何曉明，唐 宏，劉志華，樊勇兵

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

VPLS（virtual private LAN service，虛擬專用局域網(wǎng)業(yè)務(wù)）[1,2]作為一種標(biāo)準(zhǔn)化程度較好、通過試驗(yàn)驗(yàn)證并廣泛部署的二層以太網(wǎng)VPN技術(shù)，能為企業(yè)用戶提供多點(diǎn)到多點(diǎn)的廣域以太網(wǎng)服務(wù)。然而，其也存在冗余備份、多播優(yōu)化、部署便捷性等局限性。在多歸宿環(huán)境下，當(dāng)前VPLS僅支持主、備接入鏈路模式[3]，不支持靈活的多主接入鏈路模式。在多播優(yōu)化的場景下，Aggarwal[4]等提出了基于VPLS的多播LSP，這種解決方案僅限于點(diǎn)到多點(diǎn)的LSP（P2MP LSP），不能適用于多點(diǎn)到多點(diǎn)LSP（MP2MP LSP）的應(yīng)用場景。在VPLS部署的便捷性方面，當(dāng)前VPLS提供了基于BGP的自動(dòng)發(fā)現(xiàn)功能[1]，但仍然需要運(yùn)營商配置復(fù)雜的網(wǎng)絡(luò)參數(shù)。

與此同時(shí)，新的應(yīng)用也給VPLS提出了一些新的需求。近年來興起的云計(jì)算數(shù)據(jù)中心（IDC）互聯(lián)應(yīng)用催生出一種新的被稱為“VLAN敏感綁定”的業(yè)務(wù)接口，而且虛擬化應(yīng)用對(duì)設(shè)備MAC地址表容量提出了更高的要求，由此產(chǎn)生了網(wǎng)絡(luò)收斂性能應(yīng)能獨(dú)立于PE學(xué)習(xí)到的MAC地址數(shù)量的要求。除此以外，VPLS也存在最小化多播幀、廣播幀、未知單播幀的泛洪數(shù)量問題以及需要支持靈活的VPN拓?fù)浼安呗缘膯栴}。

2 以太網(wǎng)VPN需求概述

IETF在以太網(wǎng)VPN需求草案中[5]對(duì)當(dāng)前VPLS中存在的問題和新出現(xiàn)的需求進(jìn)行了描述，可以概括為以下7個(gè)方面。

·冗余備份。在基于流的負(fù)載分擔(dān)方面，需要為多以太網(wǎng)鏈路捆綁定義基于IEEE 802.1AX的LACP的標(biāo)準(zhǔn)化負(fù)載分擔(dān)算法，以規(guī)范設(shè)備執(zhí)行；在基于流的多徑負(fù)載均衡方面，需要支持一對(duì)PE之間多條RSVP-TE LSP或ECMP LSP的負(fù)載均衡能力；在PE節(jié)點(diǎn)冗余方面，需要提供同局址和地理分割的不同局址間的PE節(jié)點(diǎn)冗余備份能力，在斷電或出現(xiàn)自然災(zāi)害的情況下以保持關(guān)鍵業(yè)務(wù)的連續(xù)性；在多歸宿網(wǎng)絡(luò)方面，需要支持基于VLAN或MAC地址的多鏈路負(fù)載分擔(dān)。

·多播優(yōu)化。需要使用MP2MP LSP優(yōu)化多播流、廣播流及未知單播流的高效傳送機(jī)制。

·部署簡易性。在MPLS網(wǎng)絡(luò)中，對(duì)于具有全局唯一性標(biāo)識(shí)（如VLAN ID）的以太網(wǎng)VPN實(shí)例，PE在配置VPN時(shí)所需要的VPN ID、BGP RT等參數(shù)應(yīng)能從VLAN ID中自動(dòng)導(dǎo)出而無須另外配置。

·新業(yè)務(wù)接口。城域以太網(wǎng)論壇 （MEF）及IEEE 802.1Q定義了3種業(yè)務(wù)接口模式:端口模式、VLAN模式、VLAN綁定模式。在云數(shù)據(jù)中心互聯(lián)應(yīng)用中，產(chǎn)生了可透傳的VLAN敏感綁定和可轉(zhuǎn)換的VLAN敏感綁定兩種新的業(yè)務(wù)接口類型。可透傳的VLAN敏感綁定接口需要保證客戶VLAN端到端的透明傳送；可轉(zhuǎn)換的VLAN敏感綁定需要對(duì)屬于同一VLAN用戶在接入網(wǎng)絡(luò)時(shí)采用的不同VLAN ID進(jìn)行翻譯。新的業(yè)務(wù)接口與之前定義的3種接口的主要區(qū)別在于:新的業(yè)務(wù)接口需要支持每個(gè)VPN實(shí)例的多橋接域功能，即在同一個(gè)VPN實(shí)例中，需要為每個(gè)客戶VLAN分配一個(gè)獨(dú)立的橋接域。

