MPLS与VPLS与城域以太网的对比

下一代Internet宽带网络技术----MPLSInternet的网络规模和用户数量迅猛发展，如何进一步扩展网上运行的业务种类和提高网络的服务质量是目前人们最关心的问题。

由于IP协议是无连接协议，Internet网络中没有服务质量的概念，不能保证有足够的吞吐量和符合要求的传送时延，只是尽最大的努力(Best-effort)来满足用户的需要，所以如不采取新的方法改善目前的网络环境就无法大规模发展新业务。

在现有的网络技术中，从支持QoS的角度来看，ATM作为继IP之后迅速发展起来的种快速分组交换技术具有得天独厚的技术优势。

因此ATM曾一度被认为是一种处处适用的技术，人们最终将建立通过网络核心便可到达另一个桌面终端的纯ATM网络。

但是，实践证明这种想法是错误的。

首先，纯ATM网络的实现过于复杂，导致应用价格高，难于为大众所接受。

其次，在网络发展的同时相应的业务开发没有跟上，导致目前ATM的发展举步维艰。

第三，虽然ATM交换机作为网络的骨干节点已经被广泛使用，但ATM信元到桌面的业务发展却十分缓慢。

??由于IP技术和ATM技术在各自的发展领域中都遇到了实际困难，彼此都需要借助对方以求得进一步发展，所以这两种技术的结合有着必然性。

多协议标签交换（MPLS）技术就是为了综合利用网络核心的交换技术和网络边缘的IP路由技术各自的优点而产生的。

一、MPLS的产生背景??目前IP与ATM相结合的解决方案归纳起来可以分为重叠模型和集成模型两类。

1、重叠模型??重叠模型的技术特点是：IP的路由功能仍由IP路由器来实现，需要地址解析协议（ARP）实现媒体接入控制（MAC）地址与ATM地址的映射或IP地址与ATM地址的映射。

重叠模型采用ATM论坛或ITU-T的信令标准，并与标准的ATM网络及业务相兼容。

其最大特点是在ATM网中不论是UNI信令还是NNI信令均不改变。

重叠模型的实现方式主要有：IETF推荐的传统模型（CIPOA）、ATM论坛推荐的局域网仿真（LANE）和ATM上多协议（MPOA）技术。

中国移动C M N E T省网及城域网业务接入规范版本号0.9.0X X X X-X X-X X发布X X X X-X X-X X实施中国移动通信集团公司发布目录1.概述 (2)2.互联网接入业务 (3)2.1.家庭宽带接入业务 (3)2.2.IPOE上网业务 (3)2.3.集团客户宽带接入业务 (4)3.虚拟专线/专网业务 (6)3.1.三层MPLS VPN业务 (6)3.2.二层VPN业务(VPLS) (7)4.WLAN接入业务 (8)4.1.AC集中化部署 (8)4.2.AC分布式部署 (9)5.基于CM-IMS的语音业务 (11)6.自有业务系统的互联网接入 (12)7.IPTV业务 (14)8.IDC业务 (16)1. 概述中国移动CMNET省网及城域网定位为数据、语音、视频业务的综合承载网络，提供多种业务在城域的互联及CMNet骨干网/省网的接入。

中国移动CMNET省网及城域网承载的业务可分为互联网接入类、虚拟专线/专网、中国移动提供的语音和多媒体类三大类，其典型业务如下所述。

主要涉及阿郎SR7750、华为ME60、爱立信SE800共3款SR/BRAS设备，以下为这三款设备的配置举例。

2. 互联网接入业务互联网接入业务分为PPPOE接入业务、IPOE接入业务和专线接入业务三种种类型。

2.1.家庭宽带接入业务PPPOE上网业务为城域网承载的默认业务。

在GPON的ONU和二层接入交换机上为每个用户配置一个VLAN，在OLT或者汇聚交换机部署选择性QinQ，加载外层标签，实现VLAN的扩展。

二层宽带汇聚交换机透传外层标签。

SR/BRAS做为宽带接入网关，在下行GE端口终结SVLAN，并通过和后台的交互实现宽带用户的精确绑定。

PPPOE上网业务实现示意图如下所示：修改图中文字图2-1 家庭宽带接入业务示意图2.2.IPOE上网业务IPOE接入业务采用DHCP动态IP 地址分配方式，在GPON的ONU和二层接入交换机上为每个用户配置一个VLAN，在OLT或者汇聚交换机部署选择性QinQ，加载外层标签，实现VLAN 的扩展，二层宽带汇聚网透传外层标签。

VPLS（Virtual Private LAN Service）详细介绍VPLS即Virtual Private LANServices（虚拟专用LAN业务），是一种在MPLS网络上提供类似LAN 的一种业务，它可以使用户从多个地理位置分散的点同时接入网络，相互访问，就像这些点直接接入到LAN上一样。

