L2VPN与L3VPN介绍与对比

 

1. VPN技术简介

VPN是运营商通过其公网向用户提供的虚拟专有网络，即在用户的角度VPN是用户的一个专有网络。对于运营商来说公网包括公共的骨干网和公共的运营商边界设备。地理上彼此分离的VPN成员站点通过客户端设备（CPE）连接到对应的运营商边界设备（PE），通过运营商的公网组成客户的VPN网络。

 

2. 传统的VPN组网方式

传统的VPN主要采取两种组网的方式：专线VPN和基于客户端设备的安全VPN。

 

   专线VPN使用静态的虚电路（如ATM PVC、FR PVC 等）连接客户的站点，形成一个二层的VPN骨干网。VPN成员站点连接到运营商的边界设备（PE），由运营商负责建立VPN成员站点之间的虚电路连接，客户对属于自己VPN的站点的路由进行自主的控制和管理。采用这种方式组建VPN无论对运营商或者是对客户来说成本都是很高的，而且二层虚电路的业务提供的周期长，网络管理人员需要进行大量的手工配置工作。

对于基于客户端设备的（CE Based）VPN，VPN的功能全部在客户端的设备中实现。运营商的设备对客户的VPN来说是完全透明的。客户可以通过购买相应的VPN设备或者在现有的路由器、网关或者甚至是PC机上安装相应的VPN功能软件就可以开始独立构建基于客户端设备的VPN。由于VPN的成员站点之间通常是通过非信任的Internet实现互连的，所以一般基于客户端设备的VPN在实现时都引入某些安全机制保护站点之间跨Internet的客户私有流量。这个解决方案的最大缺点就是客户需要购买、配置和维护昂贵的VPN网关设备，同时也意味着需要高素质的网络管理人员对VPN网关设备和整个VPN网络进行有效的管理和维护，相应也会带来企业网络成本的上升。

 

3. MPLS VPN

MPLS技术提供了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。同时相对于传统的VPN技术来说，MPLS VPN可以实现底层标签自动的分配，在业务的提供上比传统的VPN技术更廉价，更快速。同时MPLS VPN可以充分的利用MPLS技术的一些先进的特性，比如说MPLS 流量工程能力，MPLS的服务质量保证，结合这些能力，MPLS VPN可以向客户提供不同服务质量等级的服务，也更容易实现跨运营商骨干网服务质量的保证。同时MPLS VPN还可以向客户提供传统基于路由技术VPN无法提供的业务种类，比如像支持VPN地址空间复用。对于MPLS的客户来说，运营商的MPLS网络可以提供客户需要的安全机制，以及组网的能力，VPN底层连接的建立、管理和维护主要由运营商负责，客户运营其VPN的维护和管理都将比传统的VPN解决方案简单，也减低了企业在人员和设备维护上的投资和成本。基于MPLS的VPN可以作为传统的基于二层专线的VPN、纯三层的IP VPN和隧道方式的VPN的替代技术，在现阶段可以作为传统VPN技术的有效补充。

 

具体到MPLS VPN的实现方式，根据运营商边界设备PE是否参与客户的路由，运营商在建立基于IP/MPLS的VPN时有两种选择：

l         第三层的解决方案, 通常称作是Layer3 MPLS VPNs

l         第二层的解决方案，通常称作是Layer2 MPLS VPNs

衡量一个VPN解决方案的优劣主要基于以下几点的考虑：

l         支持的业务种类；

l         可以向用户提供的连接的种类；

l         扩展性；

l         部署的复杂度；

l         业务开展的复杂度；

l         管理和维护的复杂度；

l         部署的成本；

l         管理和维护的成本。

 

   当然这些因素并不是绝对的，实际的应用中很难简单的说这两个方案谁优谁劣。两个方案都有其优缺点，有其特定的业务模式，也都还处在不断完善发展的阶段，选择一个方案的关键是运营商实际的网络运营环境，和运营商自身的业务定位，要向客户提供什么样的服务模式。

 

