一文概述：VPN 的基本模型及业务类型

VPN 是依靠 ISP（Internet Service Provider，因特网服务提供商）在公共网络中建立的虚拟专用通信网络，也就是我们常说的私网。VPN 具有专用和虚拟的特征，可以在底层承载网上创建出逻辑隔离的网络。VPN 可以实现跨域站点之间的安全互联，同时支持不同 VPN 之间的隔离。所以 VPN 可以用于解决企业内部的互联问题，如总部和分部的互联；也可以用来隔离不同部门、不同业务的网络，如全部员工可以访问 E-mail 业务，但只有开发员工可以访问代码开发环境。

在 SRv6 之前，VPN 一般承载在 MPLS 网络上，被称为 MPLS VPN。MPLS VPN 里的 VPN 实例由 MPLS 标签标识，这个标签也叫作 VPN 标签。基于 VPN 标签可以实现业务数据的隔离，保证 VPN 资源不被网络中其他不属于本 VPN 的用户使用。在 SRv6 网络中，VPN 实例可以由 SRv6 SID 标识。

一、VPN 的基本模型

VPN 由如下 3 部分组成。

• CE:CE 是用户网络的边缘设备，与 SP（Service Provider，服务提供商）相连。CE 可以是路由器或交换机，也可以是一台主机。CE 感知不到 VPN 的存在，也不需要支持 VPN 的承载协议，如 MPLS 或 SRv6。

• PE:PE 是服务提供商网络的边缘设备，与用户的 CE 直接相连。在 VPN 中，对 VPN 的所有处理都发生在 PE 上。

• P（Provider）:P 是服务提供商网络中的骨干设备，不与 CE 直接相连。P 设备不感知 VPN，只需要具备基本的网络转发能力（MPLS 转发或 IPv6 转发能力）即可。

二、VPN 的业务类型

根据 VPN 承载的业务类型和网络特征，可将 VPN 分为 L3VPN 和 L2VPN 两类。

• L3VPN：承载三层业务的 VPN 为 L3VPN，L3VPN 通过 VPN 实例实现业务隔离。

• L2VPN：承载二层业务的 VPN 为 L2VPN，主要有 VPWS 和 VPLS, L2VPN 通过 PW（Pseudo Wire，伪线）实现业务隔离。

当网络 IP 化之后，一般的网络业务都是三层 IP 业务，比如 3G/4G/5G 业务、互联网和 VoIP（Voice over IP，互联网电话）业务，所以 VPN 的部署大多为 L3VPN。当然，对于传统 2G 的 TDM 接口，只能通过 L2VPN 去承载。此外，在企业网或数据中心中，如果低速接口或交换机较多，也可以部署 L2VPN。

1、L3VPN

承载三层业务的 VPN 为 L3VPN。由于 VPN 是一种虚拟私有网络，不同的 VPN 独立管理自己使用的地址空间，所以不同 VPN 的地址空间可能会发生重合。比如，在 L3VPN 中，VPN1 和 VPN2 都使用了地址空间 10.110.10.0/24。为实现这两个 VPN 的正常通信，需要隔离这两个 VPN 的流量。

在 MPLS L3VPN 中，不同 VPN 之间的隔离通过 VPN 实例实现，并由 MPLS 分配的 VPN 标签标识。PE 为每个直接相连的站点建立并维护专门的 VPN 实例。VPN 实例中包含对应站点的 VPN 成员关系和路由规则。

为保证 VPN 数据的独立性和安全性，PE 上每个 VPN 实例都有相对独立的路由表和 LFIB（Label Forwarding Information Base，标签转发表）。整体上，一个 VPN 实例包括 LFIB、IP 路由表、与 VPN 实例绑定的接口，以及 VPN 实例的管理信息，包括 RD（Route Distinguisher，路由标识）、 RT（Route Target，路由目标）、成员接口列表等。

L3VPN 利用 BGP 在运营商骨干网上传播 VPN 站点的私网路由信息，使用 MPLS 或 SRv6 来承载 VPN 业务流量，实现运营商网络及用户网络的隔离。

2、L2VPN

承载二层业务的 VPN 被称为 L2VPN。传统的 L2VPN 主要包含 VPLS 和 VPWS 两种。

• VPLS 是一种多点到多点的 L2VPN 业务，支持在地域上隔离的用户站点通过中间网络相连，连成一个局域网。VPLS 是对传统局域网功能的仿真，使它们像一个局域网那样工作。

