【正文】 與LDP方式的L2VPN不同，BGP方式的L2VPN不是直接對(duì)CE與CE之間的連接進(jìn)行操作，而是在整個(gè)SP網(wǎng)絡(luò)中劃分不同的VPN，在VPN內(nèi)部對(duì)CE進(jìn)行編號(hào)。要建立兩個(gè)CE之間的連接時(shí)，只需在PE上設(shè)置本地CE和遠(yuǎn)程CE的CE ID，并指定本地CE為這個(gè)連接分配的Circuit ID（例如ATM的VPI/VCI）。有VPN拓?fù)涞母拍?，通過BGP進(jìn)行自動(dòng)拓?fù)浒l(fā)現(xiàn)，適用于全連接網(wǎng)絡(luò)（相對(duì)LDP方式），當(dāng)然也適應(yīng)于半網(wǎng)狀或星型網(wǎng)絡(luò)。與BGP/MPLS VPN相同，BGP方式的L2VPN也使用route target來區(qū)分不同的VPN，這使得VPN組網(wǎng)具備了極大的靈活性。Kompella方式的MPLS L2VPN也存在跨域的問題，解決方法同MPLS L3VPN。在標(biāo)記分配方面，BGP方式L2VPN采取標(biāo)記塊的方式，一次為多個(gè)連接分配標(biāo)記。用戶可以指定一個(gè)本地CE的范圍（CE range），CE range表明這個(gè)CE能與多少個(gè)CE建立連接。系統(tǒng)會(huì)一次為這個(gè)CE分配一個(gè)標(biāo)記塊，標(biāo)記塊的大小等于CE range。這種方式允許用戶為VPN分配一些額外的標(biāo)記，留待以后使用。這樣會(huì)造成標(biāo)記資源的浪費(fèi)，但是同時(shí)帶來一個(gè)很大的好處：減少VPN部署和擴(kuò)容時(shí)的配置工作量。假設(shè)一個(gè)企業(yè)的VPN包括10個(gè)CE，但是考慮到企業(yè)會(huì)擴(kuò)展業(yè)務(wù)，將來可能會(huì)有20個(gè)CE。這樣可以把每個(gè)CE的CE range設(shè)置為20，系統(tǒng)會(huì)預(yù)先為未來的10個(gè)CE分配標(biāo)記。以后VPN添加CE節(jié)點(diǎn)時(shí)，配置的修改僅限于與新CE直接相連的PE，其他PE不需要作任何修改。這使得VPN的擴(kuò)容變得非常簡(jiǎn)單。. CCCCCC是Circuit Cross Connect（電路交叉連接）的縮寫，是通過靜態(tài)配置來實(shí)現(xiàn)L2VPN的一種方式。與普通的MPLS L2VPN不同的是，CCC采用一層標(biāo)記來傳送用戶數(shù)據(jù)，因此它對(duì)LSP的使用是獨(dú)占性的，用戶必須單獨(dú)為每一個(gè)CCC連接手工配置兩條LSP（兩個(gè)方向各一條），這兩條LSP將只能用于傳遞這個(gè)CCC連接的數(shù)據(jù)，不能用于其他L2VPN連接，也不能用于BGP/MPLS VPN或承載普通的IP報(bào)文。在MPLS標(biāo)記交換連接建立好了以后，理論上通過它可以承載任何的二層、三層數(shù)據(jù)報(bào)文。其中二層數(shù)據(jù)報(bào)文可以是：ATM、幀中繼、以太網(wǎng)/VLAN、PPP等，三層可以是IPvIPvIPX等。實(shí)際上電路交叉連接就是在IP網(wǎng)上實(shí)現(xiàn)的一種ATM、幀中繼、以太網(wǎng)/VLAN、或PPP在IP網(wǎng)絡(luò)中點(diǎn)到點(diǎn)地透?jìng)鞯募夹g(shù)。電路交叉連接也可以用來粘和不同的LSP。. VPLSVPLS(虛擬專用LAN網(wǎng)段，Virtual Private LAN Segments)是利用公共IP資源建立局域網(wǎng)的一種方法，類似于通過LANE在ATM網(wǎng)絡(luò)上模擬局域網(wǎng)，VPLS在拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行上與VPRN相似，主要區(qū)別在于PE節(jié)點(diǎn)使用的是橋接技術(shù)而不是網(wǎng)絡(luò)層轉(zhuǎn)發(fā)。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對(duì)網(wǎng)絡(luò)層協(xié)議透明。