新一代都會級L2 VPN—VPLS

近年來隨著VPN（虛擬私人網路）技術的發展，就算部門散布於世界各地，企業依然可以達成天涯若彼鄰、共同存在於單一虛擬區域網路的目標，以提升企業營運的效率，而VPLS（Virtual Private LAN Service）則是發展中的嶄新規格，可將L2 VPN的應用提升至一個全新的境界。那麼，究竟什麼是VPLS？究竟有多大的市場潛力，可以讓Cisco、Juniper、Nortel和Alcatel等大廠全力投入，而且還爆發兩種規格之爭？

目前ISP（Carrier）多半透過傳統的TDM專線、Frame Relay及ATM，對企業提供都會區VPN的服務。然而，對ISP而言，同時維護多種專線規格，是一個極大的成本負擔，而這些都全數轉嫁到服務的價格，以及企業所支出的成本。所以，要如何整合現有多樣化的服務以降低成本，就成為ISP的一大挑戰。

近年來隨著Ethernet的技術發展，不但理論頻寬從10Mbps一路發展至今日的10GbE，而且隨著規格上的改進，應用面也從昔日的區域網路（LAN）往都會區網路（MAN）和廣域網路（WAN）延伸，使得都會等級的Ethernet應用出現了可行性。

另外，今日IP已經成為路由協定的主流，而MPLS更讓大型IP網路具備了和ATM、Frame Relay同樣的連結導向和QoS特性，讓IP/MPLS骨幹足以滿足ISP的需求。先前MPLS/Frame Relay Alliance進行了ATM/Frame Relay over MPLS的技術展示，就足以證明，IP/MPLS結合都會區等級Ethernet骨幹，將是技術的趨勢。

根據RHK的調查，從2001年至2007年，北美地區的Ethernet服務以高達70%的年增長率（CAGR）持續成長，尤其都會區Ethernet服務的成長幅度相當驚人。除此之外，根據Infonetics Research的調查報告，在都會區網路的市場中，去年全球Ethernet設備總值25億美元，在2006年時將成長至57億美元，而全球都會區Ethernet設備的總埠數，將從2002年的76萬5千埠，在2006年成長四倍，到達330萬埠的規模。Infonetics Research更進一步表示，Ethernet將會在十年內取代現有的SONET，主導都會區網路的市場。這些都足以充分表示，企業用戶和ISP，對都會級Ethernet區域網路服務殷切需求。

理所當然的，也因此，以現有的IP/MPLS或Ethernet為基礎，出現了多種L2和L3的VPN技術及應用。不過，這些技術都有著諸多限制，直接催生了在MPLS骨幹上的Ethernet服務，這也就是VPLS的技術基礎。VPLS：Ethernet over MPLS

在VPLS出現之前，IETF曾提出Martini草案，在MPLS之上建立虛擬私人專線（Virtual Private Leased Line），也就是所謂的Martini Tunnel。其草案分為兩部分，除了規範了模仿虛擬電路（Virtual Circuits）的封裝及反多工器欄位（Demultiplextor），也定義了L2框包在MPLS網路上傳輸時的標籤分配程序、所採用的標籤分配協定（Label Distribution Protocol，LDP）。除了Ethernet以外，Frame Relay、ATM、SDH、以及TDM，都可透過該技術建立MPLS網路上的虛擬通道。不過，雖然目前已經不少產品支援該規格，Martini草案本質上還是點對點的技術，要達成多點互連的虛擬連結，除了手動建立多條專線外，別無他法。

