关于L2VPN与L3VPN的详细介绍与对比.doc

1、VPN技术简介     VPN就是运营商通过其公网向用户提供得虚拟专有网络,即在用户得角度VPN就是用户得一个专有网络。     对于运营商来说公网包括公共得骨干网与公共得运营商边界设备。地理上彼此分离得VPN成员站点通过客户端设备(CPE)连接到对应得运营商边界设备(PE),通过运营商得公网组成客户得VPN网络。     2、传统得VPN组网方式     传统得VPN主要采取两种组网得方式:专线VPN与基于客户端设备得安全VPN。     专线VPN使用静态得虚电路(如ATMPVC、FRPVC等)连接客户得站点,形成一个二层得VPN骨干网。VPN成员站点连接到运营商得边界设备(PE),由运营商负责建立VPN成员站点之间得虚电路连接,客户对属于自己VPN得站点得路由进行自主得控制与管理。采用这种方式组建VPN无论对运营商或者就是对客户来说成本都就是很高得,而且二层虚电路得业务提供得周期长,网络管理人员需要进行大量得手工配置工作。     对于基于客户端设备得(CEBased)VPN,VPN得功能全部在客户端得设备中实现。运营商得设备对客户得VPN来说就是完全透明得。客户可以通过购买相应得VPN设备或者在现有得路由器、网关或者甚至就是PC机上安装相应得VPN功能软件就可以开始独立构建基于客户端设备得VPN。由于VPN得成员站点之间通常就是通过非信任得Internet实现互连得,所以一般基于客户端设备得VPN在实现时都引入某些安全机制保护站点之间跨Internet得客户私有流量。这个解决方案得最大缺点就就是客户需要购买、配置与维护昂贵得VPN网关设备,同时也意味着需要高素质得网络管理人员对VPN网关设备与整个VPN网络进行有效得管理与维护,相应也会带来企业网络成本得上升。     3、MPLS VPN     MPLS技术提供了类似于虚电路得标签交换业务,这种基于标签得交换可以提供类似于帧中继、ATM得网络安全性。同时相对于传统得VPN技术来说,MPLSVPN可以实现底层标签自动得分配,在业务得提供上比传统得VPN技术更廉价,更快速。同时MPLSVPN可以充分得利用MPLS技术得一些先进得特性,比如说MPLS流量工程能力,MPLS得服务质量保证,结合这些能力,MPLS VPN可以向客户提供不同服务质量等级得服务,也更容易实现跨运营商骨干网服务质量得保证。同时MPLS VPN还可以向客户提供传统基于路由技术VPN无法提供得业务种类,比如像支持VPN地址空间复用。对于MPLS得客户来说,运营商得MPLS网络可以提供客户需要得安全机制,以及组网得能力,VPN底层连接得建立、管理与维护主要由运营商负责,客户运营其VPN得维护与管理都将比传统得VPN解决方案简单,也减低了企业在人员与设备维护上得投资与成本。基于MPLS得VPN可以作为传统得基于二层专线得VPN、纯三层得IP VPN与隧道方式得VPN得替代技术,在现阶段可以作为传统VPN技术得有效补充。     具体到MPLSVPN得实现方式,根据运营商边界设备PE就是否参与客户得路由,运营商在建立基于IP/MPLS得VPN时有两种选择:     第三层得解决方案,通常称作就是Layer3MPLSVPNs     第二层得解决方案,通常称作就是Layer2MPLSVPNs     衡量一个VPN解决方案得优劣主要基于以下几点得考虑:     支持得业务种类;     可以向用户提供得连接得种类;     扩展性;     部署得复杂度;     业务开展得复杂度;     管理与维护得复杂度;     部署得成本;     管理与维护得成本。     当然这些因素并不就是绝对得,实际得应用中很难简单得说这两个方案谁优谁劣。两个方案都有其优缺点,有其特定得业务模式,也都还处在不断完善发展得阶段,选择一个方案得关键就是运营商实际得网络运营环境,与运营商自身得业务定位,要向客户提供什么样得服务模式。     4、Layer3MPLSVPN     Layer3MPLSVPN就是一种基于路由方式得MPLSVPN解决方案,ITEF RFC2547中对这种VPN技术进行了描述,MPLS Layer3 VPN也被称作就是BGP/MPLS VPNs。BGP/MPLS VPN使用类似传统路由得方式进行IP分组得转发,在路由器接收到IP数据包以后,通过在转发表查找IP数据包得目得地址,然后使用预先建立得LSP进行IP数据跨运营商骨干得传送。