依據(jù)L2VPN與L3VPN的詳細介紹與對比

1、VPN技術(shù)簡介VPN是運營商通過其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)，即在用戶的角度VPN是用戶的一個專有網(wǎng)絡(luò)。對于運營商來說公網(wǎng)包括公共的骨干網(wǎng)和公共的運營商邊界設(shè)備。地理上彼此分離的VPN成員站點通過客戶端設(shè)備（CPE）連接到對應(yīng)的運營商邊界設(shè)備（PE），通過運營商的公網(wǎng)組成客戶的VPN網(wǎng)絡(luò)。2傳統(tǒng)的VPN組網(wǎng)方式傳統(tǒng)的VPN主要采取兩種組網(wǎng)的方式：專線VPN和基于客戶端設(shè)備的安全VPN。專線VPN使用靜態(tài)的虛電路（如ATMPVC、FRPVC等）連接客戶的站點，形成一個二層的VPN骨干網(wǎng)。VPN成員站點連接到運營商的邊界設(shè)備（PE）,由運營商負責(zé)建立VPN成員站點之間的虛電路連接，客戶對屬于自己

2、VPN的站點的路由進行自主的控制和管理。采用這種方式組建VPN無論對運營商或者是對客戶來說成本都是很高的，而且二層虛電路的業(yè)務(wù)提供的周期長，網(wǎng)絡(luò)管理人員需要進行大量的手工配置工作。對于基于客戶端設(shè)備的（CEBased）VPN，VPN的功能全部在客戶端的設(shè)備中實現(xiàn)。運營商的設(shè)備對客戶的VPN來說是完全透明的。客戶可以通過購買相應(yīng)的VPN設(shè)備或者在現(xiàn)有的路由器、網(wǎng)關(guān)或者甚至是PC機上安裝相應(yīng)的VPN功能軟件就可以開始獨立構(gòu)建基于客戶端設(shè)備的VPN。由于VPN的成員站點之間通常是通過非信任的Internet實現(xiàn)互連的，所以一般基于客戶端設(shè)備的VPN在實現(xiàn)時都引入某些安全機制保護站點之間跨Intern

3、et的客戶私有流量。這個解決方案的最大缺點就是客戶需要購買、配置和維護昂貴的VPN網(wǎng)關(guān)設(shè)備，同時也意味著需要高素質(zhì)的網(wǎng)絡(luò)管理人員對VPN網(wǎng)關(guān)設(shè)備和整個VPN網(wǎng)絡(luò)進行有效的管理和維護，相應(yīng)也會帶來企業(yè)網(wǎng)絡(luò)成本的上升。MPLSVPNMPLS技術(shù)提供了類似于虛電路的標簽交換業(yè)務(wù)，這種基于標簽的交換可以提供類似于幀中繼、ATM的網(wǎng)絡(luò)安全性。同時相對于傳統(tǒng)的VPN技術(shù)來說，MPLSVPN可以實現(xiàn)底層標簽自動的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價，更快速。同時MPLSVPN可以充分的利用MPLS技術(shù)的一些先進的特性，比如說MPLS流量工程能力，MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLSVPN可

4、以向客戶提供不同服務(wù)質(zhì)量等級的服務(wù)，也更容易實現(xiàn)跨運營商骨干網(wǎng)服務(wù)質(zhì)量的保證。同時MPLSVPN還可以向客戶提供傳統(tǒng)基于路由技術(shù)VPN無法提供的業(yè)務(wù)種類，比如像支持VPN地址空間復(fù)用。對于MPLS的客戶來說，運營商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護主要由運營商負責(zé)，客戶運營其VPN的維護和管理都將比傳統(tǒng)的VPN解決方案簡單，也減低了企業(yè)在人員和設(shè)備維護上的投資和成本?；贛PLS的VPN可以作為傳統(tǒng)的基于二層專線的VPN、純?nèi)龑拥腎PVPN和隧道方式的VPN的替代技術(shù)，在現(xiàn)階段可以作為傳統(tǒng)VPN技術(shù)的有效補充。具體到MPLSVPN的實現(xiàn)方

5、式，根據(jù)運營商邊界設(shè)備PE是否參與客戶的路由，運營商在建立基于IP/MPLS的VPN時有兩種選擇：第三層的解決方案，通常稱作是Layer3MPLSVPNs第二層的解決方案，通常稱作是Layer2MPLSVPNs衡量一個VPN解決方案的優(yōu)劣主要基于以下幾點的考慮：支持的業(yè)務(wù)種類；可以向用戶提供的連接的種類；擴展性；部署的復(fù)雜度；業(yè)務(wù)開展的復(fù)雜度；管理和維護的復(fù)雜度；部署的成本；管理和維護的成本。當然這些因素并不是絕對的，實際的應(yīng)用中很難簡單的說這兩個方案誰優(yōu)誰劣。兩個方案都有其優(yōu)缺點，有其特定的業(yè)務(wù)模式，也都還處在不斷完善發(fā)展的階段，選擇一個方案的關(guān)鍵是運營商實際的網(wǎng)絡(luò)運營環(huán)境，和運營商自身的業(yè)