4. Layer3 MPLS VPN

        Layer3 MPLS VPN是一种基于路由方式的MPLS VPN解决方案，ITEF RFC2547中对这种VPN技术进行了描述，MPLS Layer3 VPN也被称作是BGP/MPLS VPNs。BGP/MPLS VPN使用类似传统路由的方式进行IP分组的转发，在路由器接收到IP数据包以后，通过在转发表查找IP数据包的目的地址，然后使用预先建立的LSP进行IP数据跨运营商骨干的传送。为了使运营商的路由器可以感知客户网络的可达性信息，运营商的边界路由器（PE）和客户端路由器（CE）进行路由信息的交互。PE和CE之间的路由交换可以采用静态路由，也可以采用RIP、OSPF、ISIS和BGP等动态的路由协议。BGP/MPLS VPN的解决方案支持对等方式的VPN网络结构。PE之间属于同一MPLS VPN的路由信息通过BGP协议承载进行交互。PE路由器使用LSP进行路由转发，对于运营商路由器P并不需要知道客户VPN网络的信息，这种透明可以有效的减小P路由器的负担，提高网络的扩展性和业务开展的灵活性。通过PE之间、PE和CE之间的路由交互，客户的路由器可以知道属于同一个VPN的网络拓扑信息。

 

      BGP/MPLS VPNs 可以解决基于纯IP Layer3 VPN无法实现的一些功能，主要有：

 

支持地址重叠，即同时支持使用公有地址的客户端设备和私有地址的客户端设备，或者多个VPN使用同一个地址空间；

 

支持重叠VPN，即一个站点可以同时属于多个VPN。

 

    对于传统基于路由的VPN来说，要解决以上的问题有一定的挑战性。MPLS VPN使用VPN路由转发表（VRF）解决地址重叠的问题。在运营商PE路由器上使用基于每VPN的路由转发表隔离不同VPN的路由。通过路由信息的隔离，实现支持VPN地址的重叠。如果一个PE上有多个CE属于同一个VPN，那么这些CE共享PE上的VPN路由转发表。对于重叠VPN的情况，重叠发生的站点需要使用独立的VRF表存储来自其所属VPN的路由信息。地址重叠的另一个问题是，PE路由器从邻居的BGP更新中会收到属于不同VPN的重叠路由信息。为了区别来自不同VPN的路由信息，PE使用8 octet的路由标识（RD）对来自不同VPN的路由信息进行标识。这个8 octet的路由标识作为4 octet的IP地址前缀的扩展构成了一个新的地址类（VPN－IPv4地址）。RD不参与路由发布的过程，它所起的作用仅仅是区分属于不同VPN站点的路由。RD和VRF之间建立了一种一一映射的关系，VRF在发布路由信息时将同时附带相应的RD信息。对于重叠VPN的情况，这类站点虽然同时属于多个VPN，但是它只需要一个RD，并不需要多个RD以对应多个VRF，其主要的目的是为了节省PE路由器上的存储资源。对于这类的VPN成员站点，路由分布的策略和单一VPN成员站点是一致的。为了防止PE路由器接收到不属于该PE 上VPN成员的路由信息而浪费PE的资源，MPLS VPN使用BGP的扩展属性来控制运营商网络中路由信息的发布。这个功能是通过对BGP的团体属性来实现的，所有的客户VPN都被赋予一个唯一的团体属性值。在PE接收到一条路由时，BGP进程将检查该路由的扩展属性，如果该属性和该PE上承载的VPN的扩展属性相同PE将接收该路由，如果不同，PE将忽略这些BGP路由。 通过这种方式，PE路由器可以避免存储一些不必要的路由信息，提高网络的可扩展性。图1 简单的示意了Layer 3 MPLS VPN的解决方案。

 

     从以上的分析可以看出，MPLS VPN可以支持创建重叠VPN，所谓重叠VPN是指同一个站点同时属于多个VPN的情况。这种功能特别适用于企业之间并购时的网络整合或者企业之间由于合作的需要，相互之间需要共享网络资源。用户将依靠服务提供商来实现特定的路由控制，也就是说，路由控制来自于CE路由器并且派送到PE路由器。在图1中，用户A，站点1，既归属于VPN A，又归属于VPNC 。该站点的路由信息由本地PE路由器在一个RD中进行通告，这个RD同时包含了两个Route Target扩展属性：一个用于VPN A，另一个用于VPN C。远端的PE根据BGP扩展属性对来自该PE的路由信息进行接收和处理。

 

    当通告一个VPN-IPv4路由时， BGP信息中携带了VPN的内标签信息和相关VPN的BGP 下一跳信息。PE路由器可以通过LSP可以建立两两之间之间的通信。这些LSP可以看做是MPLS VPN的外层标签，可以通过多种信令协议方式建立，比如LDP或者RSVP/TE。当PE接收到一个目的为远端VPN站点的IP分组时，PE给分组包附加两层MPLS标签，如图2所示。

