【正文】 。二層 VPN 的優(yōu)點概述如下：? 設計部署簡單，簡化操作維護? 可以使用偽線提供新業(yè)務? 通過基于 IP/MPLS 的二層 VPN 可降低成本? 通過 VPN 可擴展原來的二層網絡? 保護現有的網絡投資，方便接入現有業(yè)務到 VPN 中? 提供非 IP 協議的聯通性，包括采用路由和橋接方式 二層 VPN 組網概貌 及多種接入方式融合多種接入方式目前城域網中存在多種接入方式，如 ATM PVC 專線接入；ATM DSLAM 客戶的接入；以太專線接入；IP DSLAM 客戶的接入；E1/CP3 專線接入等。路由器的 L2 VPN 解決方案可以方便的將這些衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 36 頁 共 42 頁客戶接入城域網絡中。P O SM P L SE t h e r n e tA T ME 1A T ME t h e r n e t大 客 戶I PD S L A MA T MD S L A MA T M 交換機大客戶大客戶1）PVC 接入用 戶 1用 戶 2用 戶 3核 心 網P V CV L A N用 戶 1用 戶 2用 戶 3M P L SS u b p v cV F I 與 S u p e r p v c綁 定現在城域網中有一些用戶（如政務網用戶）通過 PVC 的方式接入到邊緣路由器上，在邊緣路由器上作為二層 VPN 用戶進行互通，并在匯聚路由器上共用一個網段和網關作為三層 VPN 用戶與其他三層 VPN 用戶進行通信。如果要求 PVC 和 VLAN 捆綁，這種方式同樣存在著 VLAN 資源不夠，IP 地址浪費的問題。針對這種情況路由器設備提供了 Super PVC 接入 VPLS 的解決方案。 Super PVC 可以使屬于同一 VPN 用戶的多個 PVC 共用相同的地址網段和網關；可以提供 Super PVC 內 PVC 用戶之間的互通；可以提供 PVC 用戶上行、下行速率限制；同時可以提供 Super PVC衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 37 頁 共 42 頁中 PVC 用戶 IP 地址的綁定。2）VLAN 接入用戶 VLAN 的接入情況主要有以下幾種：普通用戶 VLAN 的接入；網吧用戶的 VLAN 接入（Super VLAN） ；分散大客戶 VLAN的接入（QinQ） 。普通用戶 VLAN 的接入主要是 VALN 用戶使用交換機接入CE，在路由器上配置子接口終結 VLAN，并將子接口綁定到相應的VPLS 實例中。此時，各個 VPN 用戶共享上行鏈路的帶寬，因此適合小型用戶或分支機構。M P L S用 戶V L A N 終 結用 戶網吧用戶的 VLAN 接入采用 Super VLAN 技術接入，可以實現每用戶對應一個 Sub VLAN，通過 EPON 匯聚各個網吧業(yè)務后，通過上行的兩個 GE 端口匯聚到路由器。網 吧 1網 吧 2網 吧 3核 心 網用 P V L A N 將 各 端 口 分 離并 根 據 資 費 進 行 端 口 限 速網 吧 1網 吧 2M P L SS u b v l a nS u p e r v l a nE P O N限 速地 址 綁 定網 吧 3采用這種接入方式的優(yōu)點主要有：1）負荷分擔：通過在路由器上啟用的 SmartGroup 功能捆綁 EPON衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 38 頁 共 42 頁上行的兩個 GE 鏈路，完成線路的冗余備份，以及鏈路的負荷分擔； 2）避免地址浪費：路由器上對屬于同一 Super VLAN 的 Sub VLAN分配相同的網段和網關；3）三層 VPN 接入：在路由器上完成 Super VLAN 到三層 VPN 的接入；4）用戶隔離：對應于每個網吧的每個 Sub VLAN，利用 Sub VLAN的隔離功能，完成用戶之間的隔離，提供與原網絡中 PVLAN 相同的隔離效果；5）用戶限速：通過在路由器啟用 CAR，完成對 Super VLAN 內各個VLAN 用戶上行、下行速率的限制；6）用戶綁定：通過路由器啟用 Super VLAN 用戶 IP 地址的綁定功能，這里可以根據網吧的地址需求，配置每個用戶 VLAN 綁定一個或多個地址；7）其他安全功能：根據需要，可以在路由器上啟用 Super VLAN 接口上的 ACL 等安全功能。 另外對于一些在地域內分布廣但數量較少的小分支機構（大客戶用戶） ，采用傳統(tǒng)的交換機接入的方式浪費交換機及線路等資源。針對這種情況，這些客戶的接入，利用接入小區(qū)用戶的 IP DSLAM設備實現。這些大客戶通過 IP DSLAM 接入到匯聚交換機后，由于該部分用戶不需要進行用戶驗證，直接接入到業(yè)務路由器上，進行相關業(yè)務處理。為了區(qū)分這些客戶，路由器提供了 QinQ 用戶的接入。與傳統(tǒng)的 QinQ 不同的是，這種 QinQ 接入方式中內、外兩層VLAN 組合表示一個用戶。同時對 QinQ 接入的客戶也提供了用戶衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 39 頁 共 42 頁的限速功能，保證運營商網絡帶寬的有效利用。