![authelia000.jpeg](/static/img/637063527ecc91d63c7477ada701fcfc.authelia000.webp)

>本文详细介绍了如何使用 Docker 最小化部署 Authelia，一个开源的身份验证和授权服务器。Authelia 提供双因素认证 (2FA) 和单点登录 (SSO) 功能，作为反向代理的伴侣，为应用程序提供细粒度访问控制。与功能强大的 Keycloak 相比，Authelia 更轻量、资源占用低，非常适合内网环境和用户不多的场景。文章涵盖了 Docker Compose 文件配置、Nginx 反向代理设置、Authelia 核心配置、用户数据库管理以及密钥生成等关键步骤，旨在帮助用户快速搭建一个高效的认证系统。
>


# 1. 介绍

[Authelia](https://www.authelia.com) 是一个开源的身份验证和授权服务器，旨在通过一个网络门户为其应用程序提供双因素认证 (2FA) 和单点登录 (SSO) 功能。主要功能包括：

- **双因素认证 (2FA) 和单点登录 (SSO)**：通过 2FA 确认用户身份，并通过 SSO 简化登录流程，让用户只需登录一次即可访问多个应用程序。
- **反向代理的伴侣**：Authelia 作为反向代理（如 Nginx、Traefik、Caddy、HAProxy 等）的伴侣，可以允许、拒绝或重定向请求，从而保护您的服务。它直接与反向代理连接，而不直接连接到应用程序后端。
- **细粒度访问控制**：允许管理员根据子域名、用户、用户组、请求 URI、请求方法和网络等标准定义访问规则，实现精细的访问控制。
- **密码重置**：提供通过电子邮件确认进行身份验证的密码重置功能。
- **防暴力破解**：在多次无效认证尝试后限制访问，防止暴力破解攻击。
- **轻量高效**：采用 Go 和 React 编写，具有极低的资源占用，容器大小通常小于 20MB，内存使用量低于 30MB，并且授权策略和后端任务在毫秒级完成。

# 2. Docker最小化部署

## 2.1 使用Authelic的初衷

之前在 [零信任时代的身份利器：Keycloak Docker化部署全攻略](https://www.zenseek.site/post/7) 里讲了怎么部署KeyCloak。不过它实在是太重了，虽然它功能强大，对于在内网又没多少用户的情况下属于杀鸡用牛刀。毕竟我既不是搞安全的，也不是Devops，只要能实现对多个APP实现一个统一的验证和单点登录就够了。因此，对CPU和内存友好的Authelia映入我的眼帘。

![authelia001.jpeg](/static/img/c95bc3fd0b1410ae4c0ec40fc5da3f9e.authelia001.webp)

## 2.2 部署条件

老样子，还是在公司内网服务器的环境部署，只有内网IP一枚，不同的APP用不同的端口来网文。首先，第一步还是要把容器跑起来，其次能通过Nginx反向代理访问WEBUI的界面。

- 存储使用了SQLite。
- 用户数据库使用的是本地文件。
- 暂时先没加IDP的功能。
- 通知没有添加SMTP，只是使用了本地文件。

未来会提供IDP的功能，使用OIDC来给自己的项目发Token。这样我的项目就不用自己写登录和鉴权的代码了。独立数据库和Redis暂时还不算上，毕竟就是一个小项目。

## 2.3 文件结构

在Docker Compose文件下有一个Authelia目录，包括了配置文件，用户数据库，私钥和各种加密密钥，数据库文件，通知文件。

```bash
.
├── authelia
│   ├── configuration.yml
│   ├── data
│   │   ├── db.sqlite3
│   │   └── notification.txt
│   ├── keys
│   │   └── oidc_private_key.pem
│   ├── secrets
│   │   ├── jwt_secret
│   │   ├── oidc_hmac_secret
│   │   ├── session_secret
│   │   └── storage_encryption_key
│   └── users_database.yml
└── docker-compose.yml
```

## 2.4 Docker Compos文件

- 将Authelia加入到Nginx反向代理的Docker网络了，不需要直接将端口映射到主机服务器上了。
- 容器默认使用9091端口。
- 将相应的文件映射到容器外部。

```yaml
services:
  authelia:
    image: authelia/authelia:latest
    container_name: authelia
    restart: unless-stopped
    expose:
      - "9091"
    volumes:
      - ./authelia/configuration.yml:/config/configuration.yml
      - ./authelia/users_database.yml:/config/users_database.yml
      - ./authelia/secrets:/config/secrets
      - ./authelia/keys:/config/keys
      - ./authelia/data:/data
    environment:
      - TZ=Asia/Shanghai
    networks:
      - nginx-reverse-proxy

networks:
  nginx-reverse-proxy:
    external: true
```
## 2.5 Nginx配置文件