为了使运营商得路由器可以感知客户网络得可达性信息,运营商得边界路由器(PE)与客户端路由器(CE)进行路由信息得交互。PE与CE之间得路由交换可以采用静态路由,也可以采用RIP、OSPF、ISIS与BGP等动态得路由协议。BGP/MPLS VPN得解决方案支持对等方式得VPN网络结构。PE之间属于同一MPLS VPN得路由信息通过BGP协议承载进行交互。PE路由器使用LSP进行路由转发,对于运营商路由器P并不需要知道客户VPN网络得信息,这种透明可以有效得减小P路由器得负担,提高网络得扩展性与业务开展得灵活性。通过PE之间、PE与CE之间得路由交互,客户得路由器可以知道属于同一个VPN得网络拓扑信息。     BGP/MPLSVPNs可以解决基于纯IPLayer3 VPN无法实现得一些功能,主要有:     支持地址重叠,即同时支持使用公有地址得客户端设备与私有地址得客户端设备,或者多个VPN使用同一个地址空间;     支持重叠VPN,即一个站点可以同时属于多个VPN。     对于传统基于路由得VPN来说,要解决以上得问题有一定得挑战性。MPLSVPN使用VPN路由转发表(VRF)解决地址重叠得问题。在运营商PE路由器上使用基于每VPN得路由转发表隔离不同VPN得路由。通过路由信息得隔离,实现支持VPN地址得重叠。如果一个PE上有多个CE属于同一个VPN,那么这些CE共享PE上得VPN路由转发表。对于重叠VPN得情况,重叠发生得站点需要使用独立得VRF表存储来自其所属VPN得路由信息。地址重叠得另一个问题就是,PE路由器从邻居得BGP更新中会收到属于不同VPN得重叠路由信息。为了区别来自不同VPN得路由信息,PE使用8octet得路由标识(RD)对来自不同VPN得路由信息进行标识。这个8octet得路由标识作为4 octet得IP地址前缀得扩展构成了一个新得地址类(VPN－IPv4地址)。RD不参与路由发布得过程,它所起得作用仅仅就是区分属于不同VPN站点得路由。RD与VRF之间建立了一种一一映射得关系,VRF在发布路由信息时将同时附带相应得RD信息。对于重叠VPN得情况,这类站点虽然同时属于多个VPN,但就是它只需要一个RD,并不需要多个RD以对应多个VRF,其主要得目得就是为了节省PE路由器上得存储资源。对于这类得VPN成员站点,路由分布得策略与单一VPN成员站点就是一致得。为了防止PE路由器接收到不属于该PE 上VPN成员得路由信息而浪费PE得资源,MPLS VPN使用BGP得扩展属性来控制运营商网络中路由信息得发布。这个功能就是通过对BGP得团体属性来实现得,所有得客户VPN都被赋予一个唯一得团体属性值。在PE接收到一条路由时,BGP进程将检查该路由得扩展属性,如果该属性与该PE上承载得VPN得扩展属性相同PE将接收该路由,如果不同,PE将忽略这些BGP路由。 通过这种方式,PE路由器可以避免存储一些不必要得路由信息,提高网络得可扩展性。     从以上得分析可以瞧出,MPLSVPN可以支持创建重叠VPN,所谓重叠VPN就是指同一个站点同时属于多个VPN得情况。这种功能特别适用于企业之间并购时得网络整合或者企业之间由于合作得需要,相互之间需要共享网络资源。用户将依靠服务提供商来实现特定得路由控制,也就就是说,路由控制来自于CE路由器并且派送到PE路由器。在图1中,用户A,站点1,既归属于VPNA,又归属于VPNC。该站点得路由信息由本地PE路由器在一个RD中进行通告,这个RD同时包含了两个Route Target扩展属性:一个用于VPN A,另一个用于VPN C。远端得PE根据BGP扩展属性对来自该PE得路由信息进行接收与处理。     当通告一个VPN-IPv4路由时,BGP信息中携带了VPN得内标签信息与相关VPN得BGP下一跳信息。PE路由器可以通过LSP可以建立两两之间之间得通信。这些LSP可以瞧做就是MPLSVPN得外层标签,可以通过多种信令协议方式建立,比如LDP或者RSVP/TE。当PE接收到一个目得为远端VPN站点得IP分组时,PE给分组包附加两层MPLS标签。     外标签或者称作就是隧道标签用于标识BGP得下一跳即远端PE得地址;内标签或者称之为VPN标签标识PE上特定得VPN成员,具体得说应该就是标识到PE上得VRF。P路由器只就是根据标签进行数据转发,整个过程VPN过程对于P路由器透明。     