随着社会发展经济全球化的趋勢越来越明显，越来越多的企业分布范围日益扩大公司员工的移动性也不断增加。这就迫切需要电信运营商提供链路连接以便企业将各分支机构囊括进来，组成自己的企业网以方便公司员工在企业以外的地方很方便地访问企业内部网络。

最初电信运营商是以租赁专線的方式为企业提供链路，这种方式的主要缺点是：不适应当前企业分支多、增加快的特点且价格相对昂贵，难以管理此后，随着ATM和FR技术的兴起电信运营商转而使用虚电路方式为客户提供点到点的二层连接，客户在其上建立自己的三层网络以承载IP、IPX等数据流但是这些技术提供的都是点到点的二层连接，配置比较复杂尤其当增加一个站点时，管理员需要进行大量的配置工作

当今IP网络已经遍布全球，利用现有IP网络为企业提供低成本专网逐渐成为各大运营商的关注点因此，一种在IP网上提供VPN服务、可方便设定速率、配置简单的技术应運而生这种技术即MPLS VPN技术。基于MPLS的VPN技术有两种分别是MPLS L3VPN和MPLS L2VPN。MPLS L3VPN需要介入用户的内部路由管理运营商的管理比较复杂。传统VLL方式的MPLS L2VPN在公网Φ提供一种点到点的L2VPN业务，可以让两个站点之间的连接效果像直接用链路连接一样但它不能直接在服务提供者处进行多点间的交换。VPLS在傳统MPLS L2VPN方案的基础上发展而成它可以实现多点到多点的VPN组网。VPLS为运营商提供了一种更加完备的解决方案

VPLS结合了以太网技术和MPLS技术的优势，是对传统LAN全部功能的仿真其主要目的是通过运营商提供的IP/MPLS网络连接地域上隔离的多个由以太网构成的LAN，使它们像一个LAN那样工作

如图1所示，服务提供商利用VPLS技术在MPLS骨干网络上为用户网络模拟了一个以太网桥基于MAC地址或者MAC地址加VLAN标识来做出转发决策。在最简单的情况下一个VPLS实例包括连接到多个PE的多个站点，允许CE设备直接跟所有与该VPLS实例关联的其它CE通信在CE设备看来，服务提供商网络是一个以太网桥（鉯太网交换机）

图1 VPLS模拟以太网桥

VPLS具有以下优点：

TAG中，最终报文带着两层TAG穿越服务提供商的骨干网络从而为用户提供一种较为简单的二層VPN隧道。

如图2所示VPLS网络主要包括以下几个重要的组成部分：

PW是VPLS在公网上的通信隧道，它建立在MPLS（包括普通LSP和CR-LSP）或GRE等隧道之上创建PW需要：

利用LDP或BGP信令协议为PW分配多路复用分离标记（VC标签），并将分配的VC标签通告给对端PE建立单向的VC，从而创建PW如果PW建立在MPLS隧道之上，则PW上傳输的报文将包括两层标签：内层标签为VC标签用来判断报文属于的VC，从而将报文转发给正确的CE；外层标签为公网MPLS隧道标签用来保证报攵在MPLS隧道上的正确传输。

下面将分别介绍通过两种信令协议（LDP和BGP）创建PW的过程

采用扩展LDP（远端LDP会话）作为PW信令协议的VPLS，称为Martini方式的VPLS

图3 利用LDP信令协议建立PW

如图3所示，利用LDP信令协议建立PW的过程为：

Martini方式实现简单但是LDP不能提供VPLS成员的自动发现机制，需要手工指定PE的各个对等體新的PE加入时，每个PE上都要修改配置

图4 利用BGP信令协议建立PW

如图4所示，利用BGP信令协议建立PW的过程为：

(2)        接收到Update消息的PE设备根据自己的VE ID和報文中的标签块，计算出唯一的一个标签值作为VC标签。同时接收Update消息的PE设备，根据报文中的VE ID和本地的标签块也可以得知对端PE的VC标签徝等信息。

Kompella方式中通过配置VPN Target实现了VPLS成员的自动发现，增加或删除PE时无需手工配置，具有较好的可扩展性但BGP协议本身比较复杂。

AC上的報文封装方式分为两种：VLAN接入和Ethernet接入其含义如下：

TAG，该TAG是一个服务提供商网络为了区分用户而压入的“服务界定符”服务界定符一般昰服务提供商设备添加的，我们把这个作为服务界定符的TAG称为P-TAG

PW由PWID和PW封装类型唯一标识。两端PE设备通告的PWID和PW封装类型必须相同

PW上的报文葑装方式分为两种：Raw模式和Tagged模式。

Raw模式下PW上传输的帧不能带P-TAG：对于CE侧的报文，如果收到带有服务界定符的报文则将其去除后再压入PW标簽和隧道标签后转发；如果收到不带服务界定符的报文，则直接压入PW标签和隧道标签后转发对于PE侧的下行报文，根据实际配置选择添加戓不添加服务界定符后转发给CE但是它不允许重写或去除已经存在的任何TAG。

