VPLS技术应用原理.docx

VPLS技术应用VPLS是一种可以在以太网上提供上述诸多服务的解决方案。它利用以太网和MPLS的组 合，来满足运营商和用户的需求。VPLS使分散在不同地理位置上的用户网络可以相互通信， 就像它们直接相互连接在一起一样，即广域网变成对所有用户位置是透明的。这种功能是由 MPLS 2层VPN解决方案实现的。在VPLS网络中，每个用户位置连接在MPLS网络上的一个节点上。对于每一繇个用户 或虚拟专用网来说，由逻辑的点对点连接构成的完整网络是在骨干MPLS网络上建立的。这 使一个用户位置可以直接看到属于这位用户的其他所有位置。惟一的MPLS标记用于将一位 用户的传输流与另一位用户的传输流隔离，并且用于将一项服务与另一项服务相分离。这种分割使用户可以从提供商那里获得多种服务，而每一个服务都是为最终应用定制 的。例如，某位用户的服务集合可以由VoIP、Internet接入以及可能两个或更多的VPN服 务构成。第一个VPN服务可以在所有企业位置之间提供“宽数据”连接性并可为所有雇员所 使用。而第二个VPN服务可以被限制在一个位置子集合之间进行的某些金融交易上。所有这 些服务都是通过VPLS惟一配置的，因此使它们具有独特的质量保障和安全属性。在VPLS网络中，在各个PE（运营商网络边缘）之间建立全网状的MPLS LSP（标记交换路 径），将二层以太网帧通过MPLS进行封装，通过MPLS交换将用户以太网流量在各个PE之间 进行转发，并与CE （用户边缘设备）连接，从而建立一个点对多点的以太网VPN。PE设备将客户的以太网帧封装到MPLS包内，MPLS包头包含两层标记，其中外层标记 Tunnel Label标识用来承载MPLS LSP，内层标记VC Label则代表不同虚拟电路，也就是不 同的VPLS流量，这是一种伪线的封装格式。因此在目的端PE（提供商边缘路由器）设备终结 LSP并弹出外层标记之后，将会根据内层VC Label来确定是属于哪个VPLS实例的流量。VPLS技术包括两个层面：信令控制层和数据转发层。其中信令控制层的主要作用是通过使用信令协议在PE之间建立相应的虚拟电路，换句 话说，也就是对标识VPLS实例的VC标记进行交换，使得各个PE设备能够将VC标记映射到 不同的VPLS实例，从而对所收到的MPLS封装的流量进行识别。在数据转发层，每个PE为每个VPLS服务实例维护一个转发信息库（FIB），并且把已 知的MAC地址加入到相应的FIB表中。所有流量都基于MAC地址进行交换，未知的数据包（如 目的MAC地址仍未知）将广播给所有参与该VPN的PE，直至目的站响应且与该VPN相关的 PE学习到该MAC地址。VPLS的基本参考模型如图1所示。客户站点通过服务提供商网络连接起来，服务提供 商网络就像是一台能够学习的二层交换机。网络中所有的PE用一个由隧道构成的全网格连 接在一起，每条隧道承载多条虚线路。虚线路是为一对PE之间的每一个提供的服务建立的 点到点连接结构。根据位置和客户站点的数据，为客户/服务建立的虚线路的数量可以从一 个（用于只有两个位置的客户）到全网格（用于拥有连接在每一个PE的位置的客户）。网络中的每一个PE能够建立连接其他每个PE的隧道，并可以通过信令建立穿过这些隧 道的虚线路。当网络向最终用户提供二层服务时，每个PE可以学习所有本地连接的MAC地 址，并将学习到的远程地址与一条虚线路建立关联。所有未知的单播、多播和广播包被传送 给所有参与客户VPN的PE。多播包像广播包那样处理，被传播给客户VPN中的所有PE。这种网络模型假设服务（或VPLS实例）中的所有PE以一个虚线路全网格连接在一起， 这种全网格消除了保持网络无环路的需要。为了确保这种拓扑结果没有环路，需要类似水平分割的概念：没有PE向一个PE转发它 从另一个PE接收到的数据包。这种作法突破了其他基于生成树的网络所遇到的可伸缩限制。 目前这一网络模型正作为VPLS草案的一部分，由IETF的L2VPN工作组进行标准化。对于运营商来说，将以太网和MPLS组合在一起的好处多多。他们可以马上从部署以太 网基础设施更低的资本开支中受益。但是，简单的以太网交换网络在服务可伸缩性（由于V 局域网ID的限制）和可靠性（生成树不能很好地扩展）上存在局限性。这些限制性被MPLS 所解决。