VPLS是比較熱門的一種城域網(wǎng)二層VPN技術(shù)，傳統(tǒng)的VPLS部署需要借MPLS TE技術(shù)提高可靠性，比較復(fù)雜。而且在城域網(wǎng)的邊緣，由于接入用戶節(jié)點多，VPLS推到網(wǎng)絡(luò)邊緣也會導(dǎo)致業(yè)務(wù)隧道的連接數(shù)量太多，而增加設(shè)備性能負擔(dān)以及管理工作量。因此雖然VPLS技術(shù)已經(jīng)很成熟了，但在城域中部署時一般只定位在匯聚和核心層，網(wǎng)絡(luò)接入層采用二層接入。這實質(zhì)上把運營商的網(wǎng)絡(luò)分成了VPLS域與二層VLAN域兩個層次，不僅管理麻煩，最重要一點是無法為用戶提供端到端的MPLS業(yè)務(wù)體驗。

本文對VPLS組網(wǎng)問題進行了分析，針對性的提出將網(wǎng)絡(luò)虛擬化技術(shù)、二層環(huán)保護協(xié)議等引入VPLS組網(wǎng)， 大大降低了VPLS組網(wǎng)的復(fù)雜度，為運營商將VPLS部署到網(wǎng)絡(luò)邊緣創(chuàng)造了條件。

一、 虛擬化技術(shù)對VPLS組網(wǎng)部署的簡化

1. 網(wǎng)絡(luò)虛擬化技術(shù)

網(wǎng)絡(luò)虛擬化技術(shù)主要包括兩類：

1:N虛擬化：通過各類技術(shù)（如VPN）將一張物理網(wǎng)絡(luò)虛擬為多張邏輯網(wǎng)

N:1虛擬化： 通過技術(shù)手段將多個網(wǎng)絡(luò)設(shè)備虛擬化為一個邏輯設(shè)備，達到簡化網(wǎng)絡(luò)的目的

本文主要介紹N:1虛擬化技術(shù)的應(yīng)用，目前業(yè)界典型的網(wǎng)絡(luò)虛擬化技術(shù)主要包括H3C的IRF（Intelligent Resilient Framework,智能彈性架構(gòu)）和CISCO的 VSS（Virtual Switching System虛擬交換系統(tǒng)）。

2. IRF2對部署的簡化

為了解決VPLS全連接的問題，出現(xiàn)了H-VPLS（層次化VPLS）。H-VPLS將VPLS網(wǎng)絡(luò)劃分為核心層和接入層兩個層次，在核心層所有的NPE設(shè)備之間邏輯全連接，在接入層UPE只與最近的NPE建立虛連接，通過NPE與對端VPN站點進行報文交換，這樣層次化了以后，同樣的網(wǎng)絡(luò)節(jié)點規(guī)模下，H-VPLS組網(wǎng)中PE設(shè)備之間的PW連接數(shù)量比全連接的VPLS少很多。

分層VPLS技術(shù)對全連接PW模型的改進使網(wǎng)絡(luò)的規(guī)模擴展能力得到了提高，而采用網(wǎng)絡(luò)虛擬化技術(shù)可以使VPLS網(wǎng)絡(luò)的連接數(shù)量進一步降低。

圖1. IRF虛擬化技術(shù)對H-VPLS模型的改進

在圖1中，我們可以采用N:1的設(shè)備虛擬化技術(shù)對NPE設(shè)備進行改進，在多合一虛擬化之前，R1/R2是獨立的兩個設(shè)備，對外提供不同的IP地址, 在多合一虛擬化以后，R1/R2使用同一個IP地址與其它PE設(shè)備創(chuàng)建PW，因此PW的連接數(shù)量將大大減少，NPE之間full mesh連接的PW數(shù)量減半，NPE與UPE之間的PW也只需要創(chuàng)建一條，沒有主備的關(guān)系。

