虚拟私有LAN服务VPLS.docx
《虚拟私有LAN服务VPLS.docx》由会员分享,可在线阅读,更多相关《虚拟私有LAN服务VPLS.docx(17页珍藏版)》请在冰豆网上搜索。
虚拟私有LAN服务VPLS
虚拟私有LAN服务VPLS
(计算机与信息技术学院)
摘要:
在众多城域以太网技术中,虚拟专用局域业务(VPLS)作为一种二层虚拟专用网(VPN)技术,由于技术简单可靠、易于实现等优点而广受关注。
VPLS有效结合了互联网协议/多协议标签交换(IP/MPLS)、VPN和以太网交换等多种技术的特点,实现广域范围的多点到多点局域网(LAN)互连,其核心技术包括控制平面的基于标记分发协议(LDP)或边界网关协议(BGP)的伪线建立与维护、数据平面的媒体访问控制(MAC)地址学习、伪线封装等。
在此基础上,还介绍了HVPLS、环路避免等一些关键技术。
通过分层结构,VPLS可以跨域提供虚拟局域网业务。
基于其独特的技术优势,VPLS可以提供多个层次的应用。
关键字:
VPLS,LDP,BGP,HVPLS,环路避免
Abstract:
BecausethetechnologyofvirtualprivateLANservice(VPLS)issimple,reliableandeasytorealize,VPLShasbeenwideconcernedasasecondvirtualprivatenetwork(VPN)technologyinmanymetroEthernettechnologies.VPLSiseffectivelycombinedwithInternetIP/MPLS,VPNandEthernetswitching,realizemultipointtomultipointoflocalareanetwork(LAN)interconnectionintherangeofWAN.Itscoretechnologiesincludetheestablishmentandthemaintenanceofpseudolinebasedonmarkdistributionagreement(LDP)orbordergatewayprotocol(BGP)oncontrolsurface,mediaaccesscontrol(MAC)addresslearning,pseudolinepackageondatasurface,etc.Onthisbasis,wealsointroducesomeotherkeytechnologies,suchas,HVPLS,loopavoidance.Throughthelayeredstructure,VPLScanprovidevirtuallocalareanetworkbusinessbycrossingdomains.Basedonitsuniquetechnicaladvantages,VPLScanprovidemultiplelevelsofapplication.
Keywords:
VPLS,LDP,BGP,HVPLS,loopavoidance
目录
虚拟私有LAN服务VPLS1
第一章引言3
第二章VPLS概述4
2.1简介4
2.2体系架构4
2.3解决问题5
2.4VPLS前景6
第三章VPLS实现原理8
3.1VPLS信令协议8
3.2数据封装与转发11
第四章关键技术13
4.1MAC地址学习13
4.2PE数增大时PW全连接问题14
4.3VPLS内的环路避免17
第五章VPLS的应用19
5.1典型应用19
5.2基于VPLS的动态QoS控制20
5.3分布式个人综合业务应用20
5.4VPLS技术应用于电子商务网络体系结构21
第六章展望与总结22
参考文献23
第一章引言
随着科学技术的进步和社会的不断发展,信息化已经渗透到了人们日常工作、生活的各个领域。
