VPLS概述
VPLS是一种可以在以太网上提供上述诸多服务的解决方案。它利用以太网和MPLS的组合,来满足运营商和用户的需求。VPLS使分散在不同地理位置上的用户网络可以相互通信,就像它们直接相互连接在一起一样,即广域网变成对所有用户位置是透明的。这种功能是由MPLS 2层VPN解决方案实现的。
在VPLS网络中,每个用户位置连接在MPLS网络上的一个节点上。对于每一个用户或虚拟专用网来说,由逻辑的点对点连接构成的完整网络是在骨干MPLS网络上建立的。这使一个用户位置可以直接看到属于这位用户的其他所有位置。惟一的MPLS标记用于将一位用户的传输流与另一位用户的传输流隔离,并且用于将一项服务与另一项服务相分离。
这种分割使用户可以从提供商那里获得多种服务,而每一个服务都是为最终应用定制的。例如,某位用户的服务集合可以由VoIP、Internet接入以及可能两个或更多的VPN服务构成。第一个VPN服务可以在所有企业位置之间提供“宽数据”连接性并可为所有雇员所使用。而第二个VPN服务可以被限制在一个位置子集合之间进行的某些金融交易上。所有这些服务都是通过VPLS惟一配置的,因此使它们具有独特的质量保障和安全属性。
在VPLS网络中,在各个PE(运营商网络边缘)之间建立全网状的MPLS LSP(标记交换路径),将二层以太网帧通过MPLS进行封装,通过MPLS交换将用户以太网流量在各个PE之间进行转发,并与CE(用户边缘设备)连接,从而建立一个点对多点的以太网VPN。
PE设备将客户的以太网帧封装到MPLS包内,MPLS包头包含两层标记,其中外层标记Tunnel Label标识用来承载MPLS LSP,内层标记VC Label则代表不同虚拟电路,也就是不同的VPLS流量,这是一种伪线的封装格式。因此在目的端PE(提供商边缘路由器)设备终结LSP并弹出外层标记之后,将会根据内层VC Label来确定是属于哪个VPLS实例的流量。
VPLS技术包括两个层面:信令控制层和数据转发层。
其中信令控制层的主要作用是通过使用信令协议在PE之间建立相应的虚拟电路,换句话说,也就是对标识VPLS实例的VC标记进行交换,使得各个PE设备能够将VC标记映射到不同的VPLS实例,从而对所收到的MPLS封装的流量进行识别。
在数据转发层,每个PE为每个VPLS服务实例维护一个转发信息库(FIB),并且把已知的MAC地址加入到相应的FIB表中。所有流量都基于MAC地址进行交换,未知的数据包(如目的MAC地址仍未知)将广播给所有参与该VPN的PE,直至目的站响应且与该VPN相关的PE学习到该MAC地址。
VPLS的基本参考模型如图1所示。客户站点通过服务提供商网络连接起来,服务提供商网络就像是一台能够学习的二层交换机。网络中所有的PE用一个由隧道构成的全网格连接在一起,每条隧道承载多条虚线路。虚线路是为一对PE之间的每一个提供的服务建立的点到点连接结构。根据位置和客户站点的数据,为客户/服务建立的虚线路的数量可以从一个(用于只有两个位置的客户)到全网格(用于拥有连接在每一个PE的位置的客户)。
网络中的每一个PE能够建立连接其他每个PE的隧道,并可以通过信令建立穿过这些隧道的虚线路。当网络向最终用户提供二层服务时,每个PE可以学习所有本地连接的MAC地址,并将学习到的远程地址与一条虚线路建立关联。所有未知的单播、多播和广播包被传送给所有参与客户VPN的PE。多播包像广播包那样处理,被传播给客户VPN中的所有PE。
这种网络模型假设服务(或VPLS实例)中的所有PE以一个虚线路全网格连接在一起,这种全网格消除了保持网络无环路的需要。
为了确保这种拓扑结果没有环路,需要类似水平分割的概念:没有PE向一个PE转发它从另一个PE接收到的数据包。这种作法突破了其他基于生成树的网络所遇到的可伸缩限制。目前这一网络模型正作为VPLS草案的一部分,由IETF的L2VPN工作组进行标准化。
对于运营商来说,将以太网和MPLS组合在一起的好处多多。他们可以马上从部署以太网基础设施更低的资本开支中受益。但是,简单的以太网交换网络在服务可伸缩性(由于V局域网 ID的限制)和可靠性(生成树不能很好地扩展)上存在局限性。这些限制性被MPLS所解决。
MPLS提供多种解决方案,这些解决方案不仅提供大规模的可伸缩性和多种可靠性选择,而且还带来其他好处。例如,MPLS的动态信令有益于更迅速地改变和重新配置服务。其流量工程功能使提供商可以在整个网络上支持服务水平保证。因此,它不仅满足可伸缩性和可靠性的需要,而且还提供可以进一步减少费用的运营优势。
