【正文】 與LDP方式的L2VPN不同，BGP方式的L2VPN不是直接對CE與CE之間的連接進行操作，而是在整個SP網(wǎng)絡(luò)中劃分不同的VPN，在VPN內(nèi)部對CE進行編號。要建立兩個CE之間的連接時，只需在PE上設(shè)置本地CE和遠程CE的CE ID，并指定本地CE為這個連接分配的Circuit ID（例如ATM的VPI/VCI）。有VPN拓撲的概念，通過BGP進行自動拓撲發(fā)現(xiàn)，適用于全連接網(wǎng)絡(luò)（相對LDP方式），當然也適應(yīng)于半網(wǎng)狀或星型網(wǎng)絡(luò)。與BGP/MPLS VPN相同，BGP方式的L2VPN也使用route target來區(qū)分不同的VPN，這使得VPN組網(wǎng)具備了極大的靈活性。Kompella方式的MPLS L2VPN也存在跨域的問題，解決方法同MPLS L3VPN。在標記分配方面，BGP方式L2VPN采取標記塊的方式，一次為多個連接分配標記。用戶可以指定一個本地CE的范圍（CE range），CE range表明這個CE能與多少個CE建立連接。系統(tǒng)會一次為這個CE分配一個標記塊，標記塊的大小等于CE range。這種方式允許用戶為VPN分配一些額外的標記，留待以后使用。這樣會造成標記資源的浪費，但是同時帶來一個很大的好處：減少VPN部署和擴容時的配置工作量。假設(shè)一個企業(yè)的VPN包括10個CE，但是考慮到企業(yè)會擴展業(yè)務(wù)，將來可能會有20個CE。這樣可以把每個CE的CE range設(shè)置為20，系統(tǒng)會預(yù)先為未來的10個CE分配標記。以后VPN添加CE節(jié)點時，配置的修改僅限于與新CE直接相連的PE，其他PE不需要作任何修改。這使得VPN的擴容變得非常簡單。. CCCCCC是Circuit Cross Connect（電路交叉連接）的縮寫，是通過靜態(tài)配置來實現(xiàn)L2VPN的一種方式。與普通的MPLS L2VPN不同的是，CCC采用一層標記來傳送用戶數(shù)據(jù)，因此它對LSP的使用是獨占性的，用戶必須單獨為每一個CCC連接手工配置兩條LSP（兩個方向各一條），這兩條LSP將只能用于傳遞這個CCC連接的數(shù)據(jù)，不能用于其他L2VPN連接，也不能用于BGP/MPLS VPN或承載普通的IP報文。在MPLS標記交換連接建立好了以后，理論上通過它可以承載任何的二層、三層數(shù)據(jù)報文。其中二層數(shù)據(jù)報文可以是：ATM、幀中繼、以太網(wǎng)/VLAN、PPP等，三層可以是IPvIPvIPX等。實際上電路交叉連接就是在IP網(wǎng)上實現(xiàn)的一種ATM、幀中繼、以太網(wǎng)/VLAN、或PPP在IP網(wǎng)絡(luò)中點到點地透傳的技術(shù)。電路交叉連接也可以用來粘和不同的LSP。. VPLSVPLS(虛擬專用LAN網(wǎng)段，Virtual Private LAN Segments)是利用公共IP資源建立局域網(wǎng)的一種方法，類似于通過LANE在ATM網(wǎng)絡(luò)上模擬局域網(wǎng)，VPLS在拓撲結(jié)構(gòu)和網(wǎng)絡(luò)運行上與VPRN相似，主要區(qū)別在于PE節(jié)點使用的是橋接技術(shù)而不是網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對網(wǎng)絡(luò)層協(xié)議透明。雖然Martini和Kompella方式的MPLS L2VPN都可以實現(xiàn)兩個LAN網(wǎng)段跨MPLS網(wǎng)絡(luò)的點到點互聯(lián)，但是它們都只支持VLL(Virtual Leased Link)方式的LAN網(wǎng)段互聯(lián)。