怎样保证信息更加及时、准确、安全得传递很重要。
这就依赖于网络具体的构建和网络技术的发展。
网通公司作为国内主要电信运营商,为用户提供了技术多样、品种繁多的组网业务。
由于以太网具有价格低廉、组网灵活等优点,不仅使以太网占据了局域网技术的主导地位,也使IP路由技术广泛应用在运营商的网络中。
面对增长迅速的IP业务,网通公司制定了电信网络接入商向“宽带通信与多媒体服务提供商”转型的战略目标。
网通公司原有IP网络主要提供因特网接入业务,对企业组网业务主要采用DDN、ATM和帧中继网络。
但是随着信息技术的发展,今天的企业不再局限于本地、本国,而是跨地区、跨国家进行组网。
传统的ATM、DDN专线连接方式难以适应现代企业的需求,无法提供低成本、高速率的灵活组网方式。
虽然可以利用虚拟专用网(VPN)技术来为企业提供各分支用户网络连接、Internet接入等服务,但即使是技术较为成熟、应用较早的第三层VPN技术,也存在着组网技术较复杂,对网络人员技术要求较高等不足,并且对于多点到多点业务支持能力较为欠缺。
与此同时,第二层VPN技术能提供点到点连接,其应用则被限制于骨干网络之间的互连。
当实现多点业务通信时,其所需要的连接数量将随着用户数量的增加呈几何级数增长,在业务管理、网络安全、服务保证等方面均存在一定缺陷。
可见,现有技术无法很好地在广域范围内向用户提供多点通信的以太网业务。
只有发展新技术才能满足客户的新需求。
VPLS就是一个能够满足用户和运营商要求的新技术。
它结合了以太网和MPLS的双重优点,VPLS可以使用户分布在不同地点的分支机构之间直接进行通信。
对于用户来讲,广域网是完全透明的,就好像所有的分支机构直接连接在一个虚拟的以太网交换机上。
VPLS可在一个或多个城域网间提供多点至多点的以太网服务,并能提供多个站点之间的通信连接。
第二章VPLS概述
2.1简介
虚拟私有LAN服务(VPLS)是IETF定义的一个MPLS应用,是虚拟专用局域网业务。
它允许地理分散站点通过连接每个站点到一个基于MPLS的网络共享一个以太网广播域,从用户角度来看,仿佛所有节点是在相同的局域网(LAN)中一样。
广域网(WAN)和城域网(MAN)对所有的用户区域都变得通明。
以太网VPN,基于VLPS和MPLS,比其它可选择的2层或3层技术提供更多的益处。
VPLS基于MPLS,独立于具体物理拓扑,可以利用MPLS的流量工程实现资源配置最佳化;VPLS利用FRR(ForwordResourceReservation,前向资源预留)可以实现50ms保护倒换时间。
VPLS支持2/3/4层可扩展的ACL(AccessControlLists,访问控制列表)能力和每个用户的ACL控制,能够提供较安全的控制和策略机制。
VPLS具有良好的二层汇聚能力,支持的用户数量突破了传统以太网4096个VLAN用户的限制。
VPLS提供分层的VPLS(HVPLS),进一步改进了扩展性,用户数可扩展到百万级。
VPLS能够区分并保证每个用户中的不同业务流量,网络业务配置简单,业务提供快。
VPLS具有清晰的运营网和用户网间的界限,便于管理。
总的来说,VPLS在QoS和流量工程方面比MACinMAC更好,非常适合网络边缘层的应用[1]。
2.2体系架构
VPLS的基本拓扑模型如图2-1。
设企业客户A和B各有3个分部分别位于区域1、2和3。
为了互联客户位于这3个区域的局域网,运营商在区域1、2和3设置了3个接入VPLS业务的设备,称为运营商边界设备(PE)。
相应地,客户各个局域网设置有和运营商网络接口的设备,称为客户边界设备(CE),经联接电路(AC)和对应的运营商设备PE1、PE2、PE3相联。
AC的形式和VPLS无关,可以是物理以太网端口、逻辑以太网端口、帧中继链路、ATMPVC,甚至是以太网伪线[4-5]。