我没有按照官网的比较复杂的配置去做，先把请求放进来。

```bash
server {
    listen 80;
    server_name SERVER_IP;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host:$request_uri;
}

server {
    listen 443 ssl;
    server_name SERVER_IP;

    ssl_certificate /etc/nginx/certs/dlc.SERVER_IP.crt;
    ssl_certificate_key /etc/nginx/certs/dlc.SERVER_IP.key;

    # SSL/TLS Security Settings
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers HIGH:!aNULL:!MD5;

    # Enable HSTS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    location / {
        proxy_pass http://authelia:9091/;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
```

## 2.6 Authelia配置文件

- 通过session cookie配置应用的重定向等设置。访问AUthelia的web界面成功后跳转到另一个8001应用。
- 用户认证使用本地的yaml文件
- 访问控制，对于Authelia的登陆界面直接放行，对于另一个8012的应用需要账号密码验证。
- 存储使用SQLite。
- 通知使用文件记录。
- 对于重置密码，重置邮件的内容是记录在通知指定的文件里的。

```bash
theme: light

server:
  address: tcp://0.0.0.0:9091

log:
  level: info

session:
  cookies:
    - name: authelia_session
      domain: SERVER_IP
      authelia_url: https://SERVER_IP
      default_redirection_url: https://SERVER_IP:8001
      same_site: lax
  secret: 669ebae753159618538b44f3466e3eecaeccf76a590d01005e67e8858672c1d0
  expiration: 10h
  inactivity: 4h

identity_validation:
  reset_password:
    jwt_secret: cd22924062b229d53b6ec25139080328a6368ce58588c0459c7e89761634bf6f
    jwt_lifespan: 5 minutes
    jwt_algorithm: HS256

authentication_backend:
  file:
    path: /config/users_database.yml
    password:
      algorithm: argon2id

access_control:
  default_policy: deny
  rules:
    - domain_regex: '^SERVER_IP$'
      policy: bypass
    - domain_regex: '^SERVER_IP:8012$'
      policy: one_factor

storage:
  encryption_key: e006be0e2687d620f760c1016e532cd5344798fcbd30da706382d814c5017f09
  local:
    path: /data/db.sqlite3

notifier:
  filesystem:
    filename: /data/notification.txt

```

## 2.7 用户数据库

使用本地Yaml文件。argon2id的密码可以通过下面的命令生成，也就意味着可以先留空，可以在容器跑起来之后再运行这个命令。更新YAML文件后，需要重启容器重新加载用户数据库的内容。

`docker run --rm authelia/authelia:latest authelia crypto hash generate argon2 --password 'PASSWORD'`

```yaml
users:
  admin:
    displayname: "Admin"
    password: "$argon2id$v=19$m=65536,t=3,p=4$BzODJr+sliIj25pOvXlNHQ$3GVps1iOE/JezpAmnXLK3mW1L3UU+rXvZHtLIOHGiA0"
    email: admin@example.com
    groups:
      - admins
```

## 2.7 私钥和其他密钥

生成私钥到文件。其他的密钥可以直接放到Authelia的配置文件里。

```bash
# 生成OIDC用的私钥
openssl genrsa -out oidc_private_key.pem 2048

# 生成其他的签名密钥
openssl rand -hex 32 > jwt_secret
openssl rand -hex 32 > session_secret
openssl rand -hex 32 > oidc_hmac_secret
openssl rand -hex 32 > storage_encryption_key
```

## 2.8 WEBUI界面

只有一个登陆界面，账号密码验证成功后，直接挑战到Session Cookie里默认的跳转界面。

![authelia002.jpeg](/static/img/a2fb31a15afcbd8af9ab5b67ed8bc9dd.authelia002.webp)


# 3. 后记

本来搭建起来后，Authelia的Web界面是可以访问的。登录成功后，跳转也是成功的。但是如果再启用IDP的，并试图添加客户，配置没问题。虽然后台显示Nginx将请求发给你验证节点了，但是从浏览器的角度来看是直接可以访问了。上网也查了一些问题的可能性。

首先，Cookies是根据DNS名或IP来划分的，不支持我们这种以端口来区分服务的情况。所以没办法根据SERVER_IP:IP来设置不同的Cookie。

```bash
session:
  cookies:
    - name: authelia_session
      domain: SERVER_IP
      authelia_url: https://SERVER_IP
      default_redirection_url: https://SERVER_IP:8001
      same_site: lax
  secret: 669ebae753159618538b44f3466e3eecaeccf76a590d01005e67e8858672c1d0
  expiration: 10h
  inactivity: 4h
```

其次，在Access Control的部分，虽然只是写正则匹配IP和端口，但是每回都是被IP直接给截胡了，所以就bypass了。

```bash
access_control:
  default_policy: deny
  rules:
    - domain: '^SERVER_IP:PORT$'
      policy: one_factor
    - domain_regex: '^SERVER_IP$'
      policy: bypass
```

