- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
VPLS(Virtual Private LAN Service,虛擬專用局域網服務)是在公用網絡中提供的一種點到多點的L2VPN業務。VPLS使地域上隔離的用戶站點能通過MAN(Metropolitan Area Network,城域網)或WAN(Wide Area Network,廣域網)相連,並且使各個站點間的連接效果像在一個LAN中一樣。
VPLS也稱TLS(Transparent LAN Service,透明局域網服務)或Virtual Private Switched Network Service(虛擬專有交換網絡服務)。
VPLS提供二層VPN服務。在VPLS中,用戶是由多點網絡連接起來,不同於傳統VPN提供的P2P(Point to Point,點到點)的連接服務。VPLS實際上就是在PE上創建一係列的虛擬交換機租借給用戶,虛擬交換機的組網和傳統交換機完全相同,這樣,用戶就可以通過MAN(Metropolitan Area Network,城域網)或WAN(Wide Area Network,廣域網)來實現自己的LAN(Local Area Network,局域網)。
l CE(Custom Edge)
直接與服務提供商相連的用戶邊緣設備。
l PE(Provider Edge)
服務提供商網絡上的邊緣設備,與CE相連,主要負責VPN業務的接入。它完成報文從私網到公網隧道,並從公網隧道到私網的映射與轉發。PE可以細分為UPE和NPE。
l UPE(User facing-Provider Edge)
靠近用戶側的PE設備,主要作為用戶接入VPN的彙聚設備。
l NPE(Network Provider Edge)
網絡核心PE設備,處於VPLS網絡的核心域邊緣,提供在核心網之間的VPLS透明傳輸服務。
l VSI(Virtual Switch Instance)
虛擬交換實例,通過VSI,可以將VPLS的實際接入鏈路映射到各條虛鏈接上。
l PW(Pseudo Wire)
虛鏈路,在兩個VSI之間的一條雙向的虛擬連接,它由一對單向的MPLS VC(Virtual Circuit,虛電路)構成。
l AC(Attachment Circuit)
接入電路,指連接CE與PE的鏈路,對應的接口可以是實際的物理接口,也可以是虛擬接口。AC上的所有用戶報文一般都要求原封不動的轉發到對端Site(站點)去,包括用戶的二、三層協議報文。
l QinQ(802.1Q in 802.1Q)
一種基於802.1Q封裝的隧道協議,能夠提供點到多點的L2VPN服務機製。它將用戶私網VLAN Tag封裝在公網VLAN Tag中,最終報文帶著兩層Tag穿越服務提供商的骨幹網絡,從而為用戶提供一種較為簡單的二層VPN隧道。
l Forwarders
轉發器,PE的一種。PE收到AC上送的數據幀,由轉發器選定轉發報文使用的PW,轉發器事實上就是VPLS的轉發表。
l Tunnel
隧道,用於承載PW,一條隧道上可以承載多條PW,一般情況下為MPLS隧道。隧道是一條本地PE與對端PE之間的直連通道,完成PE之間的數據透明傳輸。
l Encapsulation
封裝,PW上傳輸的報文使用標準的PW封裝格式和技術。PW上的VPLS報文封裝有兩種模式:Raw和Tagged模式。
l PW Signaling
PW信令協議,VPLS實現的基礎,用於創建和維護PW。PW信令協議還可用於自動發現VSI的對端PE設備。目前,PW信令協議主要有LDP和BGP。
圖 1為VPLS典型組網示意圖,圖中簡單顯示出以上所涉及的各基本概念。
圖 1 VPLS典型組網示意圖
VPLS通過MAC地址學習來提供可達性。每個PE設備會維護一張橋MAC地址表。
(1) 源MAC地址學習
MAC地址學習過程包含兩部分:
l 與PW關聯的遠程MAC地址學習
PW是由一對單向的VC LSP組成(隻有兩個方向的VC LSP都up才被認為PW是up的)。當在入方向的VC LSP上學習到一個原來未知的MAC地址後,需要PW將此MAC地址與出方向的VC LSP形成映射關係。
l 與用戶直接相連端口的本地MAC地址學習
對於CE上傳送的報文,需要將報文中的源MAC地址學習到VSI的對應端口上。
PE的MAC地址學習與泛洪過程如圖 2所示。
圖 2 PE的MAC地址學習與泛洪過程
(2) MAC地址回收