各个PE通过隧道相连,每个隧道中建立了两条伪线(PW),分别服务于客户A和客户B。
伪线是PSN中采用二层技术建立的一对节点之间的仿真点对点双向连接,可由两条单向的LSP承载构成。
运营商通过PE和互联伪线在公众PSN上传送客户不同区域LAN之间的业务数据流,由此将客户分布于不同区域的多个LAN互联成为一个仿真的LAN,称之为一个VPLS实例,每个区域的LAN可视为该仿真局域网的一个网段。
由于IP/MPLS骨干网可以是一个域,也可以由互联的多个域组成,可跨越很大的范围,因此通过这样的VPLS,运营商可以为客户提供跨城域网或广域网的LAN互联业务,对客户而言,组网简单方便,无需更改自己原有的网络部署。
PE间隧道承载的是多个VPLS实例的聚合业务流,相当于传输网中的复用器功能。
隧道建立方式取决于所采用的隧道技术,例如在MPLS网络中,可采用LDP协议建立。
隧道中的伪线承载的是单个VPLS实例业务流,相当于分路器功能,相应地,每个伪线都赋予一个分路器标识(PWD),可称为伪线标识符。
VPLS实例的构建就是在对应PE之间建立起伪线连接,需要定义相应的伪线控制信令,可通过隧道建立信令的扩展实现。
建立起VPLS实例后,PE将承担起仿真网桥的功能,将客户某一区域LAN经由AC送入的以太网帧转发至适当的伪线,即可送达目的区域LAN,由此完成客户不同区域LAN的互联[2]。
图1VPLS的基本拓扑模型
2.3解决问题
VPLS技术既解决了传统以太网技术的不可扩展性和不可靠性,又能提供新的网络功能,如:
MPLS的动态信令可以提供快速和动态的业务部署和重新配置能力;MPLS能够在一个网络上承载多种二层和三层业务;MPLS流量工程在解决网络拥塞问题的同时,又增强了网络服务质量保证的能力。
但由于MPLSVPN主要应用在三层VPN,也存在着一些问题:
第一,它只能提供IP数据的支持能力;第二,客户需要将路由交给运营商进行管理,鉴于企业用户的保密原则,一般都会存在顾虑。
依托于MPLS,采用二层VPN技术的VPLS可以弥补以上组网缺陷。
在VPLS网络中,每个用户同时连接在MPLS网络的一个节点上。
即由VPLS技术组成的点对点(或点对多点)连接的VPN网络,是建立在骨干MPLS网络上的。
利用唯一的MPLS标记可以将某一用户的传输流与其他用户的传输流隔离,同时也可将一项服务于其他服务相分离。
因此,VPLS就是一种基于MPLS技术的多点到多点的交换式以太网业务,它弥补了MPLS三层VPN存在的组网缺陷。
2.4VPLS前景
VPLS与技术较为成熟的L3MPLSVPN相比,VPLS有以下优点:
1)独立用户路由,用户无须向运营商通告企业网的路由,用户组更加灵活,用户网络与运营商网络的路由隔离性强,二者的路由相互没有影响。
2)运营商仅负责提供二层的连接性,客户负责三层的连接性,如路由等。
这样,当用户由于配置错误,引起路由振荡时,不会影响运营商网络的稳定性。
3)由于运营商只提供二层连接,客户可以使用其愿意使用的任何三层协议,例如IPv4、IPv6、SNA、IPX等,同时,可以帮助运营商完成IPv6接入网跨越IPv4骨干网的组网方案。
4)对PE的路由能力要求低,PE不需要维护用户路由表,所以路由能力的要求较低[3]。
虽然VPLS技术有这些优点,但是VPLS技术在推广上,目前还存在一些问题,诸如不同厂家设备的互通性、用户的认知过程等,但这些不足以阻止其发展,其优点还是显而易见的。
由于VPLS技术是基于MPLS的,具备高安全、高QoS保障等优点。
其应用使得IP城域网达到了与DDN、ATM网络同样商用级水平。
VPLS网络电路标识数量为百万个以上,完全满足各种用户的组网需求。
VPLS可以建立备用路径,利用动态信令可将故障路径中的流量迅速切换到备用路径上。