6、務(wù)定位，要向客戶提供什么樣的服務(wù)模式。Layer3MPLSVPNLayer3MPLSVPN是一種基于路由方式的MPLSVPN解決方案，ITEFRFC2547中對這種VPN技術(shù)進行了描述，MPLSLayer3VPN也被稱作是BGP/MPLSVPNs。BGP/MPLSVPN使用類似傳統(tǒng)路由的方式進行IP分組的轉(zhuǎn)發(fā)，在路由器接收到IP數(shù)據(jù)包以后，通過在轉(zhuǎn)發(fā)表查找IP數(shù)據(jù)包的目的地址，然后使用預(yù)先建立的LSP進行IP數(shù)據(jù)跨運營商骨干的傳送。為了使運營商的路由器可以感知客戶網(wǎng)絡(luò)的可達性信息，運營商的邊界路由器（PE）和客戶端路由器（CE）進行路由信息的交互。PE和CE之間的路由交換可以采用靜態(tài)路由，也可

7、以采用RIP、OSPF、ISIS和BGP等動態(tài)的路由協(xié)議。BGP/MPLSVPN的解決方案支持對等方式的VPN網(wǎng)絡(luò)結(jié)構(gòu)。PE之間屬于同一MPLSVPN的路由信息通過BGP協(xié)議承載進行交互。PE路由器使用LSP進行路由轉(zhuǎn)發(fā)，對于運營商路由器P并不需要知道客戶VPN網(wǎng)絡(luò)的信息，這種透明可以有效的減小P路由器的負擔(dān)，提高網(wǎng)絡(luò)的擴展性和業(yè)務(wù)開展的靈活性。通過PE之間、PE和CE之間的路由交互，客戶的路由器可以知道屬于同一個VPN的網(wǎng)絡(luò)拓撲信息。BGP/MPLSVPNs可以解決基于純IPLayer3VPN無法實現(xiàn)的一些功能，主要有：支持地址重疊，即同時支持使用公有地址的客戶端設(shè)備和私有地址的客戶端設(shè)備，

8、或者多個VPN使用同一個地址空間；支持重疊VPN，即一個站點可以同時屬于多個VPN。對于傳統(tǒng)基于路由的VPN來說，要解決以上的問題有一定的挑戰(zhàn)性。MPLSVPN使用VPN路由轉(zhuǎn)發(fā)表（VRF）解決地址重疊的問題。在運營商PE路由器上使用基于每VPN的路由轉(zhuǎn)發(fā)表隔離不同VPN的路由。通過路由信息的隔離，實現(xiàn)支持VPN地址的重疊。如果一個PE上有多個CE屬于同一個VPN,那么這些CE共享PE上的VPN路由轉(zhuǎn)發(fā)表。對于重疊VPN的情況，重疊發(fā)生的站點需要使用獨立的VRF表存儲來自其所屬VPN的路由信息。地址重疊的另一個問題是，PE路由器從鄰居的BGP更新中會收到屬于不同VPN的重疊路由信息。為了區(qū)別來

9、自不同VPN的路由信息，PE使用8octet的路由標識（RD）對來自不同VPN的路由信息進行標識。這個8octet的路由標識作為4octet的IP地址前綴的擴展構(gòu)成了一個新的地址類（VPNIPv4地址）。RD不參與路由發(fā)布的過程，它所起的作用僅僅是區(qū)分屬于不同VPN站點的路由。RD和VRF之間建立了一種映射的關(guān)系，VRF在發(fā)布路由信息時將同時附帶相應(yīng)的RD信息。對于重疊VPN的情況，這類站點雖然同時屬于多個VPN,但是它只需要一個RD，并不需要多個RD以對應(yīng)多個VRF,其主要的目的是為了節(jié)省PE路由器上的存儲資源。對于這類的VPN成員站點，路由分布的策略和單一VPN成員站點是一致的。為了防止P

10、E路由器接收到不屬于該PE上VPN成員的路由信息而浪費PE的資源，MPLSVPN使用BGP的擴展屬性來控制運營商網(wǎng)絡(luò)中路由信息的發(fā)布。這個功能是通過對BGP的團體屬性來實現(xiàn)的，所有的客戶VPN都被賦予一個唯一的團體屬性值。在PE接收到一條路由時，BGP進程將檢查該路由的擴展屬性，如果該屬性和該PE上承載的VPN的擴展屬性相同PE將接收該路由，如果不同，PE將忽略這些BGP路由。通過這種方式，PE路由器可以避免存儲一些不必要的路由信息，提高網(wǎng)絡(luò)的可擴展性。從以上的分析可以看出，MPLSVPN可以支持創(chuàng)建重疊VPN,所謂重疊VPN是指同一個站點同時屬于多個VPN的情況。這種功能特別適用于企業(yè)之間并

