始化时需要对VPN 得所有站点进行配置,一旦初始化完成后,只需对新添加得站点进行配置,而不必触及已配置得站点。Kompella 得自动发现机制使用 BGP 作为 VC 标签分配得信令,整个 VPN 建立得过程充分得借鉴得 L3MPLSVPN 实现得思想。PE 之间建立全网状得 IBGP 会话,相互交换VPN 成员信息与 VPN 能力得协商。对于大型得 IP 运营商来说,其网络中原有运行得 BGP 可以作为 Kompella 方式Layer2MPLSVPN 得信令载体,在同一个信令平台上可以同时提供 L2 与 L3 得 VPN 业务。

24、对于网络得运营与维护来说也不会增加很大得负担。基于 Layer3MPLS VPN 得运营商经验也完全可以被 Komplla VPN 借鉴,比如说 VPN 跨域得问题,Kompella 就可以采用与 Layer3 MPLS VPN 相似得方法实现,而 Martini VPN 得跨域问题解决起来就比较得困难。但就是,Kompella VPN 在借鉴了 Layer3 MPLS VPN 思想得同时也不可避免得继承了 Layer3 MPLS VPN 实现、配置管理复杂、业务提供周期长等缺点,导致了目前支持与实现 Kompella得厂家较少,有关这方面得问题还处于进一步研究得过程中。在数据层面上 Komp

25、ella 与借鉴了 Martini 得封装格式,可以支持:帧中继、ATMAAL5CPCS模式、ATM 透明信元模式、以太网、以太网 VLAN、HDLC、PPP、SONET/SDH 链路仿真服务等二层技术。5、2 点到多点连接(VPLS)目前在 IETF中有多个草案解决 L2 多点连接得问题,这些草案得主要目标都就是为了解决Layer2 以太帧透过运营商 IP/MPLS 网络进行点到多点传送得问题。通过运营商得 IP/MPLS网络,Layer2MPLS VPN 可以仿真一个局域网交换机,具有基于 MAC 地址对用户得数据帧进行转发得能力。最终得目得就是构架客户端基于 L2 交换得 VPN 网络。

26、这种解决方案一般也称作就是 VPLS(Virtual Private LAN Services)。VPLS 技术得核心思想在草案“draft-lasserre-vkompellappvpn-vpls-0 x、txt”中有详细得描述,以下得几个草案对 lasserre 草案中得思想进行了扩充或者就是提出了一些厂家特有得解决方案:draft-kompella-ppvpn-vpls-00、txt draft-kompella-ppvpn-dtls-01、txt draft-lasserre-tls-mpls-00、txt draft-heinanen-dns-ldp-vpls-00、txt draf

27、t-tsenevir-gre-vpls-00、txt draft-augustyn-vpls-arch-00、txt draft-khandekar-ppvpn-hvpls-mpls-00、txt draft-sajassi-vpls-architectures-00、txt VPLS 得解决方案实际上就是对 Martini 解决方案中引入概念得扩展。VPLS 实际上就是在 PE 之间建立了一个全网状得 VC 连接来仿真点到多点得连接。值得注意得就是 VC 就是一个单向得连接,为了承载双向得数据流,需要一对 VC 连接。VC 标签信息得交换主要有两种方法,一种就是 LDP 标签分配方式,另外一

28、种就是 BGP 标签分配得方式。客户 VPN 使用 32bit得 VPNID 进行标识,也有一些草案中使用 56bit 或者 64bit 得 VPN ID 进行扩展。还有一种解决方案就是将 VPN ID 存储在 DNS 系统中进行统一得管理控制,可以简化业务提供得过程。在 VPLS 中,VLAN ID 对于运营商网络来说没有任何得意义,运营商得网络根据为客户 VPN分配得标签进行标签交换,所以对于 Layer2 MPLS VPN 来说,它可以不受最大 4095 个 VLAN数目得限制。PE 设备得功能体(多数情况下就是 PE 路由器)像普通得二层交换机一样进行MAC地址得学习,唯一得不同就是L

