基于MPLS的VPLS技術分析

摘要  VPLS是一項利用MPLS實現(xiàn)跨域廣域網提供LAN業(yè)務的技術，它使得在基于包交換的網絡架構上可以實現(xiàn)多點服務，適應了網絡發(fā)展的需要。從各個角度出發(fā)介紹了VPLS的原理、關鍵技術，在文章的最后，還給出了一個具體的網絡實例來進一步解析VPLS的機制。對于要想了解VPLS的讀者而言，具有一定的參考價值。

1、引言

MPLS（Multiprotocal Label Switching）是一項利用綁定在IP包中的標簽通過網絡進行數據包轉發(fā)的技術。MPLS目前最為廣泛的應用是在虛擬專用網（VPN，Virtual Private Network）方面。

基于MPLS的第二層VPN是服務供應商為客戶提供第二層服務的一種網絡。MPLS VPN的網絡采用標簽交換，一個標簽對應一個用戶數據流，非常易于用戶間數據的隔離；MPLS自身提供流量工程的能力，可以最大限度的優(yōu)化配置網絡資源，自動快速修復網絡故障，提供高可用性和高可靠性。MPLS提供了電信、計算機、有線電視網網絡三網融合的基礎，除了ATM，是目前唯一可以提供高質量的數據、語音和視頻相融合的多業(yè)務傳送、包交換的網絡平臺。因此基于MPLS技術的MPLS VPN，在靈活性、擴展性、安全性各個方面是當前技術最先進的VPN。

但在除了VPLS（Virtual Private LAN Services）之外的其他兩層VPN都是點到點的業(yè)務，為了能在MAN/WAN上提供類似以太網的多點服務，VPLS應運而生。

VPLS在公用網絡中，提供點到多點的L2VPN業(yè)務，同時它結合了以太網和MPLS VPN各自的優(yōu)點，使得構建跨廣域網的以太網或VLAN成為可能。通過VPLS，地域上隔離的站點能通過MAN/WAIN相連，并且各個站點間的連接效果像在一個LAN中一樣。

2、VPLS網絡模型

VPLS相關的草案中提供了兩種VPLS網絡模型：虛鏈路PW（Pseudo Wire）邏輯全連接的VPLS網絡模型和分層的VPLS（HVPLS，Hierarchical VPLS）模型。

2.1　全連接的VPLS模型

對用戶來說，L2VPN好似一個虛擬的網絡。用戶端的虛連接是一個數據流的入口，用于把用戶端的流量傳給服務提供商的VPLS域。通過利用VPN和廣域VLAN的優(yōu)點，提供商可以保證客戶信令和數據流的私密性。在高層，從用戶的角度看來，VPLS就是一個虛擬的廣域網交換機，通過二層的單播、廣播以及多播，在用戶的VPN內把數據幀轉發(fā)到正確的目的地。下圖是全連接的VPLS的一個基本模型：

在服務提供商網絡內，VPLS通常是建立在MPLS網絡結構上，用MPLS PE（Provider Edge Router）設備創(chuàng)建合理的私有的用戶VPN。最簡單的組網就是把用戶站點和一些PE設備連接起來提供VPLS服務。一旦用戶數據包到達PE路由器之后，PE設備決定以太網的幀轉發(fā)，通過PE在MPLS網絡上交換數據。PE設備使用路由協(xié)議，比如MPLS的標簽分發(fā)協(xié)議（LDP）在提供商的網絡云圖內創(chuàng)建合理的、全網格的以太網虛擬電路。一個通過以太網連接到提供商VPLS網絡的用戶站點可以互通多個其他用戶終端站點，這樣就實現(xiàn)了多點以太網服務。MPLS網絡的PE設備通過給每個用戶MPLS VPN創(chuàng)建獨立的虛擬路由轉發(fā)表或者VRF表來實現(xiàn)多重VPN。這些VRF表包含三層的路由信息，在維持用戶間路由的獨立性的同時它還使得PE路由器可以實現(xiàn)多用戶間的通信。以太網VPLS服務環(huán)境中，PE設備維護虛擬交換實例VSI（Virtual Switch Instance）。虛擬交換實例實質是每個用戶VPLS獨有的兩層轉發(fā)表。提供商的PE設備根據特定VPLS VPN內以太網幀交換所需要的轉發(fā)信息創(chuàng)建獨立的VSI表。通過PE的VSI就可以實現(xiàn)MAC地址學習。當有新的轉發(fā)信息時，MAC地址就會進行更新。