 

    外标签或者称作是隧道标签用于标识BGP的下一跳即远端PE的地址；内标签或者称之为VPN标签标识PE上特定的VPN成员，具体的说应该是标识到PE上的VRF。P路由器只是根据标签进行数据转发，整个过程VPN过程对于P路由器透明。

 

5. MPLS Layer2 VPN

    基于MPLS的第二层VPN解决方案保留了传统基于第二层VPN解决方案的优势。MPLS L2　 VPN降低了VPN业务开通复杂度，特别是在现有的VPN中增加站点时，在大多数情况下只需把供应商边缘（PE）路由器连接到新站点上即可，相应也减小了业务提供的周期。通过采用MPLS技术，可以在多元融合的网络中运行二层VPN、三层VPN、流量工程、Diffserv及许多其它业务，服务提供商可以为IP、第三层（MPLS/IP）和二层VPN共同管理和维护单一的基于MPLS的网络。基于第二层的MPLS VPN解决方案提供了运营商网络和客户的VPN网络之间的完全独立，也就是说，运营商边界的PE设备和CE设备之间没有进行路由交换，运营商只是简单向客户提供一些基于2层的网络功能。运营商的网络和客户的VPN网络和完全架构在层叠的网络模型上，从客户的角度看运营商只是提供了一个简单的2层连接。这种透明简化了运营商网络的结构和配置管理，同时也提供了对客户的多业务支持能力，运营商除了传统的IP业务以外，还可以向客户提供IPv4, IPv6, IPX, DECNet, OSI, SNA等等业务，以及一些传统基于电路业务的仿真，比如说FR、ATM等。

 

目前Layer2 MPLS VPN的解决方案可以提供以下两种连接方式的服务：

－点到点连接

－点到多点连接

5.1 点到点仿真虚电路

 

对于点到点仿真虚电路方式的Layer2 MPLS VPN主要是基于以下的几个IETF草案，这几个草案基本上已经成为点到点方式L2 VPN的事实标准：

“draft-martini-l2circuit-trans-mpls-0x.txt”

“draft-martini-l2circuit-encap-mpls-0x.txt”

“draft-kompella-mpls-l2vpn-0x”

“draft-kompella-ppvpn-l2vpn-0x”

 

这几个草案基本上可以划分为Layer2 MPLS VPN两个主要的技术流派： Martini和Kompella。两种解决方案在数据层面非常相似，都支持多种二层技术。两个草案的区别主要在控制层面；前者支持点对点的服务，后者可以支持点对多点服务。 Draft-Martini不包括用于VPN成员自动发现机制，更多的操作需要手工完成。支持Martini的运营商和设备厂家主要有Level 3 Communications, Cisco Systems, Nortel Networks, Laurel Networks, Vivace Networks, Mazu Networks, Gone2 Ltd., Global Crossing, Cable & Wireless, and Juniper Networks, Inc.。支持Kompella的主要有Juniper Networks, Telefónica Data, Cable & Wireless, CoSine Communications, WorldCom, KPN Dutch Telecom, Nortel Networks, and Unisphere Networks.。由于Draft-Martini比Draft-Kompella的机制简单，实现起来比Draft-Kompella容易，所以提供MPLS的2层VPN的厂家基本上都支持Martini草案，能支持Kompella方式的厂家比较少。

 

5.1.1 Draft-Martini基于MPLS的二层VPN

Martini草案的基于MPLS的二层VPN是一种点对点的解决方案。可以支持的二层技术主要有：帧中继、ATM AAL5 CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务。

 

为了通过运营商MPLS网络承载L2帧，Martini草案引入VC（虚连接）的概念。VC通过MPLS标签栈的方式在MPLS骨干网由LSP构建的隧道中进行复用，其标签的结构如图 3所示。

 

LSP可以看作是承载多条VC的隧道，VC可以看作是实际承载L2帧的电路，VC实际是隧道LSP中的子LSP。隧道LSP提供PE之间的隧道连接，VC承载特定用户（VPN）的数据帧。隧道ISP的建立方式可以有多种，可以使用LDP的方式或者是RSVP/CR-LDP等信令协议。PE之间VC 标签的分发使用下游标签分配的方式，可以采用静态分配的方法也可以通过信令进行分配，VC和传统的LSP一样也是单向的，为了获得双向的VC连接必须对VC两端的PE都进行配置。为了实现这种等级化的结构，在用户（VPN）的数据帧穿透运营商的网络时被打上了两层的标签：