尝试更改Nginx配置文件，更改从Nginx传给Authelia的Header里的Host为假的域名。但是依然没有成功。

```bash
# Authelia配置

access_control:
  default_policy: deny
  rules:
    - domain: 'excalidraw.local'
      policy: one_factor
      
# Nginx配置

server {
    listen 8001 ssl;
    server_name excalidraw.local;

    ssl_certificate /etc/nginx/certs/dlc.SERVER_IP.crt;
    ssl_certificate_key /etc/nginx/certs/dlc.SERVER_IP.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers HIGH:!aNULL:!MD5;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # ---- Protected location ----
    location / {
        auth_request /authelia-auth;
        auth_request_set $target_url $scheme://$http_host$request_uri;
        auth_request_set $user $upstream_http_remote_user;

        # Handle Authelia denied responses
        error_page 401 =302 https://SERVER_IP/?rd=$target_url;
        error_page 403 =302 https://SERVER_IP/?rd=$target_url;

        proxy_pass http://excalidraw:80;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host excalidraw.local;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    # Websocket endpoint (if Excalidraw uses it)
    location /ws/ {
        proxy_pass http://excalidraw_room:80;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
    }

    # ---- Authelia verification endpoint ----
    location /authelia-auth {
        internal;
        proxy_pass http://authelia:9091/api/verify;
        proxy_set_header Content-Length "";
        proxy_pass_request_body off;

        proxy_set_header Host excalidraw.local;
        proxy_set_header X-Original-URL $scheme://$host$request_uri;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}
```

最后我只好作罢了，在没有域名区分服务的情况下，属实是比较难。我相信方法是一定有的，只是我没有扣到底。

Authelia Docker 最小化部署

![l2vpn301.jpeg](/static/img/81e6ba12c319e7713a37fd8fb503d445.l2vpn301.webp)

> 本文详细探讨了在Cisco CSR1000V IOSXE 17.x环境下L2VPN的实验配置，核心网运行OSPF和MPLS。文章首先介绍了VPWS（Virtual Private Wire Service）的多种配置方法，包括AC为物理接口、子接口以及通过PW接口和PW类进行精细控制，并展示了PW状态检查、标签映射和流量验证。接着，深入阐述了HVPLS（Hierarchical Virtual Private LAN Service）的nPE和uPE配置，涵盖VFI建立、全互联PW部署、桥接域配置及uPE侧接入PW冗余，并提供了HVPLS状态的检查方法。最后，简要介绍了本地交换的配置，即在同一PE设备上直接连接两个AC，旨在为读者提供L2VPN实际部署和故障排查的全面指导。




拓扑初始配置，核心网运行OSPF和MPLS，所有的核心网路由器的/32 Lo0地址是可达的也分配了标签。设备为CSR1000V IOSXE 17.x。

# 1. VPWS配置示例

## 1.1 Xconnect - AC为物理接口

R13和R22作为连接CE R100和R200的PE，CE端使用物理接口直接连接到PE。

### 1.1.1 Xconnect配置

在PE上分别配置Xconnect，里面包括AC和PW的对端。

```plain
R13#show run | s l2vpn
l2vpn xconnect context pw12
 member GigabitEthernet2 
 member 1.1.1.22 1 encapsulation mpls
 
R22#show run | s l2vpn
l2vpn xconnect context pw12
 member GigabitEthernet3 
 member 1.1.1.13 1 encapsulation mpls
```

![l2vpn302.jpeg](/static/img/aa93741f7e5ec1380c2febbf88f3a1fb.l2vpn302.webp)

### 1.1.2 PW相关的检查

查看Xconnect的状态。因为PW是单向的，所以两侧都要检查。

```plain
# 查看Xconnect双向PW
R13#show xc all

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi2:8(Ethernet)              UP mpls 1.1.1.22:1                   UP

R22#show xc all 

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi3:9(Ethernet)              UP mpls 1.1.1.13:1                   UP

R13#show mpls l2transport vc 

Local intf     Local circuit              Dest address    VC ID      Status
-------------  -------------------------- --------------- ---------- ----------
Gi2            Ethernet                   1.1.1.22        1          UP 

# 查看PW的状态
R13#show l2vpn atom vc

                                       Service
Interface Peer ID         VC ID      Type   Name                     Status
--------- --------------- ---------- ------ ------------------------ ----------
pw100002  1.1.1.22        1          p2p    pw12                     UP 

R13#show l2vpn acircuit id 
Access circuit info, 1 total:

Eth, 1 circuit:
AC           ID         Instance Circuit  I/f                  Switch   Segment  Rsvd/Chkp/Prov
--------------------------------------------------------------------------------
Eth:8        117440513  1        8        8                    4096     8194     ---- ---- Prov

# 查看PW的标签映射
R13#show mpls l2transport binding 
  Destination Address: 1.1.1.22,VC ID: 1
    Local Label:  26
        Cbit: 1,    VC Type: Ethernet,    GroupID: n/a
        MTU: 1500,   Interface Desc: n/a
        VCCV: CC Type: CW [1], RA [2], TTL [3]
              CV Type: LSPV [2]
    Remote Label: 26
        Cbit: 1,    VC Type: Ethernet,    GroupID: 0
        MTU: 1500,   Interface Desc: n/a
        VCCV: CC Type: CW [1], RA [2], TTL [3]
              CV Type: LSPV [2]

R13#show mpls l2transport pwid 
AToM Pseudowire IDs: In use: 1, In holddown: 0

       Peer-Address    VCID or
Label  or Local ID     EVPN ID    PWID       In-Use FirstUse ReusedAt FreedAt 
------ --------------- ---------- ---------- ------ -------- -------- --------
26     1.1.1.22        1          1          Yes    1d07h Never    Never   
```

