VPLS,全称为VirtualPrivateLanService,也就是虚拟专用局域网业务。目前比较热门的一种MPLS二层VPN技术。目前业界有两个标准,一个标准以LDP作为信令协议,由Alcatel发起,得到业界大部分厂家的支持(包括Cisco);另一个标准由Juniper发起,以BGP作为信令协议,目前只有Juniper和华为支持。
VPLS(Virtual Private LAN Service,虚拟专用局域网服务)是在公用网络中提供的一种点到多点的L2VPN业务。VPLS使地域上隔离的用户站点能通过MAN(Metropolitan Area Network,城域网)或WAN(Wide Area Network,广域网)相连,并且使各个站点间的连接效果像在一个LAN中一样。
VPLS也称TLS(Transparent LAN Service,透明局域网服务)或Virtual Private Switched Network Service(虚拟专有交换网络服务)。
VPLS提供二层VPN服务。在VPLS中,用户是由多点网络连接起来,不同于传统VPN提供的P2P(Point to Point,点到点)的连接服务。VPLS实际上就是在PE上创建一系列的虚拟交换机租借给用户,虚拟交换机的组网和传统交换机完全相同,这样,用户就可以通过MAN(Metropolitan Area Network,城域网)或WAN(Wide Area Network,广域网)来实现自己的LAN(Local Area Network,局域网)。
基本概念:
CE(Custom Edge):直接与服务提供商相连的用户边缘设备。
PE(Provider Edge):服务提供商网络上的边缘设备,与CE相连,主要负责VPN业务的接入。它完成报文从私网到公网隧道,并从公网隧道到私网的映射与转发。PE可以细分为UPE和NPE。
UPE(User facing-Provider Edge):靠近用户侧的PE设备,主要作为用户接入VPN的汇聚设备。
NPE(Network Provider Edge):网络核心PE设备,处于VPLS网络的核心域边缘,提供在核心网之间的VPLS透明传输服务。
VSI(Virtual Switch Instance):虚拟交换实例,通过VSI,可以将VPLS的实际接入链路映射到各条虚链接上。
PW(Pseudo Wire):虚链路,在两个VSI之间的一条双向的虚拟连接,它由一对单向的MPLS VC(Virtual Circuit,虚电路)构成。
AC(Attachment Circuit):接入电路,指连接CE与PE的链路,对应的接口可以是实际的物理接口,也可以是虚拟接口。AC上的所有用户报文一般都要求原封不动的转发到对端Site(站点)去,包括用户的二、三层协议报文。
QinQ(802.1Q in 802.1Q):一种基于802.1Q封装的隧道协议,能够提供点到多点的L2VPN服务机制。它将用户私网VLAN Tag封装在公网VLAN Tag中,最终报文带着两层Tag穿越服务提供商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。
Forwarders:转发器,PE的一种。PE收到AC上送的数据帧,由转发器选定转发报文使用的PW,转发器事实上就是VPLS的转发表。
Tunnel:隧道,用于承载PW,一条隧道上可以承载多条PW,一般情况下为MPLS隧道。隧道是一条本地PE与对端PE之间的直连通道,完成PE之间的数据透明传输。
Encapsulation:封装,PW上传输的报文使用标准的PW封装格式和技术。PW上的VPLS报文封装有两种模式:Raw和Tagged模式。
PW Signaling:PW信令协议,VPLS实现的基础,用于创建和维护PW。PW信令协议还可用于自动发现VSI的对端PE设备。目前,PW信令协议主要有LDP和BGP。
VPLS隧道的两种实现方式:
PW间隧道的建立方式有两种,即LDP方式和MP-BGP方式。它们之间的不同之处,主要体现在以下几个方面:
采用LDP协议比较简单,对PE要求比较低,LDP不能提供VPN成员自动发现机制,需要手工配置;采用BGP协议需要PE运行BGP,对PE要求高,可以提供VPN成员的自动发现机制。
LDP需要在两个PE之间建立LDP session,其session数与PE数的平方成正比;而用BGP方式可以利用Router Reflector降低BGP连接数。
LDP方式分配标签是对每个PE分配一个标签,需要的时候才分配;BGP方式则分配一个标签快,对标签有一定的浪费。
LDP方式必须保证所有域中配置的VPLS Instance都使用同一个VSI ID值空间;BGP方式必须采用VPN Target识别VPN关系。
VPLS报文封装:
AC上的报文封装
AC上的报文封装方式由用户的VSI接入方式决定。用户接入方式可以分为两种:VLAN接入和Ethernet接入。其含义如下:
VLAN接入:CE发送给PE或PE发送给CE的以太网帧头带有一个VLAN Tag,该Tag是一个服务提供商网络为了区分用户而要求用户压入的“服务定界符”。我们把这个作为服务定界符的Tag称为P-Tag。
Ethernet接入:CE发送给PE或PE发送给CE的以太网帧头中没有服务定界符,如果此时帧头中有VLAN Tag,则说明它只是用户报文的内部VLAN Tag,对于PE设备没有意义。这种用户内部VLAN的Tag称为U-Tag。
至于用户的VSI接入方式,可以使用配置的方式来指定。
PW上的报文封装
PW上的报文封装方式也可以分为两种:Ethernet模式和VLAN模式。
Ethernet模式下,P-Tag不在PW上传输:对于CE侧的报文,如果收到带有服务定界符的报文,则将其去除后再压入两层MPLS标签后转发;如果收到不带服务定界符的报文,则直接压入两层MPLS标签后转发。对于PE侧的下行报文,根据实际配置选择添加或不添加服务定界符后转发给CE,但是它不允许重写或移除已经存在的任何Tag。
VLAN模式下,PW上传输的帧必须带P-Tag:对于CE侧的报文,如果收到带有服务界定符的报文,保留P-Tag,或者将P-Tag改写为对端PE期望的VLAN Tag或者空Tag(Tag值为0),再压入PW标签和隧道标签后转发;如果收到不带服务界定符的报文,则添加一个对端PE期望的VLAN Tag或空Tag后,再压入PW标签和隧道标签后转发。对于PE侧的下行报文,根据实际配置选择重写、去除或保留服务界定符后转发给CE。
根据协议规定,缺省情况下PW使用VLAN模式对报文进行封装。
VPLS环路的避免
在以太网上,为了避免环路的发生,一般的二层网络都要求能使能STP协议。但在私网的STP协议不应该参与到ISP的网络中去,而是只在私网的设备间运行,避免私网设备间的环路。
VPLS中,使用“全连接”和“水平分割转发”来避免环路,每一个PE必须为每一个VPLS转发实例创建一棵到该实例下的所有其他PE设备的树。每个PE设备必须支持“水平分割”策略来避免环路,即PE不能在具有相同VPLS实例的PW上转发报文。“水平分割转发”就是指从公网侧PW收到的数据包不再转发到其他PW上,只能转发到私网侧,从PE收到的报文不能转发到其他PE。
PE间的全连接和水平分割一起保证了VPLS转发的可达性和无环路,当CE有多条连接到PE,或连接到一个VPLS VPN的不同CE间有连接时,VPLS不能保证没有环路发生,需要使用其他方法,例如STP等来闭环。
VPLS学习的关键在于以下几点:
(1) VPLS技术产生的背景及其要解决的问题;
(2) VPLS典型组网的结构及报文转发流向;
(3) VPLS结构中对MPLS双层标签以及隧道的理解;
(4) VPLS封装的几种模式;
(5) VPLS避免环路发生的解决方法。
助教:马季
扫一扫
377
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
