L2/L3VPN桥接技术白皮书

L2/L3VPN 桥接技术白皮书 1 概要随着 LTE 商用网络建设加速, 引入数据横向转发新需求, 可以采用核心层 PTN 设备增加 L3 功能 ( 以下简称 L3VPN 方案 ) 以及核心层 PTN 对接 CE 路由器两种解决方案其中 CE 路由器方案引入了多种设备类型, 在设备对接网络维护方面存在诸多困难, 所以技术焦点主要集中在 L3VPN 方案之上而下文阐述的 L2/L3VPN 桥接技术正是部署 L3VPN 方案的一个关键技术点 L2/L3VPN 桥接技术在同一台设备集成 L2VPN 和 L3VPN, 在一个 Virtual Group 实现 L2 Virtual Entity (L2VE) 及 L3 Virtual Entity (L3VE) 的逻辑隔离和互通该技术在显著降低网络复杂度的同时, 便于实现端到端的 QoS 特性以及部署统一的保护倒换策略, 同时节省了网络建设成本 L2VPN/L3VPN 及 L2/L3VPN 桥接技术可行性和设备成熟度已经在大规模网络和复杂环境下得到充分验证 2 L2/L3VPN 桥接基本原理传统的 L2VPN 接入 L3VPN, 其组网如图 2-1: 图 2-1 传统 L2VPN 接入 L3VPN 其中,PE1 与 CE1 建立 L2VPN 网络, 负责终结 L2VPN 报文, 同时接入 PE2 所对应的 L3VPN;PE2 与 CE2 建立 L3VPN 网络, 负责终结 L3VPN 报文, 同时接入 PE1 所对应的 L2VPN; 这种方案组网逻辑清晰,L2VPN 和 L3VPN 从物理上相互隔离, 但存在着如下问题 : 第 1 页

至少需要两台 PE 设备 ; 不便于实现端到端的 QoS; 不便于在 PE 之间实现保护 ; L2/L3VPN 桥接技术可以很好的解决上述问题, 其基本思想是, 将 PE1 和 PE2 两台设备合一, 组网如图 2-2: 图 2-2 L2/L3VPN 桥接示意图对于 PE 设备而言, 此时从逻辑上依然可以分成两部分 : 一部分对应 L2 VPN, 称之为 L2 Virtual Entity(L2VE), 一部分对应 L3 VPN, 称之为 L3 Virtual Entity, 两者统一形成 Virtual Group 对于 Virtual Group 而言, 其同时具有传统的 L2VPN 和 L3VPN 特性图 2-3 L2/L3VPN 桥接逻辑示意图这种方案可以节省组网成本, 并且能显著降低网络的复杂度由于从 CE1 到 CE2 整个传输过程中, 均携带有 MPLS 标签, 从而便于实现端到端的 QoS 以及易于实施统一的保护倒换策略本文中主要描述了 L2VPN 桥接入 L3VPN 场景, 在实际组网中也可以直接桥接入公网, 基本原理类似, 不再赘述第 2 页

3 L2/L3VPN 桥接在 LTE 中的典型组网和应用 3.1 LTE 网络体系架构相对于传统的 2G/3G 网络,LTE 最大特点是网络扁平化, 并引入了 S1 和 X2 接口如错误! 未找到引用源所示 : 图 3-1 传统的 2G/3G 网络和 LTE 网络的体系架构 S1 接口 :enb-sgw 之间负责用户 UE 的高清视频点播高清视频监控实时 RGB 在线游戏音乐下载和移动电视高速上网等用户业务的连接承载 S1 接口需要灵活的调度能力, 使 enb 可以灵活的归属到多个 sgw X2 接口 : 相邻的基站 enb 之间与 2G/3G Backhaul 网络的星形架构不同,LTE Backhaul 增加了对 X2 接口的承载需求, 要求支持部分 Mesh 架构, 需要在相邻基站之间建立逻辑连接, 以负责用户在不同 enb 间漫游时, 用户数据可以在 enb 间直接进行交换对于 S1 接口的承载需求, 由于给每个基站建立多条单独的路径归属到不同 sgw 会导致连接数量的急剧增加, 导致高昂成本因此需要在承载网中引入 IP 路由转发功能 (L3VPN), 由承载网中的 IP 路由转发功能完成不同基站到不同 sgw 的灵活转发目前, 一般将 IP 路由转发部署在承载网的汇聚核心调度层, 以便把路由域的规模控制得比较小, 提高网络的可管理性可扩展性和安全性, 而接入和汇聚之间依然采用传统的 L2VPN 技术第 3 页