雖然Martini和Kompella方式的MPLS L2VPN都可以實(shí)現(xiàn)兩個(gè)LAN網(wǎng)段跨MPLS網(wǎng)絡(luò)的點(diǎn)到點(diǎn)互聯(lián)，但是它們都只支持VLL(Virtual Leased Link)方式的LAN網(wǎng)段互聯(lián)。而VPLS可以通過公共IP/MPLS網(wǎng)絡(luò)將多個(gè)LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個(gè)公共IP/MPLS網(wǎng)絡(luò)看成一個(gè)大L3 Switch。由于目前VPLS實(shí)現(xiàn)沒有明確的標(biāo)準(zhǔn)指導(dǎo)，各廠家的VPLS實(shí)現(xiàn)各不相同。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴(kuò)展作為信令，實(shí)現(xiàn)VC標(biāo)記交換，同時(shí)VPLS要求PE節(jié)點(diǎn)支持MAC地址學(xué)習(xí)功能。. CECE是Custom Edge的縮寫，它是VPN用戶的一個(gè)節(jié)點(diǎn)，位于用戶網(wǎng)絡(luò)的邊緣，它是一個(gè)普通的網(wǎng)絡(luò)節(jié)點(diǎn)，不需要支持MPLS。BGP/MPLS VPN中，CE可以是一個(gè)路由器、三層交換機(jī)甚至一個(gè)主機(jī)，方式是多種多樣的，但一定是一個(gè)三層設(shè)備。一般來說，PE和CE之間在三層上相隔一跳，如果中間存在一個(gè)二層網(wǎng)絡(luò)，如以太網(wǎng)、ATM網(wǎng)等，以太網(wǎng)交換機(jī)、ATM交換機(jī)都不應(yīng)當(dāng)被視為CE，特別的，如果L3被用作VLAN透?jìng)?，也不?yīng)當(dāng)被視為CE。 如果PE支持IP隧道方式接入或多角色主機(jī)，則CE只要與PE在IP上可達(dá)就可以了，這時(shí)它們之間可以相隔多跳。一些廠商聲稱不需要CE，是一種誤導(dǎo)，其實(shí)是說VPN用戶可以采用運(yùn)營商提供的設(shè)備接入PE，而不需要添加一個(gè)專門的設(shè)備。L2 VPN中，CE可以是二層也可以三層設(shè)備。在PE設(shè)備上，CE是通過VLAN、PVC、PPP、HDLC等鏈路層信息來識(shí)別的，因此PE和CE可以是直接相連的，也可以相隔一個(gè)二層網(wǎng)絡(luò)，但不可以相隔三層設(shè)備或網(wǎng)絡(luò)。在VPLS中，由于PE要維護(hù)MAC地址表，如果CE是二層設(shè)備，VPN站點(diǎn)中的MAC地址都會(huì)泄漏到PE上，PE負(fù)擔(dān)較重，因此建議CE采用三層設(shè)備。 . 網(wǎng)管. 簡(jiǎn)介華為MPLS VPN網(wǎng)管是iManager VPN Manager參考TMN、TMF規(guī)范，VPN Manager提供的管理功能涉及到網(wǎng)絡(luò)管理、業(yè)務(wù)管理、客戶管理等領(lǐng)域。VPN Manager完成的主要功能是：? 承接業(yè)務(wù)訂單，生成業(yè)務(wù)請(qǐng)求并進(jìn)行網(wǎng)絡(luò)規(guī)劃、部署、審計(jì)? 維護(hù)網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)性能和故障? 進(jìn)行網(wǎng)絡(luò)性能、故障的業(yè)務(wù)相關(guān)性分析，為業(yè)務(wù)保障提供原始數(shù)據(jù)? 提供基于WEB的客戶網(wǎng)絡(luò)管理（CNM），為VPN客戶提供對(duì)VPN的監(jiān)控手段圖3描述了VPN Manager在運(yùn)營系統(tǒng)中的位置。VPN Manager立足于管理MPLS VPN網(wǎng)絡(luò)，實(shí)現(xiàn)客戶管理、業(yè)務(wù)部署、性能監(jiān)控和故障監(jiān)控功能的無縫融合，是運(yùn)營商開展MPLS VPN業(yè)務(wù)的管理工具。