VPLS使用户延伸他们的LAN到MAN，甚至WAN上。

VPLS具有以下优点：VPLS在面向用户网一侧使用以太网接口，简化了LAN/WAN边界，可以支持快速和灵活的服务部署；VPLS将用户网络的路由策略控制和维护权利交给了用户，简化了运营商网络的管理；VPLS服务内的所有用户路由器CE是相同子网的一部分，简化了IP寻址规划；VPLS服务既不需要感知，又不需要参与IP寻址和路由。

VPLS主要组件：伪电路（Pseudo Wire, PW）：简单的说，伪电路就是VC加隧道，隧道可以是LSP，L2TPV3，或者是TE。

虚连接是有方向的，VPLS中虚连接的建立是需要通过信令(LDP或者BGP)来传递VC信息，然后通过VSI管理来将VC信息和隧道管理，形成一个PW。

PW对于VPLS系统来说，就像是一条本地AC到对端AC之间的一条直连通道，完成用户的二层数据透传。

虚拟交换实例（Virtual Switch Instance,VSI）：每个VSI提供单独的VPLS服务。

VSI实现以太桥接功能，并能够终结PW。

虚电路（Virtual Circuit,VC）：。

在两个节点之间的一种单向逻辑连接。

一个PW由一对反向VC 组成。

接入链路（Attachment Circuit, AC）：在L2VPN中，CE通过AC接入到PE。

AC可以是物理链路，也可以是逻辑链路，AC用于在CE和PE之间传输帧。

转发器（Forwarders）：PE收到AC上送的数据帧，由转发器选定转发报文使用的PW，转发器事实上就是VPLS的转发表。

信令协议（pseudowire signaling,ps），ps信令协议是vpls的实现基础，用于创建和维护pw。

MPlS VPN技术（L2&L3 MPLS VPN介绍、对比、分析）1. VPN技术简介VPN是运营商通过其公网向用户提供的虚拟专有网络，即在用户的角度VPN是用户的一个专有网络。

对于运营商来说公网包括公共的骨干网和公共的运营商边界设备。

地理上彼此分离的VPN成员站点通过客户端设备（CPE）连接到对应的运营商边界设备（PE），通过运营商的公网组成客户的VPN网络。

2. 传统的VPN组网方式传统的VPN主要采取两种组网的方式：专线VPN和基于客户端设备的安全VPN。

专线VPN使用静态的虚电路（如ATM PVC、FR PVC 等）连接客户的站点，形成一个二层的VPN骨干网。

VPN成员站点连接到运营商的边界设备（PE），由运营商负责建立VPN 成员站点之间的虚电路连接，客户对属于自己VPN的站点的路由进行自主的控制和管理。

采用这种方式组建VPN无论对运营商或者是对客户来说成本都是很高的，而且二层虚电路的业务提供的周期长，网络管理人员需要进行大量的手工配置工作。

对于基于客户端设备的（CE Based）VPN，VPN的功能全部在客户端的设备中实现。

运营商的设备对客户的VPN来说是完全透明的。

客户可以通过购买相应的VPN设备或者在现有的路由器、网关或者甚至是PC机上安装相应的VPN功能软件就可以开始独立构建基于客户端设备的VPN。

由于VPN的成员站点之间通常是通过非信任的Internet实现互连的，所以一般基于客户端设备的VPN在实现时都引入某些安全机制保护站点之间跨Internet的客户私有流量。

这个解决方案的最大缺点就是客户需要购买、配置和维护昂贵的VPN网关设备，同时也意味着需要高素质的网络管理人员对VPN网关设备和整个VPN 网络进行有效的管理和维护，相应也会带来企业网络成本的上升。

3. MPLS VPNMPLS技术提供了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中继、ATM的网络安全性。

基于 VPLS 技术的城域以太网在过去的几十年中，以太网作为局域网（LAN）的重要技术实现手段在全球范围内 早已得到了广泛的应用，据估计，目前已有超过 1 亿的以太网用户遍布与世界各地。

近 几年来，有关以太网技术的研究主要围绕在两个方面。

首先，从网络吞吐量来看，以太 网已从早期的 10Mbps 发展到快速以太网（100Mbps） ，千兆以太网（1Gbps）甚至是 10Gbps；其次，以太网技术的应用范围也从早期单纯的 LAN 逐步向城域网（MAN）发 展，即所谓的城域以太网（Metro Ethernet） 。

城域以太网主要面向的是城区内的企业用 户，其优越性表现在三个方面：1）以太网低廉的成本，包括设备成本及连接成本；2） 网络管理及工程人员对以太网技术已非常熟悉；3）以太网接入速度的灵活性，用户可以 向网络服务供应商订购从 1Mbps 到 1Gbps 范围内的任意接入速度，并且可以根据企业 的需要灵活调整，这一点是现有的诸如桢中继，ATM 等所无法比拟的。