外层标签或者隧道标签：用于标识隧道LSP，用于定位特定的目的PE路由器；

内层标签或者VC标签：用于标识用户的连接，用于定位目的PE路由器上特定的VPN成员站点。

 

如图4所示，以PE1为源端、PE2为目的端为例，当PE1发送一个二层PDU到PE2时，PE1首先为二层净荷添加一个VC标签，然后添加一个隧道标签。隧道标签用来确定MPLS分组从PE1到PE2的通路；只有MPLS分组到达PE2时，VC标签才可见，PE2对分组的处理取决于VC标签的内容。

 

隧道标签用来确定通过MPLS网络的通路，VC标签用来识别端点的VLAN、VPN、或连接。例如，如果MPLS分组的净荷是ATM AAL5 协议数据单元时，PE2能从VC标签推断出净荷对应的出口，以及AAL5 PDU的VPI/VCI值。如果净荷是帧中继PDU时，PE2能从VC标签推断出净荷对应的出口，以及DLCI值。如果净荷是以太网帧时，PE2能从VC标签推断出净荷对应的出口，及VLAN识别符。

 

使用隧道标签和VC标签的方法，可以将多个二层“VC”复用到单个“Tunnel”中，可以节省运营商骨干MPLS网络中对LSP的需求量，有利于提高网络的扩展性。

 

5.1.2 Draft-kompella基于MPLS的二层VPN

Kompella草案的基于MPLS的二层VPN是一种点对多点的解决方案。但是和下面将要提到的VPLS对比，Kompella方式的点对多点连接只是一种点到点连接的集合。和Martini方式相比，Kompella的优势是引入了VPN的自动发现机制，在网络初始化时需要对VPN的所有站点进行配置，一旦初始化完成后，只需对新添加的站点进行配置，而不必触及已配置的站点。Kompella的自动发现机制使用BGP作为VC标签分配的信令，整个VPN建立的过程充分的借鉴的L3 MPLS VPN实现的思想。PE之间建立全网状的IBGP会话，相互交换VPN成员信息和VPN能力的协商，其网络结构如图5所示。

 

对于大型的IP运营商来说，其网络中原有运行的BGP可以作为Kompella方式Layer2 MPLS VPN的信令载体，在同一个信令平台上可以同时提供L2和L3的VPN业务。对于网络的运营和维护来说也不会增加很大的负担。基于Layer3 MPLS VPN的运营商经验也完全可以被Komplla VPN借鉴，比如说VPN跨域的问题，Kompella就可以采用和Layer3 MPLS VPN相似的方法实现，而Martini VPN的跨域问题解决起来就比较的困难。但是，Kompella VPN在借鉴了Layer3 MPLS VPN思想的同时也不可避免的继承了Layer3 MPLS VPN 实现、配置管理复杂、业务提供周期长等缺点，导致了目前支持和实现Kompella的厂家较少，有关这方面的问题还处于进一步研究的过程中。

 

在数据层面上Kompella和借鉴了Martini的封装格式，可以支持：帧中继、ATM AAL5 CPCS模式、ATM透明信元模式、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务等二层技术。

 

5.2 点到多点连接（VPLS）

目前在IETF中有多个草案解决L2多点连接的问题，这些草案的主要目标都是为了解决Layer 2以太帧透过运营商IP/MPLS 网络进行点到多点传送的问题。通过运营商的IP/MPLS网络，Layer2 MPLS VPN可以仿真一个局域网交换机，具有基于MAC地址对用户的数据帧进行转发的能力。最终的目的是构架客户端基于L2交换的VPN网络。这种解决方案一般也称作是VPLS（Virtual Private LAN Services）。VPLS技术的核心思想在草案“draft-lasserre-vkompellappvpn- vpls-0x.txt”中有详细的描述，以下的几个草案对lasserre草案中的思想进行了扩充或者是提出了一些厂家特有的解决方案：　

　draft-kompella-ppvpn-vpls-00.txt

　draft-kompella-ppvpn-dtls-01.txt

　draft-lasserre-tls-mpls-00.txt

　draft-heinanen-dns-ldp-vpls-00.txt

　draft-tsenevir-gre-vpls-00.txt

　draft-augustyn-vpls-arch-00.txt

　draft-khandekar-ppvpn-hvpls-mpls-00.txt

　draft-sajassi-vpls-architectures-00.txt

 