·快速收斂。在客戶設(shè)備多歸宿和網(wǎng)絡(luò)多歸宿接入MPLS網(wǎng)絡(luò)的環(huán)境下，應(yīng)提供接入電路或PE出現(xiàn)故障時(shí)的快速收斂功能，收斂時(shí)間應(yīng)獨(dú)立于PE學(xué)習(xí)到的MAC地址及VPN實(shí)例數(shù)目，這對(duì)于虛擬化數(shù)據(jù)中心互聯(lián)應(yīng)用尤其重要。

·泛洪抑制。網(wǎng)絡(luò)運(yùn)營商應(yīng)能基于策略在每個(gè)VPN實(shí)例的基礎(chǔ)上配置未知單播幀的泛洪或丟棄；在數(shù)據(jù)中心互聯(lián)的場景下，需要最小化廣播幀泛洪；當(dāng)拓?fù)浒l(fā)生變化時(shí)，需要消除不必要的未知單播流量泛洪。

·支持靈活的VPN拓?fù)浼安呗?。以太網(wǎng)VPN必須提供“hub and spoke”的拓?fù)淇刂埔约懊總€(gè)MAC地址粒度的學(xué)習(xí)和轉(zhuǎn)發(fā)策略控制能力。

3 以太網(wǎng)VPN技術(shù)

鑒于當(dāng)前VPLS中存在的問題以及新出現(xiàn)的應(yīng)用需求，IETF最近提出了兩種以太網(wǎng)VPN技術(shù):E-VPN[6]和PBB E-VPN[7]，期望能解決上述存在的問題，并能滿足新出現(xiàn)的應(yīng)用需求。

3.1 E-VPN技術(shù)特征

3.1.1 E-VPN概述

在標(biāo)準(zhǔn)的VPLS實(shí)現(xiàn)中，運(yùn)營商網(wǎng)絡(luò)PE設(shè)備間的MAC地址學(xué)習(xí)基于傳統(tǒng)的網(wǎng)橋功能。在E-VPN技術(shù)中，PE之間的MAC地址學(xué)習(xí)則基于控制平面，采用MP-BGP通告MAC地址的可達(dá)性信息，其策略控制非常類似于IP VPN。這種基于控制平面的學(xué)習(xí)能夠?qū)AC地址學(xué)習(xí)過程提供更強(qiáng)的控制能力，因此具有較好的擴(kuò)展性，并能維護(hù)主機(jī)或虛擬機(jī)群彼此間的隔離性，解決了設(shè)備多歸宿或網(wǎng)絡(luò)多歸宿接入時(shí)的負(fù)載分擔(dān)問題，改善了網(wǎng)絡(luò)出現(xiàn)故障時(shí)的收斂時(shí)間。然而，PE與CE（客戶端設(shè)備）間的MAC地址學(xué)習(xí)仍然基于數(shù)據(jù)平面實(shí)現(xiàn)，PE的二層轉(zhuǎn)發(fā)表是否裝載所有由控制平面學(xué)到的目的MAC地址，還是僅注入需要通信的MAC地址，過濾未被使用的MAC地址，完全由PE本地決定。這為PE的轉(zhuǎn)發(fā)表所需MAC地址緩存大小的設(shè)計(jì)提供了很大的靈活性，不再像標(biāo)準(zhǔn)的VPLS技術(shù)那樣，屬于同一VPLS實(shí)例的二層轉(zhuǎn)發(fā)所需的MAC地址表容量受限于最小地址緩存大小的PE。

在多歸宿接入的場景下，如果一個(gè)CE多歸宿到兩個(gè)或更多PE，這些連接到PE的以太網(wǎng)鏈路組便構(gòu)成了一個(gè)以太網(wǎng)段（ES），每個(gè)ES都有一個(gè)標(biāo)識(shí)符，稱為ESI，由一個(gè)10 byte的整型數(shù)標(biāo)識(shí)，這是E-VPN技術(shù)中一個(gè)非常重要的概念。E-VPN定義了一種新的BGP NLRI，稱為E-VPN NLRI，并定義了5種路由類型:以太網(wǎng)自動(dòng)發(fā)現(xiàn)路由、MAC地址通告路由、包含性多播路由、選擇性多播自動(dòng)發(fā)現(xiàn)路由和葉子自動(dòng)發(fā)現(xiàn)路由。