VPLS标准
VPLS的部署正如雨后春笋在世界各地如火如荼地进行,并得到了运营商和厂商的广泛支持。在这个过程中,标准的作用尤其重要。
IETF是制定VPLS的主要标准组织。经过近几年的发展,VPLS的标准已经趋向稳定,相关的草案已经收录到工作组文件中,标准化已为时不远。目前VPLS标准有两个主要流派,其区别主要体现在信令协议的选择上,一种主张采用LDP(标记分发协议)进行标记分配,一种主张采用BGP进行标记分配,两种标准间不具备可互通性。从主流数据设备厂商对协议的支持情况看,基于LDP的VPLS由于其实现简单,目前已经成为主流。而基于BGP的VPLS只有少数厂家设备支持。
目前有关VPLS的实现标准被统一写入了新推出的L2VPN工作组标准草案,主要包括9项标准,即二层虚拟专用网(L2VPN)框架,运营商提供的二层虚拟专用网业务要求,虚拟专用局域网业务,MPLS上的虚拟专用局域网业务,L2VPN信令的支持模型和端点标识符,只支持IP的局域网业务(IPLS),VPLSOAM要求和框架,VPLS应用等等。
一项专业的运动团体买了一个名牌服务器,但是它刚开始工作时就出问题。该网络管理员向操作系统厂商和硬件厂商提出帮助请求。后来发现,提供这个“名牌”服务器的转售商人给这个服务器配置的是非名牌的内存、非名牌的磁盘控制器,以及非名牌的外置磁盘驱动器,只因为这些组件要便宜一些。该硬件厂商和操作系统厂商拒绝提供支持,因为服务器被一些非名牌的构件所混淆,其结构不易被鉴定。
7.没有签订授权合同
某办公室去年花费大量现金采购了服务器。该系统有RAID 5的冗余保护,双电源和24×7支持,而一年之后,驱动器坏掉了。保证24×7支持的工作人员来了,他打电话给硬件厂商,厂商问他合约号码是什么,而该办公室之前并没有签订授权合同。“没关系,”厂商说,“他们离授权到期还有两年时间,我将在五六天内给你更换驱动器。”
但是,厂商的宽容是远远不够的,最好保证你有全套24×7支持,去一个办公用品商店买标签,在每个标签上写上授权合同号码和技术支持的电话号码,然后把它们贴在每一台机器上。
8.没有建立测试环境
几年以前,一家软件发展公司安装了一个新的工作站,它用的是最快的随机存取储存器,最快的硬盘驱动器和最快速的处理器,它将作为董事长的新工作站。在安装完成后不久,这位董事长接受了来自他最大的合伙人公司的一个请求,用它来测试新的人造宇宙站的通信平台,其结果是蓝屏。当他惊讶之余重新起动计算机时,内部保存的信息什么都没有了。在重建系统之后,他又花了四天时间才从那一堆操作指南中摆脱出来。
另外一家公司的董事长比较聪明,建造了一个测试网络。在系统升级之前,他们会在测试网络上做做试验,一次又一次地找出错误,反复设定网络不断试验,直到它完全正确。只有在试验结果完全正确地情况下,他们才会真正展开系统升级。
第一个公司的董事长再也不把自己的服务器当测试仪用了。
9.存储容量计划不周
某艺术公司五年前买服务器的时候,该服务器可以支持六个8G-byte RAID Array 5驱动器。为了要节省钱,公司坚持只买四个4G-byte驱动器。网络管理员说,不久他们会需要较多的空间,公司最终妥协了,多买了两个驱动器,如此了结了此事。在三年之后他们出现了严重的空间不足问题,他们甚至不得不删除只有50K byte的小文件。他们急需扩大容量,而当时8G-byte的驱动器已经买不到了,更大的服务器又支持不了。而能解决该问题的一个新的额外子系统将需要比原服务器更多的钱。这样,他们只得比计划的提前两年更换服务器。因此,做好存储容量计划,会使你节约开支,甚至可能大大延长你的系统寿命。
10.错误操作是最大的隐患
下午办公室的电源突然断掉了,紧张的办公室经理认为这会损害他们的两个服务器,因此他采取了快速行动——他走过去把服务器都关掉了。回家时,他还为他的快速行动而自豪。可第二天早晨,当他回到办公室打开两个服务器时,发现里面内容什么都没有了。事实上,昨天当他按下服务器开关时,服务器正在进行关键文件的复杂更新工作,他中止一台服务器的工作时影响了另一台服务器关键性数据库的存盘。结果修复网络工作花了两天时间。
在所有保护网络工作的问题中,这种情况是最不可预知的。因此,必须提高网络使用者的技术素质。 #p# LDP标记分发协议