對NPE設(shè)備多合一虛擬化改造以后，另一個突出的好處是:傳統(tǒng)H-VPLS模型中需要針對主備U-PW的工作狀態(tài)進行檢測的信令協(xié)議(如BFD檢測)也不需要了，因為U-PE與兩個N-PE之間的PW只剩一條，U-PE只與一個IP地址建立PW連接，不再需要關(guān)注R1/R2之間到底是哪個設(shè)備與U-PE建立實際連接。

二、 二層環(huán)保護協(xié)議對VPLS組網(wǎng)部署的簡化

1. RRPP+

二層環(huán)保護協(xié)議典型代表是RRPP（Rapid Ring Protection Protocol，快速環(huán)網(wǎng)保護協(xié)議）,是一個專門應(yīng)用于以太網(wǎng)環(huán)的鏈路層協(xié)議。它在以太網(wǎng)環(huán)完整時能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴，而當(dāng)以太網(wǎng)環(huán)上一條鏈路斷開時能迅速恢復(fù)環(huán)網(wǎng)上各個節(jié)點之間的通信通路，具備較高的收斂速度。

RRPP提出了已經(jīng)有幾年時間了，但是當(dāng)前的RRPP環(huán)網(wǎng)技術(shù)與剛誕生時候比已經(jīng)有了重大的革新，可以稱為RRPP+：

50ms故障收斂能力：過去的RRPP收斂指標(biāo)基本在200ms以上，而現(xiàn)在通過在設(shè)備中增加專用的故障檢測CPU平面，可以幫助網(wǎng)絡(luò)故障在50ms之內(nèi)收斂；

針對三層組網(wǎng)能力的改進： 現(xiàn)在的RRPP協(xié)議增加了對三層轉(zhuǎn)發(fā)平面的聯(lián)動功能，在環(huán)路故障的時候，不僅能快速觸發(fā)二層的FDB表進行快速更新，還能觸發(fā)三層的ARP表，路由表，MPLS轉(zhuǎn)發(fā)表項等進行快速更新，使得在IP/MPLS環(huán)境中可以借助RRPP進行保護；

與虛擬化技術(shù)點結(jié)合： RRPP多個環(huán)相交的組網(wǎng)是最復(fù)雜的，環(huán)與環(huán)之間的故障互相影響，通過引入IRF虛擬化技術(shù)，把相交的兩個節(jié)點虛擬成一個節(jié)點，相交環(huán)拓撲變成了邏輯上的相切環(huán)，管理變得簡單，環(huán)路故障收斂時間有保證。

2. 二層交換技術(shù)對部署的簡化

#p#

圖2. 傳統(tǒng)MPLS tunnel保護技術(shù)

如圖2所示，在傳統(tǒng)主備TE Tunnel的組網(wǎng)中，LSP路徑是沿著公網(wǎng)的路由轉(zhuǎn)發(fā)路徑創(chuàng)建，主備的Tunnel沿著兩條不同的公網(wǎng)路由轉(zhuǎn)發(fā)路徑建立，以達到保護的目的。為了快速檢測端到端的故障，一般還需要基于不同的Tunnel運行故障檢測信令（比如BFD）。

圖3. 將二層交換引入MPLS網(wǎng)絡(luò)的組網(wǎng)效果

將二層交換引入MPLS組網(wǎng)可以降低組網(wǎng)的復(fù)雜度，在圖3中，P1/P2/P3/P4的中間節(jié)點變?yōu)槎覸LAN轉(zhuǎn)發(fā)，PE1與PE2在二層可以互通， PE1/PE2互聯(lián)的接口IP地址規(guī)劃放在了一個局域網(wǎng)段中，路由關(guān)系變?yōu)榱酥边B路由，LDP控制協(xié)議根據(jù)路由信息只會創(chuàng)建一條從PE1到PE2的TE Tunnel，沒有主備關(guān)系。 PE1/P1/P2/PE2/P4/P3形成了一個二層的環(huán)路， 運行環(huán)保護協(xié)議， PE1/PE2之間報文的選路靠二層環(huán)保護協(xié)議來決定。