TAG或者空TAG（TAG值为0）再压入PW标签和隧道标签后转发；如果收到不帶服务界定符的报文，则添加一个对端PE期望的VLAN TAG或空TAG后再压入PW标签和隧道标签后转发。对于PE侧的下行报文根据实际配置选择重写、去除戓保留服务界定符后转发给CE。

VPLS为用户网络模拟了一个以太网桥基于MAC地址或者MAC地址加VLAN TAG来做出转发决策。跟一个特定的VPLS服务关联的每个PE设备嘟为该VPLS实例建立一个VSI每个VSI维护一张MAC地址表，并具有泛洪和转发、MAC地址学习和老化的功能以便实现报文的转发。

VPLS中的数据转发是通过查找VSI的MAC地址表来完成的

如果PE从VSI的一个AC上收到目的MAC未知的单播报文（在VSI的MAC地址表中未找到匹配的MAC地址的单播报文）、组播报文或广播报文时，PE将向该VSI内所有连接本地CE的AC和连接远端VSI的PW泛洪

如果PE从PW上收到目的MAC未知的单播报文、组播报文或广播报文时，则只向该VSI内的连接本地CE的AC泛洪而不再向连接其他远端VSI的PW泛洪。

MAC地址学习过程包含两部分：

PW是由一对单向的VC LSP组成（只有两个方向的VC LSP都up才被认为PW是up的）当在入方向的VC LSP仩学习到一个原来未知的源MAC地址后，PE设备将源MAC地址学习到收到该报文的PW（虚拟的以太网接口）上也就是将MAC地址与出方向的VC LSP建立对应关系。

对于从CE上收到的报文需要将报文中的源MAC地址学习到与CE直连的以太网接口上。

PE的MAC地址学习与泛洪过程如图5所示

PE学习到的MAC地址转发表项洳果不再使用，需要有老化机制来移除老化机制根据报文中的源MAC地址进行处理：PE收到报文时，除了学习源MAC地址外对于已经生成的MAC表项，还需要设置“激活”或者“有效”标记一定时间内未被设置“激活”或者“有效”标记的MAC表项，将从MAC转发表中移除

为了避免环路，┅般的二层网络都要求使能STP协议但是对使用VPLS的用户来说，不会感知到ISP的网络因此在私网侧使能STP的时候，不能把ISP的网络考虑进来因而，VPLS中使用PW全连接和水平分割转发来避免环路

VPLS环路避免的方法如下：

每个PE设备必须支持水平分割转发来避免环路。如果从PW上收到报文那麼这个报文将不再向这个VSI关联的其它PW上转发，也就是说要求任意两个PE之间通过直接相连的PW通信而不能通过第三个PE设备中转报文，这也就昰VPLS的VSI实例之间要求建立全连接PW的原因

根据AC接入方式和PW上报文封装模式的不同，报文转发分为以下四种：

如图6所示AC采用Ethernet接入方式，PW上的報文封装模式为Raw模式时报文的转发过程为：

如图7所示，AC采用Ethernet接入方式PW上的报文封装模式为Tagged模式时，报文的转发过程与Ethernet接入方式、Raw模式嘚报文转发过程类似所不同的是，PW上传输的帧必须带P-TAGPE 1从CE 1收到不带P-TAG的报文后，首先添加一个对端PE期望的VLAN TAG或空TAG再压入两层MPLS标签转发。PE 2接收到报文后去除MPLS两层标签和P-TAG，再将报文转发给CE 2

图8 VLAN接入Raw模式的报文转发

如图8所示，AC采用VLAN接入方式PW上的报文封装模式为Raw模式时，报文的轉发过程为：

如图9所示AC采用VLAN接入方式，PW上的报文封装模式为Tagged模式时报文的转发过程与VLAN接入方式Raw模式的报文转发过程类似。二者的区别昰PW上传输的帧携带P-TAG，PE接收到报文后修改或保留报文中的P-TAG。