### 1.1.3 图解show命令输出

show xc all的输入解释：
- Segment 1里的Gi2:8，物理接口后面的数字是接口在系统内部的代号。
- Segment 2里的内容是PW的对端PE的Lo0地址，:1是PW ID为1。
- 其实系统内部还是为PW建立了一个接口pw100002。

![l2vpn303.jpeg](/static/img/94c5e1aece92195b011662898a36aa4c.l2vpn303.webp)

### 1.1.4 图解抓包检查

我们尝试从一个CE ping另一个CE，是可以ping得通的。 

```plain
# CE R100可以ping得通CR R200
R100#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 6/13/44 ms
```

- 首先PE收到客户发来的原生的数据包。
- LDP对等体之间会沟通是否启用控制字，以太网控制字不是必须的，模拟器这显示是0，表示未启用。
- PE根据接收数据的接口找AC对的对应的VC ID，并压入VC标签。再根据PW的终点，压入到PW终点的传输标签。
- 客户的数据包去除了前导码和校验码，将原来的以太头部和IP头部以及ICMP的数据直接放在控制字的后面。
- PE将数据包发送到MPLS网络，并根据最外层的传输标签达到PW的终点。

![l2vpn304.jpeg](/static/img/b2b05c150e5792ff2bf31441895ef15c.l2vpn304.webp)

## 1.1.5 AC接口下配置xconnect

除了上述的配置方法外，还支持在AC接口下直接配置PW的方法。另一端的配置方法同上，PW依然可以起来。

从PWID的使用情况来看，删除旧配置，改用接口新配置后，系统内部给PW ID的编号变成2了。原来的PW ID 1依然存在，只是状态变成不使用了。VC ID是不变的，是手工配置且两端需要一致的。

```plain
# AC接口的配置
interface GigabitEthernet2
 no ip address
 xconnect 1.1.1.22 1 encapsulation mpls
 
# PW状态依然是Up的，AC接口没变所以内部接口号:8依然没有变。
R13#show xc all

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi2:8(Ethernet)              UP mpls 1.1.1.22:1                   UP

# 但是PW ID变化了，因为将之前的配置方法删除了，在
R13#show l2vpn atom pwid 
AToM Pseudowire IDs: In use: 1, In holddown: 1

       Peer-Address    VCID or
Label  or Local ID     EVPN ID    PWID       In-Use FirstUse ReusedAt FreedAt 
------ --------------- ---------- ---------- ------ -------- -------- --------
26     1.1.1.22        1          1          Yes    1d07h 1d19h 1d19h 
NoLabl 1.1.1.23        1          2          No     1d19h Never    1d19h 
```

## 1.1.6 PW的配置放到逻辑接口上

可以配置逻辑的PW接口，将对端信息和封装信息都放在PW接口内，把这个接口放到xc的member里。

使用逻辑的PW接口，下面可以配置更丰富的信息。只更改一端的配置，对端配置不变。

```plain
# 在对端没有更改配置的情况下，本端的配置
interface pseudowire1
 encapsulation mpls
 neighbor 1.1.1.22 1
 status
 vc type vlan
 control-word include

l2vpn xconnect context pw12
 member GigabitEthernet2 
 member pseudowire1
 
# 因为把VC类型改成以太VLAN模式了，而对端没有设置，模式是以太接口模式。所以有下面的报错，但是被系统忽略了。 
*Oct 19 03:22:58.325: %XCONNECT-4-VC_TYPE_INCOMPATIBLE: The 'vc type' command on pseudowire 1.1.1.22:1 is incompatible with xconnect pw12, ignored
*Oct 19 03:22:58.399: %LDP-5-NBRCHG: LDP Neighbor 1.1.1.22:0 (3) is UP[OK]

# 使用PW接口的好处是不需要系统内部分配pw接口号
R13#show l2vpn service all 

  Interface          Group       Encapsulation                   Prio  St  XC St
  ---------          -----       -------------                   ----  --  -----
VPWS name: pw12, State: UP
  Gi2                            Gi2:8(Ethernet)                 0     UP  UP   
  pw1                            1.1.1.22:1(MPLS)                0     UP  UP 
  
R13#show l2vpn atom vc

                                       Service
Interface Peer ID         VC ID      Type   Name                     Status
--------- --------------- ---------- ------ ------------------------ ----------
pw1       1.1.1.22        1          p2p    pw12                     UP   
```