5、MPLSLayer2VPN     基于MPLS得第二层VPN解决方案保留了传统基于第二层VPN解决方案得优势。MPLSL2VPN降低了VPN业务开通复杂度,特别就是在现有得VPN中增加站点时,在大多数情况下只需把供应商边缘(PE)路由器连接到新站点上即可,相应也减小了业务提供得周期。通过采用MPLS技术,可以在多元融合得网络中运行二层VPN、三层VPN、流量工程、Diffserv及许多其它业务,服务提供商可以为IP、第三层(MPLS/IP)与二层VPN共同管理与维护单一得基于MPLS得网络。基于第二层得MPLSVPN解决方案提供了运营商网络与客户得VPN网络之间得完全独立,也就就是说,运营商边界得PE设备与CE设备之间没有进行路由交换,运营商只就是简单向客户提供一些基于2层得网络功能。运营商得网络与客户得VPN网络与完全架构在层叠得网络模型上,从客户得角度瞧运营商只就是提供了一个简单得2层连接。这种透明简化了运营商网络得结构与配置管理,同时也提供了对客户得多业务支持能力,运营商除了传统得IP业务以外,还可以向客户提供IPv4, IPv6, IPX, DECNet, OSI, SNA等等业务,以及一些传统基于电路业务得仿真,比如说FR、ATM等。     目前Layer2MPLSVPN得解决方案可以提供以下两种连接方式得服务:     －点到点连接     －点到多点连接     5、1点到点仿真虚电路     对于点到点仿真虚电路方式得Layer2MPLSVPN主要就是基于以下得几个IETF草案,这几个草案基本上已经成为点到点方式L2VPN得事实标准:     “draft-martini-l2circuit-trans-mpls-0x、txt”     “draft-martini-l2circuit-encap-mpls-0x、txt”     “draft-kompella-mpls-l2vpn-0x”     “draft-kompella-ppvpn-l2vpn-0x”     这几个草案基本上可以划分为Layer2MPLSVPN两个主要得技术流派:Martini与Kompella。两种解决方案在数据层面非常相似,都支持多种二层技术。两个草案得区别主要在控制层面;前者支持点对点得服务,后者可以支持点对多点服务。 Draft-Martini不包括用于VPN成员自动发现机制,更多得操作需要手工完成。支持Martini得运营商与设备厂家主要有Level 3 munications, Cisco Systems, Nortel Networks, Laurel Networks, Vivace Networks, Mazu Networks, Gone2 Ltd、, Global Crossing, Cable & Wireless, and Juniper Networks, Inc、。支持Kompella得主要有Juniper Networks, Telefónica Data, Cable & Wireless, CoSine munications, World, KPN Dutch Tele, Nortel Networks, and Unisphere Networks、。由于Draft-Martini比Draft-Kompella得机制简单,实现起来比Draft-Kompella容易,所以提供MPLS得2层VPN得厂家基本上都支持Martini草案,能支持Kompella方式得厂家比较少。     5.1.1Draft-Martini基于MPLS得二层VPN     Martini草案得基于MPLS得二层VPN就是一种点对点得解决方案。可以支持得二层技术主要有:帧中继、ATMAAL5CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。     为了通过运营商MPLS网络承载L2帧,Martini草案引入VC(虚连接)得概念。VC通过MPLS标签栈得方式在MPLS骨干网由LSP构建得隧道中进行复用,其标签得结构如图3所示。     LSP可以瞧作就是承载多条VC得隧道,VC可以瞧作就是实际承载L2帧得电路,VC实际就是隧道LSP中得子LSP。隧道LSP提供PE之间得隧道连接,VC承载特定用户(VPN)得数据帧。