• VPWS 是一种点到点的 L2VPN 业务，是对传统租用线业务的仿真，使用 IP 网络模拟租用线，提供非对称、低成本的密集数据业务。

但是随着网络规模越来越大，业务需求越来越多，传统的 L2VPN 技术遇到了瓶颈，表现在以下几个方面。

• 业务部署复杂：尤其是对于基于 LDP 的 VPLS 业务而言，每新增一个业务接入点，都需要与其他 PE 新建 Remote LDP 会话来建立 PW。

• 网络规模受限：不管哪种 L2VPN 技术，都是在 PW 的基础上实现的，PW 的本质是一种点到点的虚拟连接，为了实现任意两点间的业务互通，需要在任意两点间都建立 PW,N 个节点两两互通就需要 N2 个 PW。网络规模越大，PW 全连接的问题就越严重。另外，传统 VPLS 采用交换机的模型，基于数据平面学习 MAC 地址信息，当网络发生故障时，只能先清除所有相关的 MAC 地址，然后泛洪流量重新学习 MAC 地址信息，导致网络发生故障之后收敛速度很慢。

• 带宽利用效率低：在 CE 双归场景，所有的 L2VPN 技术都只能支持业务以 Active-Standby 的方式接入网络，不支持业务以 Active-Active 的方式接入网络，这就无法实现基于流的负载分担，无法高效利用网络带宽。

3、EVPN

EVPN 最初被设计为一个基于 BGP 和 MPLS 的 L2VPN 技术。EVPN 结合了 BGP VPLS 和 BGP L3VPN 的优势，通过使用扩展的 BGP 发布 MAC 可达信息，实现 L2VPN 业务的控制平面与转发平面分离。

EVPN 凭借其部署灵活、高效利用带宽、二三层业务共部署、快速收敛等优势，广泛应用于 WAN（Wide Area Network，广域网）和 DC 等多个场景，业界也形成了将 EVPN 作为统一的业务层协议的趋势。使用 EVPN 作为业务层协议，可以提供以下优势。

• 统一业务协议：使用扩展 EVPN 作为统一的业务信令协议，可支持 E-Line、E-LAN、E-Tree 等多种 L2VPN 业务，可发布 IP 路由承载 L3VPN 业务，还可以支持二三层业务共部署，实现 IRB（Integrated Routing and Bridging，集成路由和桥接）。EVPN L2VPN/L3VPN 已大量部署在 DC 和 DCI（Data Center Interworking，数据中心互联）的场景，可以统一承载以“云”为中心的所有业务。

• 简洁灵活部署：利用 BGP RR 特性，所有 PE 只需与 RR 建立 BGP 邻居，实现网络设备天然连接，无 PW 全连接的困扰。通过 RT 可实现 L2VPN PE 自动发现，无须建立额外的 Remote LDP 会话。使用 BGP 学习远端 MAC 地址信息，再利用 BGP 的路由属性，可以实现灵活的策略控制。

• 高效带宽利用：支持二三层所有业务通过 Active-Active 模式接入网络，实现基于流的负载分担。

• 流量路径优化：通过 ARP（Address Resolution Protocol，地址解析协议）/ND（Neighbor Discovery，邻居发现）代理减少广播流量泛洪。支持分布式网关，跨子网流量可循最优路径转发，不需要都到集中式网关绕行。

• 故障快速收敛：通过 BGP 学习 MAC/IP 地址，可实现下一跳分离，故障场景流量快速切换，业务恢复时间与 MAC/IP 地址数量无关。EVPN 内置 ARP/ND/IGMP（Internet Group Management Protocol，因特网组管理协议）同步机制，可以在双归 PE 之间共享信息，故障场景下不需要 PE 重新学习。

EVPN 设计之初使用 MPLS 作为转发平面。由于 EVPN 实现了控制平面与转发平面的分离，所以当转发平面从 MPLS 切换为 SRv6 时，EVPN 业务的关键技术与优势仍旧可以由 SRv6 天然继承，并在 SRv6 本身的技术优势加持下放大，比如更强大的云网协同能力、更高的可靠性等。