【正文】 9。由于BGP的策略控制能力很強，隨之而來的是VPN用戶路由策略控制的靈活性。使用基于MPLS的L2VPN解決方案，運營商可以在統(tǒng)一的MPLS網(wǎng)絡(luò)上提供不同基于媒介的二層VPN服務(wù)，包括ATM、FR、VLAN、Ethernet、PPP等。 簡單來說，MPLS L2VPN就是在MPLS網(wǎng)絡(luò)上透明傳遞用戶的二層數(shù)據(jù)。以ATM為例，每一個用戶邊緣設(shè)備（CE）配置一個ATM虛電路，通過MPLS網(wǎng)絡(luò)與遠端的另一個CE設(shè)備相連，與通過ATM網(wǎng)絡(luò)實現(xiàn)互聯(lián)是完全一樣的。在提供全連接的二層VPN時，和傳統(tǒng)的二層VPN一樣( 如ATM PVC提供的VPN），存在N方問題，每個VPN的CE到其它的CE都需要在CE與PE之間分配一條連接。在一個VPN有N個Site的時候，CEPE必需有需要N1個物理或邏輯端口連接。轉(zhuǎn)發(fā)過程中，報文的標記棧變化如下圖所示：圖2 MPLS L2 VPN轉(zhuǎn)發(fā)流程由于MPLS l2VPN中，PE設(shè)備不參與用戶的路由處理，因此它的可擴展性比L3VPN要好得多，MPLS L2VPN的可擴展性只與PE能連接的VPN用戶數(shù)目相關(guān)。當前MPLS L2VPN還沒有形成正式的標準。Martini草案是通過LDP擴展實現(xiàn)MPLS L2VPN的，而Kompella草案則是是通過MPBGP擴展實現(xiàn)的，兩者草案分別是：draftmartinil2circuittransmplsdraftkompellappvpnl2vpn兩種二層VPN采用的封裝協(xié)議都是：Draftmartinil2circuitencapmpls. Martini方式Martini草案定義了通過建立點到點的鏈路來實現(xiàn)L2VPN的方法?！?LDP擴展實現(xiàn)的二層VPN只需要對LDP進行簡單擴展，實現(xiàn)簡單。相對于BGP擴展它的缺點是只能建立點到點的VPN二層連接，沒有VPN的自動發(fā)現(xiàn)機制。它采用VCTYPE + VCID來識別一個VC。同一個VCTYPE的所有VC中，其VCID必須在整個SP網(wǎng)絡(luò)中唯一。當連接兩個PE的LSP建立成功，雙方的標記交換和綁定完成后，一個VC就建立起來了，兩個CE就可以通過這個VC傳遞二層數(shù)據(jù)。此外，由于交換VC標記的兩個PE可能不是直接相連的，所以LDP必須使用remote peer來建立session，并在這個session上傳遞VC FEC和VC標記。目前它采用BGP為信令協(xié)議來散發(fā)二層可達信息和VC標記，因此這種方式又被稱為BGP方式的L2VPN。 當鏈路層承載的都是IP時，容許使用不同的鏈路層協(xié)議的Site組成同一個VPN。要建立兩個CE之間的連接時，只需在PE上設(shè)置本地CE和遠程CE的CE ID，并指定本地CE為這個連接分配的Circuit ID（例如ATM的VPI/VCI）。與BGP/MPLS VPN相同，BGP方式的L2VPN也使用route target來區(qū)分不同的VPN，這使得VPN組網(wǎng)具備了極大的靈活性。在標記分配方面，BGP方式L2VPN采取標記塊的方式，一次為多個連接分配標記。系統(tǒng)會一次為這個CE分配一個標記塊，標記塊的大小等于CE range。這樣會造成標記資源的浪費，但是同時帶來一個很大的好處：減少VPN部署和擴容時的配置工作量。這樣可以把每個CE的CE range設(shè)置為20，系統(tǒng)會預(yù)先為未來的10個CE分配標記。這使得VPN的擴容變得非常簡單。與普通的MPLS L2VPN不同的是，CCC采用一層標記來傳送用戶數(shù)據(jù)，因此它對LSP的使用是獨占性的，用戶必須單獨為每一個CCC連接手工配置兩條LSP（兩個方向各一條），這兩條LSP將只能用于傳遞這個CCC連接的數(shù)據(jù)，不能用于其他L2VPN連接，也不能用于BGP/MPLS VPN或承載普通的IP報文。其中二層數(shù)據(jù)報文可以是：ATM、幀中繼、以太網(wǎng)/VLAN、PPP等，三層可以是IPvIPvIPX等。電路交叉連接也可以用來粘和不同的LSP。