VPLS 的解决方案实际上是对Martini解决方案中引入概念的扩展。VPLS实际上是在PE之间建立了一个全网状的VC连接来仿真点到多点的连接。值得注意的是VC是一个单向的连接，为了承载双向的数据流，需要一对VC连接。 VC标签信息的交换主要有两种方法，一种是LDP标签分配方式，另外一种是BGP标签分配的方式。客户VPN使用32bit的VPN ID进行标识，也有一些草案中使用56bit或者64bit的VPN ID进行扩展。还有一种解决方案是将VPN ID存储在DNS系统中进行统一的管理控制，可以简化业务提供的过程。在VPLS中，VLAN ID对于运营商网络来说没有任何的意义，运营商的网络根据为客户VPN分配的标签进行标签交换，所以对于Layer2 MPLS VPN来说，它可以不受最大4095个VLAN数目的限制。PE设备的功能体（多数情况下是PE路由器）像普通的二层交换机一样进行MAC地址的学习，唯一的不同是Layer2 MPLS VPN通过VC进行数据帧的转发。通过MAC地址的学习每个承载VPN的PE上都会生成相应的MAC地址转发表，这个转发表称作是VFI （Virtual Forwarding Instance），VFI和PE上的VPN之间是一一对应的关系。和Layer3 MPLS VPN一样，为了合理地利用设备的资源，Layer2 MPLS VPN的PE设备上只存储它承载的VPN的MAC转发表，而不是网络中所有VPN的MAC转发表。P路由器不进行任何的MAC地址学习，整个Layer2 MPLS VPN的建立过程对P路由器是透明的。

 

PE不必像传统的L2 交换机一样运行STP协议，因为在Layer2 MPLS VPN中使用MPLS的内在保护机制进行链路的保护，而且VPLS的PE之间采用的全网状连接的VC，PE之间的流量相互可以直达，所以不会产生L2 交换网络中通常会遇到的线路保护和线路环路的问题，所以也就没有使用STP协议的必要。Layer2 MPLS VPN可以避免通常L2交换网络中因为使用STP带来的网络恢复的周期长、网络的控制性受限制等问题。如图6中所示，VPLS中也可以实现重叠VPN的网络结构，站点1同时属于VPN A和VPN C，在数据平面VPN A和VPN C的数据可以通过不同的VLAN ID使用802.1q复用到单一物理接入链路上。在控制平面，客户需要对其路由协议的发布进行一定的策略控制，决定路由发布和VPN之间的对应关系。对运营商而言，路由的管理和控制是由用户进行的，运营商的维护管理的工作简单。

 

6. Layer3和Layer2 VPN综合比较及分析

 

从以上的分析中可以看出，基于MPLS的L2和L3解决方案各有其优缺。对于运营商来说到底采用何种方式在网络中实施MPLS VPN需要考虑L2 和L3方案各自的优缺，结合网络的现状，方案实施的成本，以及对当前和将来业务的综合分析、预测。

 

6.1 支持的服务类型

对于L3的MPLS 来说，由于路由协议和信令协议的限制面前只支持纯IP的业务，而L2 VPN的解决方案由于采用二层的透传技术，对于客户侧的很多三层协议是透明的，这些协议包括：IPv4、IPv6、IPX，DECnet，OSI，SNA等等。相对于L3来说，L2对于用户业务类型的要求限制要少一些。尤其，现在很多的组织已经或者正在准备开始使用IPv6，将来也会有很多的企业向IPv6迁移。对于运营商来说，如何为这部分企业用户提供VPN的连接业务。对于L3的 VPN来说需要对面前IPv4的路由技术和对面前M-BGP的功能进行增强，生成一个新的VPNIPv6的address family 。 其间，还会涉及到对运营商边界路由器软件或者硬件上的升级。对于L2的VPN来说，可以继续的为这些企业用户提供VPN的业务。Layer 2 MPLS VPN的特性也使其也可以很容易的实现目前困扰Layer 3 MPLS VPN的很多技术，比如说网络的组播，L3 MPLS　 VPN有关组播能力的支持还有待进一步的研究。

 

