S8016高端路由器交換機(jī)可基于運(yùn)營(yíng)的MPLS網(wǎng)絡(luò)，為用戶提供VPN服務(wù)，包括二層和三層MPLS VPN，為不同規(guī)模和不同范圍的企業(yè)互聯(lián)提供完善的解決方案。

一、S8016三層VPN功能

1、概述

MPLS/BGP VPN可為網(wǎng)絡(luò)運(yùn)營(yíng)商提供一種基于網(wǎng)絡(luò)的VPN，這種VPN具有易于治理，擴(kuò)充性好，可在任意節(jié)點(diǎn)間連接等特點(diǎn)，網(wǎng)絡(luò)用戶不必關(guān)心VPN如何構(gòu)造，而由網(wǎng)絡(luò)運(yùn)營(yíng)商在網(wǎng)絡(luò)層完成，非凡適用于Intranet、Extranet等網(wǎng)絡(luò)的構(gòu)建。

2、S8016三層VPN結(jié)構(gòu)

S8016支持符合RFC2547標(biāo)準(zhǔn)的MPLS/BGP VPN，為網(wǎng)絡(luò)運(yùn)營(yíng)商提供PE設(shè)備功能，并可作為路由反射器轉(zhuǎn)發(fā)自治域內(nèi)的VPN報(bào)文，還可作為ASBR轉(zhuǎn)發(fā)自治域間的VPN 報(bào)文。S8016支持VPN用戶通過(guò)端口或VLAN方式接入，實(shí)現(xiàn)VPN內(nèi)部互訪，支持VPN用戶使用相同接口訪問(wèn)Internet。

在MPLS/BGP VPN模型中，網(wǎng)絡(luò)由運(yùn)營(yíng)商骨干網(wǎng)和各用戶Site組成，VPN實(shí)際上就是對(duì)site集合的劃分，一個(gè)VPN對(duì)應(yīng)一個(gè)由若干site組成的集合。假如某VPN中的所有site都屬于一個(gè)企業(yè)，則構(gòu)成Intranet，假如VPN中的site分屬不同企業(yè)，則構(gòu)成Extranet，VPN組網(wǎng)方式如圖1所示。

圖1 S8016 VPN的組網(wǎng)方式

其中：

　 CE（Custom Edge）： 用戶Site中直接與服務(wù)提供商相連的邊緣設(shè)備，一般是路由器；

PE（PRovider Edge）： 運(yùn)營(yíng)商骨干網(wǎng)的邊緣設(shè)備，直接與用戶CE設(shè)備相連，支持MPLS LER 功能；

　 P： 運(yùn)營(yíng)商骨干網(wǎng)中不與CE直接相連的設(shè)備，支持MPLS LSR功能。

S8016 PE設(shè)備為每個(gè)VPN建立LSP隧道，通過(guò)MP-iBGP在PE設(shè)備間擴(kuò)散VPN路由，BGP/MPLS VPN LSP隧道可在自治域范圍內(nèi)建立，也可跨自治域建立；CE設(shè)備可以是路由器、三層交換機(jī)或二層交換機(jī)，可通過(guò)不同的PE設(shè)備實(shí)現(xiàn)互聯(lián)，也可通過(guò)同一PE設(shè)備互聯(lián)；骨干網(wǎng)絡(luò)中只有PE才會(huì)“感知”VPN，核心層P設(shè)備不關(guān)心VPN，只負(fù)責(zé)標(biāo)簽轉(zhuǎn)發(fā)。因此，對(duì)運(yùn)營(yíng)商來(lái)說(shuō)，這種配置方式簡(jiǎn)單、易擴(kuò)展。

S8016作為運(yùn)營(yíng)商PE設(shè)備可為不同的VPN用戶維護(hù)分離的路由表和轉(zhuǎn)發(fā)表，可以非常輕易地實(shí)現(xiàn)用戶Site之間的星型和全網(wǎng)格等連接方式，轉(zhuǎn)發(fā)時(shí)可為不同的用戶報(bào)文打上不同的標(biāo)簽，在相當(dāng)程度上保證用戶數(shù)據(jù)的私有性和安全性，利用MPLS網(wǎng)絡(luò)CoS和流量工程等機(jī)制，為用戶提供具有QoS保證的三層VPN服務(wù)。

3、S8016三層VPN性能

支持512 個(gè)VRF配置； 

配置的所有VRF的路由表的路由數(shù)不超過(guò)64K； 

轉(zhuǎn)發(fā)速率：全線速； 

轉(zhuǎn)發(fā)時(shí)延<50us，時(shí)延抖動(dòng)<5us。

二、S8016二層VPN功能

1、概述

MPLS二層VPN可在現(xiàn)有的MPLS網(wǎng)絡(luò)中為用戶提供私有的二層網(wǎng)絡(luò)服務(wù)。

MPLS二層VPN將網(wǎng)絡(luò)的治理職責(zé)分離，服務(wù)提供商的PE設(shè)備僅負(fù)責(zé)用戶CE設(shè)備之間二層的連接和轉(zhuǎn)發(fā)，而三層以上的功能由用戶的CE設(shè)備實(shí)現(xiàn)，降低服務(wù)提供商的治理開(kāi)銷。

