【正文】 。二層 VPN 的優(yōu)點概述如下：? 設(shè)計部署簡單，簡化操作維護? 可以使用偽線提供新業(yè)務(wù)? 通過基于 IP/MPLS 的二層 VPN 可降低成本? 通過 VPN 可擴展原來的二層網(wǎng)絡(luò)? 保護現(xiàn)有的網(wǎng)絡(luò)投資，方便接入現(xiàn)有業(yè)務(wù)到 VPN 中? 提供非 IP 協(xié)議的聯(lián)通性，包括采用路由和橋接方式 二層 VPN 組網(wǎng)概貌 及多種接入方式融合多種接入方式目前城域網(wǎng)中存在多種接入方式，如 ATM PVC 專線接入；ATM DSLAM 客戶的接入；以太專線接入；IP DSLAM 客戶的接入；E1/CP3 專線接入等。路由器的 L2 VPN 解決方案可以方便的將這些衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 36 頁 共 42 頁客戶接入城域網(wǎng)絡(luò)中。P O SM P L SE t h e r n e tA T ME 1A T ME t h e r n e t大 客 戶I PD S L A MA T MD S L A MA T M 交換機大客戶大客戶1）PVC 接入用 戶 1用 戶 2用 戶 3核 心 網(wǎng)P V CV L A N用 戶 1用 戶 2用 戶 3M P L SS u b p v cV F I 與 S u p e r p v c綁 定現(xiàn)在城域網(wǎng)中有一些用戶（如政務(wù)網(wǎng)用戶）通過 PVC 的方式接入到邊緣路由器上，在邊緣路由器上作為二層 VPN 用戶進行互通，并在匯聚路由器上共用一個網(wǎng)段和網(wǎng)關(guān)作為三層 VPN 用戶與其他三層 VPN 用戶進行通信。如果要求 PVC 和 VLAN 捆綁，這種方式同樣存在著 VLAN 資源不夠，IP 地址浪費的問題。針對這種情況路由器設(shè)備提供了 Super PVC 接入 VPLS 的解決方案。 Super PVC 可以使屬于同一 VPN 用戶的多個 PVC 共用相同的地址網(wǎng)段和網(wǎng)關(guān)；可以提供 Super PVC 內(nèi) PVC 用戶之間的互通；可以提供 PVC 用戶上行、下行速率限制；同時可以提供 Super PVC衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 37 頁 共 42 頁中 PVC 用戶 IP 地址的綁定。2）VLAN 接入用戶 VLAN 的接入情況主要有以下幾種：普通用戶 VLAN 的接入；網(wǎng)吧用戶的 VLAN 接入（Super VLAN） ；分散大客戶 VLAN的接入（QinQ） 。普通用戶 VLAN 的接入主要是 VALN 用戶使用交換機接入CE，在路由器上配置子接口終結(jié) VLAN，并將子接口綁定到相應(yīng)的VPLS 實例中。此時，各個 VPN 用戶共享上行鏈路的帶寬，因此適合小型用戶或分支機構(gòu)。M P L S用 戶V L A N 終 結(jié)用 戶網(wǎng)吧用戶的 VLAN 接入采用 Super VLAN 技術(shù)接入，可以實現(xiàn)每用戶對應(yīng)一個 Sub VLAN，通過 EPON 匯聚各個網(wǎng)吧業(yè)務(wù)后，通過上行的兩個 GE 端口匯聚到路由器。網(wǎng) 吧 1網(wǎng) 吧 2網(wǎng) 吧 3核 心 網(wǎng)用 P V L A N 將 各 端 口 分 離并 根 據(jù) 資 費 進 行 端 口 限 速網(wǎng) 吧 1網(wǎng) 吧 2M P L SS u b v l a nS u p e r v l a nE P O N限 速地 址 綁 定網(wǎng) 吧 3采用這種接入方式的優(yōu)點主要有：1）負(fù)荷分擔(dān)：通過在路由器上啟用的 SmartGroup 功能捆綁 EPON衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 38 頁 共 42 頁上行的兩個 GE 鏈路，完成線路的冗余備份，以及鏈路的負(fù)荷分擔(dān)； 2）避免地址浪費：路由器上對屬于同一 