6.2 组网能力

运营商在向客户通过MPLS VPN服务的时候可以采用多种的组网方式 ，MPLS L2和L3的VPN都支持以下的几种VPN组网方式：

1. Point-to-Point.

2. Hub and Spoke.

3. Partial Mesh.

4. Full Mesh.

5. Overlapping VPNs.

 

由于实现机制的不同，MPLS L2和L3 VPN对以上几种组网方式的支持能力有差异。具体来说，Layer3 MPLS VPN对于1、4、5组网方式的支持能力好，而对2、3组网方式的支持相对比较的复杂。对于Layer2 MPLS VPN来说，实现1、2、3、4连接的能力强。为什么会产生这种差异呢？Layer2 MPLS VPN直接采用VC的方式构建VPN站点直接的连接，相对于通过控制BGP的路由传递建立的Layer3 MPLS VPN来说，在组网的能力上更灵活一些。但是Layer2 MPLS VPN在支持连接方式5即重叠VPN的时候，需要对重叠发生处的CE设备进行一定的配置，CE设备需要对发布到PE的路由信息进行控制。在这个过程中，对于客户来说会丧失一部分三层路由的透明性。

 

6.3 网络扩展性

 

在对比L3解决方案和L2解决方案扩展性的时候我们可以发现许多共同的地方。一般来说对于MPLS VPN来说网络的扩展性主要受以下几个因素的限制。一个限制因素是运营商边界的LSR最大可以支持的LSP或者是VC的数量；另一个限制因素是运营商边界路由器上可以存储的配置文件的大小。配置文件包括边界路由器的全局路由信息和相关的VPN配置信息。对于L3 的MPLS VPN来说，配置文件包括VRF（virtual route forwarding ）、RD、BGP扩展属性的信息和路由过滤的策略。对于 MPLS 2层的解决方案来说，配置文件包括VPN对等PE的静态配置信息以及端口和VPN之间的映射关系。如果在Layer2 MPLS VPN解决方案中引入VPN成员站点的自动发现机制，可以极大的简化Layer2 MPLS VPN的配置过程和控制配置文件的规模。

 

对于L3的解决方案来说，运营商边界PE上可以存储的路由的数量也是影响VPN扩展性的一个重要因素。运营商边界路由器上存储在来自所有成员VPN的路由信息。减小运营商路由器PE上路由数量的方法是尽可能的对VPN的路由进行汇总。L2解决方案同样也存在这样的限制，解决的方法是使用一定的策略对PE路由器上MAC地址的数量进行限制，防止来自VPN的大量源MAC地址信息使PE路由器溢出。

 

6.4 网络部署的难易程度

实施L3的MPLS解决方案通常需要高端的PE设备作为运营商边界LSR，因为在L3 的情况中作为运营商边界的LSR需要处理大量的路由表信息，而且还要同时处理多个路由表的信息。在实施L3的VPN时需要部署M-BGP作为传递内标签的信令协议，对于网络中已经部署了大量的BGP协议的大型IP网络来说，其运营商倾向于开展L3的VPN解决方案，以充分的利用网络中已部署的BGP协议。在运营商实际的业务实施的过程中，需要对原有的BGP进行一些调整，包括对BGP路由反射簇的调整和对路由联盟的调整，调整的目标是对BGP路由反射器或者联盟边界路由器的负载进行均衡，防止网络中的某些设备负载过大，提高网络的扩展性。这些调整需要进行合理的规范，深入的分析和研究，保证L3 VPN的实施不会对网络中原有的网络稳定性和扩展性产生影响。

 

对于L2 VPN的解决方案来说，对PE的要求相对简单，多数的解决方案不需要使用BGP作为标签分配的信令协议，所以PE之间不需要运行BGP协议。对于那些网络中原来没有运行BGP，或者是不希望继续使用BGP作为标签分配信令的运营商来说，L2 VPN的解决方案就比较吸引力。当然，对于那些希望利用原有的BGP协议的运营商来说，也可以采用使用BGP作标签分配的L2 VPN解决方案进行实施。对于跨域的MPLS VPN来说，使用BGP作为跨域标签分配的工具比单纯使用LDP作跨域标签分配更简单，更容易实现，有更好的网络扩展性。

 