可以看到的是PW依然是UP的，说明两端的协商达成了一致，让我们查看一下show命令的输入。

- PW，VC都是Up的，VC Type为以太接口模式。
- 压入2层的标签栈，外层的传输标签和内层的VC标签。
- FEC TLV携带的类型128的PWid FEC Element。
- 因为本端开启了Status TLV, 因此Status TLV support显示本端启用，对端支持。
- VCCV的CV使用的MPLS Ping来保证LSP的路径是通的。
- VCCV的CC使用了CW, RA和TTL。

![l2vpn305.jpeg](/static/img/11a97b9826e5056253d9e1366ab61fd9.l2vpn305.webp)

RFC 5085规定的CC Type和CV Type。这就是类型0x02和0x07的出处。

```plain
   Control Channel (CC) Types:

      The defined values for CC Types for MPLS PWs are:

         MPLS Control Channel (CC) Types:

         Bit (Value)    Description
         ============   ==========================================
         Bit 0 (0x01) - Type 1: PWE3 Control Word with 0001b as
                        first nibble (PW-ACH, see [RFC4385])
         Bit 1 (0x02) - Type 2: MPLS Router Alert Label
         Bit 2 (0x04) - Type 3: MPLS PW Label with TTL == 1
         Bit 3 (0x08) - Reserved
         Bit 4 (0x10) - Reserved
         Bit 5 (0x20) - Reserved
         Bit 6 (0x40) - Reserved
         Bit 7 (0x80) - Reserved

   Connectivity Verification (CV) Types:

      The defined values for CV Types for MPLS PWs are:

         MPLS Connectivity Verification (CV) Types:

         Bit (Value)    Description
         ============   ==========================================
         Bit 0 (0x01) - ICMP Ping
         Bit 1 (0x02) - LSP Ping
         Bit 2 (0x04) - Reserved
         Bit 3 (0x08) - Reserved
         Bit 4 (0x10) - Reserved
         Bit 5 (0x20) - Reserved
         Bit 6 (0x40) - Reserved
         Bit 7 (0x80) - Reserved
```

## 1.1.7 设置PW类并调用类

设置pw class和下面的参数。在AC接口下调用，VPWS的名称和PW接口号都是系统生成的。

```plain
pseudowire-class vpws-test
 encapsulation mpls
 control-word
 
interface GigabitEthernet2
 xconnect 1.1.1.22 1 encapsulation mpls pw-class vpws-test
 
R13# show l2vpn service all

  Interface          Group       Encapsulation                   Prio  St  XC St
  ---------          -----       -------------                   ----  --  -----
VPWS name: Gi2-8, State: UP
  Gi2                left        Gi2:8(Ethernet)                 0     UP  UP   
  pw100006           right       1.1.1.22:1(MPLS)                0     UP  UP 
```

# 1.2 AC接口是子接口

两端CE配置了QinQ，外层Vlan用于区分服务，内层Vlan用于客户网段。

## 1.2.1 以太接口模式

虽然配置了QinQ，VC Type没指定，默认是以太接口模式

- PE配置子接口承接匹配的外层Vlan。
- 根据外层Vlan来建立不同的PW和PW属性，来达到区分服务的目的。

```plain
# CE R100配置
interface GigabitEthernet1.18
 encapsulation dot1Q 18 second-dot1q 180
 ip address 192.168.18.180 255.255.255.0
 
# CE R200配置
interface GigabitEthernet1.18
 encapsulation dot1Q 18 second-dot1q 180
 ip address 192.168.18.181 255.255.255.0
 
# PE R13配置
interface GigabitEthernet2.18
 encapsulation dot1Q 18
 xconnect 1.1.1.22 18 encapsulation mpls
 
interface GigabitEthernet2.20
 encapsulation dot1Q 20
 xconnect 1.1.1.22 20 encapsulation mpls
 
# PE R22配置
interface GigabitEthernet3.18
 encapsulation dot1Q 18
 xconnect 1.1.1.13 18 encapsulation mpls
 
interface GigabitEthernet3.20
 encapsulation dot1Q 20
 xconnect 1.1.1.13 20 encapsulation mpls
```

检查PW的状态:
- 两端两条PW都起来了

```plain
R13#show xc all

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi2.18:18(Eth VLAN)          UP mpls 1.1.1.22:18                  UP
UP pri   ac Gi2.20:20(Eth VLAN)          UP mpls 1.1.1.22:20                  UP

R22#show xc all 

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi3.18:18(Eth VLAN)          UP mpls 1.1.1.13:18                  UP
UP pri   ac Gi3.20:20(Eth VLAN)          UP mpls 1.1.1.13:20                  UP
```

