- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
VPLS技术白皮书
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
2.7.1 Ethernet接入Ethernet模式的VLAN TAG处理
2.7.2 Ethernet接入VLAN模式的VLAN TAG处理
2.7.3 VLAN接入Ethernet模式的VLAN TAG处理
随着社会发展,经济全球化的趋势越来越明显,越来越多的企业分布范围日益扩大,公司员工的移动性也不断增加。这就迫切需要电信运营商提供链路连接,以便企业将各分支机构囊括进来,组成自己的企业网,以方便公司员工在企业以外的地方很方便地访问企业内部网络。
最初,电信运营商是以租赁专线的方式为企业提供链路,这种方式的主要缺点是:不适应当前企业分支多、增加快的特点,且价格相对昂贵,难以管理。此后,随着ATM(Asynchronous Transfer Mode,异步传输模式)和FR(Frame Relay,帧中继)技术的兴起,电信运营商转而使用虚电路方式为客户提供点到点的二层连接,客户在其上建立自己的三层网络以承载IP、IPX等数据流。但是这些技术提供的都是点到点的二层连接,配置比较复杂,尤其当增加一个站点时,管理员需要进行大量的配置工作。
当今IP网络已经遍布全球,利用现有IP网络为企业提供低成本专网逐渐成为各大运营商的关注点。因此,一种在IP网上提供VPN服务、可方便设定速率、配置简单的技术应运而生,这种技术即MPLS VPN技术。基于MPLS的VPN技术有两种,分别是MPLS L3VPN和MPLS L2VPN。MPLS L3VPN需要介入用户的内部路由管理,运营商的管理比较复杂。传统VLL(Virtual Leased Line,虚拟租用线路)方式的MPLS L2VPN,在公网中提供一种点到点的L2VPN业务,可以让两个站点之间的连接效果像直接用链路连接一样,但它不能直接在服务提供者处进行多点间的交换。VPLS(Virtual Private LAN Service,虚拟专用局域网服务)在传统MPLS L2VPN方案的基础上发展而成,它可以实现多点到多点的VPN组网。VPLS为运营商提供了一种更加完备的解决方案。
VPLS结合了以太网技术和MPLS技术的优势,是对传统LAN全部功能的仿真,其主要目的是通过运营商提供的IP/MPLS网络连接地域上隔离的多个由以太网构成的LAN,使它们像一个LAN那样工作。
如图1所示,服务提供商利用VPLS技术在MPLS骨干网络上为用户网络模拟了一个以太网桥,基于MAC地址或者MAC地址加VLAN标识来做出转发决策。在最简单的情况下,一个VPLS实例包括连接到多个PE的多个站点,允许CE设备直接跟所有与该VPLS实例关联的其它CE通信。在CE设备看来,服务提供商网络是一个以太网桥(以太网交换机)。
图1 VPLS模拟以太网桥
VPLS具有以下优点:
· VPLS在面向用户网络侧使用以太网接口,简化了LAN/WAN边界,可以支持快速和灵活的服务部署;
· VPLS将用户网络的路由策略控制和维护权利交给了用户,简化了运营商网络的管理;
· VPLS服务内的所有用户路由器CE是相同子网的一部分,简化了IP寻址规划;
· VPLS服务既不需要感知,又不需要参与IP寻址和路由。
· CE(Customer Edge,用户网络边缘)设备:直接与服务提供商网络相连。
· PE(Provider Edge,服务提供商网络边缘)设备:与CE相连,主要负责VPN业务的接入。它完成报文从私网到公网隧道和报文从公网隧道到私网的映射与转发。在分层VPLS(H-VPLS)体系结构下,PE可以细分为UPE和NPE。
· UPE(User facing-Provider Edge,靠近用户侧的PE):用于连接CE设备与服务商网络,主要作为用户接入VPN的汇聚设备,为用户提供接入服务。
· NPE(Network Provider Edge,网络核心侧PE):处于VPLS网络的核心域边缘,在核心网上提供VPLS透明传输服务。
· 服务界定符:服务提供商加在用户数据帧前用来标识特定VPN的报文标识符,服务界定符只具有本地意义,服务界定符的典型例子是QinQ的外层TAG。