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對網(wǎng)絡(luò)層協(xié)議透明。而VPLS可以通過公共IP/MPLS網(wǎng)絡(luò)將多個LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個公共IP/MPLS網(wǎng)絡(luò)看成一個大L3 Switch。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴展作為信令，實現(xiàn)VC標記交換，同時VPLS要求PE節(jié)點支持MAC地址學習功能。BGP/MPLS VPN中，CE可以是一個路由器、三層交換機甚至一個主機，方式是多種多樣的，但一定是一個三層設(shè)備。 如果PE支持IP隧道方式接入或多角色主機，則CE只要與PE在IP上可達就可以了，這時它們之間可以相隔多跳。L2 VPN中，CE可以是二層也可以三層設(shè)備。在VPLS中，由于PE要維護MAC地址表，如果CE是二層設(shè)備，VPN站點中的MAC地址都會泄漏到PE上，PE負擔較重，因此建議CE采用三層設(shè)備。VPN Manager完成的主要功能是：? 承接業(yè)務(wù)訂單，生成業(yè)務(wù)請求并進行網(wǎng)絡(luò)規(guī)劃、部署、審計? 維護網(wǎng)絡(luò)數(shù)據(jù)，監(jiān)視網(wǎng)絡(luò)性能和故障? 進行網(wǎng)絡(luò)性能、故障的業(yè)務(wù)相關(guān)性分析，為業(yè)務(wù)保障提供原始數(shù)據(jù)? 提供基于WEB的客戶網(wǎng)絡(luò)管理（CNM），為VPN客戶提供對VPN的監(jiān)控手段圖3描述了VPN Manager在運營系統(tǒng)中的位置。圖3 VPN Manager在運營系統(tǒng)中的位置iManager N2100 VPN Manager可以為運營商提供端到端VPN業(yè)務(wù)管理解決方案。利用VPN Manager管理VPN業(yè)務(wù)，可提高運營商的業(yè)務(wù)響應(yīng)速度，降低網(wǎng)絡(luò)維護、業(yè)務(wù)運營成本，增強市場競爭力。圖 4 VPN Manager界面. 網(wǎng)管主要功能特點. 客戶管理 VPN業(yè)務(wù)是面向客戶的業(yè)務(wù)，為了掌握客戶信息，更好的為客戶服務(wù)，VPN Manager提供了豐富的客戶管理功能。VPN Manager還能夠輸出客戶的業(yè)務(wù)租用報表、資源租用報表、性能數(shù)據(jù)報表、流量數(shù)據(jù)報表和故障數(shù)據(jù)報表等。. 業(yè)務(wù)處理 VPN Manager提供向?qū)Х绞降臉I(yè)務(wù)定義功能，相似的業(yè)務(wù)定義，可以利用模板進行拷貝創(chuàng)建，提高了配置效率。例如：部署時間可以設(shè)置在夜間――業(yè)務(wù)流量較少的時段，而管理者可在第二天工作時間查看業(yè)務(wù)部署的結(jié)果。 VPN業(yè)務(wù)配置復(fù)雜，配置錯誤會引起路由震蕩等網(wǎng)絡(luò)問題，因此，必須在實際部署之前保證業(yè)務(wù)的正確性。 為了保證客戶業(yè)務(wù)的開通，對于已部署業(yè)務(wù)，VPN Manager提供了進行配置審計和連通審計。 對于先期在網(wǎng)絡(luò)上部署的業(yè)務(wù)，VPN Manager可以進行業(yè)務(wù)發(fā)現(xiàn)。這樣，不需要在網(wǎng)管上重新再次輸入網(wǎng)絡(luò)相關(guān)的配置參數(shù)，滿足網(wǎng)絡(luò)先期開通、網(wǎng)管后建設(shè)情況下的需求，一方面為管理員節(jié)省了時間，另一方面也避免了誤操作對原有業(yè)務(wù)的影響。 VPN Manager實時收集網(wǎng)絡(luò)故障信息，當網(wǎng)元發(fā)生已影響或?qū)绊慥PN業(yè)務(wù)的告警時，VPN Manager分析該網(wǎng)元告警會影響的業(yè)務(wù)和客戶，及時向管理員發(fā)送業(yè)務(wù)告警，在客戶的業(yè)務(wù)發(fā)生故障前能夠?qū)崟r提醒維護人員定位解決問題。