11、購時的網(wǎng)絡(luò)整合或者企業(yè)之間由于合作的需要，相互之間需要共享網(wǎng)絡(luò)資源。用戶將依靠服務(wù)提供商來實現(xiàn)特定的路由控制，也就是說，路由控制來自于CE路由器并且派送到PE路由器。在圖1中，用戶A，站點1，既歸屬于VPNA,又歸屬于VPNC。該站點的路由信息由本地PE路由器在一個RD中進行通告，這個RD同時包含了兩個RouteTarget擴展屬性：一個用于VPNA,另一個用于VPNC。遠端的PE根據(jù)BGP擴展屬性對來自該PE的路由信息進行接收和處理。當通告一個VPN-IPv4路由時,BGP信息中攜帶了VPN的內(nèi)標簽信息和相關(guān)VPN的BGP下一跳信息。PE路由器可以通過LSP可以建立兩兩之間之間的通信。這些L

12、SP可以看做是MPLSVPN的外層標簽，可以通過多種信令協(xié)議方式建立，比如LDP或者RSVP/TE。當PE接收到一個目的為遠端VPN站點的IP分組時，PE給分組包附加兩層MPLS標簽。外標簽或者稱作是隧道標簽用于標識BGP的下一跳即遠端PE的地址；內(nèi)標簽或者稱之為VPN標簽標識PE上特定的VPN成員，具體的說應(yīng)該是標識到PE上的VRF。P路由器只是根據(jù)標簽進行數(shù)據(jù)轉(zhuǎn)發(fā)，整個過程VPN過程對于P路由器透明。MPLSLayer2VPN基于MPLS的第二層VPN解決方案保留了傳統(tǒng)基于第二層VPN解決方案的優(yōu)勢。MPLSL2VPN降低了VPN業(yè)務(wù)開通復(fù)雜度，特別是在現(xiàn)有的VPN中增加站點時，在大多數(shù)情

13、況下只需把供應(yīng)商邊緣(PE)路由器連接到新站點上即可，相應(yīng)也減小了業(yè)務(wù)提供的周期。通過采用MPLS技術(shù)，可以在多元融合的網(wǎng)絡(luò)中運行二層VPN、三層VPN、流量工程、Diffserv及許多其它業(yè)務(wù)，服務(wù)提供商可以為IP、第三層(MPLS/IP)和二層VPN共同管理和維護單一的基于MPLS的網(wǎng)絡(luò)?；诘诙拥腗PLSVPN解決方案提供了運營商網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)之間的完全獨立，也就是說，運營商邊界的PE設(shè)備和CE設(shè)備之間沒有進行路由交換，運營商只是簡單向客戶提供一些基于2層的網(wǎng)絡(luò)功能。運營商的網(wǎng)絡(luò)和客戶的VPN網(wǎng)絡(luò)和完全架構(gòu)在層疊的網(wǎng)絡(luò)模型上，從客戶的角度看運營商只是提供了一個簡單的2層連接。這

14、種透明簡化了運營商網(wǎng)絡(luò)的結(jié)構(gòu)和配置管理，同時也提供了對客戶的多業(yè)務(wù)支持能力，運營商除了傳統(tǒng)的IP業(yè)務(wù)以外，還可以向客戶提供IPv4,IPv6,IPX,DECNet,OSI,SNA等等業(yè)務(wù)，以及一些傳統(tǒng)基于電路業(yè)務(wù)的仿真，比如說FR、ATM等。目前Layer2MPLSVPN的解決方案可以提供以下兩種連接方式的服務(wù)：點到點連接點到多點連接5.1點到點仿真虛電路對于點到點仿真虛電路方式的Layer2MPLSVPN主要是基于以下的幾個IETF草案，這幾個草案基本上已經(jīng)成為點到點方式L2VPN的事實標準：“draft-martini-l2circuit-trans-mpls-0 x.txt”“draft

15、-martini-l2circuit-encap-mpls-0 x.txt”“draft-kompella-mpls-l2vpn-0 x”“draft-kompella-ppvpn-l2vpn-0 x”這幾個草案基本上可以劃分為Layer2MPLSVPN兩個主要的技術(shù)流派：Martini和Kompella。兩種解決方案在數(shù)據(jù)層面非常相似，都支持多種二層技術(shù)。兩個草案的區(qū)別主要在控制層面；前者支持點對點的服務(wù)，后者可以支持點對多點服務(wù)。Draft-Martini不包括用于VPN成員自動發(fā)現(xiàn)機制，更多的操作需要手工完成。支持Martini的運營商和設(shè)備廠家主要有Level3Communicatio

16、ns,CiscoSystems,NortelNetworks,LaurelNetworks,VivaceNetworks,MazuNetworks,Gone2Ltd.,GlobalCrossing,Cable&Wireless,andJuniperNetworks,Inc.。支持Kompella的主要有JuniperNetworks,TelefonicaData,Cable&Wireless,CoSineCommunications,WorldCom,KPNDutchTelecom,NortelNetworks,andUnisphereNetworks.o由于Draft-Martini比Dra