而VPLS可以通過公共IP/MPLS網(wǎng)絡(luò)將多個LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個公共IP/MPLS網(wǎng)絡(luò)看成一個大L3 Switch。由于目前VPLS實現(xiàn)沒有明確的標準指導(dǎo)，各廠家的VPLS實現(xiàn)各不相同。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴展作為信令，實現(xiàn)VC標記交換，同時VPLS要求PE節(jié)點支持MAC地址學習功能。. CECE是Custom Edge的縮寫，它是VPN用戶的一個節(jié)點，位于用戶網(wǎng)絡(luò)的邊緣，它是一個普通的網(wǎng)絡(luò)節(jié)點，不需要支持MPLS。BGP/MPLS VPN中，CE可以是一個路由器、三層交換機甚至一個主機，方式是多種多樣的，但一定是一個三層設(shè)備。一般來說，PE和CE之間在三層上相隔一跳，如果中間存在一個二層網(wǎng)絡(luò)，如以太網(wǎng)、ATM網(wǎng)等，以太網(wǎng)交換機、ATM交換機都不應(yīng)當被視為CE，特別的，如果L3被用作VLAN透傳，也不應(yīng)當被視為CE。 如果PE支持IP隧道方式接入或多角色主機，則CE只要與PE在IP上可達就可以了，這時它們之間可以相隔多跳。一些廠商聲稱不需要CE，是一種誤導(dǎo)，其實是說VPN用戶可以采用運營商提供的設(shè)備接入PE，而不需要添加一個專門的設(shè)備。L2 VPN中，CE可以是二層也可以三層設(shè)備。在PE設(shè)備上，CE是通過VLAN、PVC、PPP、HDLC等鏈路層信息來識別的，因此PE和CE可以是直接相連的，也可以相隔一個二層網(wǎng)絡(luò)，但不可以相隔三層設(shè)備或網(wǎng)絡(luò)。在VPLS中，由于PE要維護MAC地址表，如果CE是二層設(shè)備，VPN站點中的MAC地址都會泄漏到PE上，PE負擔較重，因此建議CE采用三層設(shè)備。 . 網(wǎng)管. 簡介華為MPLS VPN網(wǎng)管是iManager VPN Manager參考TMN、TMF規(guī)范，VPN Manager提供的管理功能涉及到網(wǎng)絡(luò)管理、業(yè)務(wù)管理、客戶管理等領(lǐng)域。VPN Manager完成的主要功能是：? 承接業(yè)務(wù)訂單，生成業(yè)務(wù)請求并進行網(wǎng)絡(luò)規(guī)劃、部署、審計? 維護網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)性能和故障? 進行網(wǎng)絡(luò)性能、故障的業(yè)務(wù)相關(guān)性分析，為業(yè)務(wù)保障提供原始數(shù)據(jù)? 提供基于WEB的客戶網(wǎng)絡(luò)管理（CNM），為VPN客戶提供對VPN的監(jiān)控手段圖3描述了VPN Manager在運營系統(tǒng)中的位置。VPN Manager立足于管理MPLS VPN網(wǎng)絡(luò)，實現(xiàn)客戶管理、業(yè)務(wù)部署、性能監(jiān)控和故障監(jiān)控功能的無縫融合，是運營商開展MPLS VPN業(yè)務(wù)的管理工具。圖3 VPN Manager在運營系統(tǒng)中的位置iManager N2100 VPN Manager可以為運營商提供端到端VPN業(yè)務(wù)管理解決方案。