一、引言

    VPLS（virtual private LAN service，虛擬專用局域網業務）作為一種標準化程度較好、通過試驗驗證并廣泛部署的二層以太網VPN技術，能為企業用戶提供多點到多點的廣域以太網服務。然而，其也存在冗余備份、多播優化、部署便捷性等局限性。在多歸宿環境下，當前VPLS僅支持主、備接入鏈路模式，不支持靈活的多主接入鏈路模式。在多播優化的場景下，Aggarwa][4]等提出了基于VPLS的多播LSP，這種解決方案僅限于點到多點的LSP（P2MP LSP），不能適用于多點到多點LSP（MP2MP LSP）的應用場景。在VPLS部署的便捷性方面，當前VPLS提供了基于BGP的自動發現功能，但仍然需要運營商配置復雜的網絡參數。

    與此同時，新的應用也給VPLS提出了一些新的需求。近年來興起的云計算數據中心（IDC）互聯應用催生出一種新的被稱為“VLAN敏感綁定”的業務接口，而且虛擬化應用對設備MAC地址表容量提出了更高的要求，由此產生了網絡收斂性能應能獨立于PE學習到的MAC地址數量的要求。除此以外，VPLS也存在最小化多播幀、廣播幀、未知單播幀的泛洪數量問題以及需要支持靈活的VPN拓撲及策略的問題。

二、以太網VPN需求概述

    IETF在以太網VPN需求草案中對當前VPLS中存在的問題和新出現的需求進行了描述，可以概括為以下7個方面。

    冗余備份。在基于流的負載分擔方面，需要為多以太網鏈路捆綁定義基于IEEE 802.1AX的LACP的標準化負載分擔算法，以規范設備執行；在基于流的多徑負載均衡方面，需要支持一對PE之間多條RSVP－TE LSP或ECMP LSP的負載均衡能力；在PE節點冗余方面，需要提供同局址和地理分割的不同局址間的PE節點冗余備份能力，在斷電或出現自然災害的情況下以保持關鍵業務的連續性；在多歸宿網絡方面，需要支持基于VLAN或MAC地址的多鏈路負載分擔。

    多播優化。需要使用MP2MP LSP優化多播流、廣播流及未知單播流的高效傳送機制。

    部署簡易性。在MPLS網絡中，對于具有全局唯一性標識（如VLAN ID）的以太網VPN實例，PE在配置VPN時所需要的VPN ID、BGP RT等參數應能從VLAN ID中自動導出而無須另外配置。

    新業務接口。城域以太網論壇（MEF）及IEEE 802.1 Q定義了3種業務接口模式：端口模式、VLAN模式、VLAN綁定模式。在云數據中心互聯應用中，產生了可透傳的VLAN敏感綁定和可轉換的VLAN敏感綁定兩種新的業務接口類型。可透傳的VLAN敏感綁定接口需要保證客戶VLAN端到端的透明傳送；可轉換的VLAN敏感綁定需要對屬于同一VLAN用戶在接入網絡時采用的不同VLAN ID進行翻譯。新的業務接口與之前定義的3種接口的主要區別在于：新的業務接口需要支持每個VPN實例的多橋接域功能，即在同一個VPN實例中，需要為每個客戶VLAN分配一個獨立的橋接域。

    快速收斂。在客戶設備多歸宿和網絡多歸宿接人MPLS網絡的環境下，應提供接入電路或PE出現故障時的快速收斂功能，收斂時間應獨立于PE學習到的MAC地址及VPN實例數目，這對于虛擬化數據中心互聯應用尤其重要。

    泛洪抑制。網絡運營商應能基于策略在每個VPN實例的基礎上配置未知單播幀的泛洪或丟棄；在數據中心互聯的場景下，需要最小化廣播幀泛洪；當拓撲發生變化時，需要消除不必要的未知單播流量泛洪。

    支持靈活的VPN拓撲及策略。以太網VPN必須提供“hub and spoke”的拓撲控制以及每個MAC地址粒度的學習和轉發策略控制能力。

三、以太網VPN技術

    鑒于當前VPLS中存在的問題以及新出現的應用需求，IETF最近提出了兩種以太網VPN技術：E－VPN[6]和PBB E－VPN，期望能解決上述存在的問題，并能滿足新出現的應用需求。