17、ft-Kompella的機制簡單，實現(xiàn)起來比Draft-Kompella容易，所以提供MPLS的2層VPN的廠家基本上都支持Martini草案，能支持Kompella方式的廠家比較少。5.1.1Draft-Martini基于MPLS的二層VPNMartini草案的基于MPLS的二層VPN是一種點對點的解決方案?？梢灾С值亩蛹夹g(shù)主要有：幀中繼、ATMAAL5CPCS模式、ATM透明信元模式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)。為了通過運營商MPLS網(wǎng)絡(luò)承載L2幀，Martini草案引入VC（虛連接）的概念。VC通過MPLS標簽棧的方式在MPLS骨干網(wǎng)由LS

18、P構(gòu)建的隧道中進行復(fù)用，其標簽的結(jié)構(gòu)如圖3所示。LSP可以看作是承載多條VC的隧道，VC可以看作是實際承載L2幀的電路，VC實際是隧道LSP中的子LSP。隧道LSP提供PE之間的隧道連接，VC承載特定用戶（VPN）的數(shù)據(jù)幀。隧道ISP的建立方式可以有多種，可以使用LDP的方式或者是RSVP/CR-LDP等信令協(xié)議。PE之間VC標簽的分發(fā)使用下游標簽分配的方式，可以采用靜態(tài)分配的方法也可以通過信令進行分配，VC和傳統(tǒng)的LSP一樣也是單向的，為了獲得雙向的VC連接必須對VC兩端的PE都進行配置。為了實現(xiàn)這種等級化的結(jié)構(gòu)，在用戶（VPN）的數(shù)據(jù)幀穿透運營商的網(wǎng)絡(luò)時被打上了兩層的標簽：外層標簽或者隧道

19、標簽：用于標識隧道LSP,用于定位特定的目的PE路由器；內(nèi)層標簽或者VC標簽：用于標識用戶的連接，用于定位目的PE路由器上特定的VPN成員站點。以PE1為源端、PE2為目的端為例，當PE1發(fā)送一個二層PDU到PE2時，PE1首先為二層凈荷添加一個VC標簽，然后添加一個隧道標簽。隧道標簽用來確定MPLS分組從PE1到PE2的通路；只有MPLS分組到達PE2時，VC標簽才可見，PE2對分組的處理取決于VC標簽的內(nèi)容。隧道標簽用來確定通過MPLS網(wǎng)絡(luò)的通路，VC標簽用來識別端點的VLAN、VPN、或連接。例如，如果MPLS分組的凈荷是ATMAAL5協(xié)議數(shù)據(jù)單元時，PE2能從VC標簽推斷出凈荷對應(yīng)的出

20、口，以及AAL5PDU的VPI/VCI值。如果凈荷是幀中繼PDU時，PE2能從VC標簽推斷出凈荷對應(yīng)的出口，以及DLCI值。如果凈荷是以太網(wǎng)幀時，PE2能從VC標簽推斷出凈荷對應(yīng)的出口，及VLAN識別符。使用隧道標簽和VC標簽的方法，可以將多個二層“VC”復(fù)用到單個“Tunnel”中，可以節(jié)省運營商骨干MPLS網(wǎng)絡(luò)中對LSP的需求量，有利于提高網(wǎng)絡(luò)的擴展性。5.1.2Draft-kompella基于MPLS的二層VPNKompella草案的基于MPLS的二層VPN是一種點對多點的解決方案。但是和下面將要提到的VPLS對比，Kompella方式的點對多點連接只是一種點到點連接的集合。和Marti

21、ni方式相比，Kompella的優(yōu)勢是引入了VPN的自動發(fā)現(xiàn)機制，在網(wǎng)絡(luò)初始化時需要對VPN的所有站點進行配置，一旦初始化完成后，只需對新添加的站點進行配置，而不必觸及已配置的站點。Kompella的自動發(fā)現(xiàn)機制使用BGP作為VC標簽分配的信令，整個VPN建立的過程充分的借鑒的L3MPLSVPN實現(xiàn)的思想。PE之間建立全網(wǎng)狀的IBGP會話，相互交換VPN成員信息和VPN能力的協(xié)商。對于大型的IP運營商來說，其網(wǎng)絡(luò)中原有運行的BGP可以作為Kompella方式Layer2MPLSVPN的信令載體，在同一個信令平臺上可以同時提供L2和L3的VPN業(yè)務(wù)。對于網(wǎng)絡(luò)的運營和維護來說也不會增加很大的負擔(dān)。

22、基于Layer3MPLSVPN的運營商經(jīng)驗也完全可以被KompllaVPN借鑒，比如說VPN跨域的問題，Kompella就可以采用和Layer3MPLSVPN相似的方法實現(xiàn)，而MartiniVPN的跨域問題解決起來就比較的困難。但是，KompellaVPN在借鑒了Layer3MPLSVPN思想的同時也不可避免的繼承了Layer3MPLSVPN實現(xiàn)、配置管理復(fù)雜、業(yè)務(wù)提供周期長等缺點，導(dǎo)致了目前支持和實現(xiàn)Kompella的廠家較少，有關(guān)這方面的問題還處于進一步研究的過程中。在數(shù)據(jù)層面上Kompella和借鑒了Martini的封裝格式，可以支持:幀中繼、ATMAAL5CPCS模式、ATM透明信元模