E-VPN提供了3種自動(dòng)發(fā)現(xiàn)機(jī)制:E-VPN自動(dòng)發(fā)現(xiàn)、以太網(wǎng)段上特定以太網(wǎng)標(biāo)簽（VLAN ID）自動(dòng)發(fā)現(xiàn)、以太網(wǎng)段自動(dòng)發(fā)現(xiàn)。E-VPN自動(dòng)發(fā)現(xiàn)使用第3種路由類型——包含性多播路由通告來發(fā)現(xiàn)同一個(gè)VPN實(shí)例中的PE成員，PE根據(jù)多播路由通告中的P2MP LSP或MP2MP LSP向其他成員發(fā)送多播幀、廣播幀和未知單播幀。以太網(wǎng)段上具有相同VLAN ID的自動(dòng)發(fā)現(xiàn)使用第1種路由類型——以太網(wǎng)自動(dòng)發(fā)現(xiàn)路由通告來發(fā)現(xiàn)同一個(gè)VPN實(shí)例中具有同一廣播域（全局VLAN ID相同）的PE成員，可支持上述以太網(wǎng)VPN需求提出的“VLAN敏感綁定”新業(yè)務(wù)接口。以太網(wǎng)段自動(dòng)發(fā)現(xiàn)也使用以太網(wǎng)自動(dòng)發(fā)現(xiàn)路由通告來發(fā)現(xiàn)同一個(gè)或多個(gè)VPN實(shí)例中具有相同以太網(wǎng)段標(biāo)識(shí)（ESI）的PE成員，這是E-VPN中最重要的功能，可使用在多歸宿接入的負(fù)載分擔(dān)、多歸宿接入PE的指定轉(zhuǎn)發(fā)器（DF）選舉及“水平分割”、優(yōu)化控制平面的收斂及減少M(fèi)AC地址路由通告數(shù)目等各種應(yīng)用場景。

3.1.2 E-VPN存在的問題

基于BGP MPLS的E-VPN的協(xié)議框架基本能滿足一般場景下以太網(wǎng)VPN應(yīng)用中的各種需求，但協(xié)議框架及實(shí)現(xiàn)機(jī)制本身還有許多需要完善和進(jìn)一步研究的地方，如廣播幀的抑制（ARP報(bào)文的優(yōu)化等）、DF選舉策略、多播樹的構(gòu)建流程、故障修復(fù)、LACP狀態(tài)同步等，目前仍處于IETF Draft階段。隨著新的應(yīng)用場景特別是虛擬化數(shù)據(jù)中心的出現(xiàn)以及下一代以太網(wǎng)技術(shù)（如TRILL、IEEE 802.1aq）的發(fā)展，E-VPN面臨的新問題表現(xiàn)為如下幾個(gè)方面。

（1）MAC地址路由通告的擴(kuò)展性

E-VPN為每個(gè)客戶MAC（C-MAC）地址發(fā)送一條BGP MAC地址通告路由，這將對(duì)存在上百萬虛擬主機(jī)（VM）的大規(guī)模云數(shù)據(jù)中心環(huán)境產(chǎn)生路由通告的擴(kuò)展性問題。當(dāng)虛擬主機(jī)在云數(shù)據(jù)中心之間頻繁遷移以及網(wǎng)絡(luò)出現(xiàn)故障的情況下，需要產(chǎn)生大量BGP MAC地址通告路由更新，使得網(wǎng)絡(luò)和設(shè)備承受沉重的信令協(xié)議負(fù)荷。

（2）基于MAC地址子網(wǎng)化的C-MAC移動(dòng)性

對(duì)于虛擬機(jī)遷移（VMotion）應(yīng)用，E-VPN雖然可以通過MAC地址子網(wǎng)化的方式通告MAC地址的可達(dá)性，但是需要對(duì)客戶MAC地址進(jìn)行精細(xì)規(guī)劃。由于客戶設(shè)備及主機(jī)MAC地址的規(guī)劃不屬于運(yùn)營商的管轄范圍，因此當(dāng)大量虛擬機(jī)從一個(gè)網(wǎng)段移動(dòng)到另一個(gè)網(wǎng)段時(shí)，需要逐條通告每一個(gè)具體的C-MAC地址信息。