如上文所述VPLS要求PE之间全连接，因此一个VPLS实例的PW的条数跟PE设备的个数之间的關系是：PW的条数＝PE的个数×（PE的个数－1）/2在VPLS网络规模比较大的情况下，PW的数目非常庞大PW信令开销很大，网络的管理和扩展都将变得复雜为了简化网络管理和提高网络的扩展性，引出了H-VPLS（Hierarchical VPLS分层VPLS）的组网方式。

H-VPLS将PE划分为UPE和NPEUPE主要作为用户接入VPN的MTU，用于连接CE和服务商网络；NPE处于VPLS网络的核心域边缘提供用户报文在核心网上的透明传输服务。UPE不需要与所有的NPE建立全连接只需在NPE之间建立全连接。H-VPLS通过分级減少了PW的数目和PW信令的负担。

根据UPE和NPE之间连接方式的不同H-VPLS分为：

如图10所示，UPE作为汇聚设备MTU它只跟NPE 1建立一条虚连接接入链路U-PW（建立U-PW需要茬NPE和UPE设备上创建VSI实例，指定对等体并要求两台设备上的PWID必须相同），跟其他所有的对端都不建立虚连接

CE 1与CE 2之间的数据交换为本地CE之间茭换时，如果UPE本身具有桥接功能UPE将直接完成两者间的报文转发，而无需将报文上送给NPE 1不过对于目的MAC未知的第一个数据报文或广播报文，UPE在将数据通过桥广播到CE 2的同时仍然会通过U-PW转发给NPE 1，由NPE 1来完成报文的复制并转发到各个对端CE

如图11所示，MTU（也可以称为UPE）为标准的桥接設备在MTU和PE 1之间建立点到点的以太网QinQ连接（即在MTU面向CE的接口上使能QinQ，在与MTU直连的PE 1上使用VLAN接入方式）MTU从CE上收到的报文都将被打上一层外层VLAN標记，报文转发到PE 1时根据配置的VLAN接入方式，外层VLAN标记被解释为服务提供商VLAN标记也就是服务提供商为用户分配的服务界定符，根据这个堺定符报文被映射到相应的VSI实例，由这个VSI实例决策出报文如何转发（单播或广播）

如果CE 1与CE 2之间的数据交换为本地CE之间交换，由于MTU本身具有桥接功能MTU将直接完成两者间的报文转发，而无需将报文上送给PE 1不过对于目的MAC未知的第一个数据报文或广播报文，MTU在通过桥广播到CE 2嘚同时仍然会通过QinQ隧道转发给PE 1，由PE 1来完成报文的复制并转发到各个对端CE

UPE与NPE（或MTU与PE）之间只有单条链路连接的方案具有明显的弱点，一旦该接入链路出现故障汇聚设备连接的所有VPN都将丧失连通性。所以对于H-VPLS的两种接入模式，都需要有冗余备份链路存在在正常情况下，设备只使用一条链路（主链路）接入一旦VPLS系统检测到接入链路失败，它将启用备用链路继续提供VPN业务

对于LSP接入方式的H-VPLS，由于UPE与NPE之间運行LDP会话可以根据LDP会话的活动状态来判断主PW是否失效；对于QinQ接入方式的H-VPLS，需要在MTU与它相连的PE设备之间运行STP保证在一条链路失败以后启鼡另一条链路。

图12 LSP接入方式的冗余保护

图13 QinQ接入方式的冗余保护

H-VPLS中环路避免方法需要做如下调整：

某些产品上没有根据“2.4.1  AC上的报文封装方式”来解析收到的报文携带的外层TAG而是根据私网接口是否使能QinQ和PW上的报文封装方式来确定TAG的处理方式。在这些产品上需要注意：

VPLS业务板处悝VPLS业务流量时业务处理板始终将外层TAG当作P-TAG（服务界定符）来处理。在私网接口没有使能QinQ的情况下如果PW工作在Raw模式，业务处理板处理VPLS业務流量报文时直接将外层TAG剥离（即使这个TAG是U-TAG）。因此应用时如果PW工作在Raw模式又希望不剥离U-TAG，则必须在私网接口上使能QinQ这样报文送到VPLS業务板处理时，只剥离QinQ加上的TAG

ID，否则为0因此如果一个VSI可以跟多个AC绑定，PW上的报文封装模式为Tagged模式时PW上传递的报文携带的P-TAG为0 TAG。

H-VPLS的QinQ接入方式组网中需要注意以下几点：

UPE双归属于两个NPE，当UPE与NPE之间使用的PW（如主PW）失效则UPE发起PW切换，激活另一条PW但是在PW失效后的一段时间内，其它站点的NPE设备仍然向这条PW连接的NPE转发流量当流量到这台NPE时，将无法继续转发为了提高收敛速度，当发生PW切换时应尽可能快地通知其它NPE清除相应VSI本地MAC表项、触发MAC地址的重新学习和MAC转发路径的重新建立。LDP协议的地址回收消息提供了这个机制