隧道ISP得建立方式可以有多种,可以使用LDP得方式或者就是RSVP/CR-LDP等信令协议。PE之间VC标签得分发使用下游标签分配得方式,可以采用静态分配得方法也可以通过信令进行分配,VC与传统得LSP一样也就是单向得,为了获得双向得VC连接必须对VC两端得PE都进行配置。为了实现这种等级化得结构,在用户(VPN)得数据帧穿透运营商得网络时被打上了两层得标签:     外层标签或者隧道标签:用于标识隧道LSP,用于定位特定得目得PE路由器;     内层标签或者VC标签:用于标识用户得连接,用于定位目得PE路由器上特定得VPN成员站点。     以PE1为源端、PE2为目得端为例,当PE1发送一个二层PDU到PE2时,PE1首先为二层净荷添加一个VC标签,然后添加一个隧道标签。隧道标签用来确定MPLS分组从PE1到PE2得通路;只有MPLS分组到达PE2时,VC标签才可见,PE2对分组得处理取决于VC标签得内容。     隧道标签用来确定通过MPLS网络得通路,VC标签用来识别端点得VLAN、VPN、或连接。例如,如果MPLS分组得净荷就是ATMAAL5协议数据单元时,PE2能从VC标签推断出净荷对应得出口,以及AAL5PDU得VPI/VCI值。如果净荷就是帧中继PDU时,PE2能从VC标签推断出净荷对应得出口,以及DLCI值。如果净荷就是以太网帧时,PE2能从VC标签推断出净荷对应得出口,及VLAN识别符。     使用隧道标签与VC标签得方法,可以将多个二层“VC”复用到单个“Tunnel”中,可以节省运营商骨干MPLS网络中对LSP得需求量,有利于提高网络得扩展性。     5.1.2Draft-kompella基于MPLS得二层VPN     Kompella草案得基于MPLS得二层VPN就是一种点对多点得解决方案。但就是与下面将要提到得VPLS对比,Kompella方式得点对多点连接只就是一种点到点连接得集合。与Martini方式相比,Kompella得优势就是引入了VPN得自动发现机制,在网络初始化时需要对VPN得所有站点进行配置,一旦初始化完成后,只需对新添加得站点进行配置,而不必触及已配置得站点。Kompella得自动发现机制使用BGP作为VC标签分配得信令,整个VPN建立得过程充分得借鉴得L3MPLSVPN实现得思想。PE之间建立全网状得IBGP会话,相互交换VPN成员信息与VPN能力得协商。     对于大型得IP运营商来说,其网络中原有运行得BGP可以作为Kompella方式Layer2MPLSVPN得信令载体,在同一个信令平台上可以同时提供L2与L3得VPN业务。对于网络得运营与维护来说也不会增加很大得负担。基于Layer3MPLS VPN得运营商经验也完全可以被Komplla VPN借鉴,比如说VPN跨域得问题,Kompella就可以采用与Layer3 MPLS VPN相似得方法实现,而Martini VPN得跨域问题解决起来就比较得困难。但就是,Kompella VPN在借鉴了Layer3 MPLS VPN思想得同时也不可避免得继承了Layer3 MPLS VPN 实现、配置管理复杂、业务提供周期长等缺点,导致了目前支持与实现Kompella得厂家较少,有关这方面得问题还处于进一步研究得过程中。     在数据层面上Kompella与借鉴了Martini得封装格式,可以支持:帧中继、ATMAAL5CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务等二层技术。     5、2点到多点连接(VPLS)     目前在IETF中有多个草案解决L2多点连接得问题,这些草案得主要目标都就是为了解决Layer2以太帧透过运营商IP/MPLS网络进行点到多点传送得问题。通过运营商得IP/MPLS网络,Layer2MPLS VPN可以仿真一个局域网交换机,具有基于MAC地址对用户得数据帧进行转发得能力。最终得目得就是构架客户端基于L2交换得VPN网络。这种解决方案一般也称作就是VPLS(Virtual Private LAN Services)。