（3）C-MAC地址學(xué)習(xí)及限制

當(dāng)某一個(gè)PE發(fā)送BGP MAC地址通告路由時(shí)，屬于同一VPN實(shí)例的其他PE都會(huì)學(xué)習(xí)，即使這些C-MAC地址并不會(huì)用來進(jìn)行通信，PE仍然需要在路由信息表（RIB）跟蹤記錄相關(guān)C-MAC地址，這會(huì)引起存儲(chǔ)資源的浪費(fèi)，因此需要對(duì)學(xué)習(xí)到的C-MAC地址進(jìn)行限制，僅允許保留需要通信的C-MAC地址。

（4）與TRILL和IEEE 802.1aq網(wǎng)絡(luò)的互操作

TRILL[8,9]和IEEE 802.1aq定義了下一代以太網(wǎng)橋技術(shù)，借助于IS-IS控制平面優(yōu)化以太網(wǎng)幀的轉(zhuǎn)發(fā)，采用以太網(wǎng)隧道技術(shù)實(shí)現(xiàn)客戶以太網(wǎng)幀的傳送以保持C-MAC地址的透明性。當(dāng)基于TRILL或IEEE 802.1aq的接入網(wǎng)絡(luò)互聯(lián)MPLS/IP網(wǎng)絡(luò)時(shí)，需要MPLS網(wǎng)絡(luò)邊緣PE保持C-MAC地址的透明性，PE對(duì)TRILL或IEEE 802.1aq報(bào)文封裝的終結(jié)不能滿足這種透明性要求，同時(shí)還會(huì)產(chǎn)生PE所要支持C-MAC地址的擴(kuò)展性問題。

（5）每站點(diǎn)的策略支持

E-VPN提供每個(gè)MAC地址粒度的學(xué)習(xí)和轉(zhuǎn)發(fā)策略控制能力，在許多應(yīng)用中，運(yùn)營商更需要基于站點(diǎn)的策略控制，用以提供E-tree、半網(wǎng)狀互聯(lián)等業(yè)務(wù)，此時(shí)基于C-MAC/EVI的策略控制難以滿足實(shí)際應(yīng)用需求。

3.2 PBB E-VPN技術(shù)

PBB E-VPN把基于IEEE 802.1ah標(biāo)準(zhǔn)的PBB技術(shù)及E-VPN技術(shù)結(jié)合在一起。MPLS網(wǎng)絡(luò)入口PE設(shè)備把從接入電路（AC）接收的IEEE 802.1Q以太網(wǎng)幀封裝成PBB報(bào)文，通過IP/MPLS網(wǎng)絡(luò)轉(zhuǎn)發(fā)，出口PE彈出MPLS標(biāo)簽后移除PBB頭部，解封裝成原始以太網(wǎng)IEEE 802.1Q以太網(wǎng)幀，然后交付給CE。基于PBB E-VPN的PE需要執(zhí)行如下功能:

·基于標(biāo)準(zhǔn)的網(wǎng)橋功能通過AC學(xué)習(xí)本地C-MAC地址；

·基于IEEE 802.1ah標(biāo)準(zhǔn)的網(wǎng)橋操作，通過數(shù)據(jù)轉(zhuǎn)發(fā)平面從網(wǎng)絡(luò)側(cè)接收的數(shù)據(jù)流中學(xué)習(xí)遠(yuǎn)端C-MAC地址與B-MAC地址的綁定關(guān)系；

·采用MP-BGP向?qū)儆谕籚PN實(shí)例的其他PE通告本地B-MAC地址的可達(dá)性信息，注意到每個(gè)PE有一套用于標(biāo)識(shí)本地PE設(shè)備的B-MAC地址；

·根據(jù)接收到的BGP路由通告消息中的遠(yuǎn)端B-MAC地址、IP地址及關(guān)聯(lián)的MPLS標(biāo)簽構(gòu)建轉(zhuǎn)發(fā)表。

其與E-VPN的最大差異在于:PBB E-VPN不需要通過BGP發(fā)布C-MAC地址。每個(gè)PE基于標(biāo)準(zhǔn)的網(wǎng)橋操作通過數(shù)據(jù)平面獨(dú)立學(xué)習(xí)C-MAC地址，每個(gè)PE有一個(gè)或多個(gè)與之關(guān)聯(lián)的B-MAC地址，這些B-MAC地址通過BGP MAC地址通告路由向MPLS網(wǎng)絡(luò)邊緣設(shè)備發(fā)布。這種改變解決了E-VPN存在的上述問題，如MAC地址路由通告的擴(kuò)展性問題、基于MAC地址子網(wǎng)化的C-MAC移動(dòng)性問題、C-MAC地址學(xué)習(xí)及限制問題、每站點(diǎn)的策略支持問題、網(wǎng)絡(luò)拓?fù)涓淖儠r(shí)避免受影響的C-MAC地址清除問題。PBB E-VPN還定義了一個(gè)新的TRILL Nickname通告路由，以支持與TRILL及IEEE 802.1aq網(wǎng)絡(luò)的無縫操作，因此保持了C-MAC地址的透明性。表1給出了VPLS、E-VPN、PBB E-VPN 3種技術(shù)對(duì)以太網(wǎng)VPN需求的滿足程度。

