3 MPLS應用測試方法描述

MPLS技術能夠得到日益廣泛的應用，其原因本不是因為其轉發(fā)技術本身有多么大的優(yōu)勢，特別是在計算機硬件技術快速發(fā)展的今天，路由器和交換機的IP轉發(fā)效率已經(jīng)能夠達到甚至超過MPLS轉發(fā)，何況由于MPLS轉發(fā)需要多個基礎協(xié)議作為實現(xiàn)基礎，在很多實際測試中相同路由器的IP轉發(fā)效率往往還會優(yōu)于MPLS轉發(fā)效率。為MPLS技術賦予旺盛生命力的是其具有良好的靈活性和易擴展性，能夠使我們利用這個技術實現(xiàn)更多、更豐富、更靈活的應用，滿足了服務提供商和用戶兩個方面對網(wǎng)絡的需求。這些應用主要包括：MPLS L3VPN、MPLS L2VPN和MPLS TE等幾類。這些應用也是MPLS技術在實際網(wǎng)絡中的存在形式。

既然，MPLS都是以各種應用形式部署于各大網(wǎng)絡中，對MPLS的測試也必然需要包括對這些應用的驗證。與上面討論對某個具體協(xié)議的測試不同，這些應用都沒有專有協(xié)議相對應，RFC中只介紹了這些應用的基本框架和為實現(xiàn)這些應用而在各個協(xié)議進行的一些擴展，主要是對LDP、BGP和各種路由協(xié)議進行擴展。那么在對這些MPLS應用測試時，我們需要從這些協(xié)議擴展功能和各種應用本身功能兩個方面進行驗證。下面我們對MPLS幾種主要應用分別進行討論，由于MPLS TE應用本身理論、相關協(xié)議和實現(xiàn)都相對比較復雜和獨立，這里不作介紹。

3.1 L3VPN測試方法

MPLS L3VPN應用是目前在網(wǎng)絡中使用的最廣泛的MPLS應用。服務提供商通過為各個VPN網(wǎng)絡維護、轉發(fā)用戶路由，并利用MPLS轉發(fā)技術實現(xiàn)各個VPN Site之間報文轉發(fā)，從而達到將位于不同物理位置的用戶網(wǎng)絡連接為一個整體的最終目的。在PE上為不同VPN分別維護各自獨立的路由表，為VPN用戶網(wǎng)絡提供了必要的私有性和安全性。

同時，MPLS L3VPN也是最為復雜、發(fā)展最為迅速的一種應用。為了不斷滿足各種用戶多樣性的網(wǎng)絡應用需求，L3VPN本身也在不斷變化，解決方案逐步豐富、完善。目前已經(jīng)有包括基本L3VPN組網(wǎng)、跨域VPN組網(wǎng)、運營商的運營商（CSC）、嵌套VPN組網(wǎng)、分層PE組網(wǎng)、MCE、Hub-Spoke等多達十幾種的網(wǎng)絡拓撲結構。這些組網(wǎng)的基本結構相同，僅在某些設備（PE或CE）上實施的配置、所處位置和交互協(xié)議上有所不同，因此對這些不同組網(wǎng)模式的測試方法也沒有太多變化。

L3VPN最初的應用是服務提供商在自己的網(wǎng)絡內部（一般屬于同一個自治系統(tǒng)）提供的一種VPN服務，為用戶不同站點或不同用戶（需要通信）之間提供安全的數(shù)據(jù)傳輸業(yè)務。因此，最基本的L3VPN組網(wǎng)就是L3VPN中所有的P和PE設備都處于服務提供商在自己的相同的自治系統(tǒng)內部。