目前，城域以太网还只能提供城区范围内的点对点连接服务，主要是提供企业的不 同分部网络间的互连，企业网络或大楼向广域网（WAN）接口的连接等。

因为以太网技 术的本质是在一个共享传输媒介上提供多点接入方式，因此当前的点对点连接服务并没 有充分发挥以太网技术的特点。

并且，对于企业用户而言，其分支办公室网络可能分布 在几个城市内，因此，它们真正需要的是能够覆盖多个城市范围的网络接入。

对于这两 个问题，当前已有一些网络服务供应商在尝试利用虚拟局域网（VLAN）提供多点到多点 的以太连接。

对于用户而言，这相当于所有的子网是连接到同一个局域网上的，而用户 的数据流则通过 VLAN ID 来在逻辑上加以区别。

这一方案虽然可以为用户带来成本上的 优势与多点连接的便捷性，但是也存在着一些明显的缺陷。

基于 VLAN 技术的城域以太 网其组网是通过以太网交换机来完成的，这决定了它仅能提供 OSI 第二层交换的能力， 而且 VLAN 也仅能够支持最多 4096 个终端用户。

MPLS IPS ec SSLVPN层属2层3层4层网络质量强中中MPLS 基于协议标签的，省去了复杂路由寻址，转发速度快。

IPSEC 与SSL 基于IP 路由，且有安全开销，转发速度相对慢业务级别Q os支持不不MPLS 支持业务隔离，资源预约机制，保证重要业务。

IPSEC SSL ，加密后无法识别业务可拓展性强低强MPLS ：点对点，一个设备一跳线路接入MPLS 骨干IPSEC: 点对点传输技术，复杂组网，需要配置复杂的感兴趣流ACL ，一旦增加一个点，整个网络架构都需要变化。

分支对分支通信难度大，需要通过总部转，因为IKE SA 野蛮模式或者AH 模式基于公网固定IP ，部分分支机构IP 非固定。

SSL : 基于第三方证书的认证登录，有网页就能登陆MPLS , IPSEC, SSL VPN 技术对比各类VPN 对比2022年3月26日20:32场景总部分支总部分支移动办公SSL VPN 基于HTTP 协议VPN ，移动接入方便部署周期2~6月2月2月成本高中低安全性中高高MPLS: 使用业务隔离IPSEC: 本来是一个加密算法，ESP加密传输，混合密钥安全性高SSL : 两个阶段，握手和记录，第三方认证加密传输。

局限性不支持穿越NAT 只支持WEB 应用IPSEC: 难实现内网穿越，1. 穿越内网三个要素，公网IP，私网IP，端口号，EPS 封装数据加密，且默认无封装端口号。

要和GRE VPN 共同使用。

SSL ：基于web应用，只支持基于http业务，如果要支持基于TCP业务，需要安装客户端，配置，抓取TCP包，如果要支持所有业务，则要虚拟网卡，构建与总部的虚拟通道。

1.1 IPSec VPNIPSec(Internet Protocol Security)是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。

IPSec组件包括安全协议认证头(AH)和封装安全载荷(ESP)、密钥交换(IKE)、安全联盟( SA)及加密和验证算法等。

VPLS的基本概念1.MPLS L2VPN：就是在MPLS网络上透明传递用户的二层数据。

从用户的角度来看，这个MPLS网络就是一个二层的交换网络，通过这个网络，可以在不同站点之间建立二层的连接。

MPLS L2VPN包括VPLS和VPWS两种。

2.虚拟专用局域网服务VPLS（Virtual Private LAN Service）：在公用网络中提供的一种点到多点的L2VPN业务。

VPLS使地域上隔离的用户站点能通过MAN/W AN相连，并且使各个站点间的连接效果像在一个LAN中一样。

3.VPWS（Virtual Private Wire Service）：是指在分组交换网络PSN（Packet Switched Network）中尽可能真实地模仿ATM、帧中继、以太网、低速TDM（Time Division Multiplexing）电路和SONET（Synchronous Optical Network）/SDH （Synchronous Digital Hierarchy）等业务的基本行为和特征的一种二层业务承载技术。

在公用网络中提供的一种点到点的L2VPN业务。

VPWS可以让两个站点之间的连接效果像直接用线路连接一样，它不能直接在服务提供者处进行多点间的交换。

4.CE（Custom Edge）：直接与服务提供商相连的用户边缘设备。

5.PE（Provider Edge）：指骨干网上的边缘设备，与CE相连，主要负责VPN业务的接入。

它完成了报文从私网到公网隧道、从公网隧道到私网的映射与转发。

PE可以细分为UPE和SPE。

6.UPE（Underlayer Provider Edge）：用户的汇聚设备，即直接连接CE的设备称为下层PE，简称UPE。

UPE只需要与基本VPLS全连接网络的其中一台PE建立连接。

UPE支持路由和MPLS封装。

如果一个UPE连接多个CE，且具备基本桥接功能，那么数据帧转发只需要在UPE进行，这样减轻了SPE的负担。