对于 X2 接口的承载需求, 由于 X2 接口的带宽只占 S1 带宽的 3%~5% 左右, 因此, X2 与 S1 可以共享承载通道, 利用承载网核心调度层的 IP 转发能力来支持 (L3VPN), 以避免相邻基站之间因 X2 连接而产生的 N 平方连接问题, 从而避免组网的高度复杂性和高昂成本针对以上提到的 LTE 承载特点, 目前业界应用最为广泛的解决方案为 : 接入层和汇聚层之间采用 L2VPN, 而汇聚和核心层则采用简化的 L3 VPN, 两者在汇聚层实现接入如图 3-2 所示图 3-2 简化的 L3 VPN 端到端 PTN 方案在接入层和汇聚层采用 PTN 设备的 EVPL 业务, 将 S1 与 X2 业务接入和汇聚至 PTN 核心节点然后在 PTN 核心层设备内部通过 L2/L3VPN 桥接技术将 EVPL 业务映射到某个 VRF 实例中, 同时利用核心层 PTN 设备提供的简化的 L3VPN, 实现对 S1 X2 业务的灵活调度, 以满足 LTE 承载的需求在整个转发过程中, 报文封装格式如下 : 第 4 页

图 3-3 简化的 L3 VPN 端到端 PTN 方案协议栈由上可见, 接入汇聚采用 L2VPN PW 封装, 通过 E-Line 传送 ; 核心节点之间通过 IP PW 封装, 通过 L3VPN 进行转发所谓简化的 L3VPN, 是指将 L3VPN 和 L2VPN 类似作为一种业务, 承载在 MPLS-TP 的静态隧道之上, 而且对 VRF 数量 VPN 路由数量 VPN 路由控制复杂度等要求较低简化的 L3VPN 路由可以通过以下两种方式来实现 : 采用静态配置 L3VPN 路由 : 这种情况 PTN 设备不需要支持任何动态协议, 为全静态配置采用 MP-BGP 协议来发布和学习 L3VPN 路由 : 这种情况 PTN 设备需要支持 BGP 协议, 但是要求非常简单, 只需要支持基本的协议处理邻居建立机制以及 MP-BGP 多协议扩展能力即可 3.2 LTE 网络 VPN 应用场景在 LTE 网络中, 存在着各种各样不同的组网场景, 而每种场景, 根据用户的不同需求, 可以采用不同的业务部署方案, 以下章节主要从不同角度分析并介绍 LTE 常见的 VPN 应用场景和业务部署方案 3.2.1 sgw 所在位置的不同 LTE 承载城域内调度的应用场景如图所示, 将整个传送网分成 A B C D 4 个区域, 其中 A B C 三个区域分别部署了一个核心机房, 并安置了 SGW/MME 设备, 而 D 区域没有部署核心机房在实际应用中,eNB 可能归属到多个 sgw, 所以既存在区域内调度的情况, 也存在跨区域调度的情况, 这就需要核心机房之间的 PTN 通过 OTN 互连, 提供跨区域调度的通道第 5 页

图 3-4 LTE 承载城域内调度的应用场景对 LTE 的承载业务, 根据 sgw 所在位置的不同, 可以将其分为两种场景 : enb 和本地 agw 通讯场景 : 该场景中 sgw 和本地的核心层 PTN 设备互连组网如图 3-5 所示图 3-5 enb 和本地 sgw 通讯场景 enb 和远端 sgw 通讯场景 : 该场景中 sgw 和远端的核心层 PTN 设备互连, 需要通过核心层 PTN 的 L3VPN 路由转发, 才能送给远端的 sgw 组网如图 3-6 所示第 6 页

图 3-6 enb 和远端 sgw 通讯场景 3.2.2 enb 接入位置的不同有些应用场景中, 接入汇聚层网络可能不支持 L2VPN, 只支持 VLAN, 这就需要在核心节点 ( 桥接设备 ) 上通过本地的 AC 直接接入所以对 LTE 的承载业务, 根据 enb 接入位置的不同, 可以将其分为两种场景 : enb 通过接入设备和核心节点之间建立的 PW 接入 enb 通过核心节点 ( 桥接设备 ) 的本地 AC 直接接入 3.3 L2/L3VPN 桥接业务部署方案上面介绍的每种应用场景中, 根据核心节点下挂 enb 数量位置以及 enb 邻接情况的不同, 又可以采用不同的方案来部署桥接业务 3.3.1 port+vlan 接入方式当一个核心节点下挂的 enb 个数不是很多的时候, 可以采用 port+vlan 接入方式部署桥接业务, 组网如图 3-7 所示第 7 页