6.5 业务提供过程

L3 MPLS VPN业务的提供需要运营商通过控制路由信息为用户定制VPN的网络拓扑。具体的说就是要设计包含客户路由信息的VRF，制定RD和路由属性的分配方法。多个端口是否共享一个VRF，或者在重叠VPN方式中VRF包含来自多个VPN的路由信息，这些问题都需要运营商进行仔细的规划和实施。运营商还需要创建和维护于客户CE路由器之间的路由交换。相对来说，Layer2 MPLS VPN的业务提供比较简单。运营商PE上只需要配置相应的PE之间的VC连接以及PE端口或者电路和VPN之间的映射。目前在IETF中提出了很多PE VPN成员站点的自动发现机制，来增加Layer2 MPLS VPN的智能化，随着VPN自动发现机制的标准化，Layer2 MPLS VPN的配置将进一步的简化。

 

6.6 运营管理和维护

运营商在管理和维护L3的MPLS VPN，作配置改动或者进行故障的检查和修复时，实际上主要是处理路由器BGP对等会话，各种扩展属性的BGP路由和路由器的发布和控制，以及运营商边界PE和客户路由器CE之间的对等关系。在很多大型的IP网络中，为了增加网络的扩展性，使用了BGP路由反射器或者是联盟对自治域内的IBGP会话进行控制，这些措施在提高网络扩展性的同时也增加了网络管理维护和故障发现、检查和修复的复杂度。随着VPN用户数量的增加，运营商边界路由器的配置文件也将变得越来越庞大，网络的可运营可管理的能力也随之下降。

对于Layer2 MPLS VPN来说，情况相对要简单一些，因为运营商不需要管理和维护属于客户的路由信息。对于大多数的Layer2 MPLS VPN解决方案来说也不需要BGP作标签的分配和路由信息的传递。网络的管理和维护相对比较简单。但是，对于kompella和某些VPLS的Layer2 MPLS VPN解决方案来说，BGP仍然作为标签分配的信令协议使用。无论那种实现的方式，运营商在管理和维护Layer2 MPLS VPN时只需要处理简单的VC概念和VPN和PE路由器端口之间的映射关系，具体到每一个PE上，运营商只需要维护单一的全局路由表，记录Layer2 MPLS VPN MAC地址和转发路径信息的转发表可以使用静态的配置或者是通过PE动态的学习获得。Layer2 MPLS VPN和L3 MPLS VPN面临的一个共同的问题就是，随着VPN网络规模的扩张和VPN站点数量的增加，运营商边界的PE路由器的配置文件将变得十分的庞大，对于这个问题可以采用VPN成员的自动发现机制将配置文件控制在一个合理的范围，或是采用基于图形的MPLS VPN管理软件简化管理和维护的难度。

 

6.7 运营成本

对比两种MPLS VPN部署的成本，L3的解决方案要比L2的解决方案稍高一些。L3的解决方案要求运营商边界的PE路由器同时处理多个路由表，相对于L2解决方案对边界路由器的要求要苛刻一些。特定的网络解决方案的运营维护成本主要取决于网络的复杂程度，网络越复杂，对网络运营管理人员的专业要求更高，业务开展的周期也会相应的延长。所以，在同等网络规模的前提下L3 MPLS VPN的运营成本高于Layer2 MPLS VPN。

 

7. MPLS VPN应用的分析和建议

从以上的分析中，我们可以得出，MPLS VPN技术是未来构建VPN网络的技术发展方向，无论是相对于传统的基于电路或者虚电路方式的二层VPN组网技术还是传统基于CPE设备的IP隧道VPN技术或者是基于传统基于运营商网络的VPN解决方案，MPLS VPN技术都有着明显的优势，MPLS VPN依托MPLS技术可以提供更多元化的业务种类，多种服务质量，MPLS也为MPLS VPN提供了基于标签的内在安全机制和基于LSP保护的保护机制，简化了运营商和客户对VPN进行管理维护的工作量，缩短了运营商提供VPN业务的周期，使运营商可以面对市场的需求做出灵活的反应。

 

但是运营商向MPLS VPN技术的演进应该是应该循序渐进的过程。对于大多数的运营商来说，目前其数据业务的主要来源还是面向客户的传统L2 VPN和专线业务。实施MPLS VPN的过程必须充分的考虑已有网络的网络运营结构和当前的网络业务模式。MPLS VPN作为一项新业务，一方面其自身还处在一个不断的发展和完善的时期，另一方面对于大多数的运营商来说没有大规模运营MPLS VPN的经验，贸然的实施MPLS VPN技术有很大的风险。建议运营商在保持原有业务的同时，可以利用运营商的MPLS骨干网推出MPLS VPN的业务作为传统专线业务的补充，使用优惠的资费政策吸引一部分中小用户，积累一定的运营经验。

