PTN关键技术VPLS技术白皮书

.PAGE.VPLS技术白皮书华为技术HuaweiTechnologiesCo.,Ltd...目录TOC\o"1-3"\u1前言12技术简介11.1VPLSPW建立的两种信令方式21.2报文转发51.2.1VPLS网络的基本传输构件53关键技术93.1MAC地址学习93.2PE数增大时PW全连接问题93.3VPLS可靠性133.3.1CE接入的可靠性133.3.2HVPLS的可靠性143.3.3PE间链路的可靠性153.4VPLS内的环路避免153.4.1基本组网条件下的环路避免153.4.2HVPLS组网条件下的环路避免154典型应用164.1利用VPLS进行综合组网165结束语17附录A缩略语18..VPLS技术白皮书摘要：VPLS技术是在现有的广域网上提供虚拟以太网服务的技术,通过成员关系发现,PW建立与维护,VSI内基于MAC地址的转发实现跨广域网的局域网站点的互连,从而通过Internet把地理上分散的局域网互连起来。本篇文档介绍了VPLS的原理、关键技术,缺陷与优势。最后,给出了VPLS应用和部署的建议。关键词：VPLS,PW,AC,VSI,UPE,SPE,P-PE前言VPLS是一种基于MPLS和以太网技术的2层VPN技术。在过去的十年,以太网技术得到了迅速的发展和广泛的应用,速率从10M到100M,到1000M,部署成本也越来越低。以太网技术不但在企业网得到广泛应用,在运营网络,特别是MAN〔城域网也日渐增多。由于的高带宽和低成本,以太网有很强的竞争力,为了能在MAN/WAN上提供类似以太网的多点服务,VPLS应运而生。技术简介VPLS即VirtualPrivateLANServices〔虚拟专用LAN业务,是一种在MPLS网络上提供类似LAN的一种业务,它可以使用户从多个地理位置分散的点同时接入网络,相互访问,就像这些点直接接入到LAN上一样。VPLS使用户延伸他们的LAN到MAN,甚至WAN上。图1是一个VPLS的典型组网图。加入VPLS的接口支持广播,转发和过滤以太网帧。PE之间通过PW〔PseudoWire互相连接,对客户形成一个仿真LAN。每个PE不但要学习从PW来的以太网报文的MAC地址,也要学习所连接CE来的MAC地址。PW通常使用MPLS隧道,也可以使用其他任何隧道,如GRE,L2TPV3,TE等。PE通常是MPLS边缘路由器,并能够建立到其他PE的隧道。VPLS典型组网图VPLSPW建立的两种信令方式PW隧道的建立常用有两种信令：LDP〔draft-ietf-l2vpn_vpls_ldp_xx和MP-BGP<draft-ietf-l2vpn_vpls_bgp_xx>。采用LDP作信令时,通过扩展标准LDP的TLV来携带VPLS的信息,增加了128类型和129类型的FECTLV。建立PW时的标签分配顺序采用DU〔downstreamunsolicited模式,标签保留模式采用liberallabelretention。用来交换VC信令的LDP连接需要配置成Remote方式下图是一个采用LDP方式作信令的PW建立与拆除的典型过程。当PE1配置了一个VSI<VirtualSwitchInstance>并指定PE2为其peer后,如果PE1与PE2间的ldpsession已经建立就会分配一个标签并给PE2发送mapping消息。PE2收到mapping消息后检查本地是否也配置了同样的VSI,如果配置了,并且vsiid与封装类型都相同,则说明这两个PE上的vsi都在一个vpn内,如果彼此接口参数都一致,则PE2端的PW就建立起来了。PE1收到PE2的mapping消息后作同样的检查和处理。当PW1不想再转发PE2的报文〔例如用户撤销指定PE2为peer时,它发送withdraw消息给PE2,PE2收到withdraw消息后拆除PW,并回应release消息,PE1收到release消息后释放标签,拆除PW。用LDP作信令时PW的建立/拆除过程采用BGP作信令时,利用BGP的多协议扩展〔RFC2283传递VPLS成员信息。其中MP-reach和MP-unreach属性传递vpls的标签信息,接口参数信息在扩展团体属性中传递,VPN成员关系靠RD<routedistinguish>和VPN-TARGET来确定,RD和VPN-TARGET都在扩展团体属性中传递。下图是一个采用BGP方式作信令的PW建立与拆除的典型过程。