MPLS VPN在中小型IP城域網(wǎng)中的應(yīng)用探討

劉勇

摘要：該文結(jié)合城域網(wǎng)現(xiàn)狀，通過對MPLSVPN技術(shù)原理的分析，提出了在諸如湖北宜昌這樣的中小型IP城域網(wǎng)上實現(xiàn)MPLS VPN業(yè)務(wù)的網(wǎng)絡(luò)拓撲及技術(shù)解決方案。對于三層BGP/MPLS VPN：以業(yè)務(wù)接入控制點設(shè)備作為VPN的PE，以核心路由器作為三層MPLSVPN的P，在核心路由器上啟用I～P.，PE作為RR的客戶機。對于二層VPLS：選擇三臺BRAS作為VPLS核心層，建立層次化的VPLS網(wǎng)絡(luò)。通過對三層和二層MPLS VPN技術(shù)特點的進一步研究，發(fā)現(xiàn)三層MPLS VPN適合網(wǎng)絡(luò)規(guī)模龐大且對路由信息不甚敏感的客戶，而二層MPLS VPN適合不愿透露路由信息且網(wǎng)絡(luò)規(guī)模較小的客戶。根據(jù)以上特點可對客戶組建VPN網(wǎng)的技術(shù)方案進行引導(dǎo)。

關(guān)鍵詞；BGP/MPLS；VPN；VPLS；R.R；層次化；VPLS

1概述

IP城域網(wǎng)經(jīng)過幾次擴容和網(wǎng)絡(luò)優(yōu)化后，實現(xiàn)了三層路由網(wǎng)絡(luò)（城域骨干網(wǎng)）和二層接入網(wǎng)（寬帶接入網(wǎng)）的物理和邏輯層次的分離，實現(xiàn)了以業(yè)務(wù)接人控制點為界的兩層扁平化網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)拓撲的改變，特別是匯聚交換機層面的取消，使以城域網(wǎng)為承載的VLAN互連的企業(yè)VPNfVirtual Private Network虛擬專用網(wǎng)）的實現(xiàn)出現(xiàn)了困難，并且利用VLAN互連的企業(yè)VPN在技術(shù)方面有一些先天不足，例如VLANID全網(wǎng)必須唯一、廣播域過大、容易形成環(huán)路、容易對全網(wǎng)造成影響、不能唯一標識用戶等。

MPLSfMuhi-protocol label switch多協(xié)議標簽交換）為企業(yè)VPN互連業(yè)務(wù)提供了很好的解決方法。MPLS是下一代寬帶互聯(lián)網(wǎng)技術(shù)的發(fā)展方向，它基于標簽交換并且能有效利用基于IP交換的設(shè)備。在MPLS網(wǎng)絡(luò)，采用MPLS作為通道機制實現(xiàn)透明報文傳輸，MPLS的LSP（1abel switch path標志交換路徑）具有與幀中繼和ATM VCC（virtual Channel Connection，虛通道連接）類似的高可靠和安全性。它消除了在IP和ATM之間過多的復(fù)雜映射而且更好地支持了傳統(tǒng)IP路由技術(shù)難以支持的QoS業(yè)務(wù)。相對IP協(xié)議基于目的地址的路由，MPLS提供基于多種因素的路由，從而更好地滿足流量工程的需要。

優(yōu)化后的IP城域網(wǎng)能很好地支持MPLS，MPLS VPN可為企業(yè)提供很好的二層或三層專線互連業(yè)務(wù)：

三層MPLS VPN也被稱為BGP/MPLS VPN，基于RFC2547bis，現(xiàn)在已經(jīng)非常成熟，其實現(xiàn)思路為：使用LDP（La-bel Distribution Protocol標簽分發(fā)協(xié)議）或RSVP（Resource Res-ervation Protocol資源預(yù)留協(xié)議）建立PE（Provider Edge Router服務(wù)提供商邊緣路由器）至PE的標簽交換路徑LSP，PE通過若干VRF（VPN Routing&Forwarding Instance VPN路由轉(zhuǎn)發(fā)實例）來維護每個直連VPN用戶相應(yīng)的轉(zhuǎn)發(fā)表，PE和CE（CustomEdge客戶邊緣路由器）之間運行傳統(tǒng)IP路由，PE通過MP-BGP來發(fā)布VPN路由，至此VPN用戶可以相互通信。