圖1　全連接VPLS模型

2.2　分層VPLS（HVPLS）

提供VPLS服務的所有的PE路由器之間建立全連接的隧道LSP（Label Switched Path）。對每個VPLS服務，必須在PE路由器之間建立n×（n-1）/2條PW。提供VC（Virtual Channel）的PE路由器需要復制數據包，對于廣播和多播報文，每個PE設備需要向所有的對端設備廣播報文。通過分層連接，可以減少信令協(xié)議和數據包復制的負擔，從而使VPLS可以大規(guī)模的應用。

在分層VPLS模型中，要定義兩類PE設備：面向用戶的PE（u-PE，User facing-Provider Edge）和網絡PE（n-PE，Network Provider Edge）。

用戶邊緣VPLS服務直接和u-PE相連。u-PE在采用可選的QinQ（802.1Q in 802.1Q）干道之前聚合VPLS流量給n-PE。在PE處，VPLS轉發(fā)基于VSI。這種雙重封裝IEEE QinQ隧道使得來自u-PE的QinQ干道可以作為訪問n-PE的端口，n-PE則連接到VPLS網絡的核心層。n-PE同樣可以在一個VSI內提供多達4k個VLAN，同時不同的用戶VLAN之間保持為不可見；通過干道連接，數據在n-PE所分派的VLAN內傳輸。結合分層VPLS和QinQ兩種技術，服務提供商可以在大范圍內更好的分級以太網域以及以太網服務。

下圖描述了HVPLS網絡服務的基本思想。

圖2　HVPLS

3、VPLS關鍵技術

VPLS技術主要包括兩個層面：信令控制層和數據轉發(fā)層。

3.1　信令控制層

信令控制層的主要作用是通過使用信令協(xié)議在PE之間建立相應的虛擬電路，換句話說，也就是對標識VPLS實例的VC標記進行交換，使得各個PE設備能夠將VC標記映射到不同的VPLS實例，從而對所收到的MPLS封裝的流量進行識別。

VPLS信令協(xié)議有LDP和MP-BGP兩種，前者利用LDP作為傳遞VC信息的信令，此方式只能手工靜態(tài)指定PE鄰居。后者利用MP-BGP作為傳遞VC信息的信令，MP-BGP支持拓撲自動發(fā)現(xiàn)。

LDP方式適合用在VPLS的站點比較少，不需要或者很少跨域的情況，特別是PE不運行BGP的時候。當VPLS網絡比較大時，可以采用兩種方式結合的HVPLS，核心層使用BGP方式，接入層使用LDP方式。

3.2　數據轉發(fā)層

在數據轉發(fā)層，每個PE為每個VPLS服務實例維護一個轉發(fā)信息庫（FIB），并且把已知的MAC地址加入到相應的FIB表中。所有流量都基于MAC地址進行交換，未知的數據包（如目的MAC地址未知）將廣播給所有參與該VPN的PE，直至目的站響應且與該VPN相關的PE學習到該MAC地址。在數據轉發(fā)層，主要涉及以下幾方面：

1）MAC地址學習：VPLS模擬LAN交換機的功能，因此PE必須學習每個VPN中用戶的MAC地址以實現(xiàn)點到點的轉發(fā)。每個VPN學習MAC地址的來源分為兩類：來自對端PE的MAC地址和來自本地CE（Custom Edge Router）的MAC地址。

2）泛洪：當FIB表不包含目的MAC地址的時候，就需要VPLS泛洪，廣播和多播同樣也需要泛洪。要泛洪的包有可能是從用戶端口或者其他PE站點收到的。如果是從用戶端口收到的，包必須要泛洪到其他的用戶端口以及其他的PE。如果是從其他的PE收到的，則只能泛洪到面向端口的用戶，這類似于水平分割。