23、式、以太網(wǎng)、以太網(wǎng)VLAN、HDLC、PPP、SONET/SDH鏈路仿真服務(wù)等二層技術(shù)。5.2點到多點連接(VPLS)目前在IETF中有多個草案解決L2多點連接的問題，這些草案的主要目標都是為了解決Layer2以太幀透過運營商IP/MPLS網(wǎng)絡(luò)進行點到多點傳送的問題。通過運營商的IP/MPLS網(wǎng)絡(luò)，Layer2MPLSVPN可以仿真一個局域網(wǎng)交換機，具有基于MAC地址對用戶的數(shù)據(jù)幀進行轉(zhuǎn)發(fā)的能力。最終的目的是構(gòu)架客戶端基于L2交換的VPN網(wǎng)絡(luò)。這種解決方案一般也稱作是VPLS(VirtualPrivateLANServices)。VPLS技術(shù)的核心思想在草案“draft-lasserre-vk

24、ompellappvpn-vpls_0 x.txt中有詳細的描述，以下的幾個草案對lasserre草案中的思想進行了擴充或者是提出了一些廠家特有的解決方案:draft-kompella-ppvpn-vpls-00.txtdraft-kompella-ppvpn-dtls-01.txtdraft-lasserre-tls-mpls-00.txtdraft-heinanen-dns-ldp-vpls-00.txtdraft-tsenevir-gre-vpls-00.txtdraft-augustyn-vpls-arch-00.txtdraft-khandekar-ppvpn-hvpls-mpls-

25、00.txtdraft-sajassi-vpls-architectures-00.txtVPLS的解決方案實際上是對Martini解決方案中引入概念的擴展。VPLS實際上是在PE之間建立了一個全網(wǎng)狀的VC連接來仿真點到多點的連接。值得注意的是VC是一個單向的連接，為了承載雙向的數(shù)據(jù)流，需要一對VC連接。VC標簽信息的交換主要有兩種方法，一種是LDP標簽分配方式，另外一種是BGP標簽分配的方式?？蛻鬡PN使用32bit的VPNID進行標識，也有一些草案中使用56bit或者64bit的VPNID進行擴展。還有一種解決方案是將VPNID存儲在DNS系統(tǒng)中進行統(tǒng)一的管理控制，可以簡化業(yè)務(wù)提供的過程。

26、在VPLS中，VLANID對于運營商網(wǎng)絡(luò)來說沒有任何的意義，運營商的網(wǎng)絡(luò)根據(jù)為客戶VPN分配的標簽進行標簽交換，所以對于Layer2MPLSVPN來說，它可以不受最大4095個VLAN數(shù)目的限制。PE設(shè)備的功能體(多數(shù)情況下是PE路由器)像普通的二層交換機一樣進行MAC地址的學(xué)習(xí)，唯一的不同是Layer2MPLSVPN通過VC進行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。通過MAC地址的學(xué)習(xí)每個承載VPN的PE上都會生成相應(yīng)的MAC地址轉(zhuǎn)發(fā)表，這個轉(zhuǎn)發(fā)表稱作是VFI(VirtualForwardingInstance),VFI和PE上的VPN之間是對應(yīng)的關(guān)系。和Layer3MPLSVPN一樣，為了合理地利用設(shè)備的資源，L

27、ayer2MPLSVPN的PE設(shè)備上只存儲它承載的VPN的MAC轉(zhuǎn)發(fā)表，而不是網(wǎng)絡(luò)中所有VPN的MAC轉(zhuǎn)發(fā)表。P路由器不進行任何的MAC地址學(xué)習(xí)，整個Layer2MPLSVPN的建立過程對P路由器是透明的。PE不必像傳統(tǒng)的L2交換機一樣運行STP協(xié)議，因為在Layer2MPLSVPN中使用MPLS的內(nèi)在保護機制進行鏈路的保護，而且VPLS的PE之間采用的全網(wǎng)狀連接的VC,PE之間的流量相互可以直達，所以不會產(chǎn)生L2交換網(wǎng)絡(luò)中通常會遇到的線路保護和線路環(huán)路的問題，所以也就沒有使用STP協(xié)議的必要。Layer2MPLSVPN可以避免通常L2交換網(wǎng)絡(luò)中因為使用STP帶來的網(wǎng)絡(luò)恢復(fù)的周期長、網(wǎng)絡(luò)的控制