    （一）E－VPN技術特征

    1、E－VPN概述

    在標準的VPLS實現中，運營商網絡PE設備間的MAC地址學習基于傳統的網橋功能。在E－VPN技術中，PE之間的MAC地址學習則基于控制平面，采用MP－BGP通告MAC地址的可達性信息，其策略控制非常類似于IP VPN。這種基于控制平面的學習能夠對MAC地址學習過程提供更強的控制能力，因此具有較好的擴展性，并能維護主機或虛擬機群彼此間的隔離性，解決了設備多歸宿或網絡多歸宿接入時的負載分擔問題，改善了網絡出現故障時的收斂時間。然而，PE與CE（客戶端設備）間的MAC地址學習仍然基于數據平面實現，PE的二層轉發表是否裝載所有由控制平面學到的目的MAC地址，還是僅注入需要通信的MAC地址，過濾未被使用的MAC地址，完全由PE本地決定。這為PE的轉發表所需MAC地址緩存大小的設計提供了很大的靈活性，不再像標準的VPLS技術那樣，屬于同一VPLS實例的二層轉發所需的MAC地址表容量受限于最小地址緩存大小的PE。

    在多歸宿接入的場景下，如果一個CE多歸宿到兩個或更多PE，這些連接到PE的以太網鏈路組便構成了一個以太網段（ES），每個ES都有一個標識符，稱為ESI，由一個10 byte的整型數標識，這是E－VPN技術中一個非常重要的概念。E－VPN定義了一種新的BGP NLRI，稱為E－VPN NLRI，并定義了5種路由類型：以太網自動發現路由、MAC地址通告路由、包含性多播路由、選擇性多播自動發現路由和葉子自動發現路由。

    E－VPN提供了3種自動發現機制：E－VPN自動發現、以太網段上特定以太網標簽（VLAN ID）自動發現、以太網段自動發現。E－VPN自動發現使用第3種路由類型－－包含性多播路由通告來發現同一個VPN實例中的PE成員，PE根據多播路由通告中的P2MP LSP或MP2MP LSP向其他成員發送多播幀、廣播幀和未知單播幀。以太網段上具有相同VLAN ID的自動發現使用第1種路由類型－－以太網自動發現路由通告來發現同一個VPN實例中具有同一廣播域（全局VLAN ID相同）的PE成員，可支持上述以太網VPN需求提出的“VLAN敏感綁定”新業務接口。以太網段自動發現也使用以太網自動發現路由通告來發現同一個或多個VPN實例中具有相同以太網段標識（ESI）的PE成員，這是E－VPN中最重要的功能，可使用在多歸宿接入的負載分擔、多歸宿接入PE的指定轉發器（DF）選舉及“水平分割”、優化控制平面的收斂及減少MAC地址路由通告數目等各種應用場景。

    2、E－VPN存在的問題

    基于BGP MPLS的E－VPN的協議框架基本能滿足一般場景下以太網VPN應用中的各種需求，但協議框架及實現機制本身還有許多需要完善和進一步研究的地方，如廣播幀的抑制（ARP報文的優化等）、DF選舉策略、多播樹的構建流程、故障修復、LACP狀態同步等，目前仍處于IETF Draft階段。隨著新的應用場景特別是虛擬化數據中心的出現以及下一代以太網技術（如TRILL、IEEE 802.1aq）的發展，E－VPN面臨的新問題表現為如下幾個方面。

    （1）MAC地址路由通告的擴展性

    E－VPN為每個客戶MAC（C－MAC）地址發送一條BGP MAC地址通告路由，這將對存在上百萬虛擬主機（VM）的大規模云數據中心環境產生路由通告的擴展性問題。當虛擬主機在云數據中心之間頻繁遷移以及網絡出現故障的情況下，需要產生大量BGP MAC地址通告路由更新，使得網絡和設備承受沉重的信令協議負荷。

    （2）基于MAC地址子網化的C－MAC移動性

    對于虛擬機遷移（VMotion）應用，E－VPN雖然可以通過MAC地址子網化的方式通告MAC地址的可達性，但是需要對客戶MAC地址進行精細規劃。由于客戶設備及主機MAC地址的規劃不屬于運營商的管轄范圍，因此當大量虛擬機從一個網段移動到另一個網段時，需要逐條通告每一個具體的C－MAC地址信息。

    （3）C－MAC地址學習及限制

    當某一個PE發送BGP MAC地址通告路由時，屬于同一VPN實例的其他PE都會學習，即使這些C－MAC地址并不會用來進行通信，PE仍然需要在路由信息表（RIB）跟蹤記錄相關C－MAC地址，這會引起存儲資源的浪費，因此需要對學習到的C－MAC地址進行限制，僅允許保留需要通信的C－MAC地址。