VPN Manager解決了VPN業(yè)務(wù)管理中必須解決的以下問題：? 直觀的、可觀察的業(yè)務(wù)規(guī)劃? 快速的、可調(diào)度的業(yè)務(wù)部署? 已部署業(yè)務(wù)的發(fā)現(xiàn)? 業(yè)務(wù)故障告警、檢測? 客戶管理? 全網(wǎng)資源管理? 網(wǎng)絡(luò)性能監(jiān)控? 多廠商設(shè)備的管理? 大客戶的增值業(yè)務(wù)管理VPN Manager的功能覆蓋了VPN業(yè)務(wù)的整個生命周期的管理，從業(yè)務(wù)規(guī)劃、業(yè)務(wù)審計、業(yè)務(wù)部署到業(yè)務(wù)監(jiān)控。利用VPN Manager管理VPN業(yè)務(wù)，可提高運營商的業(yè)務(wù)響應(yīng)速度，降低網(wǎng)絡(luò)維護、業(yè)務(wù)運營成本，增強市場競爭力。圖4顯示了VPN Manager的主界面。圖 4 VPN Manager界面. 網(wǎng)管主要功能特點. 客戶管理 VPN業(yè)務(wù)是面向客戶的業(yè)務(wù)，為了掌握客戶信息，更好的為客戶服務(wù)，VPN Manager提供了豐富的客戶管理功能。利用VPN Manager，可以維護客戶的基本信息、查看客戶所租用的VPN業(yè)務(wù)、VPN業(yè)務(wù)所占用的網(wǎng)絡(luò)資源及其運行狀況。VPN Manager還能夠輸出客戶的業(yè)務(wù)租用報表、資源租用報表、性能數(shù)據(jù)報表、流量數(shù)據(jù)報表和故障數(shù)據(jù)報表等。運營商和客戶都十分關(guān)心業(yè)務(wù)的運行狀況，VPN Manager提供這些數(shù)據(jù)報表有利于雙方了解業(yè)務(wù)運行狀況，將大大提高運營商的客戶滿意度。. 業(yè)務(wù)處理 VPN Manager提供向?qū)Х绞降臉I(yè)務(wù)定義功能，相似的業(yè)務(wù)定義，可以利用模板進行拷貝創(chuàng)建，提高了配置效率。同時還提供按照時間策略進行部署的機制，可以靈活定制部署時間，避免在業(yè)務(wù)高峰期部署新業(yè)務(wù)對網(wǎng)絡(luò)和原有業(yè)務(wù)的沖擊。例如：部署時間可以設(shè)置在夜間――業(yè)務(wù)流量較少的時段，而管理者可在第二天工作時間查看業(yè)務(wù)部署的結(jié)果。 VPN Manager使用圖形化、向?qū)降牟僮鱽硗瓿蒝PN業(yè)務(wù)的規(guī)劃，管理員只需要從資源庫中選擇接口，輸入部分VPN參數(shù)，VPN Manager就可以利用系統(tǒng)現(xiàn)有數(shù)據(jù)自動填充或計算出相關(guān)值，然后生成“業(yè)務(wù)請求”。 VPN業(yè)務(wù)配置復(fù)雜，配置錯誤會引起路由震蕩等網(wǎng)絡(luò)問題，因此，必須在實際部署之前保證業(yè)務(wù)的正確性。VPN Manager根據(jù)業(yè)務(wù)請求可以生成兩種網(wǎng)絡(luò)拓撲圖，供應(yīng)商視圖（表達網(wǎng)絡(luò)物理連接）和客戶視圖（表達VPN連接），用于核查業(yè)務(wù)請求是否表達了預(yù)期的業(yè)務(wù)設(shè)想，避免業(yè)務(wù)部署錯誤，從而提高業(yè)務(wù)發(fā)放的效率。 為了保證客戶業(yè)務(wù)的開通，對于已部署業(yè)務(wù)，VPN Manager提供了進行配置審計和連通審計。VPM Manager還可以用Highlight的方式將VPN站點間的LSP通道直觀的顯示在拓撲上。 