· QinQ(802.1Q in 802.1Q):一种基于802.1Q封装的隧道协议,能够提供点到多点的L2VPN服务机制。它将用户网络的VLAN TAG封装在公网VLAN TAG中,最终报文带着两层TAG穿越服务提供商的骨干网络,从而为用户提供一种较为简单的二层VPN隧道。
如图2所示,VPLS网络主要包括以下几个重要的组成部分:
· AC(Attachment Circuit,接入电路):用户与服务提供商之间的连接,即连接CE与PE的链路。对应的接口只能是以太网接口。
· PW(Pseudowire,伪线):两个PE设备上的VSI之间的一条双向虚拟连接。它由一对方向相反的单向LSP组成。
· 公网隧道(Tunnel):穿越IP或MPLS骨干网、用来承载PW的隧道。一条公网隧道上可以承载多条PW。公网隧道是一条本地PE与对端PE之间的直连通道,完成PE之间的数据透明传输,可以是MPLS或GRE隧道等。
· PW Signaling:PW信令协议,VPLS实现的基础,用于创建和维护PW。PW信令协议还可用于自动发现VSI的对端PE设备。目前,PW信令协议主要有LDP和BGP。
· VPLS实例:用户网络可能包括分布在不同地理位置的多个站点,在骨干网上可以利用VPLS技术将这些站点连接起来,为用户提供一个二层VPN。这个二层VPN称为一个VPLS实例。不同VPLS实例中的站点不能二层互通。
· VSI(Virtual Switch Instance,虚拟交换实例):VPLS实例在一台PE设备上的一个以太网桥功能实体,根据MAC地址和VLAN TAG进行二层报文转发。
PW是VPLS在公网上的通信隧道,它建立在MPLS(包括普通LSP和CR-LSP)或GRE等隧道之上。创建PW需要:
(1) 首先在本端和对端PE之间建立MPLS或GRE等隧道。
(2) 确定对端PE的地址。对于同一个VSI内的PE设备,可以通过手工配置来指定对端PE地址,也可以通过信令协议自动发现对端PE。
(3) 利用LDP或BGP信令协议为PW分配多路复用分离标记(PW标签),并将分配的PW标签通告给对端PE,建立单向的LSP,从而创建PW。如果PW建立在MPLS隧道之上,则PW上传输的报文将包括两层标签:内层标签为PW标签,用来判断报文属于的PW,从而将报文转发给正确的CE;外层标签为公网MPLS隧道标签,用来保证报文在MPLS隧道上的正确传输。
下面将分别介绍通过不同方式创建PW的过程。
手工创建的PW称为静态PW。创建静态PW时,需要手工指定远端PE的地址,并静态配置PW出、入两个方向的PW标签。两端PE上指定的出、入PW标签必须匹配。
静态方式配置简单,但无法适应网络变化,仅适用于比较稳定的小型网络。
采用手工指定远端PE的地址,并通过LDP信令协议将PW标签与PW的绑定关系等信息通告给远端PE的方式建立的PW,称为LDP PW。
图3 LDP PW的建立过程
如图3所示,建立LDP PW的过程为:
(1) PE和特定的VSI关联后,采用LDP的DU(Downstream unsolicited,下游自主)方式主动向对端PE发送标签映射消息,该消息中包含PWid FEC(FEC 128)和与该FEC绑定的PW标签,以及接口参数(如最大传输单元等)。
(2) 如果对端PE和这个特定的PWID关联,它将接受标签映射消息。
(3) 两端PE均接受对端的标签映射消息,一对单向的LSP建立成功后,它们组合起来形成双向的PW,这个双向的PW可以看作是VSI上的一个虚拟以太网接口。
LDP方式实现简单。但是LDP不能提供VPLS成员的自动发现机制,需要手工指定PE的各个对等体。新的PE加入时,每个PE上都要修改配置。
通过BGP协议将标签块等信息通告给对端PE,两端PE根据标签块计算PW出、入两个方向标签的方式建立的PW,称为BGP PW。
图4 BGP PW建立过程
如图4所示,建立BGP PW的过程为:
(1) PE利用BGP的Update消息向所有对端PE设备发送VE ID和标签块信息。其中,VE ID为与PE相连的每个Site在VPN内的唯一编号,由服务供应商统一规划;标签块包含一组连续的标签。
(2) 接收到Update消息的PE设备,根据自己的VE ID和报文中的标签块,计算出唯一的一个标签值,作为PW标签。同时,接收Update消息的PE设备,根据报文中的VE ID和本地的标签块,也可以得知对端PE的PW标签值等信息。
(3) 两个PE设备互相发送Update消息,并计算出PW标签后,两台设备间的PW创建成功。