当PE1配置了一个VSI<VirtualSwitchInstance>,建立了到PE2的BGPsession,并且在改session上使能VPLS地址族后,如果PE1与PE2间的BGPsession已经建立就会分配一个标签并给PE2发送带MP-REACH属性的update消息。PE2收到update消息后检查本地是否也配置了同样的VSI,如果配置了并且VPN-TARGET匹配〔与L3VPN的匹配含义相同,则说明这两个PE上的VSI都在一个VPN内,如果此时接口参数都一致则PE2端的PW就建立起来了。PE1收到PE2的update消息后作同样的检查和处理。当PW1不想再转发PE2的报文〔例如用户撤销指定PE2为peer时,它发送带MP-UNREACH属性的update消息给PE2,同时拆除PW,释放标签。PE2收到update消息后拆除PW。用LDP作信令时PW的建立/拆除过程采用LDP协议比较简单,对PE设备要求相对较低,LDP不能提供VPN成员自动发现机制,需要手工配置；采用BGP协议要求PE运行BGP,对PE要求较高,可以提供VPN成员自动发现机制,用户使用简单。其次,LDP方式需要在每两个PE之间建立remotesession,其session数与PE数的平方成正比；而用BGP方式可以利用RR〔RouteReflector降低bgp连接数,从而提高网络的可扩展性。第三,LDP方式分配标签是对每个PE分配一个标签,需要的时候才分配；BGP方式则是分配一个标签块,对标签有一定浪费。第四,LDP方式在增加PE时需要在每个PE上都配置到新PE的PW；而bgp方式只要PE数没有超过标签块大小就不需要修改PE上的配置。只需配置新的PE。第五,在跨域时,LDP方式必须保证所有域中配置的VPLSinstance都使用同一个VSIID值空间,BGP方式采用vpntarget识别VPN关系,需要相同的VPNTARGET空间。信信令方式属性LDP方式BGP方式对PE的能力要求一般高支持自动发现否是实现复杂度低高可扩展性差好标签利用率高低配置工作量大小跨域时的限制大小VPLS中两种信令方式的比较综合上述特点,BGP方式适合用在大型网络核心层,PE本身运行BGP以及有跨域需求的情况。LDP方式适合用在VPLS的site点比较少,不需要或很少跨域的情况,特别是PE不运行BGP的时候。当VPLS网络比较大时〔节点多,地理范围大,可以采用两种方式结合的HVPLS〔分层VPLS：hierarchicalVPLS,核心层使用BGP方式,接入层使用LDP方式。报文转发整个VPLS网络就像一个巨大的交换机,它通过在每个VPN的各个SITE之间建立PW,并通过PW将用户二层报文在站点间透传。对于PE设备,它会在转发报文的同时学习源MAC并建立MAC转发表项,完成MAC地址与用户接入接口<AC>和虚链路<PW>的映射关系。对于P设备,只需要完成依据MPLS标签进行MPLS转发,不关心MPLS报文内部封装的二层用户报文。2.2.1VPLS网络的基本传输构件VPLS网络的基本传输构件及作用如下：接入链路〔AttachmentCircuit,AC：CE到PE之间的连接链路或虚链路。AC上的所有用户报文一般都要求原封不动的转发到对端SITE去,包括用户的二三层协议报文。虚链路〔PseudoWire,PW：简单的说,虚连接就是VC加隧道,隧道可以是LSP,L2TPV3,或者是TE。虚连接是有方向的,VPLS中虚连接的建立是需要通过信令<LDP或者BGP>来传递VC信息,然后通过VSI管理来将VC信息和隧道管理,形成一个PW。PW对于VPLS系统来说,就像是一条本地AC到对端AC之间的一条直连通道,完成用户的二层数据透传。转发器〔Forwarders：PE收到AC上送的数据帧,由转发器选定转发报文使用的PW,转发器事实上就是VPLS的转发表。隧道〔Tunnels：用于承载PW,一条隧道上可以承载多条PW,一般情况下为MPLS隧道。隧道是一条本地PE与对端PE之间的直连通道,完成PE之间的数据透传。封装〔Encapsulation：PW上传输的报文使用标准的PW封装格式和技术。PW上的VPLS报文封装有两种模式：Tagged和Raw模式。PW信令协议〔PseudoWireSignaling：PW信令协议是VPLS的实现基础,用于创建和维护PW。PW信令协议还可用于自动发现VSI的对端PE设备。目前,PW信令协议主要有LDP和BGP。