图 3-7 enb 和本地 sgw 通讯场景 -port+vlan 接入方式的典型组网首先为每个 enb 分配一个独立的 VLAN 和 IP 地址, 同时在接入设备和核心节点之间分别建立不同的点到点 EVPL 业务然后在核心节点内部通过不同的桥接虚拟 VLAN 子接口终结这些 EVPL 业务, 并映射到某个特定的 VRF 实例中接着在 VRF 内进行 L3VPN 路由转发, 最终送给本地的 SGW/MME 设备, 从而实现 enb 和 sgw 的互通 (S1 接口 ) 该方案中,eNB 之间的广播是完全隔离的, 核心节点保存了所有 enb 的 arp 条目, 所以 enb 之间的互通 (X2 接口 ) 是通过核心节点的路由进行交互的, 而且必须是接入到同一个 L3VPN 的 enb 之间才能互通 3.3.2 port+vlan-range 接入方式当一个核心节点下挂的 enb 个数比较多时, 可以采用 port+vlan-range 接入方式部署桥接业务, 组网如图 3-8 所示图 3-8 enb 和本地 agw 通讯场景 -port+vlan-range 接入方式的典型组网第 8 页

该方案的工作原理和 supervlan 很类似, 为每个 enb 分配一个独立的 VLAN, 但是不需要单独设定 IP 地址, 它们共享核心节点上相同的网关, 这样大大优化了 IP 地址的管理该方案的配置方法有以下两种 : 在接入设备上, 和核心节点之间分别建立不同的点到点 EVPL 业务在核心节点上, 与多个 enb 建立的 PW 组合成一个 VFI 实例, 形成 EVPLAN 业务一个 VFI 实例对应一个桥接虚拟 VLAN-RANGE 子接口, 用来终结该 EVPLAN 业务, 并映射到某个特定的 VRF 实例中然后在 VRF 内进行 L3VPN 路由转发, 最终送给本地的 SGW/MME 设备, 从而实现实现 enb 和 agw 的互通 (S1 接口 ) 在接入设备和核心节点之间分别建立不同的点到点 EVPL 业务, 然后在核心节点上使用相同的桥接二层虚接口 + 不同 VLAN 分别终结这些 EVPL 业务, 并且通过一个桥接三层虚拟 VLAN-RANGE 子接口将所有 EVPL 业务映射到一个特定的 VRF 实例中之后在 VRF 内进行 L3VPN 路由转发, 最终送给本地的 SGW/MME 设备, 从而实现 enb 和 agw 的互通 (S1 接口 ) 另外, 需要在核心节点上开启 ARP 代理功能, 使得不同 enb 可以学到相互的 ARP, 从而实现它们之间的互通 (X2 接口 ) 3.3.3 port 接入方式该方案的基本原理和 port+vlan 接入方式基本类似, 主要区别在于 enb 接入时, 可能无法携带 vlan 标签或者不关心 Vlan, 所以桥接设备上必须使用 port 接入方式第 9 页

4 L2/L3VPN 桥接在 IP RAN 中的典型组网和应用 ; 4.1 Packet PW 参考模型和转发模型在 Packet PW 业务模型下, 作为一种特例, 如果 Client MPLS PSN 承载的是 L3 或 L3 VPN 业务, 则可看成一种 L2VPN/L3VPN 桥接应用模型图 4-1 Packet PW 参考模型如在 Packet PW 业务模型下, 作为一种特例, 如果 Client MPLS PSN 承载的是 L3 或 L3 VPN 业务, 则可看成一种 L2VPN/L3VPN 桥接应用模型图 4-1 所示, LSR1 and LSR2 是 client MPLS PSN 网络的一部分, 而 PE 设备 ( 包括 PE1 和 PE 则是 server MPLS PSN 一部分, 并被用来提供 client LSRs 之间的连接而在 MPLS LSR 和 PE 之间起接入作用的 AC 则是设备内部虚接口 Packet PW 则在这些虚接口之间提供连接 Packet PW 可用来传输 LSR1 和 LSR2 之间所有必需的 L2 和 L3 协议第 10 页