因此,VPLS将MPLS的可扩展性、可靠性、QoS保障与以太网的成本优势结合起来,从而使运营商IP网能提供十分吸引人的解决方案,使得IP城域网组建VPN出现了新境,这正是所有电信运营商所期望的。
VPLS在推广上有一些问题,同样,VPLS技术现在也还存在着一些问题。
如,现有技术无法很好地在广域范围内向用户提供以太网业务,尤其是多点到多点业务。
因此,采用VPLS技术构建大规模可运营的城域以太网,还需要在技术上进一步研究。
1)业务的可管理性:
传统以太网无法对业务进行监控,如何定义以太网的OAM机制。
2)保护恢复机制:
链路终端的收敛时间问题以及点到点、点到多点、多点到多点业务的保护倒换问题。
3)如何在保证服务质量的同时,在城域以太网上承载的传统业务尤其是TDM业务。
作为一种新的技术,VPLS在具有相对技术优势的同时,也面临着一些其它城域以太网技术的挑战,如MIM(MACinMAC,又称ProviderBackboneBridge)和PBT(ProviderBackboneTrunk)。
随着VPLS技术的标准化工作开展较早,且已取得初步成效,电信运营商给予了极大关注并在国内外得到一定规模的部署,VPLS技术将得到进一步的完善,必将成为城域以太网主流技术之一。
第三章VPLS实现原理
VPLS工作过程主要是由三部分组成,成员关系发现,PW建立和维护,VSI内基于MAC地址的转发。
其中,前两个部分是在PE的控制平面实现的功能,后一个是在PE的数据平面实现的功能。
成员发现是在同一个VPLS中找到所有其他PE的过程。
该过程可以通过手工配置的方式实现,也可以通过使用某些协议自动完成。
使用协议自动完成的发现方式称为“自动发现”。
在同一VPLS的PE之间建立、维护和拆除PW的任务是由信令协议完成的。
在数据平面实现的就是封装和转发,当从CE收到以太网帧后,PE首先对其封装后再发送到分组交换网络上,根据报文是从哪个接口上接收的以及报文的目的MAC地址决定如何转发报文。
3.1VPLS信令协议
VPSL网络中的各VPLS实例是通过虚拟电路(PW)进行通信的,因此PW是VPLS网络的基础。
P的建立常用2种信令:
LDP(LabelDistributionProtocol)、BGP(BorderGatewayProtocol)。
LDP实现方式简单,但是不能提供VPLS成员的自动发现机制,需要手工指定PE的各个对等体,新的PE加入时,每个PE上都要修改配置。
而BGP方式可通过配置VPNTarget实现了VPLS成员的自动发现,增加或删除PE时,无需手工配置。
3.1.1LDP
基于LDP信令实现VPLS的核心思想是依靠LDP信令来建立及维护伪线,并利用以太网伪线两两连接所有VPLS成员局域网,使多个局域网在数据链路层被整合成一个网络[4]。
LDP会话使用可靠的TCP传输协议,RFC3036规程[5]规定了MPLS网络中LDP协议分配标签及交换消息的过程。
基于RFC3036规程,Martini等人在IETF提案中定义了一些LDP消息的格式使其能够支持伪线业务。
这些消息主要完成以下功能:
为伪线业务初始化隧道(LSP)、建立虚电路、分配相关标签、测试伪线的起始与终止端点(SAI、TAI)及学习伪线两端局域网内MAC地址等。
VPLS系统必须确保不出现环的情况,为此要求PE之间采用全网状网(虚)连接。
为了实现全网状网,VPLS中的所有PE必须具有全网状网的LDP会话。
一旦在PE间建立了LDP会话,所有的通道都采用该会话传送信令。
采用LDP作信令时,通过扩展标准LDP的TLV来携带VPLS的信息,增加了128类型和129类型的FECTLV。
建立PW时的标签分配顺序采用DU(downstreamunsolicited)模式,标签保留模式采用liberallabelretention,用来交换VC信令的LDP连接需要配置成Remote方式[6]。