通过抓包可以看到在MPLS网络，外层的S-VLAN被剥离了，内层的C-VLAN被留了下来。

![l2vpn306.jpeg](/static/img/32527e0f060d89c19a9faf7857debf28.l2vpn306.webp)

## 1.2.2 EVC配置模式

虽然我设置了vc type为Vlan，但是总会有报错。所以以太VLAN模式的配置没有成功，不知道是不是模拟器不支持的原因。在模拟器上只能以PW接口的形式才能配上VC Type。

```plain
interface GigabitEthernet2
 no ip address
 service instance 18 ethernet
  encapsulation dot1q 18
  rewrite ingress tag pop 1 symmetric
 !
 service instance 20 ethernet
  encapsulation dot1q 20
  rewrite ingress tag pop 1 symmetric
 !
interface pseudowire18
 encapsulation mpls
 neighbor 1.1.1.22 18
 vc type vlan
 !
interface pseudowire20
 encapsulation mpls
 neighbor 1.1.1.22 20
 vc type vlan
 
l2vpn xconnect context vpws18
 member GigabitEthernet2 service-instance 18 
 member pseudowire18
l2vpn xconnect context vpws20
 member GigabitEthernet2 service-instance 20 
 member pseudowire20
```


# 2. HVPLS

HVPLS的配置和VPLS类似，只不过原来的AC部分换成了PW。全互联的VPLS跑在nPE之间，uPE连接AC并同通过接入的PW连接到1个或2个nPE上。因此HVPLS的配置也就是两部分，一部分在nPE上，一部分在uPE上。

## 2.1 拓扑图

- R1 - R2 - R3是全互联的VFI，会进行MAC的学习和老化等动作。
- R12到2个nPE有一主一备的PE，下联一个AC到R300。
- 2个uPE下面各有一个AC连接到R200，各自有一条PW到R2。

![l2vpn307.jpeg](/static/img/5a32beb178ca3e6c0bd47235a3cb4d54.l2vpn307.webp)

## 2.2 nPE配置

- 在所有的nPE上配置相同的VFI，VPN ID要相同。
- 手工指定参加这个VFI的nPE，并建立全互联的PW。
- 将VFI和下联的PW放到一个桥接域里，这样虚拟MAC表可以从VFI其他的PW或是接入PW学习到MAC，这个行为和普通的交换机就非常类似了。

```plain
# R1配置

l2vpn vfi context HVPLS 
 vpn id 100
 member 1.1.1.3 encapsulation mpls
 member 1.1.1.2 encapsulation mpls
 
bridge-domain 100 
 member vfi HVPLS
 member 1.1.1.12 100 encapsulation mpls

# R2配置

l2vpn vfi context HVPLS 
 vpn id 100
 member 1.1.1.3 encapsulation mpls
 member 1.1.1.1 encapsulation mpls
 
bridge-domain 100 
 member vfi HVPLS
 member 1.1.1.23 100 encapsulation mpls
 member 1.1.1.22 100 encapsulation mpls
 
# R3配置

l2vpn vfi context HVPLS 
 vpn id 100
 member 1.1.1.2 encapsulation mpls
 member 1.1.1.1 encapsulation mpls
 
bridge-domain 100 
 member vfi HVPLS
 member 1.1.1.12 100 encapsulation mpls
 member 1.1.1.31 100 encapsulation mpls
 
 
```

## 2.3 uPE配置

- 配置接入PW连接AC和VFI。
- 在有主备PW的时候，需要设置PW所在的组以及PW的优先级

```plain
# R31配置

l2vpn xconnect context HVPLS
 member GigabitEthernet3 service-instance 100 
 member 1.1.1.3 100 encapsulation mpls

# R22/R23配置

l2vpn xconnect context HVPLS
 member GigabitEthernet3 service-instance 100 
 member 1.1.1.2 100 encapsulation mpls
 
# R12配置

l2vpn xconnect context HVPLS
 member GigabitEthernet2 service-instance 100 
 member 1.1.1.3 100 encapsulation mpls group HVPLS100 priority 1
 member 1.1.1.1 100 encapsulation mpls group HVPLS100 priority 2
```