圖3 VPN Manager在運(yùn)營系統(tǒng)中的位置iManager N2100 VPN Manager可以為運(yùn)營商提供端到端VPN業(yè)務(wù)管理解決方案。VPN Manager解決了VPN業(yè)務(wù)管理中必須解決的以下問題：? 直觀的、可觀察的業(yè)務(wù)規(guī)劃? 快速的、可調(diào)度的業(yè)務(wù)部署? 已部署業(yè)務(wù)的發(fā)現(xiàn)? 業(yè)務(wù)故障告警、檢測(cè)? 客戶管理? 全網(wǎng)資源管理? 網(wǎng)絡(luò)性能監(jiān)控? 多廠商設(shè)備的管理? 大客戶的增值業(yè)務(wù)管理VPN Manager的功能覆蓋了VPN業(yè)務(wù)的整個(gè)生命周期的管理，從業(yè)務(wù)規(guī)劃、業(yè)務(wù)審計(jì)、業(yè)務(wù)部署到業(yè)務(wù)監(jiān)控。利用VPN Manager管理VPN業(yè)務(wù)，可提高運(yùn)營商的業(yè)務(wù)響應(yīng)速度，降低網(wǎng)絡(luò)維護(hù)、業(yè)務(wù)運(yùn)營成本，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力。圖4顯示了VPN Manager的主界面。圖 4 VPN Manager界面. 網(wǎng)管主要功能特點(diǎn). 客戶管理 VPN業(yè)務(wù)是面向客戶的業(yè)務(wù)，為了掌握客戶信息，更好的為客戶服務(wù)，VPN Manager提供了豐富的客戶管理功能。利用VPN Manager，可以維護(hù)客戶的基本信息、查看客戶所租用的VPN業(yè)務(wù)、VPN業(yè)務(wù)所占用的網(wǎng)絡(luò)資源及其運(yùn)行狀況。VPN Manager還能夠輸出客戶的業(yè)務(wù)租用報(bào)表、資源租用報(bào)表、性能數(shù)據(jù)報(bào)表、流量數(shù)據(jù)報(bào)表和故障數(shù)據(jù)報(bào)表等。運(yùn)營商和客戶都十分關(guān)心業(yè)務(wù)的運(yùn)行狀況，VPN Manager提供這些數(shù)據(jù)報(bào)表有利于雙方了解業(yè)務(wù)運(yùn)行狀況，將大大提高運(yùn)營商的客戶滿意度。. 業(yè)務(wù)處理 VPN Manager提供向?qū)Х绞降臉I(yè)務(wù)定義功能，相似的業(yè)務(wù)定義，可以利用模板進(jìn)行拷貝創(chuàng)建，提高了配置效率。同時(shí)還提供按照時(shí)間策略進(jìn)行部署的機(jī)制，可以靈活定制部署時(shí)間，避免在業(yè)務(wù)高峰期部署新業(yè)務(wù)對(duì)網(wǎng)絡(luò)和原有業(yè)務(wù)的沖擊。例如：部署時(shí)間可以設(shè)置在夜間――業(yè)務(wù)流量較少的時(shí)段，而管理者可在第二天工作時(shí)間查看業(yè)務(wù)部署的結(jié)果。 VPN Manager使用圖形化、向?qū)降牟僮鱽硗瓿蒝PN業(yè)務(wù)的規(guī)劃，管理員只需要從資源庫中選擇接口，輸入部分VPN參數(shù)，VPN Manager就可以利用系統(tǒng)現(xiàn)有數(shù)據(jù)自動(dòng)填充或計(jì)算出相關(guān)值，然后生成“業(yè)務(wù)請(qǐng)求”。 VPN業(yè)務(wù)配置復(fù)雜，配置錯(cuò)誤會(huì)引起路由震蕩等網(wǎng)絡(luò)問題，因此，必須在實(shí)際部署之前保證業(yè)務(wù)的正確性。VPN Manager根據(jù)業(yè)務(wù)請(qǐng)求可以生成兩種網(wǎng)絡(luò)拓?fù)鋱D，供應(yīng)商視圖（表達(dá)網(wǎng)絡(luò)物理連接）和客戶視圖（表達(dá)VPN連接），用于核查業(yè)務(wù)請(qǐng)求是否表達(dá)了預(yù)期的業(yè)務(wù)設(shè)想，避免業(yè)務(wù)部署錯(cuò)誤，從而提高業(yè)務(wù)發(fā)放的效率。 