Super VLAN 的 Sub VLAN分配相同的網(wǎng)段和網(wǎng)關(guān)；3）三層 VPN 接入：在路由器上完成 Super VLAN 到三層 VPN 的接入；4）用戶隔離：對應(yīng)于每個網(wǎng)吧的每個 Sub VLAN，利用 Sub VLAN的隔離功能，完成用戶之間的隔離，提供與原網(wǎng)絡(luò)中 PVLAN 相同的隔離效果；5）用戶限速：通過在路由器啟用 CAR，完成對 Super VLAN 內(nèi)各個VLAN 用戶上行、下行速率的限制；6）用戶綁定：通過路由器啟用 Super VLAN 用戶 IP 地址的綁定功能，這里可以根據(jù)網(wǎng)吧的地址需求，配置每個用戶 VLAN 綁定一個或多個地址；7）其他安全功能：根據(jù)需要，可以在路由器上啟用 Super VLAN 接口上的 ACL 等安全功能。 另外對于一些在地域內(nèi)分布廣但數(shù)量較少的小分支機構(gòu)（大客戶用戶） ，采用傳統(tǒng)的交換機接入的方式浪費交換機及線路等資源。針對這種情況，這些客戶的接入，利用接入小區(qū)用戶的 IP DSLAM設(shè)備實現(xiàn)。這些大客戶通過 IP DSLAM 接入到匯聚交換機后，由于該部分用戶不需要進行用戶驗證，直接接入到業(yè)務(wù)路由器上，進行相關(guān)業(yè)務(wù)處理。為了區(qū)分這些客戶，路由器提供了 QinQ 用戶的接入。與傳統(tǒng)的 QinQ 不同的是，這種 QinQ 接入方式中內(nèi)、外兩層VLAN 組合表示一個用戶。同時對 QinQ 接入的客戶也提供了用戶衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 39 頁 共 42 頁的限速功能，保證運營商網(wǎng)絡(luò)帶寬的有效利用。M P L S大 客 戶個 人 用 戶Q i n Q 識 別與 終 結(jié)充 分 利 用 小 區(qū)的 D S L A M 資 源3）E1/CP3 接入對于大客戶的 E1 接入，ZXR10 路由器提供大容量 E1 接口，支持信道化/非信道化 E1，支持多個 E1 捆綁，這多個 E1 可以起到負(fù)載均衡的作用；提供 CPOS 接口和傳輸設(shè)備配合，實現(xiàn)多個 E1到 POS 155 轉(zhuǎn)換。E 1 * N大 客 戶 1E 1 * N C P 3M P L SM S T P大 客 戶 2 L2 VPN 網(wǎng)絡(luò)的 QoS 保證對于接入 VPLS 的業(yè)務(wù)，對于 的數(shù)據(jù)包采用 到MPLS EXP 的映射。對于沒有 標(biāo)記的數(shù)據(jù)包，采用基于源、目的 MAC 對流量的分類、標(biāo)記、CAR 。VPLS 業(yè)務(wù)還可以根據(jù)需要基于 VFI、接口的優(yōu)先級標(biāo)記。在網(wǎng)絡(luò)的匯聚核心層利用 MPLS 的 QoS 能力（如利用 TE 技術(shù)完成 VPN 的 QoS 保證）完成 QoS 保證。 L2 VPN 網(wǎng)絡(luò)的可擴展性部署L2 VPN 的三種基本的拓?fù)浣Y(jié)構(gòu)如下：衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 40 頁 共 42 頁? Full mesh? Hub and spoke? Partial mesh 異構(gòu)實現(xiàn)考慮到現(xiàn)有點對點專線業(yè)務(wù)目前還有很大的市場分額，需要在MPLS/IP 核心傳輸網(wǎng)絡(luò)中提供對這些傳統(tǒng)業(yè)務(wù)（ATM 、FR 以及以太等）的支持，而 VPWS 則很好地提供了 Any Transport over MPLS的技術(shù)手段。由于 ATM、FR 的廣泛存在，所以在 MPLS 上提供ATM、FR 之間的互通顯得非常必要。由于一個 VPN 用戶同時擁有 ATM、FR、ETH 等接口，而需要把這些節(jié)點互聯(lián)，就必須要異構(gòu)的點對點 PW 類型，下面講述的異構(gòu)類型是在數(shù)據(jù)層面的，不涉及控制層面。