    （4）與TRILL和IEEE 802.1aq網絡的互操作

    TRILL[8，9]和IEEE 802.1aq定義了下一代以太網橋技術，借助于IS－IS控制平面優化以太網幀的轉發，采用以太網隧道技術實現客戶以太網幀的傳送以保持C－MAC地址的透明性。當基于TRILL或IEEE 802.1aq的接入網絡互聯MPLS/IP網絡時，需要MPLS網絡邊緣PE保持C－MAC地址的透明性，PE對TRILL或IEEE 802.1aq報文封裝的終結不能滿足這種透明性要求，同時還會產生PE所要支持C－MAC地址的擴展性問題。

    （5）每站點的策略支持

    E－VPN提供每個MAC地址粒度的學習和轉發策略控制能力，在許多應用中，運營商更需要基于站點的策略控制，用以提供E－tree、半網狀互聯等業務，此時基于C－MAC/EVI的策略控制難以滿足實際應用需求。

    （二）PBB E－VPN技術

    PBB E－VPN把基于IEEE 802.1ah標準的PBB技術及E－VPN技術結合在一起。MPLS網絡入口PE設備把從接入電路（AC）接收的IEEE 802.1Q以太網幀封裝成PBB報文，通過IP/MPLS網絡轉發，出口PE彈出MPLS標簽后移除PBB頭部，解封裝成原始以太網IEEE 802.1Q以太網幀，然后交付給CE。基于PBB E－VPN的PE需要執行如下功能：

    基于標準的網橋功能通過AC學習本地C－MAC地址；

    基于IEEE 802.1ah標準的網橋操作，通過數據轉發平面從網絡側接收的數據流中學習遠端C－MAC地址與B－MAC地址的綁定關系；

    采用MP－BGP向屬于同一VPN實例的其他PE通告本地B－MAC地址的可達性信息，注意到每個PE有一套用于標識本地PE設備的B－MAC地址；

    根據接收到的BGP路由通告消息中的遠端B－MAC地址、IP地址及關聯的MPLS標簽構建轉發表。

    其與E－VPN的最大差異在于：PBB E－VPN不需要通過BGP發布C－MAC地址。每個PE基于標準的網橋操作通過數據平面獨立學習C－MAC地址，每個PE有一個或多個與之關聯的B－MAC地址，這些B－MAC地址通過BGP MAC地址通告路由向MPLS網絡邊緣設備發布。這種改變解決了E－VPN存在的上述問題，如MAC地址路由通告的擴展性問題、基于MAC地址子網化的C－MAC移動性問題、C－MAC地址學習及限制問題、每站點的策略支持問題、網絡拓撲改變時避免受影響的C－MAC地址清除問題。PBB E－VPN還定義了一個新的TRILL Nickname通告路由，以支持與TRILL及IEEE 802.1aq網絡的無縫操作，因此保持了C－MAC地址的透明性。表1給出了VPLS、E－VPN、PBB E－VPN 3種技術對以太網VPN需求的滿足程度。

    從表1可以看出，PBB E－VPN技術能夠充分滿足即將興起的虛擬化數據中心以及下一代以太網技術等新的應用場景需求。由于PBB E－VPN是對E－VPN功能的增強，E－VPN協議框架有待完善的地方在PBB E－VPN上依然存在，其標準化程度也將隨著應用驗證及廣泛部署而日漸成熟。

表1：3種VPN技術對以太網VPN需求的滿足程度

四、以太網VPN技術在云IDC互聯應用

    云IDC指以客戶為中心、以服務為導向，基于高效、低能耗的IT與網絡基礎架構，利用云計算技術，自動化地按需提供各類云計算服務的新一代數據中心。由于云IDC具有資源池化、高效智能、面向服務、按需供給、綠色低碳等特點，已率先在Google、Facebook、亞馬遜等互聯網公司獲得成功應用，并成為這些企業的核心競爭力之一。國內一些知名互聯網企業（如百度、騰訊等）開始新建或擴展大型云IDC，中國電信為順應云計算時代到來的趨勢，開始在多個省份建設云IDC。云IDC互聯是把地理分散的多個獨立的云IDC通過大二層網絡互聯起來，形成一個邏輯上虛擬化的超大型數據中心。云IDC互聯能夠為企業實現數據中心整合、業務統一運營、異地容災備份、虛擬機在線遷移、節能減排等各方面提供條件，通過更靠近用戶的分布式應用及業務的連續性提升用戶感知。一些互聯網公司要求電信運營商網絡能夠為其提供多個10 Gbit/s甚至數百Gbit/s的高速帶寬進行云IDC互聯。