## 2.4 检查HVPLS的状态

检查nPE的状态。
- VFI里包括到其他nPE的PW以及到uPE的PW。
- BD还包括学到动态学到的MAC，也可以手动清空MAC地址表。

```plain
R2#show l2vpn vfi      
Legend: RT=Route-target, S=Split-horizon, Y=Yes, N=No

VFI name: HVPLS, state: up, type: multipoint, signaling: LDP
  VPN ID: 100
  Bridge-Domain 100 attachment circuits:
  Pseudo-port interface: pseudowire100001
  Interface          Peer Address     VC ID        S
  pseudowire100005   1.1.1.23         100          N
  pseudowire100004   1.1.1.22         100          N
  pseudowire100003   1.1.1.3          100          Y
  pseudowire100002   1.1.1.1          100          Y
  
R2#show bridge-domain 100 
Bridge-domain 100 (4 ports in all)
State: UP                    Mac learning: Enabled
Aging-Timer: 300 second(s)
Maximum address limit: 65536
    vfi HVPLS neighbor 1.1.1.1 100
    vfi HVPLS neighbor 1.1.1.3 100
    vfi HVPLS neighbor 1.1.1.23 100
    vfi HVPLS neighbor 1.1.1.22 100
   AED MAC address    Policy  Tag       Age  Pseudoport
   0   001E.E529.A7BF forward dynamic   42   HVPLS.404012
   0   001E.F6B1.3EBF forward dynamic   43   HVPLS.404011

R2#clear bridge-domain 100 mac table 

```

检查uPE的状态
- 只有R12是具有接入PW冗余的配置
- 两条PW，一主一备，下联是同一个AC。

```plain
R12#show xconnect name HVPLS
Legend:    XC ST=Xconnect State  S1=Segment1 State  S2=Segment2 State
  UP=Up       DN=Down            AD=Admin Down      IA=Inactive
  SB=Standby  HS=Hot Standby     RV=Recovering      NH=No Hardware

XC ST  Segment 1                         S1 Segment 2                         S2
------+---------------------------------+--+---------------------------------+--
UP pri   ac Gi2:100(Eth VLAN)            UP mpls 1.1.1.3:100                  UP
IA pri   ac Gi2:100(Eth VLAN)            UP mpls 1.1.1.1:100                  SB
```

检查CE的状态
- 可以学到其他CE的ARP。

```plain
R400#show ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.100.1           0   5254.0008.5229  ARPA   BDI100
Internet  192.168.100.2           0   001e.e529.a7bf  ARPA   BDI100
Internet  192.168.100.4           -   001e.f6b1.3ebf  ARPA   BDI100
```

# 3. 本地交换

本地交换就是将2个AC放到一起，不通过MPLS直接传输流量。本质还是PW，常规是一段是PW一段是AC，而本地交换是2段都是AC。可以看到PW是起来的，但是模拟器的原因，CE无法互ping。

```plain
# R31配置

l2vpn xconnect context localconnect
 member GigabitEthernet2 service-instance 200 
 member GigabitEthernet3 service-instance 200 

R31#show l2vpn service xconnect name localconnect
Legend: St=State    XC St=State in the L2VPN Service      Prio=Priority
        UP=Up       DN=Down            AD=Admin Down      IA=Inactive
        SB=Standby  HS=Hot Standby     RV=Recovering      NH=No Hardware
        m=manually selected

  Interface          Group       Encapsulation                   Prio  St  XC St
  ---------          -----       -------------                   ----  --  -----
VPWS name: localconnect, State: UP
  Gi2                            Gi2:200(Eth VLAN)               0     UP  UP   
  Gi3                            Gi3:200(Eth VLAN)               0     UP  UP   
```

L2VPN技术详解3：VPWS、HVPLS及本地交换配置实践

MPLS技术详解3：LDP实验与配置实践

![l2vpn000.jpeg](/static/img/3a106cbf72db4c1ed58e69792d9a8c1c.l2vpn000.webp)

> VPLS (Virtual Private LAN Service) 是一种L2VPN技术，旨在通过MPLS网络将分散的站点连接成一个统一的局域网，使运营商核心网对客户而言如同一个大型交换机。本文详细介绍了VPLS的核心组件，包括用于L2桥接和MAC学习的VFI、标识VPLS实例的VC以及连接客户网络的AC。文章还探讨了LDP的扩展、VPLS的地址学习、PE发现、泛洪和水平分割防环机制。为解决传统VPLS的扩展性挑战，H-VPLS引入了u-PE和n-PE分层架构。此外，文中还深入分析了VPLS的高可用性方案，如单向/双向PW备份（结合MC-LAG）和H-VPLS的PW备份机制，并对比了冷备、温备、热备等PW状态，以及PE上的本地交换功能，旨在提升网络韧性和收敛速度。



# 1. VPLS介绍

Virtual Private LAN Service（**VPLS**）是一种L2VPN技术，用来将多个分布在不同地区的站点连接成以一个大的局域网。运营商的MPLS的网络在对于客户网络来说就是一台大的交换机。

它定义了一个提供以太网多点连接的框架，提供多点到多点的伪线全互联的拓扑，使用LDP或是BGP来转递信令。跟标准交换机一样，PE动态学习MAC地址，并据此转发以太帧到正确的目的地。

# 2. VPLS组件

![l2vpn201.jpeg](/static/img/0f03eb2fec4bca84edc5ca69bba551fe.l2vpn201.webp)

