L2VPN 简介

VPN

VPN是依靠 ISP（Internet Service Provider，因特网服务提供商）在公共网络中建立的虚拟专用通信网络，也就是我们常说的私网。VPN 具有专用和虚拟的特征，可以在底层承载网上创建出逻辑隔离的网络。VPN 可以实现跨域站点之间的安全互联，同时支持不同 VPN 之间的隔离。所以 VPN 可以用于解决企业内部的互联问题，如总部和分部的互联；也可以用来隔离不同部门、不同业务的网络，如全部员工可以访问 E-mail 业务，但只有开发员工可以访问代码开发环境。

在 SRv6 之前，VPN 一般承载在 MPLS 网络上，被称为 MPLS VPN。MPLS VPN 里的 VPN 实例由 MPLS 标签标识，这个标签也叫作 VPN 标签。基于 VPN 标签可以实现业务数据的隔离，保证 VPN 资源不被网络中其他不属于本 VPN 的用户使用。在 SRv6 网络中，VPN 实例可以由 SRv6 SID 标识。

VPN 基本模型

VPN 由如下 3 部分组成。

1. CE: CE 是用户网络的边缘设备，与 SP（Service Provider，服务提供商）相连。CE 可以是路由器或交换机，也可以是一台主机。CE 感知不到 VPN 的存在，也不需要支持 VPN 的承载协议，如 MPLS 或 SRv6。
2. PE: PE 是服务提供商网络的边缘设备，与用户的 CE 直接相连。在 VPN 中，对 VPN 的所有处理都发生在 PE 上。
3. P（Provider）: P 是服务提供商网络中的骨干设备，不与 CE 直接相连。P 设备不感知 VPN，只需要具备基本的网络转发能力（MPLS 转发或 IPv6 转发能力）即可。

VPN 的类型

根据 VPN 承载的业务类型和网络特征，可将 VPN 分为 L3VPN 和 L2VPN 两类

1. L2VPN：承载二层业务的 VPN 为 L2VPN，主要有 VPWS 和 VPLS, L2VPN 通过 PW（Pseudo Wire，伪线）实现业务隔离。
2. L3VPN：承载三层业务的 VPN 为 L3VPN，L3VPN 通过 VPN 实例实现业务隔离。

当网络 IP 化之后，一般的网络业务都是三层 IP 业务，比如 3G/4G/5G 业务、互联网和 VoIP（Voice over IP，互联网电话）业务，所以 VPN 的部署大多为 L3VPN。当然，对于传统 2G 的 TDM 接口，只能通过 L2VPN 去承载。此外，在企业网或数据中心中，如果低速接口或交换机较多，也可以部署 L2VPN。

MPLS L2VPN的分类

最初的L2VPN技术是基于X.25，Frame Relay或ATM网络而构建的一种虚拟专线技术，为了提供L2VPN服务，SP需要维护多种不同的网络。MPLS L2VPN则是利用MPLS技术实现的一种新的L2VPN技术，SP可以通过一个MPLS网络就可以支持用户多种不同协议的L2VPN网络。

按照IETF的协议标准分类，MPLS L2VPN有如下分类方式， IETF（Internet Engineering Task Force）在以太网标准方面，主要研究如何在分组网络（如IP/MPLS）中提供以太网业务：

VPWS (Virtual Private Wire Service)：虚拟专线业务

在IP/MPLS网上提供L2点到点VPN服务。VPWS又称VLL（Virtual Leased Line），都是点到点的VPN服务。

VPWS是在公用网络中提供的一种点到点的L2VPN业务，可以让两个站点之间的连接效果像直接用线路连接一样，它不能直接在服务提供者处进行多点间的交换。

VPWS支持多段PW，通过多段PW对报文进行转发。 VPWS的分层架构：

VPWS本地连接

适用场景：

VPWS主要应用于点对点专线业务。

如图是一个典型的单跳VPWS组网应用，骨干网是IP网，各个接入的局域网的接入方式不同。例如，某运营商建立了一个全国骨干网，提供了VPWS业务，客户有两个分部，分别分布在北京、上海。北京分部是以PPP接入运营商的骨干网，上海是以HDLC/PPP接入运营商的骨干网。运营商可以在两个接入点北京的PE1与上海的PE2之间建立VPWS连接。这样，通过VPWS，运营商就可以给客户提供跨域广域网的私网点到点业务，不会因为接入方式的不同而作特别的处理。对客户而言，组网简单、方便，不需要改变自己原有的企业网规划；对运营商而言，不需要改变原有的接入方式，能直接将原有的接入方式平滑迁移到IP骨干网中。

VPLS (Virtual Private LAN Service)：虚拟专用局域网业务

在IP/MPLS网上模拟LAN业务，在广域网范围实现以太网设备的互联，是多点到多点拓扑，

VPLS是在公用网络中提供的一种点到多点的L2VPN业务，使地域上隔离的用户站点能通过MAN/WAN相连，并且使各个站点间的连接效果像在一个LAN中一样。

VPLS支持HVPLS。HVPLS是通过把网络分级，每一级网络形成全连接，分级间的设备通过QinQ或者PW来连接，分级之间的设备的数据转发不遵守水平分割原则，而是可以相互转发。VPLS的分层架构：

VPLS不涉及异种介质互通

VPLS支持同一VSI的多个本地AC口之间可以互通的本地连接

适用场景

VPLS主要应用于点到多点专线业务，承载用户上网、IPTV或企业业务

如下图是VPLS承载企业业务的典型组网。企业业务依次通过城域网的接入层、汇聚层、核心层到达Internet网络。某企业在城市1与城市2都有分支机构，A1和A2是研发部门、B1和B2是财务部门。通过部署VPLS特性，实现A1与A2之间互通、B1与B2之间的互通；同时实现不同部门之间隔离，达到数据保密的目的。

参考自：

https://xie.infoq.cn/article/225e3175f5fbc267a2e70c036

https://support.huawei.com/enterprise/zh/doc/EDOC1100214265