    云IDC的一個基本特征是虛擬機數目巨大，虛擬機遷移頻繁發生，并且要在遷移過程中保持VLAN、IP地址、MAC地址等虛擬機的網絡標識不能改變，從而保證業務的靈活部署和連續性，這就決定了云IDC互聯必須采用多點到多點的二層VPN技術。由于云IDC互聯需要提供足夠的帶寬保證和較低的時延，同時對互聯網絡的可靠性和可用性也提出了很高的要求，因此在實現多點互聯的以太網VPN技術中，PBB E－VPN是專為云數據中心互聯而優化的技術，能夠滿足云數據中心互聯環境下的應用需求。

    下面分析PBB E－VPN在云數據中心互聯應用中的技術實現。

    （一）云IDC多歸宿接入MPLS網絡

    1、站點多歸宿接入的情形

    考慮到某個CE通過多歸宿主鏈路接入MPLS網絡中的一組PE節點，這組PE節點形成一個PE冗余組，為實現多歸宿接入的負載分擔及AC故障的快速收斂，需要為該CE接入的PE冗余組分配一個唯一的B－MAC地址。圖1給出了站點多歸宿接入核心網絡的示例。

    圖1中，CE1通過Active－Active冗余鏈路接入MPLS網絡的PE1、PE2、PE3，為PE1、PE2、PE3形成的冗余組分配一個唯一的B－MAC1地址（對于基于LACP捆綁的鏈路，PE可從CE的LACP系統ID自動導出MAC地址作為B－MAC地址），PE1、PE2、PE3分別向遠端PEr發送屬于同一ES的B－MAC1地址的BGP MAC通告路由，遠端PEr最終生成RIB和FIB。在遠端PEr安裝的FIB中具有3個到達B－MAC1地址的下一跳PE1、PE2、PE3，PEr基于散列算法在這3個下一跳實現到達與B－MAC1地址具有綁定關系的目的C－MAC地址以太網幀的負載均衡。當PE1與CE1之間的AC發生故障時，PE1立即撤銷B－MAC1地址路由，PEr更新RIB和FIB，到達目的C－MAC地址以太網幀，只在下一跳PE2和PE3之間實現負載均衡。

圖1：站點多歸宿接入核心網絡示例

    2、網絡多歸宿接入情形

    圖2給出了以太網絡多歸宿接入核心網絡的示例。以太網絡通過Active－Active冗余鏈路接入MPLS網絡的PE1、PE2，為PE1、PE2形成的冗余組分配一個唯一的B－MAC1地址（PE可通過探測多歸宿以太網的BPDU報文并提取根橋ID作為PE的B－MAC地址），正常情況下，假設PE1負責來自多個偶數I－SID以太網幀的數據轉發，PE2負責來自多個奇數I－SID以太網幀的數據轉發。PE1和PE2分別向遠端PEr發送屬于同一ES的B－MAC1地址的兩條BGP MAC通告路由，對于PE1，其中有一條攜帶標識偶數I－SID的RT，并具有較高的本地優先級（local pref）屬性，另一條攜帶標識奇數I－SID的RT，并具有較低的本地優先級屬性；PE2發送的兩條BGP MAC通告路由攜帶的RT及Local Pref恰好同PE 1相反。遠端PEr最終生成RIB和FIB，把去往偶數I－SID的以太網幀發送到下一跳PE1，把去往奇數I－SID的以太網幀發送到下一跳PE2，實現對來自/去往以太網絡的以太網流量基于I－SID的負載均衡。

圖2：網絡多歸宿接入核心網絡示例

    （二）PBB E－VPN在云IDC互聯應用中的優勢

    1、MAC地址路由通告的擴展性

    在PBB E－VPN中，MAC通告路由的數目是站點或以太網段數量的函數關系，而不是主機/服務器數量的函數關系，換句話說，PBB E－VPN通過BGP通告的是B－MAC地址路由而不是C－MAC地址路由。因此，PBB E－VPN發布的MAC通告路由數目比E－VPN減少幾個數量級，非常適合于存在上百萬虛擬機的大規模云IDC的環境。

    2、C－MAC地址的移動性

    當C－MAC地址從一個以太網段ES遷移到另一個ES時，由于PBB E－VPN發布的BGP MAC通告路由中的B－MAC地址與PE節點保持一種靜態的關聯，并不需要通告B－MAC地址的變化，C－MAC地址與B－MAC地址的綁定關系通過數據平面的學習自動更新，避免了E－VPN中需要通告大量發生虛擬機遷移時受影響的C－MAC地址路由。