 

具体到MPLS VPN的两种实现方式，Layer3 MPLS VPN由于发展的时间较长，其协议本身相对完善一些，一些运营商已开始了Layer3 MPLS VPN业务的一些尝试。Layer3 MPLS VPN由于其实现机制的问题，其网络的运营管理和维护，以及运营商边界路由器需要存储大量的客户路由信息引发的网络扩展性问题要求必须对Layer3 MPLS VPN的实施进行很好的规划。虽然IETF也在就这方面的问题不断的对Layer3 MPLS VPN进行改进，但是在目前技术和网络条件都不成熟的情况下Layer3 MPLS VPN的应用应定位于中小规模的企业VPN用户。等Layer3 MPLS VPN本身的协议完善及运营商本身积累了一定的网络运营管理经验以后再进行全网的普及。

 

Layer2 MPLS VPN的出现是MPLS VPN技术的一个新亮点，随着其协议的成熟和标准的确定，Layer2 MPLS VPN将成为MPLS VPN技术的主流技术。Layer2 MPLS VPN技术可以实现帧中继、ATM、以太网、以太网VLAN、HDLC、PPP、SONET/SDH链路仿真服务和多种二层链路技术的互通，运营商和客户之间的责任明确，运营模式清晰，是迈向IP/MPLS全业务网的关键一步，可以实现真正意义上的多网合一。在演进的过程中原有的非IP接入电路技术（FR、ATM）可以实现重复利用，可以最大限度的为运营商节省网络升级的投资。与Layer3 MPLS VPN的解决方案比较，Layer2 MPLS VPN可以提供更好的网络扩展性，还可以支持除IP以外的多种协议（IPX，SNA等）所以更适合在大型的VPN网络中使用，特别是在多级运营商或者运营商的多级网络环境中（Carrier Support Carrier）。对于客户来说从传统的二层VPN升级到Layer2 MPLS VPN的过程是透明的，客户路由器原有的电路映射关系不需要进行任何的改动。就目前来说，Layer2 MPLS VPN面临的最大问题就是协议不成熟，没有标准化。目前设备厂家间解决方案种类繁多，大多数的设备只实现了协议定义的基本功能，还不具备全业务支持的能力，各种解决方案之间也无法实现互通。Layer2 MPLS VPN协议本身的不完善也是制约其应用的一个重要因素，目前大多数的Layer2 MPLS VPN的配置过程都需要进行大量的手工配置，不适合组大规模的网络。对于一个适合进行大规模部署的网络解决方案来说，必须要支持自动发现和机制，减少配置过程中因为人为失误造成配置错误的可能性。另外，除了以BGP作为信令协议的解决方案以外，Layer2 MPLS VPN的跨域问题还没有能够完全的解决。Layer2 MPLS VPN业务的成熟需要运营商积累一定的运营经验，其业务本身也需要市场和客户认可的过程。

 

综合以上的分析，运营商可以根据自身的网络情况选择使用什么样的方式、什么样的技术和什么样的运营模式提供其MPLS VPN的业务。对于传统处于垄断地位的运营商来说可以采用循序渐进的方式，将MPLS VPN作为其传统VPN业务的一种补充，同时可以采用设备代管代维或者其它运营模式获取单纯带宽批发之外的利润。采用逐步替换的方式完成向IP/MPLS全业务网的演进。对于新型的宽带业务运营商或者是需要重新进行网络建设或者网络升级的传统运营商来说，其本身处于竞争的地位，没有什么原有技术的限制和负担，所以可以直接的采用MPLS VPN技术构建其VPN业务体系。利用MPLS VPN灵活，低成本，业务提供周期短的特点，采用L2和L3结合的方式向客户提供MPLS VPN业务，通过面向中小型企业用户和宽带上网的业务提供，积累运营的经验，逐步的扩大目标业务群，增加网络的覆盖范围，最终实现跨大区域提供大型VPN业务的能力。在网络建设发展的初期，可以采用少量传统技术如帧中继、ATM技术和MPLS VPN结合向客户提供服务，满足客户的不同需求。在MPLS VPN网络发展成熟到一定的阶段，采用在帧中继、ATM设备中引入MPLS VPN，或是将这些帧中继、ATM设备推向网络边缘的方式全面实现网络向IP/MPLS全业务网的演进。