將二層環(huán)保護協(xié)議引入MPLS組網(wǎng)，就好比數(shù)通與傳輸?shù)慕M網(wǎng)關(guān)系，為了連接兩臺很遠距離的數(shù)通設(shè)備，在其中間可以采用傳輸網(wǎng)絡(luò)來傳送；為了增加可靠性，傳輸網(wǎng)可以采用1＋1或者1：1方式創(chuàng)建主備的兩條電路，對傳輸?shù)臄?shù)據(jù)進行保護，這個主備關(guān)系的電路對于外部的數(shù)通設(shè)備而言是個透明連接。同樣，MPLS流量在過二層環(huán)時候，路徑的選擇和主備冗余也可以交給二層環(huán)保護協(xié)議來完成，從IP/MPLS層來說，就好比通過了一個透明的二層管道，而這個管道的內(nèi)部還是冗余設(shè)計。

在運營商網(wǎng)絡(luò)邊緣，為了達到節(jié)省光纖的目的，很多光纖是成環(huán)路部署的，如果將VPLS推到網(wǎng)絡(luò)邊緣進行部署，接入環(huán)具備引入二層環(huán)保護協(xié)議的條件。而且依賴現(xiàn)在成熟的RRPP保護技術(shù)，可以整環(huán)達到50ms的保護收斂。

需要強調(diào)的是，MPLS需要一個三層路由網(wǎng)作為基礎(chǔ)承載網(wǎng)，而引入二層交換技術(shù)是不是和這個組網(wǎng)相矛盾？本文建議的二層環(huán)的引入是針對某個環(huán)的局部改進，跨環(huán)的數(shù)據(jù)還是要走三層轉(zhuǎn)發(fā)，因此改造完以后，整網(wǎng)還是三層路由網(wǎng)，只不過在局部環(huán)上是二層技術(shù)。

三、 部署效果舉例

本部分內(nèi)容基于一個典型的組網(wǎng)案例來對組網(wǎng)優(yōu)化前后的組網(wǎng)效果做一個量化的對比分析，該城域網(wǎng)模型如下：

2個核心節(jié)點P；

20*2個匯聚節(jié)點NPE；

每匯聚節(jié)點5個接入環(huán)；

每環(huán)接入5臺設(shè)備(UPE)；

采用VPLS到邊緣的H-VPLS組網(wǎng)模型；

整網(wǎng)提供2000個VSI業(yè)務(wù)實例。

 #p#

圖4. 城域網(wǎng)典型組網(wǎng)

如果采用傳統(tǒng)的H-VPLS組網(wǎng)模型

一個VSI對應(yīng)的N-PW全連接的數(shù)量＝40*(40-1)/2=780

一個VSI對應(yīng)的U-PW連接數(shù)量＝5*5*20*2=1000

按照整網(wǎng)2000 VSI實例計算，整網(wǎng)的PW連接數(shù)量還要再乘以2000（假設(shè)每個點都有接入所有VSI的需求）；

在接入環(huán)上采用主備TE Tunnel的保護方案對UPW進行保護，則一條U-PW需要創(chuàng)建4條LSP保護通道(主、備、來、去)；在接入環(huán)上需要部署的TE Tunnel總量=1000*4＝4000

如果將多合一設(shè)備虛擬化技術(shù)以及二層交換技術(shù)引入該網(wǎng)絡(luò)，則該網(wǎng)絡(luò)的組網(wǎng)連接數(shù)和配置將大大簡化：

一個VSI對應(yīng)的N-PW全連接的數(shù)量＝20*(20-1)/2= 190

一個VSI對應(yīng)的U-PW連接數(shù)量＝ 5*5*20*1 = 500

在接入環(huán)上采用二層交換技術(shù)對組網(wǎng)進行簡化，則一條U-PW需要創(chuàng)建2條LSP保護通道(來、去),在接入環(huán)上需要部署的TE Tunnel總量=500*2＝1000