M P L S大 客 戶個 人 用 戶Q i n Q 識 別與 終 結充 分 利 用 小 區(qū)的 D S L A M 資 源3）E1/CP3 接入對于大客戶的 E1 接入，ZXR10 路由器提供大容量 E1 接口，支持信道化/非信道化 E1，支持多個 E1 捆綁，這多個 E1 可以起到負載均衡的作用；提供 CPOS 接口和傳輸設備配合，實現多個 E1到 POS 155 轉換。E 1 * N大 客 戶 1E 1 * N C P 3M P L SM S T P大 客 戶 2 L2 VPN 網絡的 QoS 保證對于接入 VPLS 的業(yè)務，對于 的數據包采用 到MPLS EXP 的映射。對于沒有 標記的數據包，采用基于源、目的 MAC 對流量的分類、標記、CAR 。VPLS 業(yè)務還可以根據需要基于 VFI、接口的優(yōu)先級標記。在網絡的匯聚核心層利用 MPLS 的 QoS 能力（如利用 TE 技術完成 VPN 的 QoS 保證）完成 QoS 保證。 L2 VPN 網絡的可擴展性部署L2 VPN 的三種基本的拓撲結構如下：衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 40 頁 共 42 頁? Full mesh? Hub and spoke? Partial mesh 異構實現考慮到現有點對點專線業(yè)務目前還有很大的市場分額，需要在MPLS/IP 核心傳輸網絡中提供對這些傳統(tǒng)業(yè)務（ATM 、FR 以及以太等）的支持，而 VPWS 則很好地提供了 Any Transport over MPLS的技術手段。由于 ATM、FR 的廣泛存在，所以在 MPLS 上提供ATM、FR 之間的互通顯得非常必要。由于一個 VPN 用戶同時擁有 ATM、FR、ETH 等接口，而需要把這些節(jié)點互聯，就必須要異構的點對點 PW 類型，下面講述的異構類型是在數據層面的，不涉及控制層面。異構的兩種模型：? ExtendedAC L2VPN Interworking Model － 對于此模型，PW 類型和 AC 是一樣的（AC2oPW） ，IWF 只存在于 PE1 上，PE2 上不需要 IWF，僅僅是對 AC2 來的幀的處理。對于ATMFR，我們使用此模型，因為 ATMFR 需要完全的ServiceInterworking，同時 又定義了此功能。此模型的優(yōu)點是可以使用已經存在的 PW 來進行幀的傳輸，減少了PE 的處理。? LocalAC Termination L2VPN Interworking Model － 在此模型中，每一個 AC 僅僅到 PE 就終止，PE 然后提取出 NS 幀，送入 PW 傳輸，于是，PW 的類型和 NS 是相同類型的（NSoPW） 。此模型的優(yōu)點是：對于 PE，只要根據它的接口衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 41 頁 共 42 頁可以確定所支持的互操作功能；如它有 ATM 接口，則此接口只需要支持[RFC2684]。對于 PE，只需要支持一種公共的PW 就可以了。對于接口或 VC 的配置，僅僅在支持此接口的PE 上。可以有更好的擴展性。 層次化 VPLS在 VPLS 模型中，需要在所有參與 VPLS 業(yè)務的 PE 設備間建立全網狀的虛擬電路，也就是說一共必須建立 n（n1）/2 條VC，這樣的信令開銷就比較大。而且在學習 MAC 地址階段和轉發(fā)組播或廣播包時，流量必須被復制 N1 份，發(fā)向其余的 PE。在大型網絡中，PE 數量較多的時候，這種基本的 VPLS 模型就會帶來擴展性的問題，影響業(yè)務的部署。在大型網絡中還需解決的第二個問題是 VPLS 的跨域問題。為了解決這兩個問題，路由器提供了層次化VPLS 組網模型和 TLDP 反射器的功能。SiSiSiBACKBONE NETWORKCE1 PE1 PE2 CE2CE3PE3MTUs/(PEr)SiCE11層次化 VPLS 技術在基本的 VPLS 模型的基礎上增加了一個MTU（MultiTenant Unit ）層，所謂 MTU 是指運營商放置在寫字樓、商業(yè)區(qū)等企業(yè)用戶聚集地的小型邊緣設備，MTU 負責接入企業(yè)客戶，并將需要使用 VPLS 業(yè)務的用戶通過虛擬電路匯聚到 PE 上，這種MTU 和 PE 之間的虛擬電路被稱為 Spoke VC，而 PE 之間的虛擬電衛(wèi)生系統(tǒng)全省綜合信息網解決方案第 42 頁 共 42 頁路被稱為 Hub VC。這種層次化的（ MTUPE）VC 的接入方式，只需在有限數量的 PE 之間建立全網狀的 Hub VC，減少了信令的開銷和復制的工作量，從而大大地增強了 VPLS 的可擴展性。同時可以通過 HVPLS 方式完成 VPLS 的跨域互通（域內的路由器建立MPLS 連接，采用 HUB PW 連接；域間 ASBR 在直連接口采用 LDP建立連接，并建立 SPOKE 方式的 PW；同一 VPLS 域HUB、SPOKE PW 的 VCID 一致） 。 TLDP 反射器通過在 VPLS 網絡中設置 TLDP 反射器，同樣可以解決全網狀VC 的問題，同時可以提供 VPLS 的跨域方式。在 draftztepwe3controlprotocolext 中，利用 LDP 反射器組建 VPWS 網絡的網絡模型以解決網絡的伸縮性問題。在可伸縮的 VPWS 網絡中，PWE3 PE可以分別與反射器建立信令會話連接，可以通過分段 PWE3 提供跨域的偽線服務。反 射 器反 射 器P EA S B RA S B RP EA S 1A S 2T L D P 會 話T L D P 會 話T L D P 會 話