從表1可以看出，PBB E-VPN技術(shù)能夠充分滿足即將興起的虛擬化數(shù)據(jù)中心以及下一代以太網(wǎng)技術(shù)等新的應(yīng)用場景需求。由于PBB E-VPN是對(duì)E-VPN功能的增強(qiáng)，E-VPN協(xié)議框架有待完善的地方在PBB E-VPN上依然存在，其標(biāo)準(zhǔn)化程度也將隨著應(yīng)用驗(yàn)證及廣泛部署而日漸成熟。

4 以太網(wǎng)VPN技術(shù)在云IDC互聯(lián)應(yīng)用

云IDC指以客戶為中心、以服務(wù)為導(dǎo)向，基于高效、低能耗的IT與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，利用云計(jì)算技術(shù)，自動(dòng)化地按需提供各類云計(jì)算服務(wù)的新一代數(shù)據(jù)中心。由于云IDC具有資源池化、高效智能、面向服務(wù)、按需供給、綠色低碳等特點(diǎn)，已率先在Google、Facebook、亞馬遜等互聯(lián)網(wǎng)公司獲得成功應(yīng)用，并成為這些企業(yè)的核心競爭力之一。國內(nèi)一些知名互聯(lián)網(wǎng)企業(yè)（如百度、騰訊等）開始新建或擴(kuò)展大型云IDC，中國電信為順應(yīng)云計(jì)算時(shí)代到來的趨勢，開始在多個(gè)省份建設(shè)云IDC。云IDC互聯(lián)是把地理分散的多個(gè)獨(dú)立的云IDC通過大二層網(wǎng)絡(luò)互聯(lián)起來，形成一個(gè)邏輯上虛擬化的超大型數(shù)據(jù)中心。云IDC互聯(lián)能夠?yàn)槠髽I(yè)實(shí)現(xiàn)數(shù)據(jù)中心整合、業(yè)務(wù)統(tǒng)一運(yùn)營、異地容災(zāi)備份、虛擬機(jī)在線遷移、節(jié)能減排等各方面提供條件，通過更靠近用戶的分布式應(yīng)用及業(yè)務(wù)的連續(xù)性提升用戶感知。一些互聯(lián)網(wǎng)公司要求電信運(yùn)營商網(wǎng)絡(luò)能夠?yàn)槠涮峁┒鄠€(gè)10 Gbit/s甚至數(shù)百Gbit/s的高速帶寬進(jìn)行云IDC互聯(lián)。

表1 3種VPN技術(shù)對(duì)以太網(wǎng)VPN需求的滿足程度

云IDC的一個(gè)基本特征是虛擬機(jī)數(shù)目巨大，虛擬機(jī)遷移頻繁發(fā)生，并且要在遷移過程中保持VLAN、IP地址、MAC地址等虛擬機(jī)的網(wǎng)絡(luò)標(biāo)識(shí)不能改變，從而保證業(yè)務(wù)的靈活部署和連續(xù)性，這就決定了云IDC互聯(lián)必須采用多點(diǎn)到多點(diǎn)的二層VPN技術(shù)。由于云IDC互聯(lián)需要提供足夠的帶寬保證和較低的時(shí)延，同時(shí)對(duì)互聯(lián)網(wǎng)絡(luò)的可靠性和可用性也提出了很高的要求，因此在實(shí)現(xiàn)多點(diǎn)互聯(lián)的以太網(wǎng)VPN技術(shù)中，PBB E-VPN是專為云數(shù)據(jù)中心互聯(lián)而優(yōu)化的技術(shù)，能夠滿足云數(shù)據(jù)中心互聯(lián)環(huán)境下的應(yīng)用需求。

下面分析PBB E-VPN在云數(shù)據(jù)中心互聯(lián)應(yīng)用中的技術(shù)實(shí)現(xiàn)。

4.1 云IDC多歸宿接入MPLS網(wǎng)絡(luò)