28、性受限制等問題。如圖6中所示，VPLS中也可以實現(xiàn)重疊VPN的網(wǎng)絡(luò)結(jié)構(gòu)，站點1同時屬于VPNA和VPNC，在數(shù)據(jù)平面VPNA和VPNC的數(shù)據(jù)可以通過不同的VLANID使用802.1q復(fù)用到單一物理接入鏈路上。在控制平面，客戶需要對其路由協(xié)議的發(fā)布進行一定的策略控制，決定路由發(fā)布和VPN之間的對應(yīng)關(guān)系。對運營商而言，路由的管理和控制是由用戶進行的，運營商的維護管理的工作簡單。6.Layer3和Layer2VPN綜合比較及分析從以上的分析中可以看出，基于MPLS的L2和L3解決方案各有其優(yōu)缺。對于運營商來說到底采用何種方式在網(wǎng)絡(luò)中實施MPLSVPN需要考慮L2和L3方案各自的優(yōu)缺，結(jié)合網(wǎng)絡(luò)的現(xiàn)狀，

29、方案實施的成本，以及對當前和將來業(yè)務(wù)的綜合分析、預(yù)測。6.1支持的服務(wù)類型對于L3的MPLS來說，由于路由協(xié)議和信令協(xié)議的限制面前只支持純IP的業(yè)務(wù)，而L2VPN的解決方案由于采用二層的透傳技術(shù)，對于客戶側(cè)的很多三層協(xié)議是透明的，這些協(xié)議包括：IPv4、IPv6、IPX，DECnet，OSI，SNA等等。相對于L3來說，L2對于用戶業(yè)務(wù)類型的要求限制要少一些。尤其，現(xiàn)在很多的組織已經(jīng)或者正在準備開始使用IPv6,將來也會有很多的企業(yè)向IPv6遷移。對于運營商來說，如何為這部分企業(yè)用戶提供VPN的連接業(yè)務(wù)。對于L3的VPN來說需要對面前IPv4的路由技術(shù)和對面前M-BGP的功能進行增強，生成一個

30、新的VPNIPv6的addressfamily。其間，還會涉及到對運營商邊界路由器軟件或者硬件上的升級。對于L2的VPN來說，可以繼續(xù)的為這些企業(yè)用戶提供VPN的業(yè)務(wù)。Layer2MPLSVPN的特性也使其也可以很容易的實現(xiàn)目前困擾Layer3MPLSVPN的很多技術(shù)，比如說網(wǎng)絡(luò)的組播，L3MPLSVPN有關(guān)組播能力的支持還有待進一步的研究。組網(wǎng)能力運營商在向客戶通過MPLSVPN服務(wù)的時候可以采用多種的組網(wǎng)方式，MPLSL2和L3的VPN都支持以下的幾種VPN組網(wǎng)方式：Point-to-Point.HubandSpoke.PartialMesh.FullMesh.5.OverlappingV

31、PNs.由于實現(xiàn)機制的不同，MPLSL2和L3VPN對以上幾種組網(wǎng)方式的支持能力有差異。具體來說，Layer3MPLSVPN對于1、4、5組網(wǎng)方式的支持能力好，而對2、3組網(wǎng)方式的支持相對比較的復(fù)雜。對于Layer2MPLSVPN來說，實現(xiàn)1、2、3、4連接的能力強。為什么會產(chǎn)生這種差異呢？Layer2MPLSVPN直接采用VC的方式構(gòu)建VPN站點直接的連接，相對于通過控制BGP的路由傳遞建立的Layer3MPLSVPN來說，在組網(wǎng)的能力上更靈活一些。但是Layer2MPLSVPN在支持連接方式5即重疊VPN的時候，需要對重疊發(fā)生處的CE設(shè)備進行一定的配置，CE設(shè)備需要對發(fā)布到PE的路由信息進

32、行控制。在這個過程中，對于客戶來說會喪失一部分三層路由的透明性。網(wǎng)絡(luò)擴展性在對比L3解決方案和L2解決方案擴展性的時候我們可以發(fā)現(xiàn)許多共同的地方。一般來說對于MPLSVPN來說網(wǎng)絡(luò)的擴展性主要受以下幾個因素的限制。一個限制因素是運營商邊界的LSR最大可以支持的LSP或者是VC的數(shù)量；另一個限制因素是運營商邊界路由器上可以存儲的配置文件的大小。配置文件包括邊界路由器的全局路由信息和相關(guān)的VPN配置信息。對于L3的MPLSVPN來說，配置文件包括VRF(virtualrouteforwarding)、RD、BGP擴展屬性的信息和路由過濾的策略。對于MPLS2層的解決方案來說，配置文件包括VPN對等

33、PE的靜態(tài)配置信息以及端口和VPN之間的映射關(guān)系。如果在Layer2MPLSVPN解決方案中引入VPN成員站點的自動發(fā)現(xiàn)機制，可以極大的簡化Layer2MPLSVPN的配置過程和控制配置文件的規(guī)模。對于L3的解決方案來說，運營商邊界PE上可以存儲的路由的數(shù)量也是影響VPN擴展性的一個重要因素。運營商邊界路由器上存儲在來自所有成員VPN的路由信息。減小運營商路由器PE上路由數(shù)量的方法是盡可能的對VPN的路由進行匯總。L2解決方案同樣也存在這樣的限制，解決的方法是使用一定的策略對PE路由器上MAC地址的數(shù)量進行限制，防止來自VPN的大量源MAC地址信息使PE路由器溢出。網(wǎng)絡(luò)部署的難易程度實施L3的