這也成為VPLS（Virtual Private LAN Service）誕生的背景：建立MPLS上的多點互連虛擬通道，以提供透通性私人區域網路（Transparent LAN Service，TLS）的服務。事實上，VPLS的基本架構與BGP MPLS VPN相當的類似，唯一明顯的差別，僅PE端所存放、用以紀錄IP路由與VPN案例（Instance）對應關係的虛擬路由表（Virtual Route Forwarding），被紀錄MAC Address的虛擬交換介面表（Virtual Switch Interface）所取代。另外，也是對企業用戶最重要的，因直接模擬Ethernet之故，CE端所採用的裝置，可以採用一般的L2設備，如交換器、橋接器、甚至是集線器，大幅降低維護的成本。對於服務供應商而言，由於採用MPLS作為基礎，除了大幅提升骨幹建置及維護的彈性外，亦可以輕易的調整每個CE端的QoS及可用頻寬，讓企業用戶根據自身的需要，同時購買不同品質及頻寬的服務，例如同時購買三個VPLS VPN，以分別滿足VoIP、視訊會議、以及一般性的連網需求。

臺灣Cisco產品技術經理林云青表示，相較於過去的L3 VPN，L2的VPLS所構建的都會區Ethernet為企業帶來的好處相當的明顯，因為L3可以由企業自行來控管，而且Ethernet在提升頻寬上有著相當大的彈性。更重要的是，企業用戶僅需採用「大家都會使用」的交換器，價格也比過去的ATM和Frame Relay更便宜。她更進一步表示，將都會區Ethernet引進L2 VPN已經是一個技術趨勢，甚至將會逐步取代ATM和Frame Relay的部分應用。

而VPLS的基本運作流程也相當的簡單：PE端紀錄CE端MAC Address與VPLS案例的對應表，將Ethernet框包重新封裝、加上MPLS的標籤，就直接透過事先由MPLS標籤交換路徑（Label Switching Path，LSP）所建立的虛擬線路（Pseudo-wire）轉送出去。換言之，在VPLS下，PE端路由器扮演著Ethernet中的學習橋接器（Learning Bridge）功能，PE上的所有VPLS案例都擁有一個MAC Address紀錄表，當Ethernet框包透過CE端進入PE端，即在該MAC表中查詢目的地的MAC Address，並將該框包送往LSP，而該LSP則將其傳輸至正確的PE。如果表中沒有該MAC Address，則Ethernet框包則被複製、並廣播到所有與該VPLS案例有關的邏輯埠，取得回應之後再更新MAC Address表。另外，在特定時間內未使用的MAC Address將會被刪除，以控制MAC Address紀錄表的大小。很明顯的，這和現有的Ethernet橋接器與交換器，運作模式上並無二致。兩種VPLS規格之爭

只要是牽涉到巨大商業利益的技術規格，都會吸引大廠們「關愛的眼神」，紛紛企圖主導其技術發展。正如同近期兩種Ultra Wide Band規格在IEEE懸而未決，目前IETF正有兩個相互競爭的VPLS草案，分別是由在Juniper任職的Kireeti Kompella所提出的Kompella草案，與Riverstone的Marc Lasserre、Vach Kompella（Kireeti Kompella之弟）所提出的Lasserre-Vkompella草案。這兩者最大的差異，在於Kompella草案採用BGP作為VPLS的信號協定，而後者則為LDP，這也是極具爭議的技術焦點。

另外，自動發現PE機制（Auto Discovery）對於簡化VPLS網路的營運及管理相當的重要，所謂的自動發現PE機制是指當一個新的PE被加入VPLS網域中，屬於同一個VPLS的PE，均可自動發現PE到該PE，而且自動建立相對應的LSP。Kompella草案已經定義了以BGP為基礎的自動發現PE機制，而後者則尚在研擬RADIUS、BGP與LDP的方案。

Kompella草案的精神，在於有效利用現有BGP MPLS VPN的基礎，因為已經有不少ISP提供以BGP為基礎的L3 VPN。以自動發現PE機制為例，在Kompella草案中，如果加入一個PE，就直接在PE和BGP路由反射器（Route Reflector）之間建立I-BGP Session，當VPLS案例在該PE上建立完成後，透過路由反射器廣播給該VPLS網域中所有的PE，而且所有的PE都會自動建立包含該PE的LSP資訊。另外，如果要跨AS（自主系統）、連結數個VPLS網域，直接透過VPLS網域之間的AS邊界路由器，建立E-BGP Peering，再透過E-BGP的Path Vector機制，直接建立沒有迴圈的跨VPLS拓墣。更重要的是，如此一來，兩個AS邊界路由器之間的連接，並不必非得要Ethernet不可，這對於整合多個ISP的VPLS業務，相當的有利。