（1）站點(diǎn)多歸宿接入的情形

考慮到某個(gè)CE通過多歸宿主鏈路接入MPLS網(wǎng)絡(luò)中的一組PE節(jié)點(diǎn)，這組PE節(jié)點(diǎn)形成一個(gè)PE冗余組，為實(shí)現(xiàn)多歸宿接入的負(fù)載分擔(dān)及AC故障的快速收斂，需要為該CE接入的PE冗余組分配一個(gè)唯一的B-MAC地址。圖1給出了站點(diǎn)多歸宿接入核心網(wǎng)絡(luò)的示例。

圖1中，CE1通過Active-Active冗余鏈路接入 MPLS網(wǎng)絡(luò)的 PE1、PE2、PE3，為 PE1、PE2、PE3 形成的冗余組分配一個(gè)唯一的B-MAC1地址 （對(duì)于基于LACP捆綁的鏈路，PE可從CE的LACP系統(tǒng)ID自動(dòng)導(dǎo)出MAC地址作為B-MAC 地址），PE1、PE2、PE3 分別向遠(yuǎn)端 PEr發(fā)送屬于同一ES的B-MAC1地址的BGP MAC通告路由，遠(yuǎn)端PEr最終生成RIB和FIB。在遠(yuǎn)端PEr安裝的FIB中具有3個(gè)到達(dá) B-MAC1 地址的下一跳 PE1、PE2、PE3，PEr基于散列算法在這3個(gè)下一跳實(shí)現(xiàn)到達(dá)與B-MAC1地址具有綁定關(guān)系的目的C-MAC地址以太網(wǎng)幀的負(fù)載均衡。當(dāng)PE1與CE1之間的AC發(fā)生故障時(shí)，PE1立即撤銷B-MAC1地址路由，PEr更新RIB和FIB，到達(dá)目的C-MAC地址以太網(wǎng)幀，只在下一跳PE2和PE3之間實(shí)現(xiàn)負(fù)載均衡。

（2）網(wǎng)絡(luò)多歸宿接入情形

圖1 站點(diǎn)多歸宿接入核心網(wǎng)絡(luò)示例

圖2 網(wǎng)絡(luò)多歸宿接入核心網(wǎng)絡(luò)示例

圖2給出了以太網(wǎng)絡(luò)多歸宿接入核心網(wǎng)絡(luò)的示例。以太網(wǎng)絡(luò)通過Active-Active冗余鏈路接入MPLS網(wǎng)絡(luò)的PE1、PE2，為 PE1、PE2形成的冗余組分配一個(gè)唯一的B-MAC1地址（PE可通過探測多歸宿以太網(wǎng)的BPDU報(bào)文并提取根橋ID作為PE的B-MAC地址），正常情況下，假設(shè)PE1負(fù)責(zé)來自多個(gè)偶數(shù)I-SID以太網(wǎng)幀的數(shù)據(jù)轉(zhuǎn)發(fā)，PE2負(fù)責(zé)來自多個(gè)奇數(shù)I-SID以太網(wǎng)幀的數(shù)據(jù)轉(zhuǎn)發(fā)。PE1和PE2分別向遠(yuǎn)端PEr發(fā)送屬于同一ES的B-MAC1地址的兩條BGP MAC通告路由，對(duì)于PE1，其中有一條攜帶標(biāo)識(shí)偶數(shù)I-SID的RT，并具有較高的本地優(yōu)先級(jí)（local pref）屬性，另一條攜帶標(biāo)識(shí)奇數(shù)I-SID的RT，并具有較低的本地優(yōu)先級(jí)屬性；PE2發(fā)送的兩條BGP MAC通告路由攜帶的RT及Local Pref恰好同PE1相反。遠(yuǎn)端PEr最終生成RIB和FIB，把去往偶數(shù)I-SID的以太網(wǎng)幀發(fā)送到下一跳PE1，把去往奇數(shù)I-SID的以太網(wǎng)幀發(fā)送到下一跳PE2，實(shí)現(xiàn)對(duì)來自/去往以太網(wǎng)絡(luò)的以太網(wǎng)流量基于I-SID的負(fù)載均衡。

4.2 PBB E-VPN在云IDC互聯(lián)應(yīng)用中的優(yōu)勢

（1）MAC地址路由通告的擴(kuò)展性

在PBB E-VPN中，MAC通告路由的數(shù)目是站點(diǎn)或以太網(wǎng)段數(shù)量的函數(shù)關(guān)系，而不是主機(jī)/服務(wù)器數(shù)量的函數(shù)關(guān)系，換句話說，PBB E-VPN通過BGP通告的是B-MAC地址路由而不是C-MAC地址路由。因此，PBB E-VPN發(fā)布的MAC通告路由數(shù)目比E-VPN減少幾個(gè)數(shù)量級(jí)，非常適合于存在上百萬虛擬機(jī)的大規(guī)模云IDC的環(huán)境。