對(duì)于MPLS二層VPN，VPN內(nèi)部的路由信息取決于用戶自己的配置和規(guī)劃，具備非常突出的私有化特征。對(duì)于服務(wù)提供商來(lái)說(shuō)，無(wú)論是PE設(shè)備還是P設(shè)備，都不需要參與三層處理，也不需要保留任何VPN內(nèi)部的路由信息，可使MPLS二層VPN與用戶的三層網(wǎng)絡(luò)協(xié)議無(wú)關(guān)，但要求同一個(gè)VPN中PE和CE設(shè)備之間的鏈路層保持一致。

MPLS二層VPN中的專線業(yè)務(wù)和傳統(tǒng)的基于ATM/FR的二層VPN在實(shí)現(xiàn)原理上一致，這使得現(xiàn)有的二層VPN業(yè)務(wù)可以很方便地切換到MPLS網(wǎng)絡(luò)中。

MPLS二層VPN業(yè)務(wù)在網(wǎng)絡(luò)中采用雙層標(biāo)簽封裝，外層標(biāo)簽為標(biāo)識(shí)PE間共享隧道，內(nèi)層標(biāo)簽標(biāo)識(shí)CE 間的專有連接。不同VPN的二層連接在PE設(shè)備之間可以復(fù)用相同的隧道LSP，內(nèi)層標(biāo)簽直接在PE設(shè)備之間通告，在VPN配置和擴(kuò)展非常輕易。

MPLS二層VPN包含兩種業(yè)務(wù)模式，一種是點(diǎn)到點(diǎn)專線業(yè)務(wù)（VLL），另一種是多點(diǎn)到多點(diǎn)虛擬私有LAN網(wǎng)段（VPLS）。

2、S8016二層VPN結(jié)構(gòu)

對(duì)于點(diǎn)到點(diǎn)VLL虛擬專線業(yè)務(wù)模式，S8016采用VLAN或者端口連接VPN用戶CE設(shè)備，并在兩個(gè)CE之間建立一對(duì)一虛擬連接，這與傳統(tǒng)的ATM/FR專線方式相同。圖2為S8016 VLL業(yè)務(wù)的實(shí)現(xiàn)方式，該結(jié)構(gòu)具有下述特點(diǎn)：

點(diǎn)到點(diǎn)拓樸結(jié)構(gòu)； 

虛擬專線方式；

服務(wù)提供商的PE設(shè)備用連接ID來(lái)標(biāo)識(shí)和配置每條虛連接； 

用戶CE設(shè)備完成VPN內(nèi)部選路，并將數(shù)據(jù)報(bào)文發(fā)送到不同的接口和子接口；

支持多種鏈路類型應(yīng)用，如POS、Ethernet、Ethernet VLAN等。

圖2 VLL業(yè)務(wù)示意圖

對(duì)于多點(diǎn)到多點(diǎn)的VPLS 業(yè)務(wù)模式，服務(wù)提供商的MPLS核心網(wǎng)絡(luò)對(duì)用戶來(lái)說(shuō)如同一個(gè)巨大的虛擬交換機(jī)，用戶可在同一個(gè)VLAN接口上配置多條與對(duì)端的虛擬連接，同時(shí)可將本地的兩個(gè)CE配置在相同的VLAN下實(shí)現(xiàn)互通。圖3為S8016 VPLS 業(yè)務(wù)的實(shí)現(xiàn)方式，該結(jié)構(gòu)具有下述特點(diǎn)：

多點(diǎn)到多點(diǎn)拓?fù)浣Y(jié)構(gòu)； 

具備源MAC地址學(xué)習(xí)功能； 

提供基于VLAN + MAC二層轉(zhuǎn)發(fā)和二層隧道廣播功能； 

提供廣播環(huán)路避免機(jī)制； 

僅支持Ethernet、Ethernet VLAN用戶鏈路類型。

圖3 VPLS業(yè)務(wù)示意圖

S8016提供擴(kuò)展LDP（Cisco）和MP-BGP方式（Juniper）實(shí)現(xiàn)內(nèi)層標(biāo)簽通告。

擴(kuò)展LDP方式

沒(méi)有VPN概念，通過(guò)配置和連接ID構(gòu)成用戶鏈路的對(duì)應(yīng)關(guān)系； 

PE設(shè)備之間采用下游主動(dòng)分配標(biāo)簽方式通告內(nèi)層標(biāo)簽； 

利用LDP遠(yuǎn)程會(huì)話直接通告內(nèi)層標(biāo)簽，使特定的VC FEC Type = 128標(biāo)識(shí)二層VPN消息。

MP-BGP方式 

具備VPN概念，VPN內(nèi)部的CE利用唯一的CE ID標(biāo)識(shí)； 

MP-BGP協(xié)議在PE設(shè)備（BGP對(duì)等體）之間通告連續(xù)的內(nèi)層標(biāo)簽塊； 

具備專用的二層VPN地址族和二層VPN子地址族定義； 

只需要配置BGP對(duì)等體，VPN用戶自動(dòng)發(fā)現(xiàn)，利用RT區(qū)分VPN。

3、二層VPN規(guī)格 

支持512個(gè)用戶CE接口； 

每個(gè)接口最大支持建立128條虛連接（VPLS）；

系統(tǒng)最大連接數(shù)2K；

轉(zhuǎn)發(fā)速率：全線速；

轉(zhuǎn)發(fā)時(shí)延<50us，時(shí)延抖動(dòng)<5us。