Kireeti Kompella本人表示，採用BGP的最大好處，就在於具備強大的擴充性和延展性，而且無論是信號與自動發現PE機制，網管人員僅需和單一協定打交道，反而比LDP信號、BGP自動發現PE的混合方案來得簡單。另外，關於BGP在MPLS標籤交換機制上的效率問題，Juniper也表示，根據以往ISP部署BGP MPLS VPN的經驗，這部分的影響其實並不大。

而Lasserre-Vkompella草案，則是認為BGP透過廣播傳遞資訊的方式過於複雜、缺乏效率，而且也有著安全性的疑慮，所以直接延伸Martini草案的規格，採用比較簡單的LDP－這也是MPLS原先用以LSR（Lable Switch Router）之間的溝通工作－作為信號協定。PE之間的溝通都是點對點的，這對於Ethernet應用並不完全合適，IETF也正在研擬LDP的延伸規格以支援多點互連特性。LDP尚未定義自動發現PE的功能，但可透過在網路中部署RADIUS之類的目錄伺服器，以實作類似的功能。關於擴充性的議題，該草案則定義了階層式（Hierarchical）的VPLS模型，採用Hub-and-Spoke拓墣，透過定義MTU（Multi-Tenant Unit）連接多個CE，再藉由PE與MTU之間的Tunneling，實作兩層式的VPLS，可用來連接多個VPLS網域。

乍看之下，似乎Kompella草案看似比較先進，然而目前除了提出該草案的Juniper外，Cisco、Nortel、Alcatel以及提出Lasserre-Vkompella草案的River Stone等廠商，都不支持Kompella草案，而且都對該草案採用BGP的決定，抱持否定態度。

Alcatel對此表示，整個草案的紛爭歸結下來，其實就等於是BGP協定本身就存在的爭議。雖然BGP網路可以提供良好的自動發現PE機制，不過要是缺乏良好的管理、保護及除錯機制，很容易因為某一臺設備的故障，不斷的重新啟動及關閉服務，而持續發送封包訊息，通知其他相關設備更新資訊，造成連鎖反應，使得災難雪球越滾越大，終至癱瘓掉整個網路。

另外，姑且不論最後這兩個草案孰勝孰敗，Juniper的方案並未獲得其他廠商的奧援，導致曲高和寡，不見得能夠有效打開市場。如果設備廠商各自擁護一套草案，依據不同草案所實作的設備，彼此之間的相容性及支援度都一定存在著不少問題。

Cisco也抱持相同的看法。林云青表示，BGP和LDP的特性截然不同，前者是完全互連（Fully-Meshed），後者則是點對點架構。換言之，如果在BGP下沒有完全互連，就需要部署一顆路由反射器進行資訊更新的動作。另外，BGP本身也存在著不少問題，其中一個就是廣播網域（Broadcast Domain），這會造成很多不必要的頻寬浪費，因為就算僅有一小部分的改變，也需要廣播相關的更新資訊；另外一個問題則是路由反射器，這會造成拓墣改變時，需要兩個步驟才能更新資訊。基於上述理由，PWE3（Pseudo Wire Emulation Edge-to-Edge）也不採用BGP，全部的人都採用LDP－除了Juniper之外。

除此之外，BGP還有實作上的問題，以STP為例，如果發生一條線路斷掉，會先發出一個TCN將MAC Address移除掉，但在BGP上的實作則不一樣，所以兩者之間並不相容，會有問題。然後，QoS上也會有所疑慮，因為BGP並不是點對點架構，所以無法針對一個虛擬連線設定不同的頻寬，或著其他不同的QoS，所以在這方面的應用上也有限制。