MPLS提供多种解决方案，这些解决方案不仅提供大规模的可伸缩性和多种可靠性选择， 而且还带来其他好处。例如，MPLS的动态信令有益于更迅速地改变和重新配置服务。其流 量工程功能使提供商可以在整个网络上支持服务水平保证。因此，它不仅满足可伸缩性和可 靠性的需要，而且还提供可以进一步减少费用的运营优势。VPLS标准VPLS的部署正如雨后春笋在世界各地如火如荼地进行，并得到了运营商和厂商的广泛 支持。在这个过程中，标准的作用尤其重要。IETF是制定VPLS的主要标准组织。经过近几年的发展，VPLS的标准已经趋向稳定，相 关的草案已经收录到工作组文件中，标准化已为时不远。目前VPLS标准有两个主要流派， 其区别主要体现在信令协议的选择上，一种主张采用LDP（标记分发协议）进行标记分配， 一种主张采用BGP进行标记分配，两种标准间不具备可互通性。从主流数据设备厂商对协议 的支持情况看，基于LDP的VPLS由于其实现简单，目前已经成为主流。而基于BGP的VPLS只有少数厂家设备支持。目前有关VPLS的实现标准被统一写入了新推出的L2VPN工作组标准草案，主要包括9 项标准，即二层虚拟专用网(L2VPN)框架，运营商提供的二层虚拟专用网业务要求，虚拟专 用局域网业务，MPLS上的虚拟专用局域网业务，L2VPN信令的支持模型和端点标识符，只支 持IP的局域网业务(IPLS)，VPLSOAM要求和框架，VPLS应用等等。一、引言MPLS是下一代宽带互联网技术的发展方向，它基于标签交换并且能有效利用基于IP 交换的设备。在MPLS的核心，它使用硬件设备来转发分组，从而提供速度更快、功能更完善以及 扩展性更高的服务。它消除了在IP和ATM之间过多的复杂映射而且更好地支持了传统IP 路由技术难以支持的QoS业务。相对IP协议基于目的地址的路由，MPLS提供基于多种因 素的路由，从而更好地满足流量工程的需要。随着互连网和企业内部网的不断发展，将分散的网络在逻辑上整合成一个大型专用网的 业务需求越来越强烈，虚拟专用网(VPN)技术因此应运而生。经过近20年的发展，基于 第三层的VPN已日渐成熟。但这种技术存在明显的不足，即运营商需要介入客户的路由计 划，导致客户不能自行决定网络层，从而带来了维护和应用的困难。为了解决上述问题，IETF 提出了基于MPLS的二层VPN技术一虚拟专用局域网业务(VPLS)，并征集草案准备 将这一技术标准化。需要指出的是目前VPLS的局域网特指以太网，它结合了 MPLS和以 太网的双重优点，是透明的、与网络层协议无关的服务，并支持从64kbps到1Gbps的带 宽为客户提供服务。VPLS使得用户可以直接用以太网端口来接入广域网，并且可以自行配 置网络层，这一切都使得利用VPLS构建的虚拟专网安全性更高、维护更方便。IETF目前一共收到了 3份VPLS草案，它们主要的区别在于信令及组网结构的不同， 简称为LDP草案、BGP草案和RADIUS草案，其中LDP草案提出最早并且已经得到众多 厂商的支持。本文将详细讨论MPLS网络中基于LDP信令的VPLS的核心技术：虚电线 (Pseudo Wire)、标签分布协议(LDP)以及VPLS的实现与组网。对基本的MPLS技术 本文不作详细讨论，相关术语及原理可参考文献】1、2。口二、MPLS网络中实现VPLS的关键性技术1.虚电线(PseudoWire)原理一条虚电线由一收一发2条虚电路(VirtualCircuit)构成，它的功能是将所有的广播 (broadcast)帧和跨局域网的单播帧、组播(multicast)帧从一个局域网转发到另一个局 域网，使得其所连接两个局域网在数据链路层上被整合。以太网虚电线技术的核心是帧的封装及其在MPLS网络中的传输控制。Martini等人编 写的IETF草案】3对含以太网在内的多种局域网帧的封装给予了建议。一般地，以太网 数据帧可以归为2类,即普通以太网帧和带VLAN标签的以太网帧。对于普通以太网帧，封 装格式如图1所示。其中隧道标签(tunnellabel)用于在MPLS网络中标识一条确定的标 签交换路径(LSP)，该标签实际上是由MPLS网络为一个等价转发类(FEC)自动分配 的标签。如果帧需要经过几个MPLS域，隧道标签将多于一个。