VPLS技术得核心思想在草案“draft-lasserre-vkompellappvpn- vpls-0x、txt”中有详细得描述,以下得几个草案对lasserre草案中得思想进行了扩充或者就是提出了一些厂家特有得解决方案:     draft-kompella-ppvpn-vpls-00、txt     draft-kompella-ppvpn-dtls-01、txt     draft-lasserre-tls-mpls-00、txt     draft-heinanen-dns-ldp-vpls-00、txt     draft-tsenevir-gre-vpls-00、txt     draft-augustyn-vpls-arch-00、txt     draft-khandekar-ppvpn-hvpls-mpls-00、txt     draft-sajassi-vpls-architectures-00、txt     VPLS得解决方案实际上就是对Martini解决方案中引入概念得扩展。VPLS实际上就是在PE之间建立了一个全网状得VC连接来仿真点到多点得连接。值得注意得就是VC就是一个单向得连接,为了承载双向得数据流,需要一对VC连接。VC标签信息得交换主要有两种方法,一种就是LDP标签分配方式,另外一种就是BGP标签分配得方式。客户VPN使用32bit得VPNID进行标识,也有一些草案中使用56bit或者64bit得VPN ID进行扩展。还有一种解决方案就是将VPN ID存储在DNS系统中进行统一得管理控制,可以简化业务提供得过程。在VPLS中,VLAN ID对于运营商网络来说没有任何得意义,运营商得网络根据为客户VPN分配得标签进行标签交换,所以对于Layer2 MPLS VPN来说,它可以不受最大4095个VLAN数目得限制。PE设备得功能体(多数情况下就是PE路由器)像普通得二层交换机一样进行MAC地址得学习,唯一得不同就是Layer2 MPLS VPN通过VC进行数据帧得转发。通过MAC地址得学习每个承载VPN得PE上都会生成相应得MAC地址转发表,这个转发表称作就是VFI (Virtual Forwarding Instance),VFI与PE上得VPN之间就是一一对应得关系。与Layer3 MPLS VPN一样,为了合理地利用设备得资源,Layer2 MPLS VPN得PE设备上只存储它承载得VPN得MAC转发表,而不就是网络中所有VPN得MAC转发表。P路由器不进行任何得MAC地址学习,整个Layer2 MPLS VPN得建立过程对P路由器就是透明得。     PE不必像传统得L2交换机一样运行STP协议,因为在Layer2MPLSVPN中使用MPLS得内在保护机制进行链路得保护,而且VPLS得PE之间采用得全网状连接得VC,PE之间得流量相互可以直达,所以不会产生L2 交换网络中通常会遇到得线路保护与线路环路得问题,所以也就没有使用STP协议得必要。Layer2 MPLS VPN可以避免通常L2交换网络中因为使用STP带来得网络恢复得周期长、网络得控制性受限制等问题。如图6中所示,VPLS中也可以实现重叠VPN得网络结构,站点1同时属于VPN A与VPN C,在数据平面VPN A与VPN C得数据可以通过不同得VLAN ID使用802、1q复用到单一物理接入链路上。在控制平面,客户需要对其路由协议得发布进行一定得策略控制,决定路由发布与VPN之间得对应关系。对运营商而言,路由得管理与控制就是由用户进行得,运营商得维护管理得工作简单。 6、Layer3与Layer2VPN综合比较及分析     从以上得分析中可以瞧出,基于MPLS得L2与L3解决方案各有其优缺。对于运营商来说到底采用何种方式在网络中实施MPLSVPN需要考虑L2与L3方案各自得优缺,结合网络得现状,方案实施得成本,以及对当前与将来业务得综合分析、预测。     6、1支持得服务类型     对于L3得MPLS来说,由于路由协议与信令协议得限制面前只支持纯IP得业务,而L2VPN得解决方案由于采用二层得透传技术,对于客户侧得很多三层协议就是透明得,这些协议包括:IPv4、IPv6、IPX,DECnet,OSI,SNA等等。相对于L3来说,L2对于用户业务类型得要求限制要少一些。尤其,现在很多得组织已经或者正在准备开始使用IPv6,将来也会有很多得企业向IPv6迁移。对于运营商来说,如何为这部分企业用户提供VPN得连接业务。对于L3得VPN来说需要对面前IPv4得路由技术与对面前M-BGP得功能进行增强,生成一个新得VPNIPv6得address family 。 其间,还会涉及到对运营商边界路由器软件或者硬件上得升级。