BGP方式中,通过配置VPN Target实现了VPLS成员的自动发现,增加或删除PE时,无需手工配置,具有较好的可扩展性,但BGP协议本身比较复杂。
通过BGP协议自动发现远端PE后,利用LDP信令协议将PW标签与PW的绑定关系等信息通告给远端PE的方式建立的PW,称为BGP自动发现LDP信令PW。
图5 BGP自动发现LDP信令PW建立过程
如图5建立BGP自动发现LDP信令PW过程为:
(1) PE利用BGP的Update消息向所有对端PE设备发送LSR ID和VPLS ID(用来标识本端PE所属的VPLS实例)信息。
(2) 接收到Update消息的PE设备,比较两端PE的VPLS ID是否相同。如果相同,则继续利用LDP信令协议在二者之间建立PW;否则,不会建立PW。
(3) PE通过BGP协议发现可以建立PW的对端PE地址后,采用LDP的DU(Downstream unsolicited,下游自主)方式主动向对端PE发送标签映射消息,该消息中包含Generalized PWid FEC(FEC 129)和与该FEC绑定的PW标签等信息。其中FEC 129携带VPLS ID、SAII(Source Attachment Individual Identifier,源转发实例本地标识符)和TAII(Target Attachment Individual Identifier,目的转发实例本地标识符)等信息。SAII用来标识本地PE,为本地PE的LSR ID;TAII用来标识远端PE,为远端PE通过BGP协议发布的PE标识。VPLS ID+SAII+TAII可以唯一标识VPLS实例内的一条与PW标签绑定的PW。
(4) 两端PE均接受对端的标签映射消息,建立LSP后,BGP自动发现LDP信令PW即成功建立。
BGP自动发现LDP信令PW,结合了LDP方式和BGP方式的优点,通过BGP协议实现了VPLS成员的自动发现,通过LDP信令协议实现了VPLS成员之间的标签交换。
VPLS为用户网络模拟了一个以太网桥,基于MAC地址或者MAC地址加VLAN TAG来做出转发决策。与一个特定的VPLS服务关联的每个PE设备都为该VPLS实例建立一个VSI,每个VSI维护一张MAC地址表,并具有泛洪和转发、MAC地址学习和老化的功能,以便实现报文的转发。
VPLS通过源MAC地址学习来提供可达性。PE为每个VSI维护一张MAC地址表。
如图6所示,源MAC地址学习过程包含两部分:
· 与PE直接相连的本地站点的源MAC地址学习
本地站点的源MAC地址学习与传统以太网交换机相同。PE从CE接收到报文后,如果MAC地址表中不存在报文源MAC地址,则将该报文的源MAC地址学习到PE连接CE的AC链路上。
· 通过PW连接的远端站点的源MAC地址学习
VSI将PW看作是逻辑以太网接口。PE从PW上接收到报文后,如果MAC地址表中不存在报文源MAC地址,则将该报文的源MAC地址学习到VSI的PW逻辑以太网接口上。
图6 MAC地址学习
PE学习到的MAC地址转发表项如果不再使用,需要有老化机制来移除。老化机制根据报文中的源MAC地址进行处理:PE收到报文时,除了学习源MAC地址外,对于已经生成的MAC表项,还需要设置“激活”或者“有效”标记,一定时间内未被设置“激活”或者“有效”标记的MAC表项,将从MAC转发表中移除。
在AC或PW状态变为down时,LDP协议会发送地址回收消息通知VPLS实例内的所有远端PE删除指定VSI内的指定MAC地址,以加快MAC地址表的收敛速度。
PE从AC接收到单播报文后,在与AC关联的VSI内查找MAC地址表,从而确定如何转发报文:
· 如果查找到目的MAC地址对应的表项,则根据该表项转发报文。
¡ 表项的出接口为PW逻辑以太网接口时,为报文封装该PW的PW标签,并添加公网隧道封装后,通过PW将该报文转发给远端PE。如果PW由LSP或MPLS TE隧道承载,则通过PW转发报文时将为报文封装两层标签:内层标签为PW标签,用来决定报文所属的PW,从而将报文转发给正确的VSI;外层标签为公网LSP或MPLS TE隧道标签,用来保证报文在PE之间正确传送。
¡ 表项的出接口为连接本地站点的接口时,直接通过出接口将报文转发给本地站点。
· 如果没有找到目的MAC地址对应的表项,则向VSI内的所有其他AC对应的接口和所有PW逻辑以太网接口泛洪该报文。