對于基本L3VPN組網(wǎng)，根據(jù)設備的不同位置和作用分為P、PE和CE設備。在測試過程中，對不同位置的設備要進行有重點的測試：

P設備主要應用于電信級運營商或者大企業(yè)網(wǎng)絡的骨干位置，其上承載著整個網(wǎng)絡上的所有路由，路由容量大，對性能的要求也非常高。因此對于P設備，其測試重點首先是L3VPN流量轉發(fā)能力（其實也就是MPLS報文的轉發(fā)能力）以及轉發(fā)延遲和穩(wěn)定性等方面?？梢酝ㄟ^使用各種測試儀器廠時間持續(xù)打入大量L3VPN的路由和來進行轉發(fā)能力及轉發(fā)延遲的測試，通過長時間運行進行拷機測試。此外，在進行上述測試過程中執(zhí)行shutdown/undo shutdown物理接口、reset ospf、reset bgp、reset ldp進程、包括reboot系統(tǒng)等各種異常情況測試。

PE設備處于服務提供商網(wǎng)絡邊緣連接用戶網(wǎng)絡，由于用戶網(wǎng)絡協(xié)議配置和上連鏈路類型存在的多樣性，并且PE需要為不同VPN分別維護獨立的路由表，因此，對于PE的功能和性能要求是比較高的。PE設備的測試重點在幾個方面：首先，也是最主要的測試內容就是PE與CE之間采用各種多實例的測試。包括在各種不同的網(wǎng)絡接口類型（Frame Relay、ATM、E1、T1、E3、T3、FE、GE、POS、GRE等）上運行各種多實例（BGP多實例、OSPF多實例，RIP多實例，IpSec多實例，NAT多實例，ARP多實例等）。其次，測試MPLS L3VPN的表項建立和刷新情況。通過命令檢查所有相關表項的建立、通過執(zhí)行shutdown/undo shutdown私網(wǎng)接口、綁定/去綁定存在的VPN實例、綁定/去綁定不存在的VPN實例、重置各種多實例進程等異常操作，測試L3VPN各個表項的刷新/刪除/重新建立的有效性和時間。再次，測試L3VPN用戶網(wǎng)絡不同站點之間各種應用，包括Ping（大包、小包）、Telnet、Ftp、HTTP、各種組播應用（語音、視頻）、IPSec、L2VPN等的功能和性能，對于出現(xiàn)的問題，通過打開調試信息檢查MPLS報文轉發(fā)時的標簽壓棧、交換和彈出操作是否正確。

此外，PE之間包括PE與P之間的不同組網(wǎng)結構的測試，主要是MBGP的組網(wǎng)結構包括反射、聯(lián)盟、多層反射、反射和聯(lián)盟混合結構和各種MBGP屬性等的應用，這部分內容應該屬于BGP測試的內容，在進行L3VPN測試的時候也要關注一下，這里需要特別注意的是地址重疊的情況，因為L3VPN需要定義VPN實例，通過BGP協(xié)議Update報文中攜帶的RT屬性匹配遠端VPN實例。配置兩個VPN實例，采用相同的或者重疊的地址空間并不斷的修改VPN實例的RT值并使BGP不斷的發(fā)送Update報文，進行重疊地址空間情況下的異常測試。

CE設備主要應用于用戶網(wǎng)絡的邊緣，用于與運營商網(wǎng)絡的接入。在L3VPN的實現(xiàn)中，CE設備作用相對小一些，不用作太多測試，重點考察下L3VPN不同站點CE之間的各種應用的功能和性能。

對于一些特殊應用的L3VPN應用，包括跨域VPN組網(wǎng)、運營商的運營商（CSC）組網(wǎng)、嵌套VPN組網(wǎng)、分層PE組網(wǎng)、MCE、Hub-Spoke等，大體上的測試方法同上，但是針對不同的組網(wǎng)結構或應用模式的特點，也要有相應的測試手段。

跨域VPN組網(wǎng)模式是L3VPN基本應用的一個擴展，VPN用戶分布在不同的自治系統(tǒng)中。目前支持三種跨域VPN的實現(xiàn)方式，第一種背靠背方式其實就是相鄰的兩臺ASBR互聯(lián)的接口都綁定在VPN里，這種方式并沒有什么特殊的內容，測試中可以進行一些異常情況測試，比如在ASBR上執(zhí)行接口下綁定/去綁定VPN實例、shutdown/undo shutdown接口等簡單測試項（其實這部分測試前面已經(jīng)提過）并測試跨域的用戶網(wǎng)絡之間的各種應用，包括Ping（大包、小包）、Telnet、Ftp、HTTP、各種組播應用（語音、視頻）、IPSec、L2VPN等的功能和性能。