當然，LDP也有不少問題，主要就是擴充性不高，假設今天有100臺PE，每臺PE就需要建立99條連線。所以，Cisco和Riverstone合作、提出H-VPLS的觀念，除了可以提供終端（End）設備的選擇彈性外，亦可提供備援機制。至於目前缺乏自動偵測機制的議題，分別針對分散式和集中式管理，Cisco未來將支援BGP和RADIUS為基礎的規格。最後，她表示，由於這兩個都還是草案，不可能都「完完全全沒有問題」，但基於協定上的特性，Cisco認為LDP比BGP更適用於VPLS。

現階段，在IETF兩個草案懸而未決之際，Juniper已經和部分企業用戶合作，部署支援Kompella草案的VPLS產品，如韓國電信與香港和記黃浦環球電訊公司近期宣布和Juniper合作建置南韓連至香港的虛擬區域網路，企圖透過市場力量造成既成事實。而其他廠商也勢必不會保持沉默，像近期Alcatel已經與SBC、法國電信、英國電信、西班牙電信、中國電信等多家公司合作建置VPLS網路。這場兄弟鬩牆之爭，依然方興未艾。目前VPLS的佈署議題

正如同硬幣有正反兩面，VPLS也有其技術上的限制－都衍生至Ethernet。首先，負責紀錄MAC Address的PE端，其MAC Address紀錄表的容量，就是一個顯而易見的瓶頸，因為它必須紀錄每個VPLS案例所需要所有MAC Address，如果容量不足，大量的廣播動作將會降低網路的整體效能，限制VPLS的規模。更麻煩的是，MAC Address並不像IP位址一樣有著階層式的架構，所以就算容量夠大，MAC Address的管理及效能也是一個問號。

這個問題目前有兩種解決方法，第一個是直接讓CE端採用路由器，如此一來，該CE端下的大量MAC Address，就將只被路由器的單一MAC Address所取代，大幅減少PE端的負擔。第二種方法，也是Kireeti Kompella所表示的，直接限制每個連線所能存放的MAC Address數量，甚至將其視為可另購的額外服務和全新的商業模式（Business Model），讓客戶依據所需要MAC Address數量而付費，這對於避免DoS攻擊或廣播風暴，也有相當程度的改善效果。不過，企業用戶之所以購買VPLS服務，就是希望可以做到如同在同一個區域網路內的效能，是否可以接受這種商業模式，不無疑問。

STP在VPLS上的運作則是另一個潛在問題。雖然理論上，在所有PE都是完全互聯（Fully-Meshed）時，VPLS並不完全倚賴STP，而是透過Split-Horizon機制避免產生迴圈，但是企業用戶的VPLS之內，如同一般的區域網路，還是必須執行STP，所以還是會遭遇到STP的規模限制及效能瓶頸。假如一個VPLS網域上同時建立1000個L2 VPN，意味著上面就必需同時執行1000條STP，對網路整體效能的影響，不言可喻。

要如何有效建立一個完全互聯的VPLS網路，以及進行高效率的管理工作－尤其是設定複雜的QoS機制，更是目前VPLS的一大挑戰，因為目前VPLS的自動設定（Auto-Configuration）規範還正在由IETF的L2 VPN工作小組研擬之中，而Metro Ethernet Forum近期也才公布都會區Ethernet的相關服務功能定義及OAM規範。如果缺乏自動設定，以及整合自動發現PE的功能，網路管理者必須手動設定每一臺PE的Service ID。而且，假如VPLS網路之內同時採用多家不同廠商的產品，更會增加設定錯誤的機率，如果進而導致PE當機停擺，極可能因為所有的PE必須重新更新拓墣及QoS資訊，癱瘓掉整個VPLS網路。