基于MPLS二層VPN的VPLS（Virtual Private LAN Services虛擬專用局域網(wǎng)業(yè)務(wù)）雖應(yīng)用較為廣泛，但這一技術(shù)的標準化還在準備中。IETF目前一共收到了3類VPLS草案，它們主要的區(qū)別在于信令及組網(wǎng)結(jié)構(gòu)的不同，簡稱為LDP草案、BGP草案和RADIUS草案，其中LDP草案提出最早并且已經(jīng)得到眾多廠商的支持，其實現(xiàn)思路是：PE之間應(yīng)用LDP信令建立標簽交換路徑LSP、虛電線PW（Pseudo Wire），虛電線將所有的廣播（broadcast）幀和跨局域網(wǎng)的單播幀、組播（muhicast）幀從一個局域網(wǎng)轉(zhuǎn)發(fā)到另一個局域網(wǎng)，使得其所連接兩個局域網(wǎng)在數(shù)據(jù)鏈路層上被整合。

本文將結(jié)合湖北宜昌IP城域網(wǎng)現(xiàn)狀及MPLS VPN業(yè)務(wù)的實際運行情況，詳細討論二、三層MPLS VPN的實現(xiàn)原理，并根據(jù)宜昌這樣的十萬用戶的中小型城域網(wǎng)設(shè)計出實際的組網(wǎng)方案，通過分析二、三層MPLSVPN各自的特點找到各自最合適的業(yè)務(wù)模式，從而對客戶的技術(shù)實現(xiàn)需求提供引導(dǎo)。

2宜昌IP城域網(wǎng)現(xiàn)狀

宜昌IP城域網(wǎng)由核心層設(shè)備（核心路由器及SR、BRAS）和接人層設(shè)備（POP點交換機，樓道交換機，DSLAM）構(gòu)成。其中兩臺核心路由器為ALCATEL 7750 SRl2，一臺SR業(yè)務(wù)路由器ALCATEL 7750 SR7，六臺BRAS寬帶遠端接入設(shè)備REDBACKSES00；POP點交換機為中興T64G、T64C等，樓道交換機為中興、華為等中低端二層交換機。

核心路由器fALCATEL 7750 SR12）和CNl出口路由器（cis-co GSR 12016）建立EBGP（Extemal Border Gateway Protocol外部邊界網(wǎng)關(guān)協(xié)議）鄰居，宣告本AS（Autonomous SyNems自治域）的路由信息，并將通過BGP學(xué)到的出網(wǎng)流量的缺省路由導(dǎo)人內(nèi)部路由協(xié)議。核心路由器之間建立IBGP（Internal Border GatewayProtocol內(nèi)部邊界網(wǎng)關(guān)協(xié)議）鄰居；核心路由器與業(yè)務(wù)接人控制點設(shè)備ALCATEL 7750 SR7、REDBACK SE800等通過OSPF（開放最短路徑優(yōu)先）內(nèi)部路由協(xié)議交換路由信息。

核心路由器和CN2出口路由器也會建立EBGP鄰居，且業(yè)務(wù)路由器會和CN2的SR互連。

POP點交換機層及以下為純二層網(wǎng)絡(luò)，三層終結(jié)在BRAS、SR等業(yè)務(wù)接入控制點上。POP點交換機之間不允許互連。SR作為大客戶的接入設(shè)備原則上不接POP點，所有POP點接入BRAS。

通過對網(wǎng)絡(luò)拓撲的分析可以知道：利用VLAN互連的企業(yè)VPN業(yè)務(wù)已很難在現(xiàn)網(wǎng)上實現(xiàn)了，但是現(xiàn)網(wǎng)中的設(shè)備不論是核心路由器ALCATEL 7750 SRl2、業(yè)務(wù)路由器ALCATEL 7750SR7，還是寬帶遠端接入設(shè)備REDBACK SE800都對MPLS支持很好，使得MPLS VPN成為開通企業(yè)VPN的更優(yōu)方案。