PE从PW接收到单播报文后,在PW所属的VSI内查找MAC地址表,从而确定如何转发报文:
· 如果查找到目的MAC地址对应的表项,则根据该表项转发报文。该表项的出接口应为连接本地站点的接口,PE通过该出接口将报文转发给本地站点。
· 如果没有找到目的MAC地址对应的表项,则向VSI内所有AC对应的接口泛洪该报文。
PE从AC上接收到组播或广播报文后,向该AC关联的VSI内的所有其他AC对应的接口和所有PW逻辑以太网接口泛洪该报文。
PE从PW上接收到组播或广播报文后,向该PW所属的VSI内所有AC对应的接口泛洪该报文。
AC上的报文封装方式分为两种:VLAN接入和Ethernet接入。其含义如下:
· VLAN接入:CE发送给PE或PE发送给CE的以太网帧头带有一个VLAN TAG,该TAG是一个服务提供商网络为了区分用户而压入的“服务界定符”。服务界定符一般是服务提供商设备添加的,我们把这个作为服务界定符的TAG称为P-TAG。
· Ethernet接入:CE发送给PE或PE发送给CE的以太网帧头中没有服务界定符,如果此时帧头中有VLAN TAG,则说明它只是用户报文的内部VLAN TAG,对于PE设备没有意义。这种用户内部VLAN的TAG称为U-TAG。
PW由PWID和PW封装类型唯一标识。两端PE设备通告的PWID和PW封装类型必须相同。
PW上的报文封装方式分为两种:Ethernet模式和VLAN模式。
· Ethernet模式下,PW上传输的帧不能带P-TAG
对于CE侧的报文:
¡ 如果PE从CE收到带有P-Tag的报文,则将其去除后再压入PW标签和公网隧道封装转发;
¡ 如果从CE收到不带P-Tag的报文,则直接压入PW标签和公网隧道封装后转发。
对于PE发送给CE的报文:
¡ 如果AC的接入模式为VLAN,则添加P-Tag后转发给CE;
¡ 如果AC的接入模式为Ethernet,则不添加P-Tag,直接转发给CE;
¡ 不允许重写或去除已经存在的任何Tag。
· VLAN模式下,PW上传输的帧必须带P-TAG
对于CE侧的报文:
¡ 从CE收到带有P-Tag的报文后,如果远端PE不要求Ingress改写P-Tag,则保留P-Tag,如果远端PE要求Ingress改写P-Tag,则将P-Tag改写为远端PE期望的VLAN Tag(Tag可能是值为0的空Tag),再压入PW标签和公网隧道封装后转发;
¡ 从CE收到不带P-Tag的报文后,如果远端PE不要求Ingress改写P-Tag,则添加值为0的空P-Tag,如果远端PE要求Ingress改写P-Tag,则添加一个远端PE期望的VLAN Tag(Tag可能是值为0的空Tag)后,再压入PW标签和公网隧道封装后转发。
对于PE发送给CE的报文:
¡ 如果AC的接入模式为VLAN,转发给CE时重写或保留P-Tag;
¡ 如果AC的接入模式为Ethernet,则去除P-Tag后转发给CE。
根据AC接入方式和PW上报文封装模式的不同,报文转发中VLAN TAG的处理方式有所不同。
图7 Ethernet接入Ethernet模式的VLAN TAG处理
如图7所示,AC采用Ethernet接入方式,PW上的报文封装模式为Ethernet模式时,报文的转发过程为:
(1) CE 1将携带用户所属VLAN信息(U-Tag)的报文发送给PE 1。
(2) PE 1根据用户目的MAC地址(或用户所属的VLAN和目的MAC地址),选择合适的PW,并在报文中添加PW对应的PW标签。
(3) 为了在公网上利用MPLS隧道转发报文,PE 1在报文中添加公网隧道标签,通过公网隧道将报文传递给PE 2。
(4) PE 2收到报文后,根据PW标签找到报文所属的VSI,并将携带U-TAG的报文发送给CE 2。
图8 Ethernet接入VLAN模式的VLAN TAG处理
如图8所示,AC采用Ethernet接入方式,PW上的报文封装模式为VLAN模式时,报文的转发过程与Ethernet接入方式、Ethernet模式的报文转发过程类似。所不同的是,PW上传输的帧必须带P-TAG。PE 1从CE 1收到不带P-TAG的报文后,首先添加一个对端PE期望的VLAN TAG或空TAG,再压入两层MPLS标签转发。PE 2接收到报文后,去除MPLS两层标签和P-TAG,再将报文转发给CE 2。
图9 VLAN接入Ethernet模式的VLAN TAG处理