（2）C-MAC 地址的移動(dòng)性

當(dāng)C-MAC地址從一個(gè)以太網(wǎng)段ES遷移到另一個(gè)ES時(shí)，由于PBB E-VPN發(fā)布的BGP MAC通告路由中的B-MAC地址與PE節(jié)點(diǎn)保持一種靜態(tài)的關(guān)聯(lián)，并不需要通告B-MAC地址的變化，C-MAC地址與B-MAC地址的綁定關(guān)系通過數(shù)據(jù)平面的學(xué)習(xí)自動(dòng)更新，避免了E-VPN中需要通告大量發(fā)生虛擬機(jī)遷移時(shí)受影響的C-MAC地址路由。

圖3 PBB E-VPN與TRILL/IEEE 802.1aq網(wǎng)絡(luò)的無縫連接示意

（3）C-MAC地址學(xué)習(xí)及限制

在PBB E-VPN中，C-MAC地址的可達(dá)性是通過數(shù)據(jù)平面的學(xué)習(xí)獲得的，因此PE轉(zhuǎn)發(fā)表中僅需保留需要通信的C-MAC地址；C-MAC地址不需要通過BGP通告，因此PE控制平面的路由表不需要維持任何C-MAC地址記錄，可節(jié)省大量需要記錄C-MAC地址的存儲(chǔ)資源。

（4）網(wǎng)絡(luò)出現(xiàn)故障時(shí)避免C-MAC地址清除

PBB E-VPN可在接入鏈路出現(xiàn)故障或網(wǎng)絡(luò)拓?fù)浒l(fā)生改變時(shí)，避免 C-MAC地址清除。在圖1中，PE1、PE2、PE3向遠(yuǎn)端PEr通告同一ES的B-MAC1地址路由，PEr通過數(shù)據(jù)平面學(xué)習(xí)連接到CE1的主機(jī)或服務(wù)器的C-MAC地址與B-MAC1地址的綁定關(guān)系，如果PE1與CE1之間的AC發(fā)生故障，PE1只需撤銷B-MAC1地址路由，PEr不需要清除所有學(xué)習(xí)到的C-MAC地址。

（5）每個(gè)站點(diǎn)的策略支持

在 PBB E-VPN中，PE可以通過BGP通告的B-MAC地址與客戶單歸宿或多歸宿站點(diǎn)相關(guān)聯(lián)，為E-TREE等業(yè)務(wù)定義每個(gè)站點(diǎn)的轉(zhuǎn)發(fā)策略。假設(shè)云IDC中，某個(gè)企業(yè)客戶有100臺(tái)虛擬主機(jī)連接到同一個(gè)CE站點(diǎn)，當(dāng)需要把這100臺(tái)虛擬主機(jī)遷移到另一個(gè)云IDC時(shí)，只需要連接原IDC的PE撤銷與該CE站點(diǎn)關(guān)聯(lián)的B-MAC地址路由，然后在連接新遷移的IDC的PE上重新發(fā)布一條該CE站點(diǎn)關(guān)聯(lián)的B-MAC地址路由即可，無須逐條撤銷或刷新C-MAC地址通告路由。

（6）與TRILL和IEEE 802.1aq網(wǎng)絡(luò)的無縫連接

傳統(tǒng)的二層以太網(wǎng)基于STP實(shí)現(xiàn)環(huán)路，避免和以太網(wǎng)數(shù)據(jù)幀轉(zhuǎn)發(fā)，導(dǎo)致低的鏈路利用率和低效的數(shù)據(jù)流轉(zhuǎn)發(fā)效率，同時(shí)因STP引起的慢收斂等問題已不能滿足虛擬環(huán)境下云IDC的高速數(shù)據(jù)流轉(zhuǎn)發(fā)。TRILL和IEEE 802.1aq作為下一代以太網(wǎng)橋技術(shù)試圖解決傳統(tǒng)以太網(wǎng)存在的問題，有望在未來幾年充當(dāng)云IDC內(nèi)部互聯(lián)的大型二層網(wǎng)絡(luò)基礎(chǔ)設(shè)施。PBB E-VPN與TRILL/IEEE 802.1aq網(wǎng)絡(luò)的無縫連接的示意如圖3所示。