於企業用戶是否應該導入VPLS的議題，臺灣Cisco電信事業部技術總監暨資深顧問劉衛國表示，對於目前ISP是否要採用VPLS，有兩件事情要考慮。首先，雖然VPLS可以跨越區域網路和廣域網路之間的鴻溝，但這也意味著，區域網路的特性與缺陷也都會通通「灑」出去，所以企業用戶在規畫未來廣域網路時，自然也會考量到這一點。

另外，他也表示，VPLS網路需要「照顧很多人」，但有別於過去ATM和Frame Relay的虛擬電路交換，IP/MPLS則是一個封包交換的核心，要如何避免不同企業用戶彼此影響對方網路的正常運作，達成完善的保密及安全防護機制，也都是一個管理上的議題。所以，目前多數用戶都對VPLS抱持比較遲疑的態度。

VPLS的前景

隨著網際網路和通訊應用的快速發展，除了永遠不夠用的頻寬以外，企業用戶對於多樣化網路服務有著更殷切的需求，這些也對ISP造成不小的壓力。很明顯的，傳統的ATM、Frame Relay和TDM都無法達成，不但昂貴，而且也無法提供更高的頻寬和多樣化的服務。由於今日的Ethernet技術已非昔日吳下阿蒙，IP成為不可動搖的L3通訊協定，而MPLS更進一步提供IP網路挑戰、甚至取代ATM和Frame Relay的潛力，這也是VPLS的重要因素。

不過，由於目前IETF中，VPLS正有兩個草案在相互競爭，而且雙方都有網路大廠背書，如果規格懸而未決，自然也會嚴重影響ISP導入VPLS的意願。連帶著，目前導入VPLS的企業用戶並不多。另外，隱而不現的，VPLS技術上依然有著諸多限制，而且IP協定已經成為主流，並不是有了VPLS，傳統的L3 VPN即可束之高閣，尤其BGP MPLS VPN和VPLS之間，其實有著相當大的互補空間，對於橫跨多個IP/MPLS骨幹的長距離跨都會連線，L3 VPN依然有其不可取代之處。VPLS最主要的應用，依然還是以取代既有VLAN VPN的都會區Ethernet為主。

最後，雖然VPLS是一個發展中、而且具備強大潛力的技術，有助於建立更具彈性、更經濟的網路服務模式，但對於ISP而言，他們不見得會願意在短期內將整個網路骨幹予以全面IP/MPLS化，就算與現有的基礎架構整合，也會增加網路管理上的額外負擔。我們可以預見未來數年內，VPLS應將成為L2 VPN的主流，但這絕非一朝一夕之功。

為何需要VPLS？
現有L2/L3 VPN的諸多限制

以目前大型L3 VPN的主流BGP MPLS VPN（IETF 2547bis及後繼規範）為例，雖然擁有BGP所賦予的動態更改彈性、廣域網路的應用能力、以及高擴張性及可靠性等等，但是僅能限於IP網路，用戶端邊緣（Customer Edge）設備必須採用路由器的高昂支出，用戶端必須與供應商端（Provider Edge）共享路由資訊所導致的安全疑慮，維持多組虛擬線路路由表造成路由器的巨大負荷，以及BGP在設定維護上所衍生的複雜性，都限制了BGP MPLS VPN的應用。

至於目前被炒的火熱的IPSec VPN、SSL VPN和Soft Ether等CE式VPN，都是透過穿梭（Tunnel）及加密技術在公用網路上實現虛擬專線的功能，基本上僅能做到點對點的虛擬連結，而且也缺乏完整統一的設定及管理機制，用來實作多點互連的虛擬區域網路，依然力有未逮。