告警功能與VPN業(yè)務(wù)拓撲視圖的緊密結(jié)合，使網(wǎng)絡(luò)運維人員在故障發(fā)生后可以快速定位網(wǎng)絡(luò)故障。 VPN Manager性能管理提供性能、流量數(shù)據(jù)的收集、顯示、統(tǒng)計和報表功能。通過對性能數(shù)據(jù)的分析，管理員可以更清楚地了解網(wǎng)絡(luò)運行情況，有利于進行網(wǎng)絡(luò)的規(guī)劃和優(yōu)化。. CNM特性對業(yè)務(wù)要求較高的客戶，可能希望自己監(jiān)視其租用網(wǎng)絡(luò)的運行狀況，甚至希望能夠?qū)ζ渥庥玫亩丝谶M行一些配置。VPN Manager根據(jù)其權(quán)限，可以提供如下功能中的部分或全部： 客戶的VPN拓撲：顯示該客戶的客戶視圖，反映客戶各站點之間的連通性 性能、流量統(tǒng)計報表：提供該客戶租用業(yè)務(wù)的性能、流量數(shù)據(jù)報表業(yè)務(wù)故障監(jiān)控：瀏覽該客戶租用的VPN中發(fā)生的業(yè)務(wù)故障 CNM特性是為運營商一個很好的增值業(yè)務(wù)，既滿足了高級客戶的自助式管理需求，也為運營商增加了營業(yè)收入。因此，VPN網(wǎng)管必須要解決多廠商設(shè)備共同管理的問題。根據(jù)網(wǎng)絡(luò)的實際狀況，VPN Manager的設(shè)備驅(qū)動可以進行定制開發(fā)。. 二層、三層VPN管理 構(gòu)建MPLS VPN可以采取多種方案。組網(wǎng)技術(shù)方案的多樣性要求VPN Manager能夠同時提供多種方案的管理能力。. 全網(wǎng)資源管理 VPN Manager提供資源管理器形式的全網(wǎng)資源管理，可以對全網(wǎng)資源的使用狀況的進行快速瀏覽，有利于資源規(guī)劃和合理配置。VPN Manager可以與華為iManager N2000網(wǎng)元管理系統(tǒng)集成運行，方便了管理者從網(wǎng)元層面、業(yè)務(wù)層面去管理網(wǎng)絡(luò)，減少了運營商的網(wǎng)管硬件投資。例如：VPN Manager提供與HP OpenView的集成能力。VPN內(nèi)部的各site的訪問INTERNET的數(shù)據(jù)流，必須首先到該VPN的某一site中（該site一般為公司的總部），在該site做NAT，F(xiàn)IREWALL處理后再走到公網(wǎng)中去?！? l 集中訪問控制方式圖6 Internet訪問——集中訪問控制方式如圖6 所示，在這種方式INTERNET訪問控制放置在服務(wù)提供商的INTERNET出口處（PE），但為了解決各VPN中采用重疊的保留地址的問題，需要為每個VPN配置一個防火墻，各個VPN的用戶通過屬于各自的防火墻實現(xiàn)對Internet的訪問；這種方法，需要運營商為每個VPN配置一個訪問Internet的VPN，在客戶端需要配置一條訪問Internet VPN的缺省路由，這種方法需要運營商進行一定的配置，而且由于每個VPN都需要一個防火墻，如果VPN用戶較多則需要大量投資，但采用這種方法，運營商可以對各VPN用戶訪問Internet進行有效的管理。這種方式的優(yōu)點是即可以滿足企業(yè)用戶對自身進行訪問控制的需求，同時運營商也能對用戶訪問Internet進行統(tǒng)一控制，并且不象第二鐘方式那樣需要增加太多的投資（因為對每個VPN都要有單獨的Firewall設(shè)備來進行訪問控制）。 Extranet Extranet即外聯(lián)網(wǎng)，指在這個網(wǎng)絡(luò)內(nèi)，屬于某一個管理者的用戶站點，由于業(yè)務(wù)的需求要與多個屬于其他管理者的用戶站點進行有限制的連接。有限制的連接主要指可以進行互訪問的有關(guān)協(xié)作數(shù)據(jù)是限制的，并不是所有數(shù)據(jù)都可以放開互訪。 利用MPLS VPN技術(shù)可以很好的實現(xiàn)Extranet，對于MPLS VPN來說，Extranet實際上就是指兩個VPN可以共享部分site的網(wǎng)絡(luò)資源，同時兩個VPN的其他Site保持相互隔離。