Quidway S8016 MPLS VPN技术分析

S8016高端路由器交换机可基于运营的MPLS网络，为用户提供VPN服务，包括二层和三层MPLS VPN，为不同规模和不同范围的企业互联提供完善的解决方案。

一、S8016三层VPN功能

1、概述

MPLS/BGP VPN可为网络运营商提供一种基于网络的VPN，这种VPN具有易于管理，扩充性好，可在任意节点间连接等特点，网络用户不必关心VPN如何构造，而由网络运营商在网络层完成，特别适用于Intranet、Extranet等网络的构建。

2、S8016三层VPN结构

S8016支持符合RFC2547标准的MPLS/BGP VPN，为网络运营商提供PE设备功能，并可作为路由反射器转发自治域内的VPN报文，还可作为ASBR转发自治域间的VPN 报文。S8016支持VPN用户通过端口或VLAN方式接入，实现VPN内部互访，支持VPN用户使用相同接口访问Internet。

在MPLS/BGP VPN模型中，网络由运营商骨干网和各用户Site组成，VPN实际上就是对site集合的划分，一个VPN对应一个由若干site组成的集合。如果某VPN中的所有site都属于一个企业，则构成Intranet，如果VPN中的site分属不同企业，则构成Extranet，VPN组网方式如图1所示。

图1 S8016 VPN的组网方式

其中：
　 CE（Custom Edge）： 用户Site中直接与服务提供商相连的边缘设备，一般是路由器；
PE（Provider Edge）： 运营商骨干网的边缘设备，直接与用户CE设备相连，支持MPLS LER 功能；
　 P： 运营商骨干网中不与CE直接相连的设备，支持MPLS LSR功能。
S8016 PE设备为每个VPN建立LSP隧道，通过MP-iBGP在PE设备间扩散VPN路由，BGP/MPLS VPN LSP隧道可在自治域范围内建立，也可跨自治域建立；CE设备可以是路由器、三层交换机或二层交换机，可通过不同的PE设备实现互联，也可通过同一PE设备互联；骨干网络中只有PE才会“感知”VPN，核心层P设备不关心VPN，只负责标签转发。因此，对运营商来说，这种配置方式简单、易扩展。

S8016作为运营商PE设备可为不同的VPN用户维护分离的路由表和转发表，可以非常容易地实现用户Site之间的星型和全网格等连接方式，转发时可为不同的用户报文打上不同的标签，在相当程度上保证用户数据的私有性和安全性，利用MPLS网络CoS和流量工程等机制，为用户提供具有QoS保证的三层VPN服务。

3、S8016三层VPN性能

支持512 个VRF配置； 
配置的所有VRF的路由表的路由数不超过64K； 
转发速率：全线速； 
转发时延<50us，时延抖动<5us。

二、S8016二层VPN功能

1、概述
MPLS二层VPN可在现有的MPLS网络中为用户提供私有的二层网络服务。

MPLS二层VPN将网络的管理职责分离，服务提供商的PE设备仅负责用户CE设备之间二层的连接和转发，而三层以上的功能由用户的CE设备实现，降低服务提供商的管理开销。

对于MPLS二层VPN，VPN内部的路由信息取决于用户自己的配置和规划，具备非常突出的私有化特征。对于服务提供商来说，无论是PE设备还是P设备，都不需要参与三层处理，也不需要保留任何VPN内部的路由信息，可使MPLS二层VPN与用户的三层网络协议无关，但要求同一个VPN中PE和CE设备之间的链路层保持一致。
MPLS二层VPN中的专线业务和传统的基于ATM/FR的二层VPN在实现原理上一致，这使得现有的二层VPN业务可以很方便地切换到MPLS网络中。

MPLS二层VPN业务在网络中采用双层标签封装，外层标签为标识PE间共享隧道，内层标签标识CE 间的专有连接。不同VPN的二层连接在PE设备之间可以复用相同的隧道LSP，内层标签直接在PE设备之间通告，在VPN配置和扩展非常容易。

MPLS二层VPN包含两种业务模式，一种是点到点专线业务（VLL），另一种是多点到多点虚拟私有LAN网段（VPLS）。

2、S8016二层VPN结构

对于点到点VLL虚拟专线业务模式，S8016采用VLAN或者端口连接VPN用户CE设备，并在两个CE之间建立一对一虚拟连接，这与传统的ATM/FR专线方式相同。图2为S8016 VLL业务的实现方式，该结构具有下述特点：

点到点拓朴结构； 
虚拟专线方式；
服务提供商的PE设备用连接ID来标识和配置每条虚连接； 
用户CE设备完成VPN内部选路，并将数据报文发送到不同的接口和子接口；
支持多种链路类型应用，如POS、Ethernet、Ethernet VLAN等。

图2 VLL业务示意图

对于多点到多点的VPLS 业务模式，服务提供商的MPLS核心网络对用户来说如同一个巨大的虚拟交换机，用户可在同一个VLAN接口上配置多条与对端的虚拟连接，同时可将本地的两个CE配置在相同的VLAN下实现互通。图3为S8016 VPLS 业务的实现方式，该结构具有下述特点：

多点到多点拓扑结构； 
具备源MAC地址学习功能； 
提供基于VLAN + MAC二层转发和二层隧道广播功能； 
提供广播环路避免机制； 
仅支持Ethernet、Ethernet VLAN用户链路类型。

图3 VPLS业务示意图

S8016提供扩展LDP（Cisco）和MP-BGP方式（Juniper）实现内层标签通告。
扩展LDP方式
没有VPN概念，通过配置和连接ID构成用户链路的对应关系； 
PE设备之间采用下游主动分配标签方式通告内层标签； 
利用LDP远程会话直接通告内层标签，使特定的VC FEC Type = 128标识二层VPN消息。
MP-BGP方式 
具备VPN概念，VPN内部的CE利用唯一的CE ID标识； 
MP-BGP协议在PE设备（BGP对等体）之间通告连续的内层标签块； 
具备专用的二层VPN地址族和二层VPN子地址族定义； 
只需要配置BGP对等体，VPN用户自动发现，利用RT区分VPN。

3、二层VPN规格 
支持512个用户CE接口； 
每个接口最大支持建立128条虚连接（VPLS）；
系统最大连接数2K；
转发速率：全线速；
转发时延<50us，时延抖动<5us。