3三層MPLS VPN的實現(xiàn)

3.1三層MPLS VPN的實現(xiàn)原理

3.1.1三層MPLS VPN的相關(guān)概念

VPN網(wǎng)在發(fā)展過程中曾經(jīng)碰到個兩個難以解決的問題：（1）GRE、IPSec等靜態(tài)隧道存在N的平方問題（即N個節(jié)點將建N*（N-1）/2個隧道），網(wǎng)絡(luò)伸展性極差。（2）不同的VPN業(yè)務(wù)無法共用相同的地址空間。而三層MPLS VPN很好地解決了這些問題：MPLS的LSP解決了動態(tài)建立隧道問題，VRF解決了共用地址空間問題。

VRF的重要參數(shù)：RT（Route Target）表達每個VRF的路由取舍，作為BGP的路由屬性被攜帶，而RD（Route Distinguisher）加上IPv4地址后，就變成VPN-IPv4地址族了，用來標識地址段所屬VRF。

3.1.2 BGP/MPLS VPN的路由交換

BGP/MPLS VPN的路由交換過程如下：

1）CE和PE通過普通靜態(tài)或IGP（Internal Gateway Protoc01）交換路由，然后redistribute（重分發(fā)）到PE上的MP-BGP。

2）PE路由器需要對一條路由進行如下操作：加上RD（RD為手工配置），變?yōu)橐粭lVPN-IPV4路由。更改下一跳屬性為自己（通常是自己的loopbaek地址）。加上私網(wǎng)標簽（隨機自動生成，無需配置），加上RT屬性（RT需手工配置），通過MP-BGP發(fā)給所有的PE鄰居。

例如，一個VPN-IPV4路由更新包VPN-v4 update：

RD+IP ADDR=h27：10.10.10.0/24；RD為1：27。地址段為10.10.10.0/24

Next-hop=1.1.1.1/32；下一跳改為PE1的loopbaekSOO=Paris，RT=VPN-A；RT屬性

Label=（28）；私網(wǎng)標簽，數(shù)據(jù)包轉(zhuǎn)發(fā)時用

3）對端PE接收VPN-v4路由并將其變?yōu)镮PV4路由，然后根據(jù)本地VRF的importRT屬性加入到相應(yīng)的VRF中，私網(wǎng)標簽保留，留做轉(zhuǎn)發(fā)時使用。再由本VRF的路由引入并轉(zhuǎn)發(fā)給相應(yīng)的CE。

3.1.3 BGP/MPLS VPN的公網(wǎng)標簽的分配

公網(wǎng)標簽的分配過程（動態(tài)LSP的建立）：

1）PE和P路由器通過骨干網(wǎng)IGP學(xué)習(xí)到BGP鄰居下一跳的地址。

2）通過運行LDP協(xié)議，分配標簽，建立LSP通道。

3）標簽用于報文轉(zhuǎn)發(fā)，外層標簽用來指示如何到達BGP下一跳，內(nèi)層標簽表示報文的出接口或者屬于哪個VRF（屬于哪個VPN）。

4）MPLS節(jié)點轉(zhuǎn)發(fā)是基于外層標簽，而不管內(nèi)層標簽是多少。

5）LDP標簽分配遵循DU（下游主動向上游發(fā)出標簽映射消息）。

例如，PEl經(jīng)過P將自己的loopback（1.1.1.1/32）標簽映射至PE2。

3.1.4 BGP/MPLS VPN的報文轉(zhuǎn)發(fā)

報文轉(zhuǎn)發(fā)的過程：

1）CE將報文發(fā)給與其相連的PE的VRF接口，PE在本VRF的路由表中進行查找，得到了該路由的公網(wǎng)下一跳地址（即：對端PE的loopback地址）和相應(yīng)的私網(wǎng)標簽。

2）將該報文封裝一層私網(wǎng)標簽后，在公網(wǎng)的標簽轉(zhuǎn)發(fā)表中查找下一跳地址，再封裝一層公網(wǎng)標簽后，交與MPLS轉(zhuǎn)發(fā)。