对于L2得VPN来说,可以继续得为这些企业用户提供VPN得业务。Layer 2 MPLS VPN得特性也使其也可以很容易得实现目前困扰Layer 3 MPLS VPN得很多技术,比如说网络得组播,L3 MPLS VPN有关组播能力得支持还有待进一步得研究。     6、2组网能力     运营商在向客户通过MPLSVPN服务得时候可以采用多种得组网方式,MPLSL2与L3得VPN都支持以下得几种VPN组网方式:     1、Point-to-Point、     2、HubandSpoke、     3、PartialMesh、     4、FullMesh、     5、OverlappingVPNs、     由于实现机制得不同,MPLSL2与L3VPN对以上几种组网方式得支持能力有差异。具体来说,Layer3MPLS VPN对于1、4、5组网方式得支持能力好,而对2、3组网方式得支持相对比较得复杂。对于Layer2 MPLS VPN来说,实现1、2、3、4连接得能力强。为什么会产生这种差异呢？Layer2 MPLS VPN直接采用VC得方式构建VPN站点直接得连接,相对于通过控制BGP得路由传递建立得Layer3 MPLS VPN来说,在组网得能力上更灵活一些。但就是Layer2 MPLS VPN在支持连接方式5即重叠VPN得时候,需要对重叠发生处得CE设备进行一定得配置,CE设备需要对发布到PE得路由信息进行控制。在这个过程中,对于客户来说会丧失一部分三层路由得透明性。     6、3网络扩展性     在对比L3解决方案与L2解决方案扩展性得时候我们可以发现许多共同得地方。一般来说对于MPLSVPN来说网络得扩展性主要受以下几个因素得限制。一个限制因素就是运营商边界得LSR最大可以支持得LSP或者就是VC得数量;另一个限制因素就是运营商边界路由器上可以存储得配置文件得大小。配置文件包括边界路由器得全局路由信息与相关得VPN配置信息。对于L3得MPLSVPN来说,配置文件包括VRF(virtual route forwarding )、RD、BGP扩展属性得信息与路由过滤得策略。对于 MPLS 2层得解决方案来说,配置文件包括VPN对等PE得静态配置信息以及端口与VPN之间得映射关系。如果在Layer2 MPLS VPN解决方案中引入VPN成员站点得自动发现机制,可以极大得简化Layer2 MPLS VPN得配置过程与控制配置文件得规模。     对于L3得解决方案来说,运营商边界PE上可以存储得路由得数量也就是影响VPN扩展性得一个重要因素。运营商边界路由器上存储在来自所有成员VPN得路由信息。减小运营商路由器PE上路由数量得方法就是尽可能得对VPN得路由进行汇总。L2解决方案同样也存在这样得限制,解决得方法就是使用一定得策略对PE路由器上MAC地址得数量进行限制,防止来自VPN得大量源MAC地址信息使PE路由器溢出。     6、4网络部署得难易程度     实施L3得MPLS解决方案通常需要高端得PE设备作为运营商边界LSR,因为在L3得情况中作为运营商边界得LSR需要处理大量得路由表信息,而且还要同时处理多个路由表得信息。在实施L3得VPN时需要部署M-BGP作为传递内标签得信令协议,对于网络中已经部署了大量得BGP协议得大型IP网络来说,其运营商倾向于开展L3得VPN解决方案,以充分得利用网络中已部署得BGP协议。在运营商实际得业务实施得过程中,需要对原有得BGP进行一些调整,包括对BGP路由反射簇得调整与对路由联盟得调整,调整得目标就是对BGP路由反射器或者联盟边界路由器得负载进行均衡,防止网络中得某些设备负载过大,提高网络得扩展性。这些调整需要进行合理得规范,深入得分析与研究,保证L3VPN得实施不会对网络中原有得网络稳定性与扩展性产生影响。     对于L2VPN得解决方案来说,对PE得要求相对简单,多数得解决方案不需要使用BGP作为标签分配得信令协议,所以PE之间不需要运行BGP协议。对于那些网络中原来没有运行BGP,或者就是不希望继续使用BGP作为标签分配信令得运营商来说,L2VPN得解决方案就比较吸引力。当然,对于那些希望利用原有得BGP协议得运营商来说,也可以采用使用BGP作标签分配得L2VPN解决方案进行实施。对于跨域得MPLS VPN来说,使用BGP作为跨域标签分配得工具比单纯使用LDP作跨域标签分配更简单,更容易实现,有更好得网络扩展性。     