图3-1是一个采用LDP方式作信令的PW建立与拆除的典型过程,当PE1配置了VSI(VirtualSwitchInstance)并指定PE2为其peer后,如果PE1与PE2间的LDPsesseion已经建立就会分配一个标签并给PE2发送mapping消息;PE2收到mapping消息后检查本地是否也配置了同样的VSI,如果配置了,并且VSIID与封装类型都相同,则说明这两个PE上的VSI都在一个VPN内,如果彼此接口参数都一致,则PE2端的PW就建立起来了。
PE1收到PE2的mapping消息后作同样的检查和处理。
当PW1不想再转发PE2的报文(例如用户撤销指定PE2为peer)时,它发送withdraw消息给PE2,PE2收到withdraw消息后拆除PW,并回应release消息,PE1收到release消息后释放标签,拆除PW。
减少伪线数目是基于LDP信令的VPLS大范围应用的一个关键,为了解决大规模应用中存在的全互联问题,IETFLasserre提案中添加了一个分层(Hierarchical)VPLS(HVPLS)方案,这种方案引入了新的设备定义和端点不同的两类伪线。
今后的很多改进都可以在这基础上完善。
采用LDP协议比较简单,对PE设备要求相对较低,LDP不能提供VPN成员自动发现机制,需要手工配置;LDP方式需要在每两个PE之间建立remotesession,其session数与PE数的平方成正比;LDP方式分配标签是对每个PE分配一个标签,需要的时候才分配;LDP方式在增加PE时需要在每个PE上都配置到新PE的PW;在跨域时,LDP方式必须保证所有域中配置的VPLSinstance都使用同一个VSIID值空间。
图3-1LDP方式作信令的PW建立与拆除
3.1.2BGP
在BGP-VPLS网络中,各PE通过BGP协议来寻找和发现VPLS邻居。
PE首先在IP/MPLS域内发送BGP信令广播,具有相同RT值的PE节点在接受到BGP信令广播后,将回应发送广播的PE,当新的PE路由器被发现时,使用BGP建立MPLS的LSP。
BGP-VPLS网络内的VPLS邻居关系通过BGPUpdate信令进行维护更新,形成了VPLS邻居自动发现的机制,在这种机制下,当一个PE想要加入或者离开某个VPLS实例时,只需要在该PE上增加或删除对应的RT属性即可,属于该VPLS实例的其他PE的配置不用做任何改动。
这无疑会大大减少配置工作量,增加网络结构的扩展性[7]。
图3-2是一个采用BGP方式作信令的PW建立与拆除的典型过程,当PE1配置了一个VSI(VirtualSwitchInstance),建立了到PE2的BGPsession,并且在改session上使能VPLS地址族后,如果PE1与PE2间的BGPsesseion已经建立就会分配一个标签并给PE2发送带MP-REACH属性的update消息。
PE2收到update消息后检查本地是否也配置了同样的VSI,如果配置了并且VPN-TARGET匹配(与L3VPN的匹配含义相同),则说明这两个PE上的VSI都在一个VPN内,如果此时接口参数都一致则PE2端的PW就建立起来了。
PE1收到PE2的update消息后作同样的检查和处理[8]。
当PW1不想再转发PE2的报文(例如用户撤销指定PE2为peer)时,它发送带MP-UNREACH属性的update消息给PE2,同时拆除PW,释放标签。
PE2收到update消息后拆除PW。
图3-2BGP方式作信令的PW建立与拆除
采用BGP协议要求PE运行BGP,对PE要求较高,可以提供VPN成员自动发现机制,用户使用简单;BGP方式可以利用RR(RouteReflector)降低BGP连接数,从而提高网络的可扩展性;BGP方式是分配一个标签块,对标签有一定浪费;BGP方式采用VPNTARGET识别VPN关系,需要相同的VPNTARGET空间。
3.2数据封装与转发
封装和转发是VPLSPE的控制平面的主要功能。
