VPLS二层功能
产生原因
以太网的特点之一是收到广播报文、组播报文和目的MAC地址未知的单播报文后,将发送给本以太网段内的所有其它端口。VPLS是一种基于以太网的技术,它为用户网络模拟了一个以太网桥。因此为了能在VPLS网络中转发报文,PE设备需要建立MAC地址转发表并基于MAC地址或者MAC地址和VLAN Tag来做出转发决策。
相关概念
MAC地址学习
如下表所示,MAC地址学习包括以下两种方式:
表10-4 MAC地址学习方式MAC地址学习方式
描述
特点 Qualified方式
PE根据用户以太报文的MAC地址和VLAN Tag进行学习。这种模式下,每个用户VLAN形成自己的广播域,有独立的MAC地址空间。
将广播域限制在用户VLAN中。由于从逻辑上看,MAC地址变成了MAC地址+VLAN Tag,因此这种方式可以支持比较大的FIB转发表。
Unqualified方式
PE仅学习用户以太报文的MAC地址。这种模式下,所有用户VLAN共享一个广播域和一个MAC地址空间,用户VLAN的MAC地址必须唯一,不能发生地址重叠。
对应多个用户VLAN的AC侧接口是物理接口,该接口对应唯一的VSI实例。
MAC地址老化
PE学习到的MAC地址转发表项如果不再使用,需要有老化机制来移除。在指定时间内,未有流量触发MAC表项更新,则将该MAC表项老化。
实现过程
PE设备通过动态MAC地址学习功能建立MAC地址转发表,同时将目的MAC地址与PW进行关联。如下表所示,MAC地址学习的过程包含以下两部分:
MAC地址学习过程 |
描述 |
|---|---|
对用户侧报文的MAC地址学习 |
对于从CE上收到的报文,PE将建立源MAC地址和AC侧接口之间的MAC映射关系,如图10-6中的port1。 |
对PW侧报文的MAC地址学习 |
PW包括两个方向的MPLS VC,当且仅当两个方向的MPLS VC都建立起来后PW才能变成Up状态。当从PW侧收到源MAC未知的报文,则PE建立源MAC地址与收到该报文的PW间的映射关系。 |
Unqualified方式的MAC地址学习过程和qualified方式的MAC地址学习过程是大致相同的,区别是:Unqualified方式的MAC地址学习过程是以VSI ID和MAC为KEY进行学习的,而qualified方式的MAC地址学习过程是以VSI ID、MAC和VLAN ID进行学习的。
PE设备的MAC地址学习和泛洪的具体过程如图10-6所示。PC1和PC2都属于VLAN10,PC1 Ping IP地址1.1.1.2,但PC1不知道该IP地址对应的MAC地址,需要发送ARP广播报文,以Unqualified方式为例,具体过程如下。
- PE1从连接CE1的端口Port1(Port1属于VLAN10)收到来自PC1的ARP广播报文,PE1把PC1的MAC地址添加到在自己的MAC表项中(PE1的MAC表项中蓝色字体内容)。
- PE1向其它端口(PW1和PW2此时可以看成端口)广播该ARP报文(PE1上的蓝色虚线)。
- PE2从PW1上收到PE1转发来的PC1的ARP报文,把PC1的MAC地址添加到自己的MAC表项中(PE2的MAC表中蓝色字体内容)。
- PE2只向连接CE2的端口转发该ARP报文(PE2上的蓝色虚线),而不向PW上转发,所以该ARP只发送给PC2。这就是VPLS的水平分割特点,即从公网侧PW收到的报文不再转发到其他PW上,而只能转发到私网侧。
- PC2收到PE2转发来的PC1的ARP报文,发现目的地址是自己,就发送一个ARP Reply报文给PC1(PC2上的绿色虚线)。
- PE2从Port2端口收到PC2给PC1的ARP回应报文。PE2添加PC2的MAC地址到自己的MAC表项中(PE2的MAC表中绿色字体内容)。ARP Reply报文的目的地MAC是PC1(MAC A),PE2查询自己的MAC表后,往PW1发送ARP Reply报文。
- PE1收到PE2转发来的PC2的ARP Reply报文,也一样添加PC2的MAC地址到自己的表项中(PE2的MAC表中绿色字体内容),并查找MAC表,转发该ARP Reply报文到PC1。
- PC1收到PC2的ARP Reply报文,完成MAC地址的学习。
- PE1向PW1广播该ARP报文的同时,PE1也通过PW2向PE3发送ARP报文。PE3收到来自PE1的ARP广播报文,添加PC1的MAC地址到自己的MAC表项中(PE3的MAC表中蓝色字体内容),根据水平分割的特性,PE3也只向PC3发送该ARP报文,因为PC3不是该ARP的目的地址,所以PC3不回应ARP Reply报文。
衍生功能
报文流量抑制
- 增强对用户的流量管理,合理分配用户带宽。
- 防止流量攻击,增强安全性。
未知报文处理方式
未知报文是指VSI接收到该报文后,无法在其MAC表中找到与该报文的目的地址相对应的表项。
对于未知报文,可分为单播和多播两种类型。根据不同安全级别的要求,处理方式可分为:丢弃、本地处理和广播方式。
以太网处理未知地址报文的默认方式是广播,在VPLS网络中的处理方式类似,具体如下:
- 如果PE从VSI的一个AC侧收到未知地址报文时,PE将向该VSI内所有连接本地CE的AC和连接远端PE进行泛洪。
- 如果PE从PW侧收到未知地址报文时,则只向该VSI内的连接本地CE的AC泛洪,而不再向连接其他远端PE泛洪。
对于丢弃未知单播报文的处理方式,可以选择同时学习未知单播报文的MAC地址或不学习。如果选择学习未知单播报文的MAC地址,不仅可以避免非法用户的接入,还可以通过学习未知单播报文的MAC地址,获知非法报文来自何处。
MAC地址限制
MAC地址限制是指当MAC地址表项数目、MAC地址学习时间间隔达到限制值后,系统对报文采取的动作(转发或丢弃),以及是否向网管发送告警。
MAC地址学习限制可以应用于接入用户固定但又不够安全的网络环境,如小区接入网或缺乏安全管理的企业内部网。