    3、C－MAC地址學習及限制

    在PBB E－VPN中，C－MAC地址的可達性是通過數據平面的學習獲得的，因此PE轉發表中僅需保留需要通信的C－MAC地址；C－MAC地址不需要通過BGP通告，因此PE控制平面的路由表不需要維持任何C－MAC地址記錄，可節省大量需要記錄C－MAC地址的存儲資源。

    4、網絡出現故障時避免C－MAC地址清除

    PBB E－VPN可在接入鏈路出現故障或網絡拓撲發生改變時，避免C－MAC地址清除。在圖1中，PE1、PE2、PE3向遠端PEr通告同一ES的B－MAC1地址路由，PEr通過數據平面學習連接到CE1的主機或服務器的C－MAC地址與B－MAC1地址的綁定關系，如果PE1與CE1之間的AC發生故障，PE1只需撤銷B－MAC1地址路由，PEr不需要清除所有學習到的C－MAC地址。

    5、每個站點的策略支持

    在PBB E－VPN中，PE可以通過BGP通告的B－MAC地址與客戶單歸宿或多歸宿站點相關聯，為E－TREE等業務定義每個站點的轉發策略。假設云IDC中，某個企業客戶有100臺虛擬主機連接到同一個CE站點，當需要把這100臺虛擬主機遷移到另一個云IDC時，只需要連接原IDC的PE撤銷與該CE站點關聯的B－MAC地址路由，然后在連接新遷移的IDC的PE上重新發布一條該CE站點關聯的B－MAC地址路由即可，無須逐條撤銷或刷新C－MAC地址通告路由。

    6、與TRILL和IEEE 802.1aq網絡的無縫連接

    傳統的二層以太網基于STP實現環路，避免和以太網數據幀轉發，導致低的鏈路利用率和低效的數據流轉發效率，同時因STP引起的慢收斂等問題已不能滿足虛擬環境下云IDC的高速數據流轉發。TRILL和IEEE 802.1aq作為下一代以太網橋技術試圖解決傳統以太網存在的問題，有望在未來幾年充當云IDC內部互聯的大型二層網絡基礎設施。PBB E－VPN與TRILL/IEEE 802.1aq網絡的無縫連接的示意如圖3所示。

圖3：PBB E-VPN與TRILL/IEEE802.1aq網絡的無縫連接示意

    PBB E－VPN能夠實現TRILL/IEEE 802.1aq網絡與IP/MPLS網絡的無縫連接，同時維護各自網絡控制平面的獨立性。連接TRILL/IEEE 802.1 aq網絡的PE既充當控制平面的邊緣交換機，又充當數據平面的核心交換機。PE并不終結TRILL/IEEE 802.1aq的報文封裝，相反，入口PE把TRILL/IEEE 802.1aq報文打上MPLS標簽，通過MPLS網絡進行標簽轉發；出口PE移除相應MPLS標簽，還原原始的TRILL/IEEE 802.1aq報文封裝格式。這就保持了MPLS網絡對云IDC中虛擬主機MAC地址的透明性傳送，而不需要邊緣PE設備維護數量巨大的虛擬主機MAC地址表。

五、結束語

    以太網VPN技術能夠適應企業多點互聯的需求，具有廣泛的應用前景，為電信運營商及設備制造商所關注，以太網VPN技術及標準化程度也將隨著其在運營商網絡的廣泛部署而日漸成熟。在實現多點二層互聯的以太網VPN技術中，VPLS作為一種標準化程度較好并廣泛部署的VPN技術，已被廣大用戶所接受，同時也存在一些問題。E－VPN和PBB E－VPN實際上是對VPLS的功能增強，更能滿足現有業務及新的應用需求以及下一代以太網技術發展的需要。

    云IDC利用云計算技術，自動化地按需提供各類云計算服務，將對傳統IDC產生巨大的沖擊和深遠的影響，傳統IDC向新一代云IDC的演進是一個必然的過程。云IDC互聯能夠為企業實現數據中心整合、業務統一運營、異地容災備份、虛擬機在線遷移、節能減排等各方面提供條件，并能提升用戶感知。同時，云IDC互聯對承載網絡提出了更高的要求。PBB E－VPN是專為云IDC互聯而優化的以太網VPN技術，能夠滿足云IDC互聯環境下的應用需求，并隨著應用的廣泛推進而日趨完善。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：以太網VPN技術在云數據中心互聯應用的研究

本文網址：http://m.vmgcyvh.cn/html/support/1112159686.html