如图9所示,AC采用VLAN接入方式,PW上的报文封装模式为Ethernet模式时,报文的转发过程为:
(1) CE 1发送的报文携带服务界定符P-TAG;
(2) PE 1接收到报文后去除P-TAG,并添加两层MPLS标签,通过公网MPLS隧道,将报文发送给PE 2;
(3) PE 2去除接收到报文中的两层MPLS标签,增加P-TAG后,将报文转发给CE 2。
图10 VLAN接入VLAN模式的VLAN TAG处理
如图10所示,AC采用VLAN接入方式,PW上的报文封装模式为VLAN模式时,报文的转发过程与VLAN接入方式Ethernet模式的报文转发过程类似。二者的区别是,PW上传输的帧携带P-TAG,PE接收到报文后,修改或保留报文中的P-TAG。
为了避免环路,一般的二层网络都要求使能STP协议。但是对使用VPLS的用户来说,不会感知到ISP的网络,因此在私网侧使能STP的时候,不能把ISP的网络考虑进来。因而,VPLS中使用PW全连接和水平分割转发来避免环路。
VPLS环路避免的方法如下:
· PE之间逻辑上全连接(PW全连接),也就是每个PE必须为每一个VPLS转发实例创建一棵到该实例下的所有其他PE的树。
· 每个PE设备必须支持水平分割转发来避免环路。如果从PW上收到报文,那么这个报文将不再向这个VSI关联的其它PW上转发,也就是说要求任意两个PE之间通过直接相连的PW通信,而不能通过第三个PE设备中转报文,这也就是VPLS的VSI实例之间要求建立全连接PW的原因。
如果两个CE之间只存在一条PW,则当PE节点、PE与CE之间的链路、或PE之间的PW出现故障时,CE之间将无法通信。PW冗余保护功能通过部署主备两条PW,实现当主PW出现故障后,将流量立即切换到备份PW,使得流量转发得以继续。目前,只有静态PW和LDP PW支持PW冗余保护功能。
主备PW的状态分为Active和Standby。
· Active:表示该PW可以用于业务传送。
· Standby:表示该PW处于备份状态,不能用于业务传送。
对于LDP PW,PW两端的PE通过LDP通告消息协商主备PW的状态,协商方法由PW冗余保护模式决定:
· 独立操作模式
PW两端的PE独立操作,并把PW在本端的Active/Standby状态通过LDP通告消息告知远端PE。每个PE分别比较PW在本端和远端的Active/Standby状态。一条PW只有在本端和远端都是可工作的,并且在本端和远端都同时处于Active状态时,该PW才可以用来传送客户业务。在仅一端处于Active状态、另一端处于Standby状态或两端都处于Standby状态的PW上不允许传送客户业务。需要由用户保证两端PE的PW主备配置一致。
· 主从操作模式
PW两端的PE不是独立操作的,其中一个PE作为主节点,另一个PE作为从节点。
主节点决定了本地PW的Active状态、Standby状态后,通过LDP通知消息将该状态通告给从节点。从节点接收到主节点的LDP通知消息后,保持本地的PW状态与主节点一致,从而保证主、从节点均在相同的、处于Active状态的PW上传送客户业务。
从节点无需向主节点通告PW在本端的Active/Standby状态,主节点也忽略来自于从节点的任何关于PW的Active/Standby状态的LDP通知消息。
如图11所示,在两个CE之间建立两条PW链路,正常情况下,CE使用主PW与远端CE通信;当PE 1检测出到PE 2的PW不可用(可能是PE 2节点故障,也可能是PW故障,或PE 2与CE 2之间的链路故障),PE 1将启用备份PW,通过备份PW将CE 1的报文转发给PE 3,再由PE 3转发给CE 2。CE 2接收到报文后,通过更新MAC地址表项等方式将发送给CE 1的报文切换到备份PW转发,从而保证通信不会中断。
图11 VPLS的PW冗余保护
VPLS根据控制平面的LDP会话状态,或者数据平面连通性检测结果等来判断PW是否可以继续使用。在以下情况下,设备认为PW不可用:
· 承载PW的公网隧道被拆除或通过BFD等检测机制检测到公网隧道出现故障,导致PW的状态变为down;
· 控制平面拆除PW(如PW两端PE之间的LDP会话down导致PW被删除),或利用BFD等链路检测机制检测到PW故障;
· 执行命令手工切换主备PW。
对于静态PW,PE判断主PW不可用后,将流量切换到备份PW,以确保流量转发不中断。