3）環(huán)路避免：PE轉發(fā)用戶報文時根據用戶的目的MAC來選擇目的PE并完成公網標簽封裝；當用戶目的MAC在VSI的條目中并不存在或用戶的報文目的MAC是廣播地址時，PE要在本VPN內給每個PE發(fā)送一份。VPN中，PE如果和其他PE不建立全連接，則CE間要互相通信必然需要PE轉發(fā)其他PE的報文。對于大型網絡部署，稍有不慎就會產生環(huán)路。VPLS中，一般的，為了避免環(huán)路，在核心層采用全連接，PE間轉發(fā)采用水平分割；邊緣層采用樹形拓撲。

4、VPLS實例分析

以下通過具體實例來進一步分析VPLS技術。

圖3　組網圖

4.1　組網圖

4.2　相關配置

RTA：

配置遠端LDP鄰居：

mpls ldp
    remote-peer local-ip 2.2.2.8 remote-ip 3.3.3.8
    remote-peer local-ip 2.2.2.8 remote-ip 1.1.1.8

在vlanif100上配置：

interface vlanif100
    CCC vpls encapsulation vlan mtu 1500
    mpls l2transport 1.1.1.8 101 encapsulation vlan mtu 1500
    mpls l2transport 3.3.3.8 encapsulation vlan mtu 1500

RTB：

配置遠端LDP鄰居：

mpls ldp
    remote-peer local-ip 1.1.1.8 remote-ip 3.3.3.8
    remote-peer local-ip 1.1.1.8 remote-ip 2.2.2.8

在vlanif200上配置：
    interface vlanif200
    mpls l2transport2.2.2.8 101 encapsulation vlan mtu 1500
    mpls l2transport 3.3.3.8 encapsulation vlan mtu 1500

4.3　訪問過程

以PC-A訪問PC-B為例分析VPLS的訪問過程。

1）PC-A將ARP廣播幀發(fā)送給RTA；

2）初始時，RTA的轉發(fā)表為空，RTA將廣播幀打上內層VC label和外層tunnel標簽后通過隧道LSP廣播給RTB和RTC，同時RTA會從ARP的請求報文中學習到PC-A的源MAC地址，并加入到轉發(fā)表。

3）RTB收到此MPLS報文，剝掉外層標簽頭后根據內層標簽判斷其所屬的VPLS，發(fā)現(xiàn)是廣播幀就將它復制，并從所有連接到RTB的屬于同一個VPLS的CE的接口上發(fā)送出去。同時RTB會從ARP請求報文中學習到PC-A的源MAC地址，并加入到轉發(fā)表。

4）PC-B收到此ARP請求后發(fā)送ARP應答報文（目的MAC地址是PC-A的MAC地址）；

5）RTB收到PC-B發(fā)送的應答報文后，根據入端口和VLAN找到對應的VPLS轉發(fā)表，如果在轉發(fā)表里發(fā)現(xiàn)存在到PC-A的轉發(fā)條目，就按照轉發(fā)表進行轉發(fā)，打上內外層標簽，通過LSP轉發(fā)給RTA。同時RTB從ARP應答報文中學到PC-B的源MAC地址。

6）RTA收到此MPLS報文后，剝掉外層標簽后根據內層標簽找到對應的VPLS轉發(fā)表，查找轉發(fā)表，找到PC-A的轉發(fā)條目，就根據轉發(fā)表制定的接口發(fā)送此ARP應答幀。同時RTA從ARP應答報文中學到PC-B的源MAC地址。

以后的報文在PE上就按照轉發(fā)表進行轉發(fā)。

5、結語

VPLS結合以太網和MPLS技術的優(yōu)點，為服務提供商帶來巨大的發(fā)展?jié)摿�。它符合當前企業(yè)用戶的采購標準，并得到了運營商和廠商的廣泛支持。VPLS的部署正如雨后春筍在世界各地如火如荼地進行，VPLS的標準也已經趨向穩(wěn)定，標準化已為時不遠。隨著技術的發(fā)展和完善，VPLS的優(yōu)勢會越來越大。