跨域VPN的另外兩種實現(xiàn)方式都是通過MBGP支持實現(xiàn)的。第二種實現(xiàn)方式在ASBR之間建立MBGP鄰居關系，通常也稱為單跳MP-EBGP方式，根據(jù)ASBR之間轉發(fā)VPN路由時是否改變下一跳又分為兩種情況。第三種實現(xiàn)方式在跨域的P之間或者PE之間建立MBGP鄰居關系，通常稱為多跳MP-EBGP方式。由于這兩種實現(xiàn)方式都是通過MBGP支持，只是實現(xiàn)原理有點兒差異，因此測試中的方法也基本一樣。首先要對這兩種實現(xiàn)方式的三種情況重點測試PE/P和ASBR上BGP對VPN路由的標簽分配和轉發(fā)時的標簽操作，通過在PE/P、ASBR上檢查各個相關表項信息和打印調試信息進行這方面測試。其次，要重點測試各種異常操作引起的PE/P、ASBR的相關表項的刷新（刪除、重新建立）情況和時間，包括重置BGP、OSPF、LDP進程、重啟系統(tǒng)、shutdown/undo shutdown接口等異常測試。此外，要重點測試跨域L3VPN的不同用戶網(wǎng)絡的各種應用：包括Ping（大包、小包）、Telnet、Ftp、HTTP、各種組播應用（語音、視頻）、IPSec、L2VPN等。

運營商的運營商（CSC）組網(wǎng)模式就是將基本L3VPN組網(wǎng)模式中的CE作為下一級L3VPN應用的P或者PE從而實現(xiàn)將L3VPN應用進行分級的效果，通常也稱為CSC（Carrier Support Carrier）方式。目前我司已經(jīng)支持分層設備之間IGP多實例和LDP多實例的配置實現(xiàn)（BGP多實例的方式正在調試）。因此對于這種VPN組網(wǎng)應用模式，在測試中要重點測試作為層次邊緣的設備IGP多實例和LDP多實例。由于IGP多實例在基本L3VPN組網(wǎng)中已經(jīng)作為測試重點，因此在CSC組網(wǎng)中要重點測試通過在各種類型接口（Frame Relay、ATM、E1、T1、E3、T3、FE、GE、POS、GRE等）上LDP多實例以及通過異常操作測試LDP多實例的表項刷新/刪除/重新建立過程。此外，在各臺設備上打開調試信息測試報文轉發(fā)過程中的標簽交換過程也是必須的。還要重點測試CSC組網(wǎng)結構中的應用情況：包括Ping（大包、小包）、Telnet、Ftp、HTTP、各種組播應用（語音、視頻）、IPSec、L2VPN等。

嵌套VPN組網(wǎng)也是將基本L3VPN組網(wǎng)進行分層，結構上和前一種組網(wǎng)模式（CSC）基本一樣，只不過上級的PE要負責維護整網(wǎng)的VPN路由，而CSC結構中不需要。我司設備暫時還不支持這種實現(xiàn)方式。

分層PE、Hub-Spoke、多角色主機和MCE等幾種L3VPN組網(wǎng)應用模式并沒有特別的地方，按照配置進行功能測試，測試方法參照前面的描述。

3.2 L2VPN測試方法

與L3VPN不同，在L2VPN應用中服務商網(wǎng)絡不負責維護、轉發(fā)VPN用戶網(wǎng)絡路由信息，只負責封裝、轉發(fā)所有由VPN用戶接口接收到的數(shù)據(jù)報文。因此，可以將MPLS網(wǎng)絡看作是連接各個用戶CE設備的物理線路，用戶所有數(shù)據(jù)都被透明地傳遞到遠端CE設備上，不需要對其進行分析、處理和修改。這種應用一方面減小了對PE設備內存、處理能力的要求，另一方面卻為其數(shù)據(jù)轉發(fā)能力和接口類型方面提出了更高的要求。相對于傳統(tǒng)VPN，具有更便于部署、管理維護和擴展的特點，只是由于對用戶兩端鏈路類型和鏈路層協(xié)議要一定要求，所以目前還沒有得到廣泛應用。