對于先期在網(wǎng)絡(luò)上部署的業(yè)務(wù)，VPN Manager可以進行業(yè)務(wù)發(fā)現(xiàn)。VPN Manager首先讀入業(yè)務(wù)信息，分析出VPN的基本信息，在管理員的幫助之下，還原出存在于網(wǎng)絡(luò)上的VPN業(yè)務(wù)信息。這樣，不需要在網(wǎng)管上重新再次輸入網(wǎng)絡(luò)相關(guān)的配置參數(shù)，滿足網(wǎng)絡(luò)先期開通、網(wǎng)管后建設(shè)情況下的需求，一方面為管理員節(jié)省了時間，另一方面也避免了誤操作對原有業(yè)務(wù)的影響。. 業(yè)務(wù)保證 VPN Manager提供了有效的工具幫助管理員監(jiān)控網(wǎng)絡(luò)和業(yè)務(wù)，向客戶提供有質(zhì)量保證的VPN業(yè)務(wù)。 VPN Manager實時收集網(wǎng)絡(luò)故障信息，當網(wǎng)元發(fā)生已影響或?qū)绊慥PN業(yè)務(wù)的告警時，VPN Manager分析該網(wǎng)元告警會影響的業(yè)務(wù)和客戶，及時向管理員發(fā)送業(yè)務(wù)告警，在客戶的業(yè)務(wù)發(fā)生故障前能夠?qū)崟r提醒維護人員定位解決問題。VPN Manager在拓撲圖中實時顯示故障信息。告警功能與VPN業(yè)務(wù)拓撲視圖的緊密結(jié)合，使網(wǎng)絡(luò)運維人員在故障發(fā)生后可以快速定位網(wǎng)絡(luò)故障。 VPN Manager還包括其它豐富的告警管理功能，包括告警級別重定義、告警知識庫、告警保存、轉(zhuǎn)儲、通知、確認、過濾和報表等，并可按照用戶的設(shè)置，完成告警轉(zhuǎn)EMAIL、轉(zhuǎn)手機等功能。 VPN Manager性能管理提供性能、流量數(shù)據(jù)的收集、顯示、統(tǒng)計和報表功能。性能數(shù)據(jù)包括CEPE間、PEPE間和CECE間時延、抖動數(shù)據(jù)、流量數(shù)據(jù)等。通過對性能數(shù)據(jù)的分析，管理員可以更清楚地了解網(wǎng)絡(luò)運行情況，有利于進行網(wǎng)絡(luò)的規(guī)劃和優(yōu)化。VPN Manager可以針對VPN客戶提供豐富的報表，向客戶提供必要的業(yè)務(wù)性能報告。. CNM特性對業(yè)務(wù)要求較高的客戶，可能希望自己監(jiān)視其租用網(wǎng)絡(luò)的運行狀況，甚至希望能夠?qū)ζ渥庥玫亩丝谶M行一些配置。為此，VPN Manager提供CNM（Customer Network Management）特性，VPN客戶可以通過WEB瀏覽器訪問VPN Manager。VPN Manager根據(jù)其權(quán)限，可以提供如下功能中的部分或全部： 客戶的VPN拓撲：顯示該客戶的客戶視圖，反映客戶各站點之間的連通性 性能、流量統(tǒng)計報表：提供該客戶租用業(yè)務(wù)的性能、流量數(shù)據(jù)報表業(yè)務(wù)故障監(jiān)控：瀏覽該客戶租用的VPN中發(fā)生的業(yè)務(wù)故障 CNM特性是為運營商一個很好的增值業(yè)務(wù)，既滿足了高級客戶的自助式管理需求，也為運營商增加了營業(yè)收入。. 多廠商設(shè)備管理 隨著MPLS技術(shù)的成熟和標準化，同一網(wǎng)絡(luò)中選用多廠商設(shè)備成為可能；另一方面，MPLS VPN業(yè)務(wù)很可能就是基于現(xiàn)有網(wǎng)絡(luò)資源開展的，而現(xiàn)有網(wǎng)絡(luò)中多廠商設(shè)備并存是非?？