二层VPN互联的研究

块在微码部分处理。

PE的IWF模块处理过程为：将从本地二层接入接口收到的数据帧，根据接口类型，使用相应的协议进行解封装，得到ETH类型的帧。

二层VPN转发模块对于从IWF模块得到的ETH类型的帧，根据PW类型进行封装，插入内层和外层标签，送入MPLS网传输。从PW收到的数据，首先根据PW类型进行解封装，得到ETH类型的帧；然后根据本地出接口类型，进行相应的数据封装，送入私有网络。

2.2IP类型

IP类型的实现比ETH类型复杂。虽然从本质上来说，它还是属于二层VPN，但其PW工作在IP层。PE之间建立IP类型的PW后，对于不同的接口，使用不同的IWF功能。其PE的结构功能模块如图4所示，只是在支撑部分增加了特定的ARP代理模块。

PE的IWF处理过程为：从本地二层接入接口收到的数据帧，根据接口类型，使用相应的协议进行解封装，得到IP类型的帧。

二层VPN转发模块对得到的IP类型的帧，插入内层和外层标签，送入MPLS网传输。从PW收到的数据，首先根据PW类型进行解封装，得到IP类型的帧；然后根据本地出接口类型进行相应的数据封装送入私有网络。

2.2.1IP类型中PE的ARP模块处理

对于IP类型的二层VPN，ARP报文不能透传。若透传数据，将剥去二层报头，这会影响到特定二层网络的选路和传输。所以在PE端需要引入ARP代理功能。

PE的ARP代理有两种方式。一种方式是特定IP地址的ARP代理，如图2所示，PE1通过一定的信令机制得到CE2的IP地址，回应ARP请求。在文献[6]中提到的ARP协调(Mediation)可以完成此机制。第二种方式是完全ARP代理。这种实现方式，可以遵从二层VPN只有一条PW的方式，但是PE的AC接入不可以接广播域和主机。

对于第一种ARP方式，由于涉及到多条PW的建立，所以更多地应该在基于IP的虚拟私有局域网服务(IPLS)[7]中研究。本文选择了第二种ARP方式。为了实现上的方便，对于二层VPN接入为ATM或FR时，都配置成点到点形式。

2.2.2IP类型中ARP的解析和代理

PE的二层VPN接入接口担当起ARP解析和代理功能。下面以工作在PE的ETH/VLAN接口为例讨论ARP解析和代理。

(1)ARP解析

PE收到ARP报文，解析并记录CE的媒体访问控制(MAC)地址，写入二层VPN属性表，这样一个MAC地址和一个二层VPN接入接口完全对应。在没有收到ARP报文情况下，二层VPN属性表中的MAC地址初始值为全"1"的广播地址。ARP收到的MAC地址以最新收到的为有效地址。ARP报文不透传，只终止到PE。

(2)ARP代理

PE在收到ARP请求报文后，不检查ARP请求的IP地址，对于任何ARP请求报文，都以PE自己的接口MAC地址作为原MAC地址，ARP请求中的目的IP地址作为原IP地址，生成ARP回应报文。

(3)PE的转发动作

PE从CE收到数据后，剥去MAC头，剩下IP数据包。从二层VPN属性表中得到内层输出标签，送入PW。PE从PW收到数据后，从二层VPN属性表中查找目的MAC地址，把自己的MAC地址作为源MAC，向CE转发数据。

从PE的转发动作可以看出，IP类型的二层VPN互联还是基于二层的数据转发，对三层不做任何处理。

3.基于三层VPN的二层VPN互联

从上面的分析可以看出，基于伪线的互联方案对CE设备有一定的配置要求，而如果CE设备不能满足这些需求时，将无法使用此方案。三层VPN对于二层接入协议没有要求，从而可以为二层VPN互联提供一种方案，将二层VPN作为三层VPN的一种接入方式，如图5所示。

ATM接入的CE2使用三层VPN接入，ETH接入的CE1使用二层VPN接入。二层VPN中建立的PW可以作为一个二层的PW虚拟接口使用，同样配置IP地址，使它在PE2上成为一个虚拟三层接口，有ARP功能，加入三层VPN的虚拟路由/转发实例(VRF)。VRF所包含的接口除了本地加入的实际接口外，还有PW虚拟接口，作为VRF私网接口。路由协议将从PW虚拟接口上得到的路由同样加入VRF转发表。PW作为隧道，起透传作用，CE1相当于直接接入VRF。这样可以完成CE1和CE2之间控制层面和转发层面的互通。

对于基于伪线的二层VPN互联方式，在ETH模式下，需要对CE进行桥接配置。在IP模式下，不仅需要对CE有配置要求，还需要对路由协议进行限制。对于需要依赖二层协议的相关路由协议，路由不能互通。ETH模式主要用于二层设备的互联，对于不支持二层交换的三层设备，IP模式互联时有一定的优势。

对于基于三层VPN的二层VPN互联方式，不需要对CE进行相关配置，对路由协议也没有限制。只是这种方式下，PE要同时支持二层VPN和三层VPN功能，同时引入PW虚拟接口。

4.测试结果

本文论述的二层VPN互联，可以用在包括虚拟私有局域网络服务(VPLS)、虚拟私有租用线服务(VPWS)在内的二层VPN业务上，从而