動態學習到的MAC地址必須有刷新和重學習的機製。在VPLS相關草案中提供一種動態學習的方法,即使用地址回收消息。地址回收消息中攜帶MAC TLV,收到這個消息的設備根據TLV中指定的參數進行MAC地址的刪除或者重新學習這些MAC地址。如果TLV中指定的MAC地址為NULL,則刪除此VSI下所有MAC地址,但不刪除收到這個消息的PW上學習到的MAC地址。
在拓撲結構改變時為了能快速移除MAC地址,可以使用地址回收消息。地址回收消息分為兩類:帶有MAC地址列表的和不帶MAC地址列表的。
如果在一條備份鏈路變為活動狀態後,收到帶有重學習MAC表項的通知消息,PE將更新VPLS實例的FIB表中對應的MAC表項,並將此消息發送給其他相關的LDP會話直連的PE。如果通知消息中包含空的MAC地址TLV列表,表示告知PE移除指定VSI中的所有MAC地址(從發送此消息的PE處學習到的MAC地址除外)。
(3) MAC地址老化
PE學習到的與VC標簽相關但是不再使用的遠程MAC地址需要有老化機製來移除。老化機製使用了MAC地址對應的老化定時器。在接收到報文並處理時,根據報文中的源MAC地址,如果這個源地址啟動了相應的老化定時器,則PE重置該老化定時器。
為了避免環路,一般的二層網絡都要求使能STP(Spanning Tree Protocol,生成樹)協議。但是對使用VPLS的用戶來說,不會感知到ISP的網絡,因此在私網側使能STP的時候,不能把ISP的網絡考慮進來。VPLS中,使用全連接和水平分割轉發來避免在ISP上使用VPLS私網側的STP協議。
VPLS環路避免的方法如下:
l PE之間邏輯上全連接(PW全連接),也就是每個PE必須為每一個VPLS轉發實例創建一棵到該實例下的所有其他PE的樹。
l 每個PE設備必須支持水平分割策略來避免環路,即PE不能在具有相同VSI的PW之間轉發報文(由於在同一個VSI中每個PE直連),也就是說,從公網側PW收到的數據包不再轉發到其他PW上,隻能轉發到私網側。
l 對於同一個VSI內的PE設備,可以通過手工配置來指定遠程PE地址,也可以通過其他的自動發現機製。目前,可以通過LDP和BGP來自動發現VSI對端PE,同時LDP和BGP這兩種協議也可以作為PW信令協議來創建PW。
l PW主要工作是分配一個多路複用分離標記(VC標簽),並將分配的VC標簽通告給對端PE。除了標簽的分發,PW信令協議還用於通告VPLS係統相關參數,例如PW ID、控製字和接口參數等。通過PW信令協議,可以在各PE之間建立全連接的PW,用於VPLS服務。
AC上的報文封裝方式由用戶的VSI接入方式決定。用戶接入方式可以分為兩種:VLAN接入和Ethernet接入。其含義如下:
l VLAN接入:CE發送給PE或PE發送給CE的以太網幀頭帶有一個VLAN Tag,該Tag是一個服務提供商網絡為了區分用戶而要求用戶壓入的“服務定界符”。我們把這個作為服務定界符的Tag稱為P-Tag。
l Ethernet接入:CE發送給PE或PE發送給CE的以太網幀頭中沒有服務定界符,如果此時幀頭中有VLAN Tag,則說明它隻是用戶報文的內部VLAN Tag,對於PE設備沒有意義。這種用戶內部VLAN的Tag稱為U-Tag。
至於用戶的VSI接入方式,可以使用配置的方式來指定。
PW上的報文封裝方式也可以分為兩種:Ethernet模式和VLAN模式。
l Ethernet模式下,P-Tag不在PW上傳輸:對於CE側的報文,如果收到帶有服務定界符的報文,則將其去除後再壓入兩層MPLS標簽後轉發;如果收到不帶服務定界符的報文,則直接壓入兩層MPLS標簽後轉發。對於PE側的下行報文,根據實際配置選擇添加或不添加服務定界符後轉發給CE,但是它不允許重寫或移除已經存在的任何Tag。
l VLAN模式下,PW上傳輸的幀必須帶P-Tag:對於CE側的報文,如果收到帶有服務界定符的報文,保留P-Tag,或者將P-Tag改寫為對端PE期望的VLAN Tag或者空Tag(Tag值為0),再壓入PW標簽和隧道標簽後轉發;如果收到不帶服務界定符的報文,則添加一個對端PE期望的VLAN Tag或空Tag後,再壓入PW標簽和隧道標簽後轉發。對於PE側的下行報文,根據實際配置選擇重寫、去除或保留服務界定符後轉發給CE。
根據協議規定,缺省情況下PW使用VLAN模式對報文進行封裝。
H-VPLS(Hierarchy of VPLS,分層VPLS),延伸服務提供商的VPLS接入範圍和降低成本。
l H-VPLS對MTU-s((Multi-Tenant Unit switch,彙聚設備)的要求比較低,層次鮮明,分工明確。