对于LDP PW,PE根据上述条件分别确定本地主、备PW的Active/Standby状态后,通过LDP消息中的PW Preferential Forwarding状态位携带本端PW的状态,将该状态通告给对端PE:
· 该状态位置位时,表示本端PW处于Standby状态。
· 该状态位未置位时,表示本端PW处于Active状态。
两端PE根据本地PW状态和PW冗余保护模式,确定使用哪条PW转发流量。
如上文所述,VPLS要求PE之间全连接,因此一个VPLS实例的PW的条数跟PE设备的个数之间的关系是:PW的条数=PE的个数×(PE的个数-1)/2。在VPLS网络规模比较大的情况下,PW的数目非常庞大,PW信令开销很大,网络的管理和扩展都将变得复杂。为了简化网络管理和提高网络的扩展性,引出了H-VPLS(Hierarchical VPLS,分层VPLS)的组网方式。
H-VPLS将PE划分为UPE和NPE。UPE主要作为用户接入VPN的MTU(Multi-Tenant Unit,多租用单元,如路由器或交换机设备),用于连接CE和服务商网络;NPE处于VPLS网络的核心域边缘,提供用户报文在核心网上的透明传输服务。UPE不需要与所有的NPE建立全连接,只需在NPE之间建立全连接。H-VPLS通过分级,减少了PW的数目和PW信令的负担。
根据UPE和NPE之间连接方式的不同,H-VPLS分为:
· LSP接入方式
· QinQ接入方式
图12 LSP接入方式
如图12所示,UPE作为汇聚设备MTU,它只跟NPE 1建立一条虚连接接入链路U-PW(建立U-PW需要在NPE和UPE设备上创建VSI实例,指定对等体,并要求两台设备上的PWID必须相同),跟其他所有的对端都不建立虚连接。
数据转发流程如下:
(1) UPE负责将CE上送的报文发给NPE 1,同时打上U-PW对应的PW标签(NPE 1分配的PW标签,作为多路PW复用分离标记);
(2) NPE 1收到报文后,先根据PW标签判断报文所属的VSI,再根据该报文的目的MAC压入N-PW对应的PW标签,然后转发该报文;
(3) NPE 1从N-PW侧收到报文后,打上U-PW对应的PW标签,将报文发送给UPE,UPE再将报文转发给CE。
CE 1与CE 2之间的数据交换为本地CE之间交换时,如果UPE本身具有桥接功能,UPE将直接完成两者间的报文转发,而无需将报文上送给NPE 1。不过对于目的MAC未知的第一个数据报文或广播报文,UPE在将数据通过桥广播到CE 2的同时,仍然会通过U-PW转发给NPE 1,由NPE 1来完成报文的复制并转发到各个对端CE。
图13 QinQ接入方式
如图13所示,MTU(也可以称为UPE)为标准的桥接设备,在MTU和PE 1之间建立点到点的以太网QinQ连接(即在MTU面向CE的接口上使能QinQ,在与MTU直连的PE 1上使用VLAN接入方式)。MTU从CE上收到的报文都将被打上一层外层VLAN标记,报文转发到PE 1时,根据配置的VLAN接入方式,外层VLAN标记被解释为服务提供商VLAN标记,也就是服务提供商为用户分配的服务界定符,根据这个界定符,报文被映射到相应的VSI实例,由这个VSI实例决策出报文如何转发(单播或广播)。
数据转发流程如下:
(1) 在CE接入端口使能QinQ,为收到的报文添加压入VLAN TAG作为多路复用分离标记,在MTU与PE 1之间通过QinQ隧道将报文透明传输到PE 1;
(2) PE 1先根据报文携带的VLAN TAG判断所属的VSI,再根据该报文的目的MAC为其压入PW对应的PW标签,然后将其转发;
(3) PE 1从PW侧收到报文后,根据PW标签,判断报文所属的VSI,再根据用户报文的目的MAC打上VLAN TAG通过QinQ隧道将报文转发给MTU,由MTU将报文转发给CE。
如果CE 1与CE 2之间的数据交换为本地CE之间交换,由于MTU本身具有桥接功能,MTU将直接完成两者间的报文转发,而无需将报文上送给PE 1。不过对于目的MAC未知的第一个数据报文或广播报文,MTU在通过桥广播到CE 2的同时,仍然会通过QinQ隧道转发给PE 1,由PE 1来完成报文的复制并转发到各个对端CE。
UPE与NPE(或MTU与PE)之间只有单条链路连接的方案具有明显的弱点,一旦该接入链路出现故障,汇聚设备连接的所有VPN都将丧失连通性。所以,对于H-VPLS的两种接入模式,都需要有冗余备份链路存在。在正常情况下,设备只使用一条链路(主链路)接入,一旦VPLS系统检测到接入链路失败,它将启用备用链路继续提供VPN业务。