那麼，既然如此，我們能不能採用L2的VPN，甚至直接使用Ethernet？這樣應用面就可以不必受限於IP協定了。目前不少都會區Ethernet服務供應商都提供了VLAN式的VPN服務，主要採用802.1Q/p的VLAN規格。不過，這也會直接面對Ethernet的先天限制，例如大量的廣播框包、STP（Spanning Tree Protocol，802.1D）的收斂效率問題、以及最重要的：VLAN Tag ID僅有4096個。雖然近期內出現了STP的諸多改進方案、如802.1w和802.1s，而VLAN ID不足的問題，亦可採用非標準的Q-in-Q（VLAN in VLAN）來解決，但管理上的困難以及缺乏完善的QoS機制（802.1p最多僅八個優先權層級，而且並非所有的交換器都會按照標準去實作），依舊限制了建立大型都會區骨幹的彈性，而建立都會區之間的VPN服務更是不可能的任務。

所以，另闢他途，設法在IP/MPLS上提供Ethernet服務，就成為克服上述困難的最佳方式－利用IP/MPLS既有的路由及信號協定取代STP、讓MPLS標籤取代VLAN ID，結合Ethernet和IP/MPLS的雙重優勢，以提升管理上的彈性及擴充性，這也就是VPLS誕生的背景。文⊙劉人豪

ISP的觀點
大臺北寬頻認為VPLS技術潛力可期，但後勢有待觀察

對於一間像大臺北寬頻網路公司這樣的ISP而言，提供一個優質而成本適中的網路系統是相當重要的。傳統乙太網路在加上802.1Q VLAN的功能後，雖然可以解決客戶線路安全性上的問題，但是在數量上可以說是相當少的。VLAN Tag僅僅有12bits，最大只能有4096個，對於一個城市網路的提供者而言，設備廠商必需要有更大數量級的解決方案，至少要能到十萬個以上的數量級才有實用的價值。由於一開始的建置就全部著重於光傳輸乙太網路上，因此Super VLAN這個解決方案明顯好過VPLS。

但是對於長程骨幹供應商而言，或許VPLS會是一個較好的骨幹用方案。長程骨幹大多是為了IP網路設計，因此使用各大廠傳輸設備的公司都可以輕易地把VPLS整合進入原本MPLS的設備中。並且利用此種整合，提供更好的服務品質，及區分客戶使用品質。以乙太網路的保護機制（各類型Spanning Tree）而言，用在節點多且傳輸量大的骨幹網路上似乎不是很理想，而IP網路本身的路由計算就包括了交換政策、多路由平衡負載、斷線保護、QoS等等機制，因此如果能利用IP網路的保護及路由機制，其實是一個很好的加分點。而大型IP網路其實也多半有使用者MAC Address過多而造成骨幹出現廣播風暴或效能不佳的情況，VPLS在中心的骨幹系統上較不會遭遇到這種問題。（但是在PE端似乎也可能受到這個問題的干擾，目前除了部分大廠在研究中的MAC-in-MAC及筆者正在發展中的MAC Remap技術外沒有什麼具體的解決方案）當然這些改進是需付出代價的，VPLS類型的服務商在PE端的支出絕對是相當吃重的，而且ingress/egress所消耗的運算能量資源相當可觀，造成PE設備容量有限及數量增多，也會是另一個問題。

此外，設備的相容性及操作經驗也會提高維護營運成本，以目前Juniper的VPLS而言，路由技術是以BGP為主，具有絕佳政策執行能力，但在複雜的多對多網路上路由收斂速度可能較慢。而Cisco就以LDP為主，具有較好的訊息傳送及收斂速度。當然，以傳統IP MPLS的使用者而言，較熟悉的可能是BGP，但對於習慣LDP或者想整合數種MPLS/VPLS設備的公司而言，就是惡夢一場了。而MPLS/VPLS骨幹傳輸介質也要有較好的data payload，否則每個VPLS封包都是很可能超過傳統乙太網路框包長度（Frame size）的，一旦因為過長而無法通過中繼設備，服務商就會掉進無盡的惡夢中了。目前大臺北寬頻較少有全國性的骨幹需求，因此在地區性網路上都使用Spuer VLAN，一旦有多區域的骨幹需求，將會審慎考慮利用VPLS的技術。文⊙傅冠彰—大臺北寬頻技術經理