一文概述：VPN的基本模型及业务类型

一、VPN的基本模型

•  
  CE
  :CE是用户网络的边缘设备，与SP（Service Provider，服务提供商）相连。CE可以是路由器或交换机，也可以是一台主机。CE感知不到VPN的存在，也不需要支持VPN的承载协议，如MPLS或SRv6。

•  PE
  :PE是服务提供商网络的边缘设备，与用户的CE直接相连。在VPN中，对VPN的所有处理都发生在PE上。

•  P（Provider）
  :P是服务提供商网络中的骨干设备，不与CE直接相连。P设备不感知VPN，只需要具备基本的网络转发能力（MPLS转发或IPv6转发能力）即可。

二、VPN的业务类型

• L3VPN
  ：承载三层业务的VPN为L3VPN，L3VPN通过VPN实例实现业务隔离。

• L2VPN
  ：承载二层业务的VPN为L2VPN，主要有VPWS和VPLS, L2VPN通过PW（Pseudo Wire，伪线）实现业务隔离。

1、L3VPN

2、L2VPN

• VPLS
  是一种多点到多点的L2VPN业务，支持在地域上隔离的用户站点通过中间网络相连，连成一个局域网。VPLS是对传统局域网功能的仿真，使它们像一个局域网那样工作。

• VPWS
  是一种点到点的L2VPN业务，是对传统租用线业务的仿真，使用IP网络模拟租用线，提供非对称、低成本的密集数据业务。

• 业务部署复杂
  ：尤其是对于基于LDP的VPLS业务而言，每新增一个业务接入点，都需要与其他PE新建Remote LDP会话来建立PW。

• 网络规模受限
  ：不管哪种L2VPN技术，都是在PW的基础上实现的，PW的本质是一种点到点的虚拟连接，为了实现任意两点间的业务互通，需要在任意两点间都建立PW,N个节点两两互通就需要N2个PW。网络规模越大，PW全连接的问题就越严重。另外，传统VPLS采用交换机的模型，基于数据平面学习MAC地址信息，当网络发生故障时，只能先清除所有相关的MAC地址，然后泛洪流量重新学习MAC地址信息，导致网络发生故障之后收敛速度很慢。

• 带宽利用效率低
  ：在CE双归场景，所有的L2VPN技术都只能支持业务以Active-Standby的方式接入网络，不支持业务以Active-Active的方式接入网络，这就无法实现基于流的负载分担，无法高效利用网络带宽。

3、EVPN

• 统一业务协议
  ：使用扩展EVPN作为统一的业务信令协议，可支持E-Line、E-LAN、E-Tree等多种L2VPN业务，可发布IP路由承载L3VPN业务，还可以支持二三层业务共部署，实现IRB（Integrated Routing and Bridging，集成路由和桥接）。EVPN L2VPN/L3VPN已大量部署在DC和DCI（Data Center Interworking，数据中心互联）的场景，可以统一承载以“云”为中心的所有业务。

• 简洁灵活部署
  ：利用BGP RR特性，所有PE只需与RR建立BGP邻居，实现网络设备天然连接，无PW全连接的困扰。通过RT可实现L2VPN PE自动发现，无须建立额外的Remote LDP会话。使用BGP学习远端MAC地址信息，再利用BGP的路由属性，可以实现灵活的策略控制。

• 高效带宽利用
  ：支持二三层所有业务通过Active-Active模式接入网络，实现基于流的负载分担。

• 流量路径优化
  ：通过ARP（Address Resolution Protocol，地址解析协议）/ND（Neighbor Discovery，邻居发现）代理减少广播流量泛洪。支持分布式网关，跨子网流量可循最优路径转发，不需要都到集中式网关绕行。

• 故障快速收敛
  ：通过BGP学习MAC/IP地址，可实现下一跳分离，故障场景流量快速切换，业务恢复时间与MAC/IP地址数量无关。EVPN内置ARP/ND/IGMP（Internet Group Management Protocol，因特网组管理协议）同步机制，可以在双归PE之间共享信息，故障场景下不需要PE重新学习。