29、ayer2 MPLS VPN通过VC进行数据帧得转发。通过MAC地址得学习每个承载 VPN 得 PE 上都会生成相应得 MAC 地址转发表,这个转发表称作就是VFI(Virtual Forwarding Instance),VFI 与 PE 上得 VPN 之间就是一一对应得关系。与 Layer3 MPLS VPN 一样,为了合理地利用设备得资源,Layer2 MPLS VPN 得 PE 设备上只存储它承载得 VPN 得 MAC 转发表,而不就是网络中所有 VPN 得 MAC 转发表。P 路由器不进行任何得MAC 地址学习,整个 Layer2 MPLS VPN 得建立过程对 P 路由器就是透明得

30、。PE 不必像传统得 L2 交换机一样运行 STP 协议,因为在 Layer2MPLSVPN 中使用 MPLS 得内在保护机制进行链路得保护,而且 VPLS 得 PE 之间采用得全网状连接得 VC,PE 之间得流量相互可以直达,所以不会产生 L2 交换网络中通常会遇到得线路保护与线路环路得问题,所以也就没有使用 STP 协议得必要。Layer2 MPLS VPN 可以避免通常 L2 交换网络中因为使用STP 带来得网络恢复得周期长、网络得控制性受限制等问题。如图 6 中所示,VPLS 中也可以实现重叠 VPN 得网络结构,站点 1 同时属于 VPN A 与 VPN C,在数据平面 VPN A

31、与 VPN C得数据可以通过不同得 VLAN ID 使用 802、1q 复用到单一物理接入链路上。在控制平面,客户需要对其路由协议得发布进行一定得策略控制,决定路由发布与 VPN 之间得对应关系。对运营商而言,路由得管理与控制就是由用户进行得,运营商得维护管理得工作简单。6、Layer3 与 Layer2VPN 综合比较及分析 从以上得分析中可以瞧出,基于 MPLS 得 L2 与 L3 解决方案各有其优缺。对于运营商来说到底采用何种方式在网络中实施 MPLSVPN 需要考虑 L2 与 L3 方案各自得优缺,结合网络得现状,方案实施得成本,以及对当前与将来业务得综合分析、预测。6、1 支持得服务

32、类型 对于L3得MPLS来说,由于路由协议与信令协议得限制面前只支持纯IP得业务,而L2VPN得解决方案由于采用二层得透传技术,对于客户侧得很多三层协议就是透明得,这些协议包括:IPv4、IPv6、IPX,DECnet,OSI,SNA 等等。相对于 L3 来说,L2 对于用户业务类型得要求限制要少一些。尤其,现在很多得组织已经或者正在准备开始使用 IPv6,将来也会有很多得企业向 IPv6 迁移。对于运营商来说,如何为这部分企业用户提供 VPN 得连接业务。对于 L3 得 VPN 来说需要对面前 IPv4 得路由技术与对面前 M-BGP 得功能进行增强,生成一个新得VPNIPv6 得 addr

33、ess family。其间,还会涉及到对运营商边界路由器软件或者硬件上得升级。对于 L2 得 VPN 来说,可以继续得为这些企业用户提供 VPN 得业务。Layer 2 MPLS VPN 得特性也使其也可以很容易得实现目前困扰 Layer 3 MPLS VPN 得很多技术,比如说网络得组播,L3 MPLS VPN 有关组播能力得支持还有待进一步得研究。6、2 组网能力 运营商在向客户通过 MPLSVPN 服务得时候可以采用多种得组网方式,MPLSL2 与 L3 得VPN 都支持以下得几种 VPN 组网方式:1、Point-to-Point、2、HubandSpoke、3、PartialMesh

34、、4、FullMesh、5、OverlappingVPNs、由于实现机制得不同,MPLSL2 与 L3VPN 对以上几种组网方式得支持能力有差异。具体来说,Layer3MPLS VPN 对于 1、4、5 组网方式得支持能力好,而对 2、3 组网方式得支持相对比较得复杂。对于 Layer2 MPLS VPN 来说,实现 1、2、3、4 连接得能力强。为什么会产生这种差异呢？Layer2 MPLS VPN直接采用VC得方式构建VPN站点直接得连接,相对于通过控制 BGP 得路由传递建立得 Layer3 MPLS VPN 来说,在组网得能力上更灵活一些。但就是Layer2 MPLS VPN 在支持连