同時需要設(shè)置兩個DNS服務(wù)器，一個用于VPN私網(wǎng)內(nèi)部的訪問，這個DNS Server作為主用，另一個作為Second DNS Server，用于完成VPN用戶訪問Extranet站點時的地址解析工作。要將公有地址池的路由發(fā)布到Extranet的站點中。圖9 Extranet——分布式方案 (3) 地址空間統(tǒng)一規(guī)劃 上面通過兩套IP地址實現(xiàn)VPN之間互通的方式比較復(fù)雜，對網(wǎng)絡(luò)管理維護人員的要求較高。 需互訪的VPN的地址空間由ISP統(tǒng)一規(guī)劃。 這種方式適用于需共享的網(wǎng)絡(luò)資源比較集中的情況?？梢詫⑿枰ネǖ木W(wǎng)絡(luò)設(shè)備(如一些機要主機)單獨劃分在一個VPN中，如江西政務(wù)網(wǎng)中，機要部門系統(tǒng)和政府機關(guān)系統(tǒng)分別屬于不同的VPN中，但是在某些地區(qū)，本地區(qū)的一些機要主機和政府部門主機需要互通，而這些主機與本系統(tǒng)的其他主機之間很少互訪，這時，可以將這些主機單獨劃分一個VPN，這部分主機及本系統(tǒng)其他主機之間的數(shù)據(jù)交互通過人工或其他方式進行。VPLS的組網(wǎng)是建立在MAC層轉(zhuǎn)發(fā)上的，對網(wǎng)絡(luò)層協(xié)議透明。而VPLS可以通過公共IP/MPLS網(wǎng)絡(luò)將多個LAN/VLAN網(wǎng)段連在一起，從用戶角度看，可以將整個公共IP/MPLS網(wǎng)絡(luò)看成一個大L2 Switch。同Martini方式的MPLS L2VPN一樣，VPLS也可以利用LDP擴展作為信令，實現(xiàn)VC標記交換，同時VPLS要求PE節(jié)點支持MAC地址學習功能。報文在骨干網(wǎng)PE間傳送時，QoS屬性被透傳到對端PE，中間不會被修改。使用MPLS報文標簽頭的EXP字段保存COS，在網(wǎng)絡(luò)中按照既定的規(guī)則，將不同COS值的報文對應(yīng)于不同的PHB，按照相應(yīng)規(guī)則進行隊列調(diào)度，報文丟棄等處理。無論使用哪種方法，設(shè)定的服務(wù)類型僅在骨干網(wǎng)內(nèi)有效。通過設(shè)置LSP穿越的路徑，用戶可以很方便地管理穿越IP網(wǎng)絡(luò)的業(yè)務(wù)，實現(xiàn)IP骨干網(wǎng)絡(luò)的負載平衡，減輕網(wǎng)絡(luò)擁塞，提高網(wǎng)絡(luò)效率和服務(wù)質(zhì)量。使用MPLS流量工程，網(wǎng)絡(luò)管理員只需要建立一些LSP，旁路擁塞節(jié)點，就可以消除網(wǎng)絡(luò)擁塞。通過這種方式，可以建立有帶寬保證的MPLS TE隧道，并可以方便的進行隧道維護，參數(shù)修改等處理。圖14 MPLS TE隧道MPLS TE隧道由于建立、使用靈活，成本低，還適用于一些特殊的場合。首先建立到達對端的MPLS TE隧道，然后通過配置靜態(tài)路由或策略路由，將流量引入MPLS TE隧道，可以方便的提供保證服務(wù)。1) VRFtoVRF方式 如圖所示，這種方式要求兩個域的ASBR能夠做PE。對于每一個需要跨域的VPN，需要在本端跨域的PE設(shè)備(ASBR)上配置對應(yīng)于這個VPN的VRF，把對端的 PE設(shè)備(ASBR)做為 本域VPN的CE，PECE之間運行EBGP協(xié)議，攜帶對端的VPN路由信息。 這個方法的優(yōu)點是在ASBR之間不需要運行MPLS，但缺點是每個跨域的VPN需要與一個子接口綁定，子接口的數(shù)量至少要和跨域的VPN的數(shù)量相當，并需要逐個VPN進行配置，因而存在可擴展性問題。圖15 VRFtoVRF跨AS2) MPEBGP攜帶VPNIPv4路由 通過直連的ASBR傳播VPNIPv4路由，并且為相應(yīng)的VPN路由分配一個標簽。 當VPNIPv4路由跨越多個AS時，采用的技術(shù)是同樣的，無論跨越多少個AS，都只需要2層標簽。但缺點是是需要在ASBR處同時維護VPN的路由和Internet路由，ASBR節(jié)點的壓力大。圖16 MPEBGP攜帶VPN路由跨AS3) MultiHop MPEBGP 這種方式是首先在ingress與egress PE之間通過LDP + BGP的方式建立跨域的LSP，然后不同AS域