為了保證客戶業(yè)務(wù)的開通，對(duì)于已部署業(yè)務(wù)，VPN Manager提供了進(jìn)行配置審計(jì)和連通審計(jì)。VPM Manager還可以用Highlight的方式將VPN站點(diǎn)間的LSP通道直觀的顯示在拓?fù)渖稀?對(duì)于先期在網(wǎng)絡(luò)上部署的業(yè)務(wù)，VPN Manager可以進(jìn)行業(yè)務(wù)發(fā)現(xiàn)。VPN Manager首先讀入業(yè)務(wù)信息，分析出VPN的基本信息，在管理員的幫助之下，還原出存在于網(wǎng)絡(luò)上的VPN業(yè)務(wù)信息。這樣，不需要在網(wǎng)管上重新再次輸入網(wǎng)絡(luò)相關(guān)的配置參數(shù)，滿足網(wǎng)絡(luò)先期開通、網(wǎng)管后建設(shè)情況下的需求，一方面為管理員節(jié)省了時(shí)間，另一方面也避免了誤操作對(duì)原有業(yè)務(wù)的影響。. 業(yè)務(wù)保證 VPN Manager提供了有效的工具幫助管理員監(jiān)控網(wǎng)絡(luò)和業(yè)務(wù)，向客戶提供有質(zhì)量保證的VPN業(yè)務(wù)。 VPN Manager實(shí)時(shí)收集網(wǎng)絡(luò)故障信息，當(dāng)網(wǎng)元發(fā)生已影響或?qū)?huì)影響VPN業(yè)務(wù)的告警時(shí)，VPN Manager分析該網(wǎng)元告警會(huì)影響的業(yè)務(wù)和客戶，及時(shí)向管理員發(fā)送業(yè)務(wù)告警，在客戶的業(yè)務(wù)發(fā)生故障前能夠?qū)崟r(shí)提醒維護(hù)人員定位解決問題。VPN Manager在拓?fù)鋱D中實(shí)時(shí)顯示故障信息。告警功能與VPN業(yè)務(wù)拓?fù)湟晥D的緊密結(jié)合，使網(wǎng)絡(luò)運(yùn)維人員在故障發(fā)生后可以快速定位網(wǎng)絡(luò)故障。 VPN Manager還包括其它豐富的告警管理功能，包括告警級(jí)別重定義、告警知識(shí)庫、告警保存、轉(zhuǎn)儲(chǔ)、通知、確認(rèn)、過濾和報(bào)表等，并可按照用戶的設(shè)置，完成告警轉(zhuǎn)EMAIL、轉(zhuǎn)手機(jī)等功能。 VPN Manager性能管理提供性能、流量數(shù)據(jù)的收集、顯示、統(tǒng)計(jì)和報(bào)表功能。性能數(shù)據(jù)包括CEPE間、PEPE間和CECE間時(shí)延、抖動(dòng)數(shù)據(jù)、流量數(shù)據(jù)等。通過對(duì)性能數(shù)據(jù)的分析，管理員可以更清楚地了解網(wǎng)絡(luò)運(yùn)行情況，有利于進(jìn)行網(wǎng)絡(luò)的規(guī)劃和優(yōu)化。VPN Manager可以針對(duì)VPN客戶提供豐富的報(bào)表，向客戶提供必要的業(yè)務(wù)性能報(bào)告。. CNM特性對(duì)業(yè)務(wù)要求較高的客戶，可能希望自己監(jiān)視其租用網(wǎng)絡(luò)的運(yùn)行狀況，甚至希望能夠?qū)ζ渥庥玫亩丝谶M(jìn)行一些配置。為此，VPN Manager提供CNM（Customer Network Management）特性，VPN客戶可以通過WEB瀏覽器訪問VPN Manager。VPN Manager根據(jù)其權(quán)限，可以提供如下功能中的部分或全部： 客戶的VPN拓?fù)洌猴@示該客戶的客戶視圖，反映客戶各站點(diǎn)之間的連通性 性能、流量統(tǒng)計(jì)報(bào)表：提供該客戶租用業(yè)務(wù)的性能、流量數(shù)據(jù)報(bào)表業(yè)務(wù)故障監(jiān)控：瀏覽該客戶租用的VPN中發(fā)生的業(yè)務(wù)故障 CNM特性是為運(yùn)營商一個(gè)很好的增值業(yè)務(wù)，既滿足了高級(jí)客戶的自助式管理需求，也為運(yùn)營商增加了營業(yè)收入。. 