LDP标记分发协议用于建立、维护和拆除服务提供商网络中的线路。全网格LDP会话在网络中的PE之间建立,不同的虚线路跨过这些会话由信令来建立。虚线路建立是由一个PE发起的,这个PE向另一个PE发送标记映射消息。这个消息通知一个LSP进入发起会话的PE。如果远端PE收到这条消息,它向相反的方向发出同样的消息。每个LSP是无方向的,虚线路需要两个有信令的LSP,每个方向一个。
利用LDP作为信令建立虚线路的标准正由IETF的PWE3工作组制定。
分级VPLS
分级VPLS(HVPLS)是对VPLS的进一步扩展。随着对基于VPLS的服务需求的增长,对PE之间的全网格隧道的需要也大幅增加。为满足需要,VPLS标准允许利用一种集中星型的布局建立分级结构。全网格隧道在中枢站点(被指定为PE)之间保持。CE设备连接在一台MTU路由器上,路由器连接在一台PE路由器上,因此提供了分层结构。
VPLS不仅可用于提供城域以太网服务,而且还可用于互联基于不同技术(如下一代SDH或弹性包环RPR)的城域网。本文讨论的VPLS草案预计将成为RFC。
向VPLS演进
如图2所示,VPLS不仅可用于提供城域以太网服务,而且还可以被用于与已有的ATM与帧中继接入网以及运行在多种核心技术(如下一代SONET/SDH和密集波分复用DWDM)上的IP-VPN核心网互联。
对于拥有已有生产基础设施的运营商来说,投资保护、人员的重新培训以及收入自蚀(revenue cannibalization)是做决策需要重点考虑的问题。VPLS可以通过实现从已有基础设施向下一代以太网基础设施平滑的过渡,简化这一变数。VPLS可用于将ATM/FR与以太网互联起来,不管使用什么接入技术都可以提供同样的服务。因此,运营商可以在一个可控的过程中将以太网引进他们的网络,不必同时升级每一个位置。同样,用户可以在需要以太网的位置上切换到以太网上,并继续在其他位置上使用已有的ATM/FR和TDM连接。运营商可以集成他们的VPLS和IP VPN服务,来提供互联(inter)和内联(intra)城域VPLS服务。
从MPLS到VPLS
对于已经部署了MPLS网络的用户来说,让我们探讨一下从MPLS到VPLS的演进过程。
第1阶段:MPLS
广域网路由器无法以线速进行最长前缀匹配查找,因此MPLS得以应用。通过在MPLS网络入口处标记IP包,沿路径的额外的跳只需进行标记查找而不是最长前缀查找,使操作过程得以简化。这种操作与ATM中的线路识别符(VCI)交换类似。这些被称作MPLS标记的标记实际上被用作建立线路,以这种能力为基础,流量工程(TE)是最先利用MPLS的应用之一。此外,在运营商网络内分解环路方面,运行OSPF和ISIS等标准路由协议的能力相对STP是一个很大的改进。这些协议允许扩展设备携带流量特性,使流量工程和服务质量成为可能。MPLS的这些特性使IP可以同时实现流量工程和服务质量支持。
第2阶段:以太网Martini和VPLS
Martini线路提供用户流量分离和点到点连接的传输隧道多路复用不同用户的能力。传输隧道是根据RSVP-TE或是LDP建立。
VPLS提供了多点连接,并使局域网到局域网业务成为可能,这是通过提供单用户多播域来实现的,所有供应商边缘路由器全部为网状,不需要运行生成树协议就可提供优化站到站可达性,避免了环路的产生。多播流量被看作广播流量,因此在所有属于具体客户实例的端口得以复制。
第3阶段:分级VPLS(HVPLS)
操作分级VPLS使建立双层或三层分级网络成为可能。新系列的MPLS交换机也被称作多住户单元(MTU)交换,应用在网络的接入端以将用户流量集中。建立一个分级拓扑结构使进一步优化广播和多播流量的流量复制成为可能,从而可以实现高效视频分配等应用。在集成链路上运行MPLS的能力也使VPLS业务可从1Gbps升级到多Gbps,同时为链路故障提供了额外的弹性。
第4阶段:域间/提供商间HVPLS
现有的VPLS规范将被扩展以提供域间和提供商间的连接。VPLS规范说明可在边界PE(BPE)间建立域间连接,可以使用BGP VPN运营商的运行模型连接VPLS域,这是通过现在一些运营商所采用的终止准线路直接进入RFC2547虚拟路由和前向事例(VRF)或映射802.1Q VLAN来实现。
MPLS ATM/FR联盟规定的以太网、ATM和帧中继的相互配合的升级将允许端到端提供OAM和服务质量。因此,通过匹配流量特性和映射OAM流量,端到端路径可被看作逻辑连接。
