了解第 2 层 VPN
在 EX9200 交换机上,第 2 层 VPN 配置不支持平滑路由引擎切换 (GRES)、不间断活动路由 (NSR) 和逻辑系统。EX9200 虚拟机箱不支持第 2 层 VPN。
随着将不同的第 2 层服务相互链接以扩展服务产品的需求不断增长,对第 2 层多协议标签交换 (MPLS) VPN 服务的需求也越来越大。
在路由器上实施第 2 层 VPN 类似于使用异步传输模式 (ATM) 或帧中继等第 2 层 技术实施 VPN。但是,对于路由器上的第 2 层 VPN,流量将以第 2 层 格式转发到路由器。它由 MPLS 通过服务提供商的网络传输,然后在接收站点转换回第 2 层 格式。您可以在发送站点和接收站点配置不同的第 2 层 格式。MPLS 第 2 层 VPN 的安全性和隐私性与 ATM 或帧中继 VPN 的安全性和隐私性相同。使用 2 层 VPN 配置的服务也称为 虚拟专用线服务 (VPWS)。
在第 2 层 VPN 上,路由发生在客户的路由器上,通常在客户边缘 (CE) 路由器上。连接到第 2 层 VPN 上服务提供商的客户边缘路由器必须选择要在其上发送流量的适当电路。接收流量的提供商边缘 (PE) 路由器通过服务提供商的网络将其发送到连接到接收站点的 PE 路由器。PE 路由器不需要存储或处理客户的路由;它们只需配置为将数据发送到相应的隧道。
对于第 2 层 VPN,客户需要配置自己的路由器来传输所有第 3 层 流量。服务提供商只需要知道第 2 层 VPN 需要承载多少流量。服务提供商的路由器使用第 2 层 VPN 接口在客户站点之间传输流量。VPN 拓扑由 PE 路由器上配置的策略决定。
客户只需要知道哪些 VPN 接口连接到自己的哪些站点。 图 1 显示了一个第 2 层 VPN,其中每个站点都有一个链接到其他每个客户站点的 VPN 接口。
实施第 2 层 MPLS VPN 具有以下优势:
服务提供商无需投资单独的第 2 层设备即可提供第 2 层 VPN 服务。第 2 层 MPLS VPN 允许您通过现有 IP 和 MPLS 主干网提供第 2 层 VPN 服务。
您可以将 PE 路由器配置为运行除第 2 层协议之外的任何第 3 层 协议。
希望保持对自己网络的大部分管理控制的客户可能希望与其服务提供商建立第 2 层 VPN 连接,而不是第 3 层 VPN。
由于第 2 层 VPN 使用 BGP 作为信令协议,因此与第 2 层电路上的传统 VPN 相比,它们的设计更简单,需要的开销更少。BGP 信令还支持自动发现第 2 层 VPN 对等方。第 2 层 VPN 在许多方面类似于 BGP 或 MPLS VPN 和 VPLS ;这三种类型的服务都使用 BGP 进行信令发送。