例如：PE2的VRFA向地址10.10.10.10/24發(fā)送數(shù)據(jù)包，經(jīng)查VRF的路由表得到該路由的公網(wǎng)下一跳地址PEl的loop-back 1.1.1.1/32和私網(wǎng)標簽28，經(jīng)查公網(wǎng)1.1.1.1/32的標簽為41，則數(shù)據(jù)包標簽封裝如下：

3）該報文在公網(wǎng)上沿著LSP轉(zhuǎn)發(fā)，并根據(jù)途徑的每一臺設(shè)備的標簽轉(zhuǎn)發(fā)表進行標簽交換。在倒數(shù)第二跳處，將外層的公網(wǎng)標簽彈出，交給目的PE設(shè)備。在上例中：P將數(shù)據(jù)包

4）PE設(shè)備根據(jù)內(nèi)層的私網(wǎng)標簽判斷該報文的出接口和下一跳。然后去掉私網(wǎng)標簽后，請報文轉(zhuǎn)發(fā)給相應(yīng)的VRF中的CE。

3.2城域網(wǎng)上三層MPLS VPN的實現(xiàn)

3.2.1網(wǎng)絡(luò)拓撲設(shè)計思路

現(xiàn)業(yè)城域網(wǎng)上三層路由功能在業(yè)務(wù)接人控制點層面啟用，接入網(wǎng)層面是純二層的，并且核心路由器是不會直接接入用戶業(yè)務(wù)的，所以三層MPLS VPN的PE一定會是業(yè)務(wù)接人控制點設(shè)備，包括業(yè)務(wù)路由器SR和寬帶接入設(shè)備BRAS。由于業(yè)務(wù)接入控制點設(shè)備之間沒有直連，它們只有依靠核心路由器才能相互通信，所以核心路由器必須作為三層MPLS VPN的P（Provid-er Router骨干網(wǎng)上的核心路由器）。

SR和BRAS這些PE之間需要運行MP-iBGP來交換VPN-IPV4路由，主要的實現(xiàn)方式有兩種：

1）PE之間之間建MP-iBGP鄰居。

2）選核心路由器P為RR（ROUTER REFLECTION路由反射器），PE作為其客戶機。

方式I的優(yōu)勢是配置簡單，因為SR和BRAS在普通IP路由網(wǎng)絡(luò)里是不運行BGP協(xié)議的，因此不會擔(dān)心BGP鄰居間交換路由時將普通IPV4泄漏到路由表里。缺點是因為i-BGP的水平分割問題需要PE的鄰居關(guān)系全互聯(lián)（FULL MESH），從而存在N的平方問題。

方式II解決了平方問題，但需要注意核心路由器的普通IP路由可能注入到PE路由表里的問題。

通過以上分析可知：是否需要建RR需要根據(jù)PE設(shè)備的臺數(shù)來定，若在4臺以內(nèi)（鄰居聯(lián)接數(shù)不大于6），可以選擇方式I；若有5臺及以上建議選擇方式II。

3.2.2宜昌城域網(wǎng)上三層MPLS VPN的實現(xiàn)

宜昌PE設(shè)備共有7臺，通過選核心路由器P為RR建MP-iBGP鄰居，實現(xiàn)拓撲如圖2：

實現(xiàn)步驟：

1）在P設(shè)備即ALCATEL 7750 SRl2上建family（協(xié)議族）為VPN-IPV4的i-BGPRR鄰居關(guān)系，客戶機為PE。兩臺核心路由器上都建，起到路由宣告的備份。通過定義路由策略過濾掉普通IPV4路由向PE的發(fā)布。

2）在P設(shè)備啟用MPLS、LDP，將LOOPBACK以及與PE互聯(lián)的INTERFACE（接口）加入。

3）在PE上啟用VPN-IPV4 BGP，與P建立i-BGP鄰居，并啟用“NEXT-HOP-SELF”修改下一跳屬性。

4）在PE上啟用MPLS、LDP，將LOOPBACK以及與P互聯(lián)的接口加入?？蛇^濾掉非loopback地址的標簽映射。（只需要建至對端PE LOOPBACK的LSP）