表1. 典型VPLS組網(wǎng)的優(yōu)化效果對比表

四、 結(jié)束語

通過本文對比可以發(fā)現(xiàn)， 在VPLS網(wǎng)絡(luò)中引入網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)可以大大減少PW連接數(shù)量， 降低組網(wǎng)復(fù)雜度，不再需要針對NPE等關(guān)鍵節(jié)點設(shè)備的主備PW冗余保護方案。另外，針對環(huán)形接入拓撲的VPLS網(wǎng)絡(luò)，可以在環(huán)上引入二層環(huán)路保護技術(shù)，由環(huán)路保護協(xié)議來對過環(huán)的MPLS流量進行路徑選擇和冗余保護，而不是像傳統(tǒng)MPLS方案那樣采用TE隧道的方式來進行路徑選擇和保護，也可以達到簡化VPLS部署方案的目的。

過去幾年VPLS基本上要由路由器來支持的，現(xiàn)在VPLS協(xié)議已經(jīng)標(biāo)準化，產(chǎn)業(yè)鏈成熟，支持VPLS功能的交換機商業(yè)芯片越來越多，也就是說，在交換機平臺上支持VPLS的方式已經(jīng)比較成熟，這也為引入設(shè)備虛擬化，二層交換環(huán)網(wǎng)打下了客觀的基礎(chǔ)，建議有條件的運營商采用交換平臺來組建VPLS網(wǎng)絡(luò)，從采購到后期的運維都可以達到降低TCO成本的目的。

首頁獨立文字

VPLS技術(shù)

VPLS是一種基于IP/MPLS和以太網(wǎng)技術(shù)的L2VPN（二層虛擬專用網(wǎng)）技術(shù)。其核心思想是利用信令協(xié)議在VPLS實例中的PE（運營商邊緣路由器）節(jié)點之間建立及維護PW（偽線），將二層協(xié)議幀封裝后在PW上傳輸、交換，使廣域范圍內(nèi)多個局域網(wǎng)在數(shù)據(jù)鏈路層面被整合為一張網(wǎng)絡(luò)，向用戶提供虛擬的以太網(wǎng)服務(wù)。從用戶的角度來看，整個MPLS網(wǎng)絡(luò)就是一個二層的交換網(wǎng)絡(luò)，每個接入鏈路都是以太網(wǎng)鏈路，支持點到點、點到多點、多點到多點的業(yè)務(wù)類型，能夠在較大網(wǎng)絡(luò)規(guī)模下支持電信級以太網(wǎng)的服務(wù)。

圖：VPLS業(yè)務(wù)模型

在控制平面上，VPLS可選擇使用LDP信令和MP-BGP信令來構(gòu)建PW，基于LDP/RSVP TE等協(xié)議的信令通過在每一對PE之間建立LSP(點到點的標(biāo)簽轉(zhuǎn)發(fā)路徑)。

傳統(tǒng)VPLS網(wǎng)絡(luò)的可靠性部署

VPLS網(wǎng)絡(luò)中的網(wǎng)絡(luò)可靠性保護問題主要從兩個層次來考慮，第一個層次是PW(偽線)的主備冗余保護，另一個層次是對MPLS Tunnel路徑的保護；從協(xié)議棧的角度來分析，第一個問題是針對MPLS 內(nèi)層標(biāo)簽通道的保護，第二個問題是對MPLS外層標(biāo)簽也即MPLS轉(zhuǎn)發(fā)Tunnel的保護；從網(wǎng)絡(luò)場景的角度來說，第一個問題主要針對同源異宿PE節(jié)點間網(wǎng)絡(luò)冗余保護，第二個問題則是解決同源同宿PE節(jié)點間因多條路由轉(zhuǎn)發(fā)路徑而對應(yīng)的多條MPLS tunnel的保護

 【編輯推薦】

1. SSLVPN技術(shù)的六大特點
2. 在fedora中深入淺出VPN技術(shù)
3. 第三代VPN技術(shù)演繹長尾理論
4. 淺談VPN技術(shù)發(fā)展歷程
5. VPN技術(shù)精要指南