图 4-2 Packet PW 转发模型图 4-2 是 packet PW 的转发模型, 简而言之为, 先执行客户层转发, 然后进行服务层封装, 然后再继续执行服务层转发行为具体为 :Packet PW PE 由三部分组成, 客户层 LSR,PW 处理单元和服务层 LSR, 以下是客户层 MPLS 流量在 Packet PW 进行传输的基本原理首先,PE 设备上内嵌有客户层的 LSR 该 LSR 决定了客户层的下一跳并封装客户层下一跳所需要的标签, 然后其将报文交由对应的 PW 实例,PW 实例封装 PW 标签并上送给服务层 LSR 进行转发当报文经由 server PSN 传输至 egress PE 时, 将携带有对应的 PW 标签, 根据该标签将找到对应的 PW 实例该实例根据配置可知其为 packet PW 类型, 并将报文传送给客户层 LSR 进行后续的处理第 11 页

4.2 L2/L3VPN 桥接在 IP RAN 中典型应用一图 4-3 packet PW 在 IP FRR 中的应用如图 4-3 所示,RNC 和基站通过 L3VPN 进行基本通信, 私网侧 S1 S2 和 S3 之间开启 ISIS 协议由于 S1 和 S2 之间无物理链路直接相联, 因此无法建立 ISIS 邻居因此, 假设当 S1 和 S3 之间的物理链路断开时, 则上行流通过 S3 上的 IP FRR 可以实现 50ms 倒换但对于下行流而言, 则需要由 L3VPN 各类协议进行动态收敛, 无法满足 50ms 倒换要求因此, 对于此种情况下, 可以在 S1 和 S2 之间建立一个 PW Packet ( 图中的 virtual interface PW), 通过 PW Packet 来传输 ISIS 报文, 从而在两者之间建立 ISIS 邻居关系这样 S1 上同样可以形成 IP FRR, 主链路为 S1 和 S2 之间的直连链路, 而备链路则为 S1 经由 Packet PW 至 S2, 再由 S2 至 S3 同样, 上述桥接设备也可以开启 OSPF 协议第 12 页

4.3 L2/L3VPN 桥接在 IP RAN 中典型应用二图 4-4 packet PW 在 3G 业务传输中的应用 ACC-1 AGG-1 CORE-1 ACC-2 CIP 基站 VRRP 主 TE 主路径 TE 备路径 RNC ZESR+ PW L3VPN VRRP 备 ACC-3 CIP xgei_1/2 gei_3/12 ACC-4 AGG-2 CORE-2 如图 4-4 所示, 基站和 RNC 进行 3G 业务传输, 进行 L3VPN 转发下图中 ACC 设备组网一个接入网, 开启 ZESR+ 功能, 进行 L2 透传 AGG-1 和 AGG-2 作为基站的三层网关, 开启 VRRP 协议在实际应用中,AGG-1 和 AGG-2 之间可能有物理链路, 也可能没有因此, 作为一种统一解决方案, 可以采用 L2/L3VPN 桥接技术 (VPLS 桥接入 L3VPN), 具体如下 : 1. 基站业务通过 ZESR+ 透传, 并作为 CIP 接入 AGG 设备通过 VRRP 网关进行 L3VPN 转发 2. AGG-1 和 AGG2 之间建立 PW, 该 PW 作为 VRRP 的心跳线, 进行 VRRP 协议报文传输当然, 若 ACC 环进行切换后, 该 PW 也会进行数据报文转发, 其转发路径为 ACC-2 ACC-3 ACC-4---AGG2 PW---AGG-1 3. PW 外层走 TE 当 AGG-1 和 AGG-2 之间有物理链路直连, 则外层 TE 可以开启 TE hotstandby 或 TE FRR 功能其主路径为 AGG-1 和 AGG-2, 而备路径为 AGG-1 CORE-1---CORE-2---AGG-2; 若 AGG-1 和 AGG-2 之间无物理链路直连则 TE 路径仅有一条, 为 AGG-1 CORE-1---CORE-2---AGG-2 第 13 页

5 缩略语表 5-1 缩略语英文缩写英文全称 LTE VPN PTN L2VE PE CE QoS MPLS enb agw sgw MME BTS BSC EVPL VRF PW MPLS-TP LSR PSN ISIS OSPF RNC ACC AGG Long Term Evolution Virtual Private Networks Packet Transport Network L2 Virtual Entity Provided Edge Customer Edge Quality of Services Multi-Protocol Label Switch Evolved Node B Access Gateway Serving Gateway Mobility Management Entity Base Transceiver Station Base Station Controller Ethernet Virtual Private LAN VPN Routing & Forwarding Pseudo-Wire Multi-Protocol Label Switch - Transport Profile Label Switch Router Packet Switch Network Intermediate System-to-Intermediate System Open Shortest Path First Radio Network Controller Access Aggregate 第 14 页