5）經(jīng)過以上過程，三層MPLSVPN的骨干已經(jīng)建好，可以檢查BGP鄰居是否建立，PE的LOOPBACK的標簽映射是否分發(fā)，LSP是否成功建立。

6）根據(jù)客戶需求規(guī)劃網(wǎng)絡(luò)資源：ip地址、VRF、RT、RD以及PE與CE路由交換的方式。規(guī)劃接入網(wǎng)用戶二層接人的方式，例如可通過QinQ實現(xiàn)客戶的唯一標識。

7）在PE上根據(jù)規(guī)劃實現(xiàn)CONTEXT（BRAS）或VRF（sR）的建立，實現(xiàn)和CE的路由的交互及向BGP的路由發(fā)布，實現(xiàn)用戶的二層接入。

8）經(jīng)過以上過程，整個三層MPLS VPN的用戶業(yè)務(wù)接人就可以實現(xiàn)，通過在CONTEXT或VRF中查看路由表驗證VPN路由是否成功分發(fā)，業(yè)務(wù)實現(xiàn)是否成功。

3.3三層MPLS VPN的實現(xiàn)總結(jié)

1）三層MPLS VPN業(yè)務(wù)的實現(xiàn)需要運營商規(guī)劃和維護客戶的路由信息。一方面減小了客戶維護難度，另一方面可能客戶會擔(dān)心由于運營商參與的路由維護會降低VPN網(wǎng)的安全性。

2）運營商需要考慮在一些普通ip業(yè)務(wù)上未用BGP的設(shè)備上啟用BGP，并要考慮通過路由策略完善與普通ip業(yè)務(wù)的關(guān)系。

3）通過對客戶二層接人的設(shè)計可以更好的減小廣播域和標識用戶，是對三層MPLS VPN的安全的有效補充。

4 VPLS的實現(xiàn)

4.1 VPLS的實現(xiàn)原理

4.1.1虛電線（Pseudo Wire）

虛電線是一個雙向的LSP（虛電路），它存在兩個PE之間并被其建立。它的功能是將所有的廣播幀和跨局域網(wǎng)的單播幀、組播幀從一個局域網(wǎng)轉(zhuǎn)發(fā)到另一個局域網(wǎng)，使得其所連接兩個局域網(wǎng)在數(shù)據(jù)鏈路層上被整合。

以太網(wǎng)虛電線PW技術(shù)的核心是幀的封裝及其在MPLS網(wǎng)絡(luò)中的傳輸控制。一個PW幀結(jié)構(gòu)如下：

隧道標簽

虛電路標簽以太網(wǎng)幀頭

Ip包頭上層數(shù)據(jù)

隧道標簽（tunnel label）用于在MPLS網(wǎng)絡(luò)中標識一條確定的標簽交換路徑（LSP），也就是至端點（END-POINT）PE的外層標簽，在MPLS網(wǎng)絡(luò)中根據(jù)LDP協(xié)議分發(fā)。虛電路上標簽用來標識其虛電路ID，即某一VPN。隧道標簽與虛電路標簽均在發(fā)送端PE處被封裝，隧道標簽在MPLS網(wǎng)絡(luò)中可能被逐跳修改，而虛電路標簽則一般維持不變直到幀到達接收端PE。在幀到達接收端PE后，隧道標簽首先被剝離，然后，根據(jù)虛電路標簽的值，轉(zhuǎn)發(fā)幀到相應(yīng)以太網(wǎng)端口。

4.1.2 MAC地址學(xué)習(xí)

VPLS橋接功能之一就是MAC地址學(xué)習(xí)。以太網(wǎng)的一個特征是所有的廣播幀和未知目的地址的幀都會被擴散到所有的端口。為了在VPLS里實現(xiàn)地址擴散，所有未知地址的單播、廣播和組播幀將被擴散到相應(yīng)的虛電線PW，從而到達VPLS中相應(yīng)的PE節(jié)點。