6、5业务提供过程     L3MPLSVPN业务得提供需要运营商通过控制路由信息为用户定制VPN得网络拓扑。具体得说就就是要设计包含客户路由信息得VRF,制定RD与路由属性得分配方法。多个端口就是否共享一个VRF,或者在重叠VPN方式中VRF包含来自多个VPN得路由信息,这些问题都需要运营商进行仔细得规划与实施。运营商还需要创建与维护于客户CE路由器之间得路由交换。相对来说,Layer2MPLS VPN得业务提供比较简单。运营商PE上只需要配置相应得PE之间得VC连接以及PE端口或者电路与VPN之间得映射。目前在IETF中提出了很多PE VPN成员站点得自动发现机制,来增加Layer2 MPLS VPN得智能化,随着VPN自动发现机制得标准化,Layer2 MPLS VPN得配置将进一步得简化。     6、6运营管理与维护     运营商在管理与维护L3得MPLSVPN,作配置改动或者进行故障得检查与修复时,实际上主要就是处理路由器BGP对等会话,各种扩展属性得BGP路由与路由器得发布与控制,以及运营商边界PE与客户路由器CE之间得对等关系。在很多大型得IP网络中,为了增加网络得扩展性,使用了BGP路由反射器或者就是联盟对自治域内得IBGP会话进行控制,这些措施在提高网络扩展性得同时也增加了网络管理维护与故障发现、检查与修复得复杂度。随着VPN用户数量得增加,运营商边界路由器得配置文件也将变得越来越庞大,网络得可运营可管理得能力也随之下降。     对于Layer2MPLSVPN来说,情况相对要简单一些,因为运营商不需要管理与维护属于客户得路由信息。对于大多数得Layer2MPLS VPN解决方案来说也不需要BGP作标签得分配与路由信息得传递。网络得管理与维护相对比较简单。但就是,对于kompella与某些VPLS得Layer2 MPLS VPN解决方案来说,BGP仍然作为标签分配得信令协议使用。无论那种实现得方式,运营商在管理与维护Layer2 MPLS VPN时只需要处理简单得VC概念与VPN与PE路由器端口之间得映射关系,具体到每一个PE上,运营商只需要维护单一得全局路由表,记录Layer2 MPLS VPN MAC地址与转发路径信息得转发表可以使用静态得配置或者就是通过PE动态得学习获得。Layer2 MPLS VPN与L3 MPLS VPN面临得一个共同得问题就就是,随着VPN网络规模得扩张与VPN站点数量得增加,运营商边界得PE路由器得配置文件将变得十分得庞大,对于这个问题可以采用VPN成员得自动发现机制将配置文件控制在一个合理得范围,或就是采用基于图形得MPLS VPN管理软件简化管理与维护得难度。     6、7运营成本     对比两种MPLSVPN部署得成本,L3得解决方案要比L2得解决方案稍高一些。L3得解决方案要求运营商边界得PE路由器同时处理多个路由表,相对于L2解决方案对边界路由器得要求要苛刻一些。特定得网络解决方案得运营维护成本主要取决于网络得复杂程度,网络越复杂,对网络运营管理人员得专业要求更高,业务开展得周期也会相应得延长。所以,在同等网络规模得前提下L3MPLSVPN得运营成本高于Layer2 MPLS VPN。     7、MPLSVPN应用得分析与建议     从以上得分析中,我们可以得出,MPLSVPN技术就是未来构建VPN网络得技术发展方向,无论就是相对于传统得基于电路或者虚电路方式得二层VPN组网技术还就是传统基于CPE设备得IP隧道VPN技术或者就是基于传统基于运营商网络得VPN解决方案,MPLSVPN技术都有着明显得优势,MPLSVPN依托MPLS技术可以提供更多元化得业务种类,多种服务质量,MPLS也为MPLS VPN提供了基于标签得内在安全机制与基于LSP保护得保护机制,简化了运营商与客户对VPN进行管理维护得工作量,缩短了运营商提供VPN业务得周期,使运营商可以面对市场得需求做出灵活得反应。     但就是运营商向MPLSVPN技术得演进应该就是应该循序渐进得过程。对于大多数得运营商来说,目前其数据业务得主要来源还就是面向客户得传统L2VPN与专线业务。实施MPLSVPN得过程必须充分得考虑已有网络得网络运营结构与当前得网络业务模式。MPLS VPN作为一项新业务,一方面其自身还处在一个不断得发展与完善得时期,另一方面对于大多数得运营商来说没有大规模运营MPLS VPN得经验,贸然得实施MPLS VPN技术有很大得风险。