对于LSP接入方式的H-VPLS,由于UPE与NPE之间运行LDP会话,可以根据LDP会话的活动状态来判断主PW是否失效;对于QinQ接入方式的H-VPLS,需要在MTU与它相连的PE设备之间运行STP,保证在一条链路失败以后启用另一条链路。
图14 LSP接入方式的冗余保护
图15 QinQ接入方式的冗余保护
H-VPLS中环路避免方法需要做如下调整:
· 只需要在NPE之间建立全连接(PW全连接),UPE和NPE之间不需要全连接。
· 每个NPE设备上,从与NPE连接的PW上收到的报文,不再向这个VSI关联的、与其它NPE连接的PW转发,但可以向与UPE连接的PW转发。
· 每个NPE设备上,从与UPE连接的PW上收到的报文,可以向这个VSI关联的所有与其它NPE连接的PW转发。
不同类型的数据流可能通过同一条PW来传输,这些数据流在PE节点上封装完全相同的PW标签。封装了PW标签的报文到达P节点时,尽管P节点上存在多条隧道可以进行负载分担,但同一条PW的多条数据流仍然只能选择同一条路径转发,不能针对不同的数据流进行负载分担。L2VPN流标签功能可以实现在P设备上针对不同的数据流进行负载分担。
PE节点上的L2VPN流标签能力分为:
· 流标签接收能力:PE从PW上接收到报文后,能够识别报文中的流标签,并在解封装时删除流标签字段。
· 流标签发送能力:PE在通过PW发送报文时,会在PW标签后增加流标签字段。
PE节点上的L2VPN流标签配置方式分为:
· 手工指定:由用户保证两端PE的L2VPN流标签能力匹配,即一端具有接收能力、另一端具有发送能力。否则,可能会导致流量处理失败。
· 动态协商:在信令协议报文(如LDP报文)中携带本端的流标签能力,以便进行流标签能力协商。只有两端PE的L2VPN流标签能力匹配,流标签功能才能协商成功。如果协商失败,则两端PE均不具备流标签能力,采用正常的转发流程转发报文。
静态PW两端PE的L2VPN流标签能力只能手工指定;动态创建PW两端PE的L2VPN流标签能力既可以手工指定,也可以动态协商。
如图16所示,在两端的PE节点上均开启L2VPN流标签功能后,入口PE对数据报文进行封装时,会在PW标签后加入一个流标签(Flow label)字段,不同类型的数据流可以添加不同的流标签。P节点根据流标签进行负载分担。出口PE剥离PW标签和流标签后,将报文转发到本地站点。
图16 L2VPN流标签示意图
某些产品上没有根据“2.6.1 AC上的报文封装方式”来解析收到的报文携带的外层TAG,而是根据私网接口是否使能QinQ和PW上的报文封装方式来确定TAG的处理方式。在这些产品上需要注意:
· VPLS业务板处理VPLS业务流量时,业务处理板始终将外层TAG当作P-TAG(服务界定符)来处理。在私网接口没有使能QinQ的情况下,如果PW工作在Ethernet模式,业务处理板处理VPLS业务流量报文时,直接将外层TAG剥离(即使这个TAG是U-TAG)。因此应用时,如果PW工作在Ethernet模式又希望不剥离U-TAG,则必须在私网接口上使能QinQ,这样报文送到VPLS业务板处理时,只剥离QinQ加上的TAG。
· 向对端通告的Requested VLAN ID与VPLS允许接入的AC数目(即与一个VSI绑定的接口数目)有关。如果VSI与单个AC绑定,那么Requested VLAN ID取值为本地私网接口对应的VLAN ID,否则为0。因此如果一个VSI可以跟多个AC绑定,PW上的报文封装模式为VLAN模式时,PW上传递的报文携带的P-TAG为0 TAG。
H-VPLS的QinQ接入方式组网中,需要注意以下几点:
· MTU设备上,与NPE相连的以太网接口和与CE相连的以太网接口上需要使能STP或者MSTP,BPDU报文在两台NPE之间传递,以避免出现环路。
· 在NPE设备上,与MTU连接的以太网接口上一定不能使能MSTP,否则BPDU协议报文无法正常传递。
· 为了防止BPDU协议报文传送到VPLS网络域中的其他PE设备,BPDU协议报文和用户数据报文需要映射到不同的VPLS实例。