由于同一隧道上可以承载 多条虚电路，而不同虚电路上的流量在到达接收端服务提供商边缘(PE)设备后必须加以 区分，然后转发给相应的用户。因此与一般的MPLS流量不同，虚电路上的流量需要增加 一个标签来标识其虚电路ID。隧道标签与虚电路标签均在发送端PE处被封装，但隧道标签 在MPLS网络中可能被逐跳修改，而虚电路标签则一般维持不变直到帧到达接收端PE。在 帧到达接收端PE后，隧道标签首先被剥离，然后，根据虚电路标签的值，转发帧到相应以 太网端口。有时需要借助虚拟局域网(VLAN)标签来将一个物理上联通的局域网划分成若干逻辑 上独立的虚拟局域网4。如果VLAN标签是由客户定义的，即该标签由客户设备封装， 那么含此类VLAN标签的帧的封装与普通帧一致。但虚电路标签封装在VLAN标签之外， 且VLAN标签在接收端PE处不被剥离，而是直接被发送到客户局域网。另一种情况是，不 同客户的局域网连接到了同一PE上，为了区分这些不同客户，需要由服务提供商来定义 VLAN标签，这类标签称为服务划分(servicedelimiting)标签。对于服务划分标签，Martini 草案定义了 2种数据处理模式。一种是擦除模式(rawmode)，即在帧被送往虚电路发送 之前，剥离其所有服务划分标签后再封装虚电路标签与隧道标签。另一种是追加模式 (tagmode)，即对不含服务划分标签的帧先封装一个服务划分标签，然后封装虚电路标签 与隧道标签。由于服务划分标签只被发送端PE设备区用来区分不同客户，因此采用擦除模 式或追加模式都不会对虚电路的接收产生影响。用一收一发两条虚电路连接两个远程局域网便定义了一条虚电线。发送端PE利用LDP 信令建立隧道、虚电路及学习接收端局域网内的MAC地址集，并转达给本地CE，使得CE 能够根据MAC地址将响应的帧提交PE转发。对于不能判定目的地址归属的单播帧、多播 帧和所有的广播帧，发送端CE设备将在局域网内广播，发送端PE设备收到这类帧后则默 认转发至接收端PE设备。因此保证了目的地址未知的帧不会被系统丢弃，其代价是损失了 带宽。2.基于标签分布协议（LDP）的VPLS信令分析本节将主要讨论在MPLS网络中使用LDP建立标签交换路径（LSP）、虚电路及PE 间MAC地址学习和维护的机制。（1）LDP邻机发现机制口两个运行LDP的相邻路由器构成邻机。如果两个路由器中的多个接口互相连接，那么 每对接口构成一对邻机。LDP邻机发现机制能够使PE发现潜在的LDP同位体，那么就没 有必要去明确地配置PE的标签交换同位体，从而降低了网络的复杂性。LDP的发现协议运 行于UDP之上。如果所有的路由器都位于一个子网内，那么标签交换路由器（LSR）就周 期性地组播一个HELLO消息给一个UDP端口，所有的LSR都在这个端口上侦听这个 HELLO消息。因此，LSR将发现与它直接相连的所有其它LSR。当LSR通过这种机制获 悉了另一个LSR的地址时，这两个LSR之间就会建立一个TCP连接（LDP使用TCP作 为可靠传输协议。当两个PE需要多个LDP会话时，每一个LDP会话将拥有一个TCP会 话），那么一个双向的LDP会话就可以在这两个LSR之间建立。如果多个LSR没有直接 连接于一个公共的子网，那么附加的发现机制也能够使得LSR彼此发现对方。在这种情况 下，LSR周期性地单播HELLO消息给某个特定IP地址上的UDP端口，而这个特定的IP 地址必须通过其他途径获得。HELLO消息的接收者通过单播返回另一个HELLO消息给初 始的LSR，那么便可以象前面所述的那样建立会话。（2）LDP的会话和信令口如前所述，为了建立外部隧道的全网格，PE设备使用目的UDP端口来确定邻机，建 立LDP会话和TCP会话，然后通过LDP请求和LDP映射消息来建立一个LSP。接下来我 们详细分析LDP会话和信令。一个LDP标签映射消息包含一个FEC类型长度值（TLV），一个标签类型长度值（TLV） 和零值或者更多的可选参数的类型长度值（TLV）。在VPLS中，一个LDP标签映射消息 携带VPLS的信息，其中包括如图2所示的虚电路FEC的类型长度值（VCFECTLV）。 FECTLV用来说明标签的含义。LDP允许每个FEC TLV包含一组FEC要素。但是为了建 立和维护虚电线，每个FEC TLV必须正确地包含一个FEC要素】5。