赡艿摹Ｒ虼?，VPN網(wǎng)管必須要解決多廠商設(shè)備共同管理的問題。VPN Manager在系統(tǒng)設(shè)計和架構(gòu)上具有良好的可擴充性，可以通過開發(fā)不同廠商設(shè)備的驅(qū)動模塊解決該問題。根據(jù)網(wǎng)絡(luò)的實際狀況，VPN Manager的設(shè)備驅(qū)動可以進行定制開發(fā)。可以管理華為、Cisco等廠商的設(shè)備。. 二層、三層VPN管理 構(gòu)建MPLS VPN可以采取多種方案。根據(jù)需要，可以采用二層VPN技術(shù)，也可以采用三層VPN技術(shù)。組網(wǎng)技術(shù)方案的多樣性要求VPN Manager能夠同時提供多種方案的管理能力。VPN Manager可同時管理二層VPN（包括業(yè)界比較流行的Martini、CCC、Kompella等形式）、三層VPN，方便了運營商“多種組網(wǎng)模式，單一集中網(wǎng)管”的需求，節(jié)約了網(wǎng)管成本，提高了工作效率。. 全網(wǎng)資源管理 VPN Manager提供資源管理器形式的全網(wǎng)資源管理，可以對全網(wǎng)資源的使用狀況的進行快速瀏覽，有利于資源規(guī)劃和合理配置。. 與其他系統(tǒng)集成運行能力 VPN運營商在管理MPLS VPN業(yè)務(wù)的同時，還可能需要管理組成網(wǎng)絡(luò)的各個網(wǎng)元設(shè)備。VPN Manager可以與華為iManager N2000網(wǎng)元管理系統(tǒng)集成運行，方便了管理者從網(wǎng)元層面、業(yè)務(wù)層面去管理網(wǎng)絡(luò)，減少了運營商的網(wǎng)管硬件投資。另外，VPNManager提供了CORBA、Qx等對外接口，支持網(wǎng)管的多廠商接入，可以統(tǒng)一集成到業(yè)界公共的網(wǎng)管平臺。例如：VPN Manager提供與HP OpenView的集成能力。2 重點技術(shù)方案 VPN訪問Internetl 企業(yè)內(nèi)部訪問控制方式：l圖5 Internet訪問——企業(yè)內(nèi)部訪問控制方式　如圖5 所示，這種方式在每個企業(yè)的VPN內(nèi)部對INTETNET訪問做NAT，防火墻處理，既將安全機制放在企業(yè)的統(tǒng)一出口處（CE2）。VPN內(nèi)部的各site的訪問INTERNET的數(shù)據(jù)流，必須首先到該VPN的某一site中（該site一般為公司的總部），在該site做NAT，F(xiàn)IREWALL處理后再走到公網(wǎng)中去。這種方式，只需要在客戶端進行配置，對運營商一側(cè)的網(wǎng)絡(luò)沒有配置要求，但對運營商來說無法實現(xiàn)對客戶訪問Internet的統(tǒng)一管理?！? l 集中訪問控制方式圖6 Internet訪問——集中訪問控制方式如圖6 所示，在這種方式INTERNET訪問控制放置在服務(wù)提供商的INTERNET出口處（PE），但為了解決各VPN中采用重疊的保留地址的問題，需要為每個VPN配置一個防火墻，各個VPN的用戶通過屬于各自的防火墻實現(xiàn)對Internet的訪問；這種方法，需要運營商為每個VPN配置一個訪問Internet的VPN，在客戶端需要配置一條訪問Internet VPN的缺省路由，這種方法需要運營商進行一定的配置，而且由于每個VPN都需要一個防火墻，如果VPN用戶較多則需要大量投資，但采用這種方法，運營商可以對各VPN用戶訪問Internet進行有效的管理。l 二級控制方式