每個PE設(shè)備維護一個單獨的轉(zhuǎn)發(fā)信息庫（FIB），其中包括它所學(xué)習(xí)到的所有的地址和接口標識符，以及轉(zhuǎn)發(fā)VPLS流量到這些地址所需的相關(guān)信息。在VPLS中，PE從其他PE發(fā)來的源地址中學(xué)習(xí)MAC地址。為了轉(zhuǎn)發(fā)幀，PE必須能夠?qū)AC地址與虛電線PW對應(yīng)起來。因此，在VPLS中的PE必須有能力在物理端口和虛電路上動態(tài)地學(xué)習(xí)MAC地址，MAC表如下：VPLS MAC地址以太網(wǎng)位置（端點PE）端口或PW標識

并且通過物理端口和虛電線轉(zhuǎn)發(fā)和復(fù)制數(shù)據(jù)包。

4.1.3 VPLS環(huán)路的避免

任一PE只被允許接收來自其他PE的幀而不被允許再轉(zhuǎn)發(fā)這些幀。這樣做的目的是為了防止網(wǎng)絡(luò)中出現(xiàn)環(huán)路。由于幀永遠不可能被PE二次轉(zhuǎn)發(fā)，所以網(wǎng)絡(luò)中不會出現(xiàn)多于兩個節(jié)點的路徑，從而避免了環(huán)的產(chǎn)生。但是正如iBGP的水平分割一樣，PE之間需要兩兩建VPLS鄰居，既是全網(wǎng)格（FULLMESH）。相應(yīng)的PW數(shù)量也存在N的平方問題。

4.1.4層次化VPLS

針對上節(jié)提到的全網(wǎng)格問題，利用層次化（Hierarchical）VPLS來減少虛電線的數(shù)量，其基本思想可以總結(jié)為：一個VPLS被劃分成2部分，一部分稱為VPLS核心層（core），另一部分稱為VPLS接入層。構(gòu)成核心層的PE設(shè)備被稱為PE-rs，而VPLS接入層設(shè)備被稱為MTU-s（Multi Tenant Unit switch多出租單元交換機）。核心層的PE-rs之間仍然采用兩兩互連（Hub）的方式，而核心層的PE-rs與接入層的MTU-s設(shè)備之間使用星型（Spoke）連接方式，一個MTU-s只允許有一條虛電線（冗余用途的虛電線一般設(shè)置為備份狀態(tài)）與一個PE-rs相連。

4.2城域網(wǎng)上VPLS的實現(xiàn)

4.2.1網(wǎng)絡(luò)拓撲設(shè)計思路

VPLS網(wǎng)絡(luò)拓撲的設(shè)計，主要是從是否層次化以及從哪兒劃分核心層等方面考慮。方式一：對于PE節(jié)點少的網(wǎng)絡(luò)，可以采用簡單的全網(wǎng)格拓撲。方式二：對于PE節(jié)點較多的網(wǎng)絡(luò)，建議采用層次化的VPLS。對于核心層，（a）可以選擇核心路由器作為核心層；（b）也可挑出幾臺業(yè)務(wù)接入控制點設(shè)備作為核心層。

圖示如下：虛線雙箭頭表示核心層的PE-rs之間仍然采用兩兩互連（Hub）的方式；

虛線表示核心層的PE-rs與接人層的MTU-s設(shè)備之間使用星型（sooke）連接方式。

從以上圖示中可以看出，方式一最簡單，但是一旦PE節(jié)點過多，將會形成大量的PW數(shù)量，造成設(shè)備性能的下降和帶寬的消耗。方式二（a）的網(wǎng)絡(luò)結(jié)構(gòu)是最科學(xué)的，但存在以下問題：（1）不同設(shè)備的VPLS兼容性問題；（2）核心路由器上啟用VPLS是否必要及安全性問題。方式二（b）的網(wǎng)絡(luò)結(jié)構(gòu)最實用：既可滿足接入業(yè)務(wù)的需要，又減小了PW的數(shù)量，同時還避免了設(shè)備VPLS兼容性問題帶來的麻煩，畢竟IETF現(xiàn)在還沒有發(fā)布VPLS的RFC文檔。

4.2.2宜昌城域網(wǎng)上VPLS的實現(xiàn)