PBB E-VPN能夠?qū)崿F(xiàn)TRILL/IEEE 802.1aq網(wǎng)絡(luò)與IP/MPLS網(wǎng)絡(luò)的無縫連接，同時(shí)維護(hù)各自網(wǎng)絡(luò)控制平面的獨(dú)立性。連接TRILL/IEEE 802.1aq網(wǎng)絡(luò)的PE既充當(dāng)控制平面的邊緣交換機(jī)，又充當(dāng)數(shù)據(jù)平面的核心交換機(jī)。PE并不終結(jié)TRILL/IEEE 802.1aq的報(bào)文封裝，相反，入口PE把TRILL/IEEE 802.1aq報(bào)文打上MPLS標(biāo)簽，通過MPLS網(wǎng)絡(luò)進(jìn)行標(biāo)簽轉(zhuǎn)發(fā)；出口PE移除相應(yīng)MPLS標(biāo)簽，還原原始的TRILL/IEEE 802.1aq報(bào)文封裝格式。這就保持了MPLS網(wǎng)絡(luò)對(duì)云IDC中虛擬主機(jī)MAC地址的透明性傳送，而不需要邊緣PE設(shè)備維護(hù)數(shù)量巨大的虛擬主機(jī)MAC地址表。

5 結(jié)束語

以太網(wǎng)VPN技術(shù)能夠適應(yīng)企業(yè)多點(diǎn)互聯(lián)的需求，具有廣泛的應(yīng)用前景，為電信運(yùn)營商及設(shè)備制造商所關(guān)注，以太網(wǎng)VPN技術(shù)及標(biāo)準(zhǔn)化程度也將隨著其在運(yùn)營商網(wǎng)絡(luò)的廣泛部署而日漸成熟。在實(shí)現(xiàn)多點(diǎn)二層互聯(lián)的以太網(wǎng)VPN技術(shù)中，VPLS作為一種標(biāo)準(zhǔn)化程度較好并廣泛部署的VPN技術(shù)，已被廣大用戶所接受，同時(shí)也存在一些問題。E-VPN和PBB E-VPN實(shí)際上是對(duì)VPLS的功能增強(qiáng)，更能滿足現(xiàn)有業(yè)務(wù)及新的應(yīng)用需求以及下一代以太網(wǎng)技術(shù)發(fā)展的需要。

云IDC利用云計(jì)算技術(shù)，自動(dòng)化地按需提供各類云計(jì)算服務(wù)，將對(duì)傳統(tǒng)IDC產(chǎn)生巨大的沖擊和深遠(yuǎn)的影響，傳統(tǒng)IDC向新一代云IDC的演進(jìn)是一個(gè)必然的過程。云IDC互聯(lián)能夠?yàn)槠髽I(yè)實(shí)現(xiàn)數(shù)據(jù)中心整合、業(yè)務(wù)統(tǒng)一運(yùn)營、異地容災(zāi)備份、虛擬機(jī)在線遷移、節(jié)能減排等各方面提供條件，并能提升用戶感知。同時(shí)，云IDC互聯(lián)對(duì)承載網(wǎng)絡(luò)提出了更高的要求。PBB E-VPN是專為云IDC互聯(lián)而優(yōu)化的以太網(wǎng)VPN技術(shù)，能夠滿足云IDC互聯(lián)環(huán)境下的應(yīng)用需求，并隨著應(yīng)用的廣泛推進(jìn)而日趨完善。

1 RFC4761.Virtual Private LAN Service (VPLS)Using BGP for Auto-Discovery and Signaling,2007

2 RFC4762.Virtual Private LAN Service (VPLS)Using Label Distribution Protocol(LDP)Signaling,2007

3 Kothari B,Kompella K,Henderickx W,et al.BGP Based Multi-Homing in Virtual Private LAN Service.IETF Draft,Work in Progress,2011

4 Aggarwal R,Kamite Y,Fang L.Multicast in VPLS.IETF Draft,Work in Progress,2012

5 Sajassi A,Aggarwal R,Nabil Bitar,et al.Requirements for Ethernet VPN(E-VPN).IETF Draft,Work in Progress,2012

6 Aggarwal R,Sajassi A,Henderickx W,et al.BGP MPLS Based Ethernet VPN.IETF Draft,Work in Progress,2012

7 Sajassi A,Salam S,Boutros S,et al.PBB E-VPN.IETF Draft,Work in Progress,2012

8 Touch J,Perlman R.Transparent Interconnection of Lots of Links(TRILL):Problem and Applicability Statement.RFC 5556,2009

9 Perlman R. Routing Bridges (RBridges):Base Protocol Specification.RFC 6325,2011

10 唐宏，陳楠.云數(shù)據(jù)中心演進(jìn)思路剖析.電信科學(xué)，2011,27(10)