異構(gòu)的兩種模型：? ExtendedAC L2VPN Interworking Model － 對于此模型，PW 類型和 AC 是一樣的（AC2oPW） ，IWF 只存在于 PE1 上，PE2 上不需要 IWF，僅僅是對 AC2 來的幀的處理。對于ATMFR，我們使用此模型，因為 ATMFR 需要完全的ServiceInterworking，同時 又定義了此功能。此模型的優(yōu)點是可以使用已經(jīng)存在的 PW 來進行幀的傳輸，減少了PE 的處理。? LocalAC Termination L2VPN Interworking Model － 在此模型中，每一個 AC 僅僅到 PE 就終止，PE 然后提取出 NS 幀，送入 PW 傳輸，于是，PW 的類型和 NS 是相同類型的（NSoPW） 。此模型的優(yōu)點是：對于 PE，只要根據(jù)它的接口衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 41 頁 共 42 頁可以確定所支持的互操作功能；如它有 ATM 接口，則此接口只需要支持[RFC2684]。對于 PE，只需要支持一種公共的PW 就可以了。對于接口或 VC 的配置，僅僅在支持此接口的PE 上?？梢杂懈玫臄U展性。 層次化 VPLS在 VPLS 模型中，需要在所有參與 VPLS 業(yè)務(wù)的 PE 設(shè)備間建立全網(wǎng)狀的虛擬電路，也就是說一共必須建立 n（n1）/2 條VC，這樣的信令開銷就比較大。而且在學(xué)習(xí) MAC 地址階段和轉(zhuǎn)發(fā)組播或廣播包時，流量必須被復(fù)制 N1 份，發(fā)向其余的 PE。在大型網(wǎng)絡(luò)中，PE 數(shù)量較多的時候，這種基本的 VPLS 模型就會帶來擴展性的問題，影響業(yè)務(wù)的部署。在大型網(wǎng)絡(luò)中還需解決的第二個問題是 VPLS 的跨域問題。為了解決這兩個問題，路由器提供了層次化VPLS 組網(wǎng)模型和 TLDP 反射器的功能。SiSiSiBACKBONE NETWORKCE1 PE1 PE2 CE2CE3PE3MTUs/(PEr)SiCE11層次化 VPLS 技術(shù)在基本的 VPLS 模型的基礎(chǔ)上增加了一個MTU（MultiTenant Unit ）層，所謂 MTU 是指運營商放置在寫字樓、商業(yè)區(qū)等企業(yè)用戶聚集地的小型邊緣設(shè)備，MTU 負(fù)責(zé)接入企業(yè)客戶，并將需要使用 VPLS 業(yè)務(wù)的用戶通過虛擬電路匯聚到 PE 上，這種MTU 和 PE 之間的虛擬電路被稱為 Spoke VC，而 PE 之間的虛擬電衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 42 頁 共 42 頁路被稱為 Hub VC。這種層次化的（ MTUPE）VC 的接入方式，只需在有限數(shù)量的 PE 之間建立全網(wǎng)狀的 Hub VC，減少了信令的開銷和復(fù)制的工作量，從而大大地增強了 VPLS 的可擴展性。同時可以通過 HVPLS 方式完成 VPLS 的跨域互通（域內(nèi)的路由器建立MPLS 連接，采用 HUB PW 連接；域間 ASBR 在直連接口采用 LDP建立連接，并建立 SPOKE 方式的 PW；同一 VPLS 域HUB、SPOKE PW 的 VCID 一致） 。 TLDP 反射器通過在 VPLS 網(wǎng)絡(luò)中設(shè)置 TLDP 反射器，同樣可以解決全網(wǎng)狀VC 的問題，同時可以提供 VPLS 的跨域方式。在 draftztepwe3controlprotocolext 中，利用 LDP 反射器組建 VPWS 網(wǎng)絡(luò)的網(wǎng)絡(luò)模型以解決網(wǎng)絡(luò)的伸縮性問題。在可伸縮的 VPWS 網(wǎng)絡(luò)中，PWE3 PE可以分別與反射器建立信令會話連接，可以通過分段 PWE3 提供跨域的偽線服務(wù)。反 射 器反 射 器P EA S B RA S B RP EA S 1A S 2T L D P 會 話T L D P 會 話T L D P 會 話