口VC TLV(8 bits)(t bit)VC信息长(fi知砂接口参数UI2溟电路萼价转您类的类型长度值(VC FEA TLV)VPLS服务需要定义一个虚电路标识符(VCID)，用来鉴别一个模拟的局域网段，它 是一个非零32位长的连接标识符。VCID和VC类型一起标识一个点对点虚电线的服务。 基于VCIDFEC，虚电线的两个端点都独立地建立单向VCLSP，它在VPLS的环境中起始 并中止于两个局域网的以太网端口，这样就在所有的局域网间形成了一个逻辑桥(bridge)， 使得VPLS服务类似于IEEE 802.3标准规定的学习桥接一样，即构成了一个“虚拟专用局 域网”。(3)MAC地址学习VPLS桥接功能之一就是MAC地址学习。以太网的一个特征是所有的广播帧和未知目 的地址的帧都会被扩散到所有的端口。为了在VPLS里实现地址扩散，所有未知地址的单 播、广播和组播帧将被扩散到相应的虚电线，从而到达VPLS中相应的PE节点】6。举例来说，如图3所示，首先PE1获悉VPLS100中某个终端的MAC地址为X，并且 依附于本地端口 1，然后PE1将此信息广播给PE2和PE3,让PE2和PE3获悉在VPLS100 内，MAC地址X是远程依附于PE1的端口 1。当X发送一个请求到Z时，由于PE1上并 没有Z的信息，此时PE1将会将此请求广播到PE2和PE3,而PE2和PE3会对本地局域 网广播此请求，当PE2下的Z使用单播响应X时，PE2便获悉了 VPLS100中的Z的地址， 并且是依附于本地端口 1。然后PE2将广播Z的信息，PE1及PE3便获悉Z在VPLS100 内，远程依附于PE2端口 1。用同样的方法，PE1和PE3也能学习到MAC地址Y。圈3 MAC地址学习每个PE设备维护一个单独的转发信息库(F旧)，其中包括它所学习到的所有的地址 和接口标识符，以及转发VPLS流量到这些地址所需的相关信息。在VPLS中，PE从其他 PE发来的源地址中学习MAC地址。为了转发帧，PE必须能够将MAC地址与虚电线对应 起来。因此，在VPLS中的PE必须有能力在物理端口和虚电路上动态地学习MAC地址， 并且通过物理端口和虚电线转发和复制数据包。3.基于LDP的VPLS实现原理迄今为止，IETF已经收到了 3份VPLS实现方案的提议。其中，Lasserre等人撰写的 VPLS草案7是基于虚电线技术与LDP信令的方案并被部分厂商提前做为标准集成到了 MPLS设备中。如图4(a)所示，Lasserre的VPLS实现原理是使用虚电线两两连接多个局域网，局域 网之间使用LDP作为控制信令，用于维护VPLS中每个PE设备的FIB。如果某个局域网 中的终端发送帧至VPLS里其它局域网终端，那么帧首先被CE传输到发送端PE，PE会 根据帧的源及目地址将其送往相应的虚电线，并且只需要经过一条虚电线，帧便到达接收端 PE。在帧的传输过程中，任何设备不会也不需要对帧的路曲网络层包头进行分析，所有的 封装、交换都是基于第二层的信息来完成。A日：I制tUPLSC, WPLSr, .1ukil匚帐M出上网丽F04 7 性-r LJ r*+W，HJt |日职山曲也ii ;?1汀一'"1图4 VPLS网络方案通过上面的分析可知，在基于LDP的VPLS实现方案中任意两个局域网间的帧只需要 经过一条虚电线便可以到达接收端PE。实际上，任一 PE也只被允许接收来自其它PE的 帧而不被允许再转发这些帧。这样做的目的是为了防止网络中出现环路。由于帧永远不可能 被PE二次转发，所以网络中不会出现多于两个节点的路径，从而避免了环的产生。在以太 网中，一般是使用生成树(spanningtree)协议来避免环的产生8，但在VPLS中由于 成员局域网分散在MPLS网络中，使用生成树将使VPLS变得比较复杂，所以使用两两互 连即所谓的全网格(fullmesh)连接来避免环的产生。但是这种结构又带来了另一个问题， 即随着成员局域网数目的增多，虚电线数量会急剧增长。一般地，虚电线数与局域网数有如 下关系】9： N = (n(n-1)/2 (n为VPLS成员局域网数)。从这个公式可知，如果仅采用 全网格结构来连接一个含有众多成员局域网的大型VPLS，将使虚电线数目变得十分庞大， 最终导致维护苦难及设备性能下降。另外，由于未知地址的帧将会在(n 1)条虚电线上 进行广播，虚电线增加将直接导致带宽的消耗。