34、MPLS解決方案通常需要高端的PE設(shè)備作為運營商邊界LSR,因為在L3的情況中作為運營商邊界的LSR需要處理大量的路由表信息，而且還要同時處理多個路由表的信息。在實施L3的VPN時需要部署M-BGP作為傳遞內(nèi)標簽的信令協(xié)議，對于網(wǎng)絡(luò)中已經(jīng)部署了大量的BGP協(xié)議的大型IP網(wǎng)絡(luò)來說，其運營商傾向于開展L3的VPN解決方案，以充分的利用網(wǎng)絡(luò)中已部署的BGP協(xié)議。在運營商實際的業(yè)務(wù)實施的過程中，需要對原有的BGP進行一些調(diào)整，包括對BGP路由反射簇的調(diào)整和對路由聯(lián)盟的調(diào)整，調(diào)整的目標是對BGP路由反射器或者聯(lián)盟邊界路由器的負載進行均衡，防止網(wǎng)絡(luò)中的某些設(shè)備負載過大，提高網(wǎng)絡(luò)的擴展性。這些調(diào)整需要進行合

35、理的規(guī)范，深入的分析和研究，保證L3VPN的實施不會對網(wǎng)絡(luò)中原有的網(wǎng)絡(luò)穩(wěn)定性和擴展性產(chǎn)生影響。對于L2VPN的解決方案來說，對PE的要求相對簡單，多數(shù)的解決方案不需要使用BGP作為標簽分配的信令協(xié)議，所以PE之間不需要運行BGP協(xié)議。對于那些網(wǎng)絡(luò)中原來沒有運行BGP，或者是不希望繼續(xù)使用BGP作為標簽分配信令的運營商來說，L2VPN的解決方案就比較吸引力。當然，對于那些希望利用原有的BGP協(xié)議的運營商來說，也可以采用使用BGP作標簽分配的L2VPN解決方案進行實施。對于跨域的MPLSVPN來說，使用BGP作為跨域標簽分配的工具比單純使用LDP作跨域標簽分配更簡單，更容易實現(xiàn)，有更好的網(wǎng)絡(luò)擴展性

36、。業(yè)務(wù)提供過程L3MPLSVPN業(yè)務(wù)的提供需要運營商通過控制路由信息為用戶定制VPN的網(wǎng)絡(luò)拓撲。具體的說就是要設(shè)計包含客戶路由信息的VRF，制定RD和路由屬性的分配方法。多個端口是否共享一個VRF，或者在重疊VPN方式中VRF包含來自多個VPN的路由信息，這些問題都需要運營商進行仔細的規(guī)劃和實施。運營商還需要創(chuàng)建和維護于客戶CE路由器之間的路由交換。相對來說，Layer2MPLSVPN的業(yè)務(wù)提供比較簡單。運營商PE上只需要配置相應(yīng)的PE之間的VC連接以及PE端口或者電路和VPN之間的映射。目前在IETF中提出了很多PEVPN成員站點的自動發(fā)現(xiàn)機制，來增加Layer2MPLSVPN的智能化，隨著

37、VPN自動發(fā)現(xiàn)機制的標準化，Layer2MPLSVPN的配置將進一步的簡化。運營管理和維護運營商在管理和維護L3的MPLSVPN，作配置改動或者進行故障的檢查和修復(fù)時，實際上主要是處理路由器BGP對等會話，各種擴展屬性的BGP路由和路由器的發(fā)布和控制，以及運營商邊界PE和客戶路由器CE之間的對等關(guān)系。在很多大型的IP網(wǎng)絡(luò)中，為了增加網(wǎng)絡(luò)的擴展性，使用了BGP路由反射器或者是聯(lián)盟對自治域內(nèi)的IBGP會話進行控制，這些措施在提高網(wǎng)絡(luò)擴展性的同時也增加了網(wǎng)絡(luò)管理維護和故障發(fā)現(xiàn)、檢查和修復(fù)的復(fù)雜度。隨著VPN用戶數(shù)量的增加，運營商邊界路由器的配置文件也將變得越來越龐大，網(wǎng)絡(luò)的可運營可管理的能力也隨之下

38、降。對于Layer2MPLSVPN來說，情況相對要簡單一些，因為運營商不需要管理和維護屬于客戶的路由信息。對于大多數(shù)的Layer2MPLSVPN解決方案來說也不需要BGP作標簽的分配和路由信息的傳遞。網(wǎng)絡(luò)的管理和維護相對比較簡單。但是，對于kompella和某些VPLS的Layer2MPLSVPN解決方案來說，BGP仍然作為標簽分配的信令協(xié)議使用。無論那種實現(xiàn)的方式，運營商在管理和維護Layer2MPLSVPN時只需要處理簡單的VC概念和VPN和PE路由器端口之間的映射關(guān)系，具體到每一個PE上，運營商只需要維護單一的全局路由表,記錄Layer2MPLSVPNMAC地址和轉(zhuǎn)發(fā)路徑信息的轉(zhuǎn)發(fā)表可以