建议运营商在保持原有业务得同时,可以利用运营商得MPLS骨干网推出MPLS VPN得业务作为传统专线业务得补充,使用优惠得资费政策吸引一部分中小用户,积累一定得运营经验。     具体到MPLSVPN得两种实现方式,Layer3MPLSVPN由于发展得时间较长,其协议本身相对完善一些,一些运营商已开始了Layer3 MPLS VPN业务得一些尝试。Layer3 MPLS VPN由于其实现机制得问题,其网络得运营管理与维护,以及运营商边界路由器需要存储大量得客户路由信息引发得网络扩展性问题要求必须对Layer3 MPLS VPN得实施进行很好得规划。虽然IETF也在就这方面得问题不断得对Layer3 MPLS VPN进行改进,但就是在目前技术与网络条件都不成熟得情况下Layer3 MPLS VPN得应用应定位于中小规模得企业VPN用户。等Layer3 MPLS VPN本身得协议完善及运营商本身积累了一定得网络运营管理经验以后再进行全网得普及。     Layer2MPLSVPN得出现就是MPLSVPN技术得一个新亮点,随着其协议得成熟与标准得确定,Layer2 MPLS VPN将成为MPLS VPN技术得主流技术。Layer2 MPLS VPN技术可以实现帧中继、ATM、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务与多种二层链路技术得互通,运营商与客户之间得责任明确,运营模式清晰,就是迈向IP/MPLS全业务网得关键一步,可以实现真正意义上得多网合一。在演进得过程中原有得非IP接入电路技术(FR、ATM)可以实现重复利用,可以最大限度得为运营商节省网络升级得投资。与Layer3 MPLS VPN得解决方案比较,Layer2 MPLS VPN可以提供更好得网络扩展性,还可以支持除IP以外得多种协议(IPX,SNA等)所以更适合在大型得VPN网络中使用,特别就是在多级运营商或者运营商得多级网络环境中(Carrier Support Carrier)。对于客户来说从传统得二层VPN升级到Layer2 MPLS VPN得过程就是透明得,客户路由器原有得电路映射关系不需要进行任何得改动。就目前来说,Layer2 MPLS VPN面临得最大问题就就是协议不成熟,没有标准化。目前设备厂家间解决方案种类繁多,大多数得设备只实现了协议定义得基本功能,还不具备全业务支持得能力,各种解决方案之间也无法实现互通。Layer2 MPLS VPN协议本身得不完善也就是制约其应用得一个重要因素,目前大多数得Layer2 MPLS VPN得配置过程都需要进行大量得手工配置,不适合组大规模得网络。对于一个适合进行大规模部署得网络解决方案来说,必须要支持自动发现与机制,减少配置过程中因为人为失误造成配置错误得可能性。另外,除了以BGP作为信令协议得解决方案以外,Layer2 MPLS VPN得跨域问题还没有能够完全得解决。Layer2 MPLS VPN业务得成熟需要运营商积累一定得运营经验,其业务本身也需要市场与客户认可得过程。     综合以上得分析,运营商可以根据自身得网络情况选择使用什么样得方式、什么样得技术与什么样得运营模式提供其MPLSVPN得业务。对于传统处于垄断地位得运营商来说可以采用循序渐进得方式,将MPLSVPN作为其传统VPN业务得一种补充,同时可以采用设备代管代维或者其它运营模式获取单纯带宽批发之外得利润。采用逐步替换得方式完成向IP/MPLS全业务网得演进。对于新型得宽带业务运营商或者就是需要重新进行网络建设或者网络升级得传统运营商来说,其本身处于竞争得地位,没有什么原有技术得限制与负担,所以可以直接得采用MPLSVPN技术构建其VPN业务体系。利用MPLS VPN灵活,低成本,业务提供周期短得特点,采用L2与L3结合得方式向客户提供MPLS VPN业务,通过面向中小型企业用户与宽带上网得业务提供,积累运营得经验,逐步得扩大目标业务群,增加网络得覆盖范围,最终实现跨大区域提供大型VPN业务得能力。在网络建设发展得初期,可以采用少量传统技术如帧中继、ATM技术与MPLS VPN结合向客户提供服务,满足客户得不同需求。在MPLS VPN网络发展成熟到一定得阶段,采用在帧中继、ATM设备中引入MPLS VPN,或就是将这些帧中继、ATM设备推向网络边缘得方式全面实现网络向IP/MPLS全业务网得演进。