作為L2VPN應用，服務商為分布在各處的VPN用戶網(wǎng)絡提供二層連通性，及提供VLL服務，因此能否正確連接用戶網(wǎng)絡是測試中首要關注點。在測試中，我們建議盡量使用各種類型的物理接口，并在這些接口上封裝各種類型的鏈路層協(xié)議如：PPP、FR、X.25等，同時配置各種常用的鏈路層應用，如PPP認證、地址協(xié)商、地址借用等。多種條件綜合應用才能充分暴露問題。此外，基于鏈路協(xié)議的虛接口也是測試重點之一：MP、MFR以及各種類型子接口之間互連。驗證CE之間連接是否正常的方法除了通常ping操作外，我們還可以在CE之間配置各種上層應用，驗證這些應用功能是否正常，通常包括：Telnet、FTP、各種路由協(xié)議、組播應用、LDP、PPPoE、L2TP等甚至將CE配置為另一個MPLS域中的PE設備，在其上面承載其他MPLS服務等。可以看出，由于路由器支持板卡類型眾多、而每種類型接口板又支持多種類型鏈路層協(xié)議，同時還需要為每一種情況配置多種應用，加上L2VPN本身實現(xiàn)方式又有不同，所以這些測試組合種類繁多、數(shù)目巨大，完成這些測試需要有極大的耐心和責任感。由于，L2VPN要求兩端CE設備連接到PE設備所使用的鏈路類型必須相同，這對我們測試網(wǎng)絡結構、規(guī)模和復雜性提出了較高的要求。同時，也需要測試人員對各種接口、鏈路層、上層應用以及他們相互之間的組合應用方式都比較熟悉，才能進行深入的測試。

上面描述的測試方法僅關注了PE、CE之間鏈路變化，是針對連接PE、CE之間和本地與遠端CE之間網(wǎng)絡的測試。對于MPLS域中PE和PE之間連接的測試則根據(jù)L2VPN實現(xiàn)形式不同而各不相同。就實現(xiàn)而言，目前我司設備支持4種方式L2VPN：CCC方式、SVC方式、Martini方式和Kompella方式。通常我們可以將前面兩種認為是手動發(fā)現(xiàn)方式，需要手動配置PE間的連接關系和VPN對應關系以及手動分配VPN標簽，而后兩種是自動發(fā)現(xiàn)方式，它們分別利用LDP和BGP協(xié)議自動發(fā)現(xiàn)遠端PE上的對應VPN實例并且協(xié)商標示VPN實例的內存標簽。由于工作方式不同，對L2VPN的測試也可以分兩種情況進行討論：

手動發(fā)現(xiàn)方式L2VPN，由于沒有任何其他協(xié)議參與協(xié)商，也沒有任何自定義消息在PE間傳遞。在測試中我們只需要關注標簽分配與釋放、PE間LSP建立和切換等基本情況。測試方法于靜態(tài)LSP測試方法類似，主要還是考慮與各種類型鏈路、LDP鄰居振蕩、多接口、多路由相互備份切換等各種手段相結合。同時，L2VPN支持在PE之間使用LSP和GRE（講來還會支持TE Tunnel）等多種隧道模式傳遞VPN數(shù)據(jù)（CCC方式除外），因此各種類型隧道之間相互備份、切換也是測試一個方面。