从CE收到以太网帧后,PE首先对其封装后再发送到分组交换网上。
根据报文是从哪个接口上接收的以及报文的目的MAC地址决定如何转发报文。
为了能够转发报文,PE需要建立MAC转发表,建立MAC转发表的方式是MAC地址学习,包括从PW来的报文和用户侧报文的学习。
VPLS让数据面上的标准桥接功能的地址学习来提供可达性。
在VPLS中,分组交换网模拟桥接设备,由PE进行MAC地址学习,并且为了能够转发报文,PE必须能够将目的MAC地址与PW进行关联。
在VPLS里,对收到未知单播地址、广播地址和组播地址的以太报文都采用flood方式,将收到的报文转发到其余所有端口(本地VSI下的所有端口和PW)。
如果需要提高供组播的效率,PE需要采取其他方法,比如IGMPsnooping,PIMsnooping等。
PE通过PW学到远端MAC地址,通过AC学到直接接入的MAC地址。
前者由于PW由一对单向的VCLSP组成(只有两个方向的VCLSP都UP才认为PW是UP的),当在入方向的VCLSP上学习到一个原来未知的MAC地址后,需要PW将此MAC地址与出方向的VCLSP形成映射关系。
后者对CE上送的二层报文,需要将报文中的源MAC学习到VSI的对应端口上。
PE学习到的远程MAC地址需要有老化机制来移除与VC标签相关的不再使用的表项。
在接收到报文时根据源地址重置与它对应的老化定时器。
同样的,本地VSI内的所有学习到的MAC地址都需要老化。
第四章关键技术
4.1MAC地址学习
MAC地址学习是VPLS中重要的指标之一,在电信网络中,如果发生了环网的倒换,原来的流量是顺时针,倒换后变成逆时针。
如果每秒学习500个MAC包,则学习典型的64K个MAC地址的时间是128秒,这样在重新学习完MAC地址之前的表现是:
要么是流量发错方向(仍按顺时钟走),要么是广播,无论哪种情况,都会引起丢包。
而电信的典型切换时间是50ms,那么,MAC地址学习能力多强合适?
设备MAC地址容量典型为64KMAC地址时,64KMAC地址在50ms内完成倒换,学习能力要求为:
64K/50ms=1.28M次/秒;当为16KMAC地址,学习能力要求为:
16K/50ms=320K次/秒。
1.源MAC地址学习
为了能转发报文,PE需要能建立MAC转发表。
与BGPVPN不同,BGPVPN使用路由发布机制建立路由表,工作在控制平面,VPLS使用标准桥学习功能建立转发表,由转发平面来完成。
建立MAC转发表的方式是MAC地址学习,包括对用户转发来的报文的学习和从PW来的报文的学习。
从入PW上学习到的MAC地址的出接口要设置成这个PW对应的出PW。
MAC地址学习过程包含两部分:
A、跟PW关联的远程MAC地址学习
由于PW由一对单向的VCLSP组成(只有两个方向的VCLSP都UP才认为PW是UP的),当在入方向的VCLSP上学习到一个原来未知的MAC地址后,需要PW将此MAC地址与出方向的VCLSP形成映射关系。
B、跟用户直接相连端口的本地MAC地址学习
对于CE上送的二层报文,需要将报文中的源MAC学习到VSI的对应端口上。
PE的地址学习与泛洪过程如4-1所示:
图4-1PE的地址学习与泛洪过程
2.MAC地址老化
PE学习到的远程MAC地址需要有老化机制来移除与VC标签相关的不再使用的表项。
在接收到报文时根据源地址重置与它对应的老化定时器。
同样的,本地VSI内的所有学习到的MAC地址都需要老化[9]。
4.2PE数增大时PW全连接问题
无论是以BGP方式,还是LDP方式为信令的VPLS,为了避免环路,其基本想法都是在信令上建立所有站点的全连接,LDP建立所有站点之间的LDP会话的全连接,BGP也一样。
在进行数据转发时,对于从PW来的报文,根据水平分割转发的原理,将不会再向其他的PW转发。
假设有100个站点,站点间的
升级会员 