多廠商設(shè)備管理 隨著MPLS技術(shù)的成熟和標(biāo)準(zhǔn)化，同一網(wǎng)絡(luò)中選用多廠商設(shè)備成為可能；另一方面，MPLS VPN業(yè)務(wù)很可能就是基于現(xiàn)有網(wǎng)絡(luò)資源開展的，而現(xiàn)有網(wǎng)絡(luò)中多廠商設(shè)備并存是非?？赡艿摹Ｒ虼?，VPN網(wǎng)管必須要解決多廠商設(shè)備共同管理的問題。VPN Manager在系統(tǒng)設(shè)計(jì)和架構(gòu)上具有良好的可擴(kuò)充性，可以通過開發(fā)不同廠商設(shè)備的驅(qū)動(dòng)模塊解決該問題。根據(jù)網(wǎng)絡(luò)的實(shí)際狀況，VPN Manager的設(shè)備驅(qū)動(dòng)可以進(jìn)行定制開發(fā)。可以管理華為、Cisco等廠商的設(shè)備。. 二層、三層VPN管理 構(gòu)建MPLS VPN可以采取多種方案。根據(jù)需要，可以采用二層VPN技術(shù)，也可以采用三層VPN技術(shù)。組網(wǎng)技術(shù)方案的多樣性要求VPN Manager能夠同時(shí)提供多種方案的管理能力。VPN Manager可同時(shí)管理二層VPN（包括業(yè)界比較流行的Martini、CCC、Kompella等形式）、三層VPN，方便了運(yùn)營商“多種組網(wǎng)模式，單一集中網(wǎng)管”的需求，節(jié)約了網(wǎng)管成本，提高了工作效率。. 全網(wǎng)資源管理 VPN Manager提供資源管理器形式的全網(wǎng)資源管理，可以對(duì)全網(wǎng)資源的使用狀況的進(jìn)行快速瀏覽，有利于資源規(guī)劃和合理配置。. 與其他系統(tǒng)集成運(yùn)行能力 VPN運(yùn)營商在管理MPLS VPN業(yè)務(wù)的同時(shí)，還可能需要管理組成網(wǎng)絡(luò)的各個(gè)網(wǎng)元設(shè)備。VPN Manager可以與華為iManager N2000網(wǎng)元管理系統(tǒng)集成運(yùn)行，方便了管理者從網(wǎng)元層面、業(yè)務(wù)層面去管理網(wǎng)絡(luò)，減少了運(yùn)營商的網(wǎng)管硬件投資。另外，VPNManager提供了CORBA、Qx等對(duì)外接口，支持網(wǎng)管的多廠商接入，可以統(tǒng)一集成到業(yè)界公共的網(wǎng)管平臺(tái)。例如：VPN Manager提供與HP OpenView的集成能力。2 重點(diǎn)技術(shù)方案 VPN訪問Internetl 企業(yè)內(nèi)部訪問控制方式：l圖5 Internet訪問——企業(yè)內(nèi)部訪問控制方式　如圖5 所示，這種方式在每個(gè)企業(yè)的VPN內(nèi)部對(duì)INTETNET訪問做NAT，防火墻處理，既將安全機(jī)制放在企業(yè)的統(tǒng)一出口處（CE2）。VPN內(nèi)部的各site的訪問INTERNET的數(shù)據(jù)流，必須首先到該VPN的某一site中（該site一般為公司的總部），在該site做NAT，F(xiàn)IREWALL處理后再走到公網(wǎng)中去。這種方式，只需要在客戶端進(jìn)行配置，對(duì)運(yùn)營商一側(cè)的網(wǎng)絡(luò)沒有配置要求，但對(duì)運(yùn)營商來說無法實(shí)現(xiàn)對(duì)客戶訪問Internet的統(tǒng)一管理。　 l 集中訪問控制方式圖6 Internet訪問——集中訪問控制方式如圖6 所示，在這種方式INTERNET訪問控制放置在服務(wù)提供商的INTERNET出口處（PE），但為了解決各VPN中采用重疊的保留地址的問題，需要為每個(gè)VPN配置一個(gè)防火墻，各個(gè)VPN的用戶通過屬于各自的防火墻實(shí)現(xiàn)對(duì)Internet的訪問；這種方法，需要運(yùn)營商為每個(gè)VPN配置一個(gè)訪問Internet的VPN，在客戶端需要配置一條訪問Internet VPN的缺省路由，這種方法需要運(yùn)營商進(jìn)行一定的配置，而且由于每個(gè)VPN都需要一個(gè)防火墻，如果VPN用戶較多則需要大量投資，但采用這種方法，運(yùn)營商可以對(duì)各VPN用戶訪問Internet進(jìn)行有效的管理。l 二級(jí)控制方式