l H-VPLS能夠減少PE全連接帶來的邏輯複雜度和配置管理的複雜度。
l H-VPLS的LSP方式接入
圖 3 H-VPLS的LSP方式接入
如圖 3所示,UPE作為彙聚設備MTU-s,它隻跟NPE1建立一條虛鏈接接入鏈路U-PW,跟其他所有的對端都不建立虛鏈接。
數據轉發流程如下:
(1) UPE負責將CE上送的報文發給NPE1,同時打上U-PW對應的多路複用分離標記(MPLS標簽);
(2) NPE1收到報文後,先根據多路複用分離標記判斷報文所屬的VSI,再根據該報文的目的MAC壓入N-PW對應的多路複用分離標記,然後轉發該報文;
(3) NPE1從N-PW側收到報文後,打上U-PW對應的多路複用分離標記將報文發送給UPE,UPE再將報文轉發給CE。
如果CE1與CE2之間的數據交換為本地CE之間交換,由於UPE本身具有橋接功能,UPE將直接完成兩者間的報文轉發,而無需將報文上送給NPE1。不過對於目的MAC未知的第一個數據報文或廣播報文,UPE在將數據通過橋廣播到CE2的同時,仍然會通過U-PW轉發給NPE1,由NPE1來完成報文的複製並轉發到各個對端CE。
l H-VPLS的QinQ方式接入
圖 4 H-VPLS的QinQ方式接入
如圖 4所示,MTU為標準的橋接設備,數據轉發流程如下:
(1) 在CE接入端口使能QinQ,為收到的報文添加壓入VLAN Tag作為多路複用分離標記,在MTU與PE1之間通過QinQ隧道將報文透明傳輸到PE1上;
(2) PE1先根據報文攜帶MTU壓入的VLAN Tag判斷所屬的VSI,再根據該報文的目的MAC為其壓入PW對應的多路複用分離標記(MPLS標簽),然後將其轉發;
(3) PE1從PW側收到報文後,根據多路複用分離標記(MPLS標簽)判斷報文所屬的VSI,再根據用戶報文的目的MAC打上VLAN Tag通過QinQ隧道將報文轉發給MTU,由MTU將報文轉發給CE。
如果CE1與CE2之間的數據交換為本地CE之間交換,由於MTU本身具有橋接功能,MTU將直接完成兩者間的報文轉發,而無需將報文上送給PE1。不過對於目的MAC未知的第一個數據報文或廣播報文,MTU在通過橋廣播到CE2的同時,仍然會通過QinQ隧道轉發給PE1,由PE1來完成報文的複製並轉發到各個對端CE。
UPE與NPE之間隻有單條鏈路連接的方案具有明顯的弱點:一旦該接入鏈路出現故障,彙聚設備連接的所有VPN都將喪失連通性。所以,對於H-VPLS的兩種接入方式,都需要有冗餘備份鏈路存在,如圖 5和圖 6所示。
圖 5 LSP接入方式的冗餘保護
圖 6 QinQ接入方式的冗餘保護
在正常情況下,設備隻使用一條鏈路(主鏈路)接入。當主鏈路出現故障,即出現下列情況時,將啟用備用鏈路繼續提供VPN業務:
l PW經過的隧道被刪除,導致此PW的狀態變為down;
l 利用BFD協議等鏈路檢測機製,檢測到鏈路故障;
l PW對應的對等體間LDP會話down導致PW刪除。
Hub-Spoke是VPLS的一種組網應用方式。在這種組網方式下,存在一個中心節點(Hub站點)和多個接入節點(Spoke站點)。VPLS的Hub-Spoke組網中,Spoke-CE站點之間的數據必須通過Hub-CE站點進行交換,而不允許各個Spoke-CE站點之間直接進行數據交換。與中心站點或者接入站點相連的PE設備相應稱作Hub-PE或者Spoke-PE。
Hub-Spoke組網方式下所有接入站點之間的數據流量都需要通過中心站點,便於中心站點對數據流量的統一管理。
典型的Hub-Spoke組網如圖 7所示,其數據轉發流程如下:
(1) Spoke-PE 1接收到從接入站點Spoke-CE 1接收的數據報文,根據所屬的VSI,為報文壓入多路複用分離標記(MPLS標簽)然後轉發給指定的Hub-PE;
(2) Hub-PE從PW側收到報文後,根據多路複用分離標記(MPLS標簽)判斷報文所屬的VSI,將報文直接轉發給Hub-CE;
(3) Hub-CE具有二層轉發功能,將報文處理後重新轉發給Hub-PE;
(4) Hub-PE從AC側收到報文後,根據VLAN Tag判斷所屬的VSI,再根據該報文的目的MAC為其壓入PW對應的多路複用分離標記(MPLS標簽),然後將其轉發給Spoke-PE 2;
(5) Spoke-PE從PW側收到報文後,根據多路複用分離標記(MPLS標簽)判斷報文所屬的VSI,將報文轉發給對應的Spoke-CE 2。
售前谘詢
售後谘詢
人工在線谘詢