服务质量〔QualityofService：根据用户二层报文头的优先级信息,映射成在公用网络上传输的QoS优先级来转发,这个一般需要应用支持MPLSQOS。VPLS基本传输构件在网络中的位置如REF_Ref110681410\r\h图4所示：VPLS基本传输构件以CE1到CE3的VPN1报文流向为例,说明基本数据流走向：CE1上送二层报文,通过AC接入PE1,PE1收到报文后,由转发器选定转发报文的PW,系统再根据PW的转发表项压入PW标签,并送到外层隧道〔PW标签用于标识PW,然后穿越隧道到达PE2,经公网隧道到达PE2,PE2的利用PW标签转发报文到相应的AC,将报文最终送达CE3。MAC地址学习与泛洪VPLS的控制面并不需要通告和分发可达信息,而让数据面上的标准桥接功能的地址学习来提供可达性。和以太网交换机一样,在VPLS里,对收到未知单播地址、广播地址和组播地址的以太报文都采用flood方式,将收到的报文转发到其余所有端口〔本地VSI下的所有端口和PW。如果需要提高供组播的效率,PE需要采取其他方法,比如IGMPsnooping,PIMsnooping等源MAC地址学习为了能转发报文,PE需要能建立MAC转发表。与BGPVPN不同,BGPVPN使用路由发布机制建立路由表,工作在控制平面,VPLS使用标准桥学习功能建立转发表,由转发平面来完成。建立MAC转发表的方式是MAC地址学习,包括对用户侧来的报文的学习和从PW来的报文的学习。从入PW上学习到的MAC地址的出接口要设置成这个PW对应的出PW。MAC地址学习过程包含两部分：跟PW关联的远程MAC地址学习由于PW由一对单向的VCLSP组成〔只有两个方向的VCLSP都UP才认为PW是UP的,当在入方向的VCLSP上学习到一个原来未知的MAC地址后,需要PW将此MAC地址与出方向的VCLSP形成映射关系。跟用户直接相连端口的本地MAC地址学习对于CE上送的二层报文,需要将报文中的源MAC学习到VSI的对应端口上。PE的地址学习与泛洪过程如REF_Ref110681380\r\h图5所示：PE的地址学习与泛洪过程MAC地址老化PE学习到的远程MAC地址需要有老化机制来移除与VC标签相关的不再使用的表项。在接收到报文时根据源地址重置与它对应的老化定时器。同样的,本地VSI内的所有学习到的MAC地址都需要老化。环路消除在以太网上,通常使用STP来避免可能形成的转发环路。VPLS中使用水平分割来消除PE间的环路,即：从PE收到的报文不转发到其他PE。与此同时PE间采用全连接,PE间全连接和水平分割一起保证了VPLS转发的可达性和无环路。当CE有多条连接到PE,或连接到一个VPLSVPN的不同CE间有连接时,VPLS不能避免环路发生,需要使用其他方法,如STP等来避环。关键技术MAC地址学习MAC地址学习是VPLS中重要的指标之一,在电信网络中,如果发生了环网的倒换,原来的流量是顺时针,倒换后变成逆时针,如果每秒学习500个MAC包,则学习典型的64K个MAC地址的时间是128秒,这样在重新学习完MAC地址之前的表现是：要么是流量发错方向〔仍按顺时钟走,要么是广播。无论哪种情况,都会引起丢包。而电信的典型切换时间是50ms。那么,MAC地址学习能力多强合适？设备MAC地址容量典型为64KMAC地址时,64KMAC地址在50ms内完成倒换,学习能力要求为：64K/50ms=1.28M次/秒；当为16KMAC地址,学习能力要求为：16K/50ms=320K次/秒。PE数增大时PW全连接问题无论是以BGP方式,还是LDP方式为信令的VPLS,为了避免环路,其基本想法都是在信令上建立所有站点的全连接,LDP建立所有站点之间的LDP会话的全连接,BGP也一样。在进行数据转发时,对于从PW来的报文,根据水平分割转发的原理,将不会再向其他的PW转发。假设有100个站点,站点间的LDP会话数目将是4950个。在协议draft-ietf-l2vpn_vpls_ldp_xx中引入了HVPLS<层次化的VPLS方案>。根据协议draft-ietf-l2vpn_vpls_bgp_xx同样也能演化出HVPLS方案。LDP方式的HVPLSHVPLS的核心思想是通过把网络分级,每一级网络形成全连接,分级间的设备通过QinQ或者PW来连接,连接的两端,上端叫SPE<SuperPE>或者P-PE<ProviderPE>,下端叫UPE<UserPE>,不同层次的PE之间没有全连接,所以SPE与UPE之间的数据转发不遵守水平分割,而是相互转发。