對于自動發(fā)現(xiàn)方式L2VPN，這里主要介紹對實現(xiàn)遠端PE設備自動發(fā)現(xiàn)和VPN標簽協(xié)商功能的LDP、BGP協(xié)議擴展功能的測試。Martini方式L2VPN使用remote方式LDP發(fā)現(xiàn)PE、根據(jù)配置的VPN id匹配VPN實例，并主動進行標簽協(xié)商。那么remote peer方式LDP是測試重點之一，包括使用不同類型接口IP地址建立鄰居關系，鄰居關系振蕩，帶驗證的鄰居關系建立等。

LDP remote方式鄰居關系建立后，并不會向對端發(fā)送任何FEC綁定的Map消息，而是會根據(jù)本地L2VPN的配置將VPN類型、VPN ID、本地為這個VPN分配的標簽和其他選項數(shù)據(jù)一起封裝在LDP消息里面發(fā)送給對端，消息收到放設備會將消息中攜帶的VPN ID與本地配置相對比如果有相同ID，則取出消息中攜帶的標簽信息和對端設備loopback對于LSP一起填寫到當?shù)豅2VC表項下發(fā)給LSPM模塊，形成對應轉發(fā)表項。因此，LDP對L2VPN標簽消息發(fā)送，設備對收到標簽消息處理也是我們需要測試的重要環(huán)節(jié)，設備往往會在LDP連接出現(xiàn)振蕩時，丟失LDP消息或由于本地配置改變而對LDP消息處理產生錯誤。我們在測試中可以采用不斷改變L2VPN配置、修改VPN ID和LDP鄰居關系等方法驗證設備在網(wǎng)絡動態(tài)變化時是否能正確處理消息。

Kompella方式L2VPN配置與L3VPN類型，需要定義VPN實例，并利用BGP協(xié)議Update報文中攜帶的RT屬性匹配遠端VPN實例。同時，支持一次性為一個Site網(wǎng)絡分配一塊標簽資源，具有很好的網(wǎng)絡擴展性，可利用BGP路由的反射器等特性完成全網(wǎng)PE設備自動互聯(lián)具有很好的可維護性等優(yōu)勢。但是其配置則稍顯復雜，配置項中各個參數(shù)不易理解。

由于Kompella方式具有以上特點，我們主要測試下面幾個方面：首先，MBGP對L2VPN能力支持，是否能夠正確建立對應能力的BGP鄰居關系，同時還可以結合其他BGP實現(xiàn)和組網(wǎng)結構（如反射等）同時存在MBGP其他能力等結合進行測試，特別是對標簽資源分配、收回等進行測試；其次，對L2VPN實例中配置的RD和RT匹配規(guī)則進行測試，測試方法與L3VPN中類似，可以通過完全匹配、部分匹配和空配置、不匹配幾個方面驗證，動態(tài)修改配置等手段結合測試；再次，是對VPN標簽池再分配能力的測試，由于Kompella方式L2VPN支持動態(tài)擴展為每個CE預留的標簽空間，而標簽通過標簽池基準標簽大小加上偏移量和CE ID計算得到，標簽池擴展對標簽計算會產生很大影響，所以測試中應該有意不斷修改標簽池大小，不斷修改本地和對端CE ID值驗證設備對標簽計算是否正確；然后，對CE ID匹配進行測試，不同實例CE ID是否能夠重復使用，CE ID匹配是否正確等；最后，也是最重要的是對標簽計算的測試，Kompella方式L2VPN的標簽是通過計算得到的，所以設備在不斷收到Update報文時很可能由于計算錯誤使標簽不匹配，引起MPLS轉發(fā)不通。

3.3 VPLS測試方法

VPLS是另外一種MPLS二層VPN的應用，和VLL不同它應用方式是多點對多點。VPLS為許多原來使用點到點L2VPN業(yè)務的運營商提供了一種更完備的解決方案，通過VPLS服務，地域上隔離的用戶站點能通過MAN/WAN相連，并且兩地連接效果像在一個LAN中一樣。