35、接方式 5 即重叠 VPN 得时候,需要对重叠发生处得 CE 设备进行一定得配置,CE 设备需要对发布到 PE 得路由信息进行控制。在这个过程中,对于客户来说会丧失一部分三层路由得透明性。6、3 网络扩展性 在对比 L3 解决方案与 L2 解决方案扩展性得时候我们可以发现许多共同得地方。一般来说对于 MPLSVPN 来说网络得扩展性主要受以下几个因素得限制。一个限制因素就是运营商边界得 LSR 最大可以支持得 LSP 或者就是 VC 得数量;另一个限制因素就是运营商边界路由器上可以存储得配置文件得大小。配置文件包括边界路由器得全局路由信息与相关得VPN 配置信息。对于 L3 得 MPLSVPN

36、 来说,配置文件包括 VRF(virtual route forwarding)、RD、BGP 扩展属性得信息与路由过滤得策略。对于 MPLS 2 层得解决方案来说,配置文件包括VPN对等PE得静态配置信息以及端口与VPN之间得映射关系。如果在Layer2 MPLS VPN解决方案中引入 VPN 成员站点得自动发现机制,可以极大得简化 Layer2 MPLS VPN 得配置过程与控制配置文件得规模。对于 L3 得解决方案来说,运营商边界 PE 上可以存储得路由得数量也就是影响 VPN 扩展性得一个重要因素。运营商边界路由器上存储在来自所有成员 VPN 得路由信息。减小运营商路由器 PE 上路由

37、数量得方法就是尽可能得对 VPN 得路由进行汇总。L2 解决方案同样也存在这样得限制,解决得方法就是使用一定得策略对PE路由器上MAC地址得数量进行限制,防止来自 VPN 得大量源 MAC 地址信息使 PE 路由器溢出。6、4 网络部署得难易程度 实施 L3 得 MPLS 解决方案通常需要高端得 PE 设备作为运营商边界 LSR,因为在 L3 得情况中作为运营商边界得 LSR 需要处理大量得路由表信息,而且还要同时处理多个路由表得信息。在实施 L3 得 VPN 时需要部署 M-BGP 作为传递内标签得信令协议,对于网络中已经部署了大量得 BGP 协议得大型 IP 网络来说,其运营商倾向于开展

38、L3 得 VPN 解决方案,以充分得利用网络中已部署得 BGP 协议。在运营商实际得业务实施得过程中,需要对原有得 BGP 进行一些调整,包括对 BGP 路由反射簇得调整与对路由联盟得调整,调整得目标就是对 BGP 路由反射器或者联盟边界路由器得负载进行均衡,防止网络中得某些设备负载过大,提高网络得扩展性。这些调整需要进行合理得规范,深入得分析与研究,保证 L3VPN 得实施不会对网络中原有得网络稳定性与扩展性产生影响。对于 L2VPN 得解决方案来说,对 PE 得要求相对简单,多数得解决方案不需要使用 BGP 作为标签分配得信令协议,所以 PE 之间不需要运行 BGP 协议。对于那些网络中原

39、来没有运行BGP,或者就是不希望继续使用 BGP 作为标签分配信令得运营商来说,L2VPN 得解决方案就比较吸引力。当然,对于那些希望利用原有得 BGP 协议得运营商来说,也可以采用使用 BGP作标签分配得 L2VPN 解决方案进行实施。对于跨域得 MPLS VPN 来说,使用 BGP 作为跨域标签分配得工具比单纯使用 LDP 作跨域标签分配更简单,更容易实现,有更好得网络扩展性。6、5 业务提供过程 L3MPLSVPN 业务得提供需要运营商通过控制路由信息为用户定制 VPN 得网络拓扑。具体得说就就是要设计包含客户路由信息得 VRF,制定 RD 与路由属性得分配方法。多个端口就是否共享一个