宜昌城域網(wǎng)采用方式二（b）實現(xiàn)VPLS，三臺接人城區(qū)業(yè)務(wù)的BRAS SE800作為核心層PE-rs，其它BRAS作為接入層MTU-s。

實現(xiàn)步驟（在REDBACK SE800的版本5.03）：

1）在核心層PE-rs之間建VPLS鄰居：

（1）建bridge profile，定義多播、廣播等的速率限制，保護現(xiàn)網(wǎng)。

（2）建vpls profile，加入VPLS鄰居IP地址，類型為HUB。

（3）在contextlocal下，啟用MPLS，啟用LDP，在LDP中加入對端PE的ip地址，建立LsP。

21建核心層PE-rs的接入層MTU-s鄰居：

（1）建bridge profile，定義多播、廣播等的速率限制，保護現(xiàn)網(wǎng)。

（2）建vpls profile，加入VPLS鄰居IP地址，類型為SPOKE，本地模式為PE-RS。

（3）在contextlocal下，啟用MPLS，啟用LDP，在LDP中加入對端PE的ip地址，建LSP。

3）建接入層MTU-s的核心層PE-rs鄰居：

（1）建bridgeprofile定義多播、廣播等的速率限制，保護現(xiàn)網(wǎng)。

（2）建vpls profile，加入VPLS鄰居IP地址，類型為SPOKE，本地模式為MTU-S。

（3）在contextlocal下，啟用MPLS，啟用LDP，在LDP中加入對端PE的ip地址，建立LsP。

（4）在接入業(yè)務(wù)的PE上建VPN的context、類型為bridge的interface，然后將該interface綁到設(shè)備的業(yè)務(wù)接入端口。

4.3 VPLS的實現(xiàn)總結(jié)

1）根據(jù)VPLS的實現(xiàn)原理，PW會轉(zhuǎn)發(fā)廣播和組播幀，應(yīng)根據(jù)實際情況做好對廣播、組播、未知目的幀的速率限制，做好對學(xué)習(xí)的最大MAC數(shù)的限制，保證不會影響現(xiàn)有普通業(yè)務(wù)。

2）對接人網(wǎng)絡(luò)的規(guī)模需要控制。宜昌電信建議接人單個VPLS客戶網(wǎng)絡(luò)規(guī)模小余100臺設(shè)備。

3）對網(wǎng)絡(luò)的合理分層可以減小PW數(shù)量，降低網(wǎng)絡(luò)的消耗。

4）通過對客戶接人的設(shè)計（比如采用QinQ），可以更好的減小廣播域和更精確的標識用戶，提高網(wǎng)絡(luò)的安全與穩(wěn)定。

5）不同廠家的VPLS的互通，一定要經(jīng)過嚴格的測試。

5總結(jié)

本文通過對三層的BGP/MPLS VPN和二層的VPLS的技術(shù)原理的分析以及對實際應(yīng)用的研究，提出了針對二層和三層VPN的相應(yīng)的技術(shù)解決方案和網(wǎng)絡(luò)拓撲設(shè)計。三層MPLS VPN技術(shù)成熟，對廣播域能很好地控制，適合作為VPN的主要實現(xiàn)技術(shù)，接入網(wǎng)絡(luò)規(guī)模較大的且對路由信息不很敏感的VPN客戶。而VPLS實現(xiàn)簡單，且對客戶的路由信息透明，適合接入不愿透露路由信息的規(guī)模較小的客戶。

目前階段，城域網(wǎng)上MPLS VPN應(yīng)用還只是在本地，隨著CN2網(wǎng)絡(luò)的部署和業(yè)務(wù)的加載以及與IP城域網(wǎng)的對接，MPLSVPN將會實現(xiàn)跨地域甚至跨自治域系統(tǒng)的業(yè)務(wù)連通；隨著MPLS QOS、MPLS TE等技術(shù)應(yīng)用的不斷成熟，通過MPLS VPN構(gòu)建一個多業(yè)務(wù)、可為用戶提供有Qos保障VPN業(yè)務(wù)的IP網(wǎng)絡(luò)將成為現(xiàn)實。MPLS VPN技術(shù)必將得到不斷地發(fā)展，獲得更為廣泛的應(yīng)用。