IETF相應的一系列草案中描述了使用MPLS的虛鏈路作為以太網(wǎng)橋鏈路的VPLS解決方案，通過MPLS網(wǎng)絡提供一種透傳的LAN服務。

所以在VPLS測試中對鏈路要求很簡單，就是以太鏈路，但是其組網(wǎng)要求復雜。為了體現(xiàn)多點對多點，最基本的配置也是3臺PE兩兩直連，每個下掛1臺CE。

VPLS測試應該覆蓋如下內容：

1、 VPLS相關的草案中提供了兩種基本VPLS網(wǎng)絡架構：“虛鏈路(PW)邏輯全連接”的VPLS網(wǎng)絡架構和“分層”的VPLS架構。這是VPLS最基本的兩種組網(wǎng)應用，要分別驗證這兩種組網(wǎng)下的VPLS功能；

2、 PW信令協(xié)議驗證：PW信令協(xié)議是VPLS的實現(xiàn)基礎，用于創(chuàng)建和維護PW，同時也可用于自動發(fā)現(xiàn)VSI的對端PE設備。目前，PW信令協(xié)議主要有LDP和BGP。我司都支持，所以兩種信令協(xié)議都要一一測試到；

3、 MAC地址學習與泛洪測試：VPLS組完最終在客戶端看到仿佛就是一個大的LAN，所以它能支持MAC地址學習、老化、回收功能，要一一測試到；

4、 環(huán)路檢測測試：VPLS中，使用“全連接”和“水平分割轉發(fā)”來避免在ISP網(wǎng)絡上跑用戶STP協(xié)議，“水平分割轉發(fā)”是從指從公網(wǎng)側PW收到的數(shù)據(jù)包不再轉發(fā)到其他PW上，只能轉發(fā)到私網(wǎng)側。我們要從用戶角度驗證在自己L2VPN私網(wǎng)內運行STP協(xié)議是允許并正確的。正常情況下，所有的STP的BPDU報文都必須在ISP網(wǎng)絡上透傳。

5、 在分層PE組網(wǎng)中測試中還需關注：UPE可以以QinQ接入NPE，此時NPE上對應實例的接入方式應為VLAN接入；我司還支持鏈路備份，此時需要在UPE與兩個NPE之間啟用STP來備份鏈路；

在分層PE組網(wǎng)中測試中還需關注：UPE可以以LSP接入NPE時，此時UPE可以以VLL、VPLS方式接入NPE，此時在NPE需要明確指明接入的設備為UPE；我司還支持鏈路備份，這種主備PW備份應用下需要指明NPE的主備關系；

4 結束語

我們同樣應該了解在實際網(wǎng)絡部署中，一個MPLS應用也不會孤立存在，它往往會根據(jù)用戶類型、用戶需求而不斷變化，其組網(wǎng)模式和結構也不斷變化?？偟膩碚f，用戶需求不外乎包括：VPN用戶訪問公網(wǎng)資源、VPN網(wǎng)絡之間資源互訪與共享、VPN數(shù)據(jù)安全、VPN服務質量等幾個方面。為滿足這些需求，MPLS VPN通常與IPSec、防火墻、網(wǎng)管、NAT、QoS、策略路由、路由策略等其他應用方式組合實施，形成各種類型解決方案。所以，我們往往也會承擔對各種解決方案的測試任務，包括：鑒定測試、綜合組網(wǎng)測試、開局驗證測試和網(wǎng)上問題復現(xiàn)等。對這些綜合組網(wǎng)的測試需要涉及到眾多模塊、協(xié)議測試，已經(jīng)超出了MPLS測試范疇，相信會在以后的文檔中得到詳細討論。

到這里，我們已經(jīng)分別就MPLS基礎協(xié)議和MPLS基本應用及其為實現(xiàn)這些應用而對某些協(xié)議進行相關功能擴展等幾個方面的測試方法進行了一個簡單的歸納總結。相信這些方法早已為大家所熟知和廣泛采用，也相信還有許多更好、更方便、更全面的測試方法正在被大家發(fā)現(xiàn)和使用。