40、VRF,或者在重叠 VPN 方式中 VRF 包含来自多个 VPN 得路由信息,这些问题都需要运营商进行仔细得规划与实施。运营商还需要创建与维护于客户 CE 路由器之间得路由交换。相对来说,Layer2MPLS VPN 得业务提供比较简单。运营商 PE 上只需要配置相应得 PE 之间得 VC 连接以及 PE 端口或者电路与 VPN 之间得映射。目前在 IETF 中提出了很多 PE VPN 成员站点得自动发现机制,来增加 Layer2 MPLS VPN 得智能化,随着 VPN 自动发现机制得标准化,Layer2 MPLS VPN 得配置将进一步得简化。6、6 运营管理与维护 运营商在管理与维护 L

41、3 得 MPLSVPN,作配置改动或者进行故障得检查与修复时,实际上主要就是处理路由器 BGP 对等会话,各种扩展属性得 BGP 路由与路由器得发布与控制,以及运营商边界 PE 与客户路由器 CE 之间得对等关系。在很多大型得 IP 网络中,为了增加网络得扩展性,使用了 BGP 路由反射器或者就是联盟对自治域内得 IBGP 会话进行控制,这些措施在提高网络扩展性得同时也增加了网络管理维护与故障发现、检查与修复得复杂度。随着 VPN 用户数量得增加,运营商边界路由器得配置文件也将变得越来越庞大,网络得可运营可管理得能力也随之下降。对于Layer2MPLSVPN来说,情况相对要简单一些,因为运营商

42、不需要管理与维护属于客户得路由信息。对于大多数得 Layer2MPLS VPN 解决方案来说也不需要 BGP 作标签得分配与路由信息得传递。网络得管理与维护相对比较简单。但就是,对于 kompella 与某些 VPLS 得Layer2 MPLS VPN 解决方案来说,BGP 仍然作为标签分配得信令协议使用。无论那种实现得方式,运营商在管理与维护 Layer2 MPLS VPN 时只需要处理简单得 VC 概念与 VPN 与 PE 路由器端口之间得映射关系,具体到每一个 PE 上,运营商只需要维护单一得全局路由表,记录Layer2 MPLS VPN MAC 地址与转发路径信息得转发表可以使用静态得

43、配置或者就是通过PE 动态得学习获得。Layer2 MPLS VPN 与 L3 MPLS VPN 面临得一个共同得问题就就是,随着VPN网络规模得扩张与VPN站点数量得增加,运营商边界得PE路由器得配置文件将变得十分得庞大,对于这个问题可以采用VPN成员得自动发现机制将配置文件控制在一个合理得范围,或就是采用基于图形得 MPLS VPN 管理软件简化管理与维护得难度。6、7 运营成本 对比两种 MPLSVPN 部署得成本,L3 得解决方案要比 L2 得解决方案稍高一些。L3 得解决方案要求运营商边界得 PE 路由器同时处理多个路由表,相对于 L2 解决方案对边界路由器得要求要苛刻一些。特定得网

44、络解决方案得运营维护成本主要取决于网络得复杂程度,网络越复杂,对网络运营管理人员得专业要求更高,业务开展得周期也会相应得延长。所以,在同等网络规模得前提下 L3MPLSVPN 得运营成本高于 Layer2 MPLS VPN。7、MPLSVPN 应用得分析与建议 从以上得分析中,我们可以得出,MPLSVPN 技术就是未来构建 VPN 网络得技术发展方向,无论就是相对于传统得基于电路或者虚电路方式得二层 VPN 组网技术还就是传统基于 CPE设备得 IP 隧道 VPN 技术或者就是基于传统基于运营商网络得 VPN 解决方案,MPLSVPN 技术都有着明显得优势,MPLSVPN 依托 MPLS 技术