因此，对于大型的VPLS网络，必须依靠 其它办法来减少虚电线的数量。三、基于LDP的大型VPLS解决方案以下将在讨论IETF草案建议的层次化VPLS基础上给出另外两种减少虚电线数量的 VPLS的解决方案。1.层次化VPLS针对前面提到的全网格问题，IETF草案6中建议使用层次化VPLS来减少虚电线的 数量，其基本思想可以总结如图4(b)。在图中，一个VPLS被划分成2部分，一部分称为 VPLS核心层(core)，另一部分称为VPLS接入层。构成核心层的PE设备需要增加二层 交换/桥接(bridging)模块，带二层交换功能的PE被称为PE-rs(routingandswitching)，而 仅有三层交换/路由功能的传统PE设备被称为PE r。核心层的PE-rs之间仍然采用两两 互连（Hub）的方式，而核心层的PE rs与接入层的PE r设备之间使用星型（Spoke） 连接方式，一个PE r只允许有一条虚电线（冗余用途的虚电线一般设置为备份状态）与 一个PE rs相连。因为PE rs内嵌有二层交换功能，而虚电线在逻辑上等同于一条以太 网线，因此PE rs能够识别来自接入层PE的帧的地址字段并且能将帧按目的地转发到其 它PE r或者PE rs。由于核心VPLS的各个PE rs之间仍然使用两两互连结构，并且 PE rs不允许将来自核心VPLS的帧转发到其它PE rs，因此核心VPLS内不会产生环路。 但PE rs可以将来自接入层PE的帧转发到其它PE rs，因此必须在每个PE rs上使用 生成树协议来避免在接入层部分产生环路。这样一来，PE rs上的二层交换功能稍微有些 特殊，因为在交换上它必须对接入层侧的虚电线和核心层侧的虚电线给予不完全相同的待 遇。由于分层次VPLS的接入层没有使用全网格连接而是使用星型连接，因而大大降低了 虚电线的数量。2. 多VPLS互连依照lETFLasserre草案中层次化VPLS的思想，我们可以设计出如图4（c）所示的一种 非全网格VPLS架构。该设计没有增加草案建议以外的协议或硬件，但优于草案建议架构。 其主要思想是先利用虚电线全网格连接构建含少量局域网的低级别VPLS，若干个低级别 VPLS之间再用虚电线全网格连接成一个高级别的VPLS。为了使网络结构更加清晰与便于 维护，可以存在更多的VPLS级别。需要指出的是，连接高级别VPLS与低级别VPLS的 PE必须是含二层交换功能的PE rs，而且高级别VPLS与低级别VPLS之间的虚电线上 流量的交换也必须按照Lasserre草案中的星型连接的交换规则来进行，即容许其转发来自 全网格连接的数据。相比草案中的层次化VPLS结构，这种组网方式除了能够减少虚电线 的数量而且可以更好地将已有的小型VPLS整合成一个大型VPLS，并且结构更清晰和便于 维护。3. 客户自建VPLS客户除了可以直接使用由服务商提供的虚拟局域网业务外，还可以租用虚电线来构建自 己的VPLS。一种简单的情形是客户使用虚电线将分散在各地的多个局域网星型的连接到一 台中央交换机，由于虚电线在逻辑上等同于一条以太网线，因此所有的局域网等同于直接用 网线连接到了中央交换机，从而构成了一个整合的局域网。此处需要注意的是，虽然分散在 各地的局域网到中央交换机的距离可能很长，超过了 CSMA/CD （载波侦听多路访问，冲突 检测）协议的时间槽长度口口 10 口，但只要保证中央交换机端的CE设备到中央交换机 的距离不超过时间槽长度即可。这种VPLS的优点是容易实现，缺点是用户必须自行对虚 拟局域网进行设计与维护。当网络不大、服务商VPLS服务没开放或VPLS服务费用过高 时可以采用此种VPLS实现方式。四、结束语本文分析了 MPLS网络的虚电线技术和LDP协议的工作机制，讨论了基于LDP信令 的VPLS的实现及全网格问题，研究了 IETF草案的层次化VPLS解决方案，并提出了两个 实际组网方案。通过理论、仿真和实验手段分析基于LDP信令的VPLS的性能及其潜在问 题是下一步的主要工作。目前，基于LDP信令的VPLS已经成为IETF最有竞争力的一个 VPLS方案，但它是否会成为IETF标准，还有赖于其市场占有率和设备厂商的支持力度。 不过可以肯定的是VPLS将作为下一代宽带通信网络的热点技术得到发展与广泛应用。