UPE双归属于两个NPE,当UPE与NPE之间使用的PW(如主PW)失效,则UPE发起PW切换,激活另一条PW。但是在PW失效后的一段时间内,其它站点的NPE设备仍然向这条PW连接的NPE转发流量。当流量到这台NPE时,将无法继续转发。为了提高收敛速度,当发生PW切换时,应尽可能快地通知其它NPE清除相应VSI本地MAC表项、触发MAC地址的重新学习和MAC转发路径的重新建立。LDP协议的地址回收消息提供了这个机制。
Comware的实现方式为由UPE设备发送MAC地址回收消息。如图17所示,UPE向新激活的PW连接的NPE设备发送MAC地址回收消息,NPE收到地址回收消息后,向其它NPE转发地址回收消息。
图17 Comware实现的MAC地址回收方式
地址回收消息中携带MAC TLV,收到这个消息的设备根据TLV中指定的参数进行MAC地址的删除或重新学习这些MAC地址。当MAC地址数目巨大的时候,为了加快收敛速度,可以发送一个空的MAC地址列表。收到地址回收消息后,NPE将移除指定VSI中的所有MAC地址(从发送此消息的PE处学习到的MAC地址除外)。Comware只支持MAC地址列表为空的地址回收方式。
为了实现冗余保护,H-VPLS组网中,UPE与两个NPE之间建立主备PW连接。当主用PW发生故障时,快速切换到备用PW,以保证通信的连续性。
BFD是一套全网统一的检测机制,用于快速检测、监控网络中链路连通状况。在UPE和NPE之间采用BFD(报文周期最快可达10ms)检测UPE和NPE之间的路由可达性。UPE设备上,通过BFD检测到与对端NPE之间出现连通性故障时,UPE设备发起PW的切换过程,将所有与NPE上的VSI连接的PW,都切换到备用的PW上,以保证通信的连续性。
除了传统的VPLS组网方式外,Comware还支持Hub-Spoke和本地E-tree组网方式,以满足用户的不同网络需求。
Hub-Spoke是指网络中存在一个中心站点(Hub站点)和多个分支站点(Spoke站点)的组网方式。在Hub-Spoke组网方式中,分支站点之间不能直接通信,必须通过中心站点通信,以实现中心站点对数据流量进行统一管理。
目前,只有静态PW和LDP PW支持Hub-Spoke组网方式。
图18 VPLS的Hub-Spoke组网方式
如图18所示,VPLS支持Hub-Spoke组网方式中:
· 用户网络中心站点的CE称为Hub-CE。
· 与用户网络中心站点连接的PE称为Hub-PE。
· 用户网络分支站点的CE称为Spoke-CE。
· 与用户网络分支站点连接的PE称为Spoke-PE。
· 朝向中心站点方向的链路(AC或PW)称为Hub链路。用户需要手工指定VSI内的Hub链路。在一个VSI内只能存在一条Hub链路。
· 朝向分支站点方向的链路(AC或PW)称为Spoke链路。
在VPLS的Hub-Spoke组网方式中,PE设备按照如下规则进行MAC地址学习和报文转发:
· 从Spoke链路接收到报文后,进行MAC地址学习,并将报文转发到Hub链路。
· 从Hub链路接收到报文后,不进行MAC地址学习,查找MAC地址表后,根据查找结果将报文转发到Spoke链路。
E-Tree组网用于点到多点业务。在本地E-Tree组网中,将用户的接入链路(AC)的角色分为Root和Leaf,本地同一个VSI内Leaf之间相互隔离,Root与Leaf、Root与Root之间可以互通,从而灵活地控制AC之间的通信。
图19 VPLS的本地E-Tree组网方式
VPLS适用于网络庞大、路由数目众多、有自己的网络维护力量、分支机构分布多个不同地域、对服务质量要求较高的大型企业。如图20所示,运营商A拥有全国骨干,运营商B在多个城市有自己的驻地网,希望租用运营商A的带宽,将各地的网络互连起来。运营商B具有足够的网络管理、维护能力。为了保证服务质量,并保持路由的私有性,运营商B采用了VPLS的组网方案。
· RFC 4447: Pseudowire Setup and Maintenance Using the Label Distribution Protocol (LDP)
· RFC 4761: Virtual Private LAN Service (VPLS) Using BGP for Auto-Discovery and Signaling
· RFC 4762: Virtual Private LAN Service (VPLS) Using Label Distribution Protocol (LDP) Signaling
支持
售前咨询
售后咨询
人工在线咨询