H-VPLS的PW接入方式H-VPLS的LSP方式接入如图6所示,UPE作为汇聚设备,它只跟P-PE1建立一条PW接入链路U-PW,跟其他所有的对端都不建立虚链接。数据转发流程如下：UPE1负责将CE上送的报文发给P-PE1,同时打上U-PW对应的多路复用分离标记〔MPLS标签,P-PE1收到报文后,根据多路复用分离标记判断报文所属的VSI,再根据用户报文的目的MAC打上N-PW对应的多路服用分离标记转发报文。P-PE1从N-PW侧收到报文后,打上U-PW对应的多路复用分离标记将报文发送给UPE,UPE再将报文转发给CE。如果CE1与CE2为本地CE之间交换数据,由于UPE本身具有桥接功能,UPE直接完成两者间的报文转发,而无需将报文上送P-PE。不过对于目的MAC未知的首包或广播报文,UPE在通过桥广播到CE2的同时,仍然会通过U-PW转发给P-PE,由P-PE来完成报文的复制并转发到各个对端CE。H-VPLS的QinQ接入方式H-VPLS的QinQ方式接入如图7所示,UPE为标准的桥接设备,在CE接入端口使能QinQ,打上VLAN-TAG作为多路复用分离标记,在UPE与P-PE之间通过QinQ隧道将报文透传到PE1上,PE1根据UPE打的VLAN-TAG判断所属的VSI,再根据用户报文的目的MAC打上PW对应的多路服用分离标记〔MPLS标签进行转发。PE1从PW侧收到报文后,根据多路复用分离标记〔MPLS标签判断报文所属的VSI,再根据用户报文的目的MAC打上VLAN-TAG通过QinQ隧道将报文转发给UPE,由UPE将报文转发给CE。如果CE1与CE2为本地CE之间交换数据,由于UPE本身具有桥接功能,UPE直接完成两者间的报文转发,而无需将报文上送PE1。不过对于目的MAC未知的首包或广播报文,MTU在通过桥广播到CE2的同时,仍然会通过QinQ隧道转发给PE1,由PE1来完成报文的复制并转发到各个对端CE。BGP方式的HVPLSH-VPLS的MP-EBGP接入方式MP-EBGP方式下的HVPLS方案在LDPHVPLS方案中,UPE和P-PE之间采用的是LDP+IGP的方式来建立PW,这种方式在城域网中出现跨多个自治系统域的时候就会出现问题,因为自治系统域之间的路由器SPE,UPE之间无法运行IGP+LDP。因此只能采用MP-EBGP方案来解决。如上图8,在UPE和SPE之间运行MP-EBGP,信令上使用draft-ietf-l2vpn_vpls_bgp_xx建立PW,转发上在BGP邻居中采用针对水平分割去使能设置〔UPE,SPE均设置,或者BGPVSI内采用针对VEID的水平分割去使能标志,即：UPE收到其他PE发送的报文后允许向SPE发送,SPE收到其他PE的报文后允许向UPE发送。这样就可以实现HVPLS。H-VPLS的LDP接入BGP方式,BGP方式混合接入,大域内采用BGP路由反射器LDPPW接入,MP-EBGP方式接入以及BGPRR方式下的HVPLS方案在上图中,低层次的VPLS内可以采用LDP方式组成全连接,然后因为和高层次的VPLS在同一个AS域内,因此可以采用LDPPW方式接入BGPVPLS。骨干网因为PE数量仍然庞大,因此采用BGPRR来减少全连接数量,通过RR反射来间接的达到逻辑上的全连接。而如果低层次的VPLS和高层次所在的AS不在一个域内,则仍然可以采用MP-EBGP方式,上图是一个LDPPW接入,MP-EBGP接入以及骨干内采用BGP的一个混合组网模型。VPLS可靠性3.3.1CE接入的可靠性3.3.1.1CE双归类似L3VPN,为了保证接入用户在接入点设备PE失效后,仍然不中断业务,CE可以接入两个PE设备,一主一备,在主用的设备失效后,可以自动切换到备用的设备上。CE双归解决的是PE失效的可靠性问题。3.3.1.2利用FRR保护接入可靠性当采用ME-VPLS〔MPLS-Edge-VPLS时,用户CE也使用PW接入PE,此时可以采用FRR保护PW。3.3.2HVPLS的可靠性在HVPLS中,UPE可以双归接入SPE,采用主备用方式,在一个PW失效后,可以立即切换到另外一个PW,参考下图：HVPLS中PW双归情况下的保护上图中,UPE接入两个P-PE,一个为主,一个为备用,在主用的发生故障后,会切换到备用的上面。