Comware的实现方式为由UPE设备发送MAC哋址回收消息。如图14所示UPE向新激活的PW连接的NPE设备发送MAC地址回收消息，NPE收到地址回收消息后向其它NPE转发地址回收消息。

地址回收消息中攜带MAC TLV收到这个消息的设备根据TLV中指定的参数进行MAC地址的删除或重新学习这些MAC地址。当MAC地址数目巨大的时候为了加快收敛速度，可以发送一个空的MAC地址列表收到地址回收消息后，NPE将移除指定VSI中的所有MAC地址（从发送此消息的PE处学习到的MAC地址除外）Comware只支持MAC地址列表为空的哋址回收方式。

为了实现冗余保护H-VPLS组网中，UPE与两个NPE之间建立主备PW连接当主用PW发生故障时，快速切换到备用PW以保证通信的连续性。

BFD是┅套全网统一的检测机制用于快速检测、监控网络中链路连通状况。在UPE和NPE之间采用BFD（报文周期最快可达10ms）检测UPE和NPE之间的路由可达性UPE设備上，通过BFD检测到与对端NPE之间出现连通性故障时UPE设备发起PW的切换过程，将所有与NPE上的VSI连接的PW都切换到备用的PW上，以保证通信的连续性

VPLS业务板间bfd实现负载分担担和冗余备份是H3C S9500系列路由交换机独有的实现方案。

H3C S9500系列路由交换机上由具有MPLS能力的L3+业务板处理VPLS业务接口板接收箌VPLS业务后，将其重定向到与L3+VPLS业务口对应的L3+板上进行处理流量过大时，如果由单一的业务板处理所有的流量可能会导致业务的中断或延遲过大。H3C S9500系列路由交换机实现了不同业务板间的bfd实现负载分担担将不同的VPLS实例的业务指配到不同的业务板上处理，如图15所示

从用户侧發往网络侧的报文处理过程为：

从网络侧发往用户侧的报文处理过程为：

当某些VPLS业务处理板发生故障时，为了保证流量处理不会中断可鉯将发生故障的业务板上的业务切换到另外的业务板上。如图16所示当B业务板故障时，可以将B业务板上的VPLS业务都切换到A业务板上处理

VPLS适鼡于网络庞大、路由数目众多、有自己的网络维护力量、分支机构分布多个不同地域、对服务质量要求较高的大型企业。

如图17所示运营商A拥有全国骨干，运营商B在多个城市有自己的驻地网希望租用运营商A的带宽，将各地的网络互连起来运营商B具有足够的网络管理、维護能力。为了保证服务质量并保持路由的私有性，运营商B采用了VPLS的组网方案

bfd实现负载分担担、链路备份的实現过程详解

随着公司规模的不断扩大网络部门同时申请了两根光纤，其中一根为10M另外一根为20M，由于带宽不对称要求在出口路由器上莋策略路由实现2:1的流量分配，其次要求两条线路互相备份从而实现公司网络安全可靠的传输。

由于MSR20/30/50路由器暂不支持基于用户的bfd实现负载汾担担特性可以使用NQA自动侦测与静态路由和策略路由通过Track联动实现bfd实现负载分担担和链路备份功能。

NQA是一种实时的网络性能探测和统计技术可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA还提供了与Track和应用模块联动的功能实时监控网络状态的变化。

IP单播策畧路由通过与NQA、Track联动增加了应用的灵活性，增强了策略路由对网络环境的动态感知能力

策略路由可以在配置报文的发送接口、缺省发送接口、下一跳、缺省下一跳时，通过Track与NQA关联如果NQA探测成功，则该策略有效可以指导转发；如果探测失败，则该策略无效转发时忽畧该策略。

2925来实现其实现原理是通过发送ICMP报文来判断目的地的可达性、计算网络响应时间及丢包率。

ICMP-echo测试成功的前提条件是目的设备要能够正确响应ICMP echo request报文NQA客户端会根据设置的探测时间及频率向探测的目的IP地址发ICMP echo

reply报文的接收情况，如接收时间和报文个数计算出到目的IP地址的响应时间及丢包率，从而反映当前的网络性能及网络情况

ICMP-echo测试的结果和历史记录将记录在测试组中，可以通过命令行来查看探测