39、使用靜態(tài)的配置或者是通過PE動態(tài)的學(xué)習(xí)獲得丄ayer2MPLSVPN和L3MPLSVPN面臨的一個共同的問題就是，隨著VPN網(wǎng)絡(luò)規(guī)模的擴張和VPN站點數(shù)量的增加，運營商邊界的PE路由器的配置文件將變得十分的龐大，對于這個問題可以采用VPN成員的自動發(fā)現(xiàn)機制將配置文件控制在一個合理的范圍，或是采用基于圖形的MPLSVPN管理軟件簡化管理和維護的難度。6.7運營成本對比兩種MPLSVPN部署的成本，L3的解決方案要比L2的解決方案稍高一些。L3的解決方案要求運營商邊界的PE路由器同時處理多個路由表，相對于L2解決方案對邊界路由器的要求要苛刻一些。特定的網(wǎng)絡(luò)解決方案的運營維護成本主要取決于網(wǎng)絡(luò)的復(fù)雜

40、程度，網(wǎng)絡(luò)越復(fù)雜，對網(wǎng)絡(luò)運營管理人員的專業(yè)要求更高，業(yè)務(wù)開展的周期也會相應(yīng)的延長。所以，在同等網(wǎng)絡(luò)規(guī)模的前提下L3MPLSVPN的運營成本高于Layer2MPLSVPN。7.MPLSVPN應(yīng)用的分析和建議從以上的分析中，我們可以得出，MPLSVPN技術(shù)是未來構(gòu)建VPN網(wǎng)絡(luò)的技術(shù)發(fā)展方向，無論是相對于傳統(tǒng)的基于電路或者虛電路方式的二層VPN組網(wǎng)技術(shù)還是傳統(tǒng)基于CPE設(shè)備的IP隧道VPN技術(shù)或者是基于傳統(tǒng)基于運營商網(wǎng)絡(luò)的VPN解決方案，MPLSVPN技術(shù)都有著明顯的優(yōu)勢,MPLSVPN依托MPLS技術(shù)可以提供更多元化的業(yè)務(wù)種類，多種服務(wù)質(zhì)量，MPLS也為MPLSVPN提供了基于標簽的內(nèi)在安全機制和

41、基于LSP保護的保護機制，簡化了運營商和客戶對VPN進行管理維護的工作量，縮短了運營商提供VPN業(yè)務(wù)的周期，使運營商可以面對市場的需求做出靈活的反應(yīng)。但是運營商向MPLSVPN技術(shù)的演進應(yīng)該是應(yīng)該循序漸進的過程。對于大多數(shù)的運營商來說，目前其數(shù)據(jù)業(yè)務(wù)的主要來源還是面向客戶的傳統(tǒng)L2VPN和專線業(yè)務(wù)。實施MPLSVPN的過程必須充分的考慮已有網(wǎng)絡(luò)的網(wǎng)絡(luò)運營結(jié)構(gòu)和當前的網(wǎng)絡(luò)業(yè)務(wù)模式。MPLSVPN作為一項新業(yè)務(wù)，一方面其自身還處在一個不斷的發(fā)展和完善的時期，另一方面對于大多數(shù)的運營商來說沒有大規(guī)模運營MPLSVPN的經(jīng)驗，貿(mào)然的實施MPLSVPN技術(shù)有很大的風(fēng)險。建議運營商在保持原有業(yè)務(wù)的同時，可

42、以利用運營商的MPLS骨干網(wǎng)推出MPLSVPN的業(yè)務(wù)作為傳統(tǒng)專線業(yè)務(wù)的補充，使用優(yōu)惠的資費政策吸引一部分中小用戶，積累一定的運營經(jīng)驗。具體到MPLSVPN的兩種實現(xiàn)方式，Layer3MPLSVPN由于發(fā)展的時間較長，其協(xié)議本身相對完善一些，一些運營商已開始了Layer3MPLSVPN業(yè)務(wù)的一些嘗試。Layer3MPLSVPN由于其實現(xiàn)機制的問題，其網(wǎng)絡(luò)的運營管理和維護，以及運營商邊界路由器需要存儲大量的客戶路由信息引發(fā)的網(wǎng)絡(luò)擴展性問題要求必須對Layer3MPLSVPN的實施進行很好的規(guī)劃。雖然IETF也在就這方面的問題不斷的對Layer3MPLSVPN進行改進，但是在目前技術(shù)和網(wǎng)絡(luò)條件都不成熟的情況下Layer3MPLSVPN的應(yīng)用應(yīng)定位于中小規(guī)模的企業(yè)VPN用戶。等Layer3MPLSVP