3.3.3PE间链路的可靠性PE之间的链路需要保护的是构建PW的隧道,隧道的保护分为两种类型,一种是承载隧道本身的物理链路的保护,一种是通过协议来在不同的物理链路进行备份。RPR<弹性分组环>为一个双环结构,物理上,环的一个方向失效后,可以通过另外一个方向迂回,因此如果隧道本身建立于这样的物理链路上就自动增加了保护。另外,可以通过上层协议,例如RSVP-TE协议来保护隧道,就是采用RSVP-TE的FRR<快速重路由技术>,在链路发生故障时,迅速切换,保证端到端的隧道保护。VPLS内的环路避免3.4.1基本组网条件下的环路避免为了避免环路,基于以太网的二层网络都要求运行STP协议,但是VPLS的STP协议不应该参与到ISP的网络中去。VPLS中,为了避免网络收敛慢,和拓扑设计过于复杂,使用‘全连接’和‘水平分割转发’来避免在ISP网络上跑用户STP协议。每个PE必须为每一个VPLS转发实例创建一棵到该实例下的所有其他PE路由器的树。每个PE路由器必须支持"水平分割"策略来避免环路,即PE不能在具有相同VPLS实例的PW之间转发报文〔由于在同一个VPLS实例中每个PE直连。从此意义上讲,‘水平分割转发’的意思就是从公网侧PW收到的数据包不再转发到其他PW上,只能转发到私网侧。但是对分层VPLS的UPE,SPE之间转发是个特例。对于用户来说,他在VPLS私网内跑STP协议是允许的,所有的STP的BPDU报文只是在ISP的网络上透传。3.4.2HVPLS组网条件下的环路避免为了避免环路,使用如下方法：在核心层,PE之间全连接,PE间转发采用水平分割边缘层与核心层之间,有两种拓扑：UPE到SPE的连接只有一条。此时,两级网络层次之间是一种树形拓扑结构,即二级网络的每个域之间不能之间相通,一个UPE只接入到一个SPE。同时,不同site的CE之间要求无连接。这种方式天然避免了环路,但是UPE到SPE存在单点失效问题。如果UPE双归接入SPE则必须采取其他机制保证无环,例如采用BGP信令时由BGP的路由选择完成选路,使UPE只有一条到SPE活动路由。此外,如果CE环路无法避免,则需要采用MSTP〔Multiple-instanceSpanningTreeProtocol。典型应用利用VPLS进行综合组网MPLSVPLS是城域网中的重要技术,通过它可以互连各种现有以太网技术构建的企业网,VPLS以其低廉的价格和可靠性越来越受到运营商的青睐。图11VPLS的典型应用上图是一个典型的VPLS应用,骨干网采用RPR环来构建,RPR可以保护PW,保证VPLS业务在公网上传递的高可靠性。各个接入的局域网采用环状网接入各个城市间的网络。运营商建立了一个全国骨干网,提供了VPLS业务,客户A有三个分部分别分布在北京、上海和XX。为了给客户A提供VPLS业务,运营商在北京、上海和XX建立了三个接入VPLS业务的设备PE1、PE2和PE3。这样,通过VPLS,运营商就可以给客户A提供跨域广域网的LAN业务,对客户A而言,组网简单、方便、不需要改变自己原有的企业网规划〔包括路由计划。采用VPLS提供业务时扩展也很方便,假设客户A业务发展需要在XX建立分部并且将XX分部联入公司总部和其他分部,运营商只需要在XX的PE设备上配置一个VSI,进行简单配置就可以了。结束语VPLS提供了一种将LAN延伸到MAN/WAN的技术,使用户可以不受地域位置的限制,自由地使用简单、广泛应用的LAN技术。多点接入的特点使得VPLS的使用非常方便,对用户几乎没有什么要求和限制。缩略语英文缩写英文全称中文解释VPLSVirtualPrivateLANService虚拟专用局域网服务,在公用网络中提供的一种点到多点的L2VPN业务。VPLS使地域上隔离的用户站点能通过MAN/WAN相连,并且使各个站点间的连接效果像在一个LAN中一样。CECustomEdge直接与服务提供商相连的用户边缘设备。PEProviderEdgeRouter指骨干网上的边缘路由器,与CE相连,主要负责VPN业务的接入。它完成了报文从私网到公网隧道、从公网隧道到私网的映射与转发。PE可以细分为UPE和NPE。UPEUserfacing-ProviderEdge靠近用户侧的PE设备,主要作为用户接入VPN的汇聚设备。SPE/NPE/P-PESuper/Network/ProviderProviderEdge网络核心PE设备,处于VPLS网络的核心域边缘,提供在核心网之间的VPLS透传服务VS