45、可以提供更多元化得业务种类,多种服务质量,MPLS也为MPLS VPN提供了基于标签得内在安全机制与基于LSP保护得保护机制,简化了运营商与客户对 VPN 进行管理维护得工作量,缩短了运营商提供 VPN 业务得周期,使运营商可以面对市场得需求做出灵活得反应。但就是运营商向 MPLSVPN 技术得演进应该就是应该循序渐进得过程。对于大多数得运营商来说,目前其数据业务得主要来源还就是面向客户得传统 L2VPN 与专线业务。实施MPLSVPN 得过程必须充分得考虑已有网络得网络运营结构与当前得网络业务模式。MPLS VPN 作为一项新业务,一方面其自身还处在一个不断得发展与完善得时期,另一方面对于大

46、多数得运营商来说没有大规模运营MPLS VPN得经验,贸然得实施MPLS VPN技术有很大得风险。建议运营商在保持原有业务得同时,可以利用运营商得 MPLS 骨干网推出 MPLS VPN得业务作为传统专线业务得补充,使用优惠得资费政策吸引一部分中小用户,积累一定得运营经验。具体到 MPLSVPN 得两种实现方式,Layer3MPLSVPN 由于发展得时间较长,其协议本身相对完善一些,一些运营商已开始了 Layer3 MPLS VPN 业务得一些尝试。Layer3 MPLS VPN 由于其实现机制得问题,其网络得运营管理与维护,以及运营商边界路由器需要存储大量得客户路由信息引发得网络扩展性问题要

47、求必须对 Layer3 MPLS VPN 得实施进行很好得规划。虽然 IETF 也在就这方面得问题不断得对 Layer3 MPLS VPN 进行改进,但就是在目前技术与网络条件都不成熟得情况下 Layer3 MPLS VPN 得应用应定位于中小规模得企业 VPN 用户。等Layer3 MPLS VPN 本身得协议完善及运营商本身积累了一定得网络运营管理经验以后再进行全网得普及。Layer2MPLSVPN 得出现就是 MPLSVPN 技术得一个新亮点,随着其协议得成熟与标准得确定,Layer2 MPLS VPN 将成为 MPLS VPN 技术得主流技术。Layer2 MPLS VPN 技术可以实

48、现帧中继、ATM、以太网、以太网 VLAN、HDLC、PPP、SONET/SDH 链路仿真服务与多种二层链路技术得互通,运营商与客户之间得责任明确,运营模式清晰,就是迈向 IP/MPLS 全业务网得关键一步,可以实现真正意义上得多网合一。在演进得过程中原有得非 IP 接入电路技术(FR、ATM)可以实现重复利用,可以最大限度得为运营商节省网络升级得投资。与 Layer3 MPLS VPN 得解决方案比较,Layer2 MPLS VPN 可以提供更好得网络扩展性,还可以支持除IP 以外得多种协议(IPX,SNA 等)所以更适合在大型得 VPN 网络中使用,特别就是在多级运营商或者运营商得多级网络

49、环境中(Carrier Support Carrier)。对于客户来说从传统得二层 VPN升级到Layer2 MPLS VPN得过程就是透明得,客户路由器原有得电路映射关系不需要进行任何得改动。就目前来说,Layer2 MPLS VPN 面临得最大问题就就是协议不成熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数得设备只实现了协议定义得基本功能,还不具备全业务支持得能力,各种解决方案之间也无法实现互通。Layer2 MPLS VPN 协议本身得不完善也就是制约其应用得一个重要因素,目前大多数得Layer2 MPLS VPN得配置过程都需要进行大量得手工配置,不适合组大规模得网络。对于一个

50、适合进行大规模部署得网络解决方案来说,必须要支持自动发现与机制,减少配置过程中因为人为失误造成配置错误得可能性。另外,除了以BGP作为信令协议得解决方案以外,Layer2 MPLS VPN得跨域问题还没有能够完全得解决。Layer2 MPLS VPN 业务得成熟需要运营商积累一定得运营经验,其业务本身也需要市场与客户认可得过程。综合以上得分析,运营商可以根据自身得网络情况选择使用什么样得方式、什么样得技术与什么样得运营模式提供其 MPLSVPN 得业务。对于传统处于垄断地位得运营商来说可以采用循序渐进得方式,将 MPLSVPN 作为其传统 VPN 业务得一种补充,同时可以采用设备代管代维或者其