## 2.1 VFI 

Virtual Forwarding Instance也叫VSI（Virtual Switching Instance）提供L2多点桥接功能。
- 它包括所有参与到这个VPLS实例里的AC和VC。
- 可以理解为像VLAN一样划分一个广播域。
- 就像一台交换机上可以划分多个VLAN一样，PE也可以存在多个VFI来区分不同的客户流量。
- 它为这个VPLS实例里的所有设备维护了一张MAC地址表。
- MAC的学习，过滤和泛洪基于VFI来操作的，确保了不同客户的隔离。

## 2.2 VC

Virtual Circuit，用于标识一个VFI。
- VC ID也叫VPN ID，标识一个VPLS实例。
- 在LDP里，VC标签用来找到正确的VPLS实例上。
- 在运营商网络内，VC ID是唯一的，但是一个VPLS实例里所有伪线都使用同一个VC ID。

## 2.3 AC

Attachment Circuit，连接到客户网络的接口。
- 可以是物理接口也可以是逻辑接口。
- 多个AC接口可以属于同一个VFI。

## 3. LDP扩展

VPLS会在所有的PE上建立全互联的伪线连接，每对PE之间有一个远程的LDP会话，在它们之间的所有的伪线都会通过这个LDP会话进行信令的传递。

## 3.1 Generalized PWid FEC Element

在标签映射消息里有FEC TLV，里面有FEC Element。VPWS使用PWid FEC Element（FEC类型128），早期VPLS也使用这个FEC Element。现在使用的是Generalized PWid FEC Element（FEC类型129）。它主要用于在PE上区分服务。

![l2vpn202.jpeg](/static/img/329a9d0296a77fd80066c617e4f34897.l2vpn202.webp)

FEC类型，C比特，PW类型和PW信息长度等参数，请参照 [L2VPN技术详解1：VPWS在MPLS网络中的实现与应用](https://www.zenseek.site/post/22#3%20LDP%E6%8B%93%E5%B1%95)。

- **Attachment Group Identifier (AGI)**： 可以认为是VPLS实力ID。
- **Source Attachment Individual Identifier (SAII)**：标识源PE的AC。
- **Target Attachment Individual Identifier (TAII)**：标识目的PE的AC。大部分情况下TAII设置了掩码，譬如全是1，意味着每一比特位都无所谓。因为不需要像VPWS那样找到对端PE的出口AC。具体的出口是根据目的MAC地址查表后找到的。
- 接口参数：在PWid FEC Element的报文格式里是有显示Interface Parameter Sub-TLV的，在这里没有显示，但是RFC 4447里是有提及的。包括MTU，可选项的描述，如果PW是以太标签模式，则还需要VLAN ID。

## 3.2 MAC List TLV

有时为了加快网络的收敛，需要移除动态学习到的MAC地址。PE发送LDP Address Withdraw Message给全互联的其他PE，并带上MAC地址列表。

带MAC地址列表的LDP Address Withdraw Message是在拓扑改变时加快MAC地址的移除。如果MAC地址列表过长，为了减少LDP的收敛时间，路由器倾向于发送地址撤回消息的带一个空的地址列表。

![l2vpn203.jpeg](/static/img/a15b34692fc00d337c5673912705109f.l2vpn203.webp)

前面的字段其他报文格式类似，MAC地址列表也就是6比特的MAC地址。当PE收到地址撤回消息时：
- 如果MAC地址列表是空的，PE会移除这个VPLS实例里所有的MAC地址，除了通过接收到消息的伪线学到的客户MAC地址。
- 如果MAC地址列表不是空的，对于列表里的每一个MAC地址，移除它和AC或是PW的关联条目。

# 4. VPLS操作

## 4.1 地址学习

BGP是通过控制平面通告和传递可达性信息，而VPLS是通过数据层面来学习可达性信息。如果收到一个数据帧，它的源MAC不在VPLS的MAC地址表里，则它会记录下来通过哪个AC或是PW学到这个的MAC。

## 4.2 PE发现

因为在VPLS里是所有参加这个VPLS实例的PE的全互联，而PE不具备自动发现这个实例下其他PE能力，需要通过配置来指定远端的PE。如果使用BGP来作为VPLS的控制平面，可以进行VPLS的实例内PE的自动发现，因为BGP更新的网络层可达信息（NLRI）包括RD，RT，VPLS端点ID等2层信息。

## 4.3 泛洪

对于BUM流量（未知单播，组播和广播），从一个AC或PW收到的流量会泛洪到所有其他的AC和PW。组播是特殊情况，但是为了操作的简化，默认使用广播传递组播帧。

## 4.4 防环机制

如果不是伪线全互联的拓扑则需要，两个PE间的通讯会需要其他PE的传递，在这种情况下就需要生成树这样的协议来进行防环。

正是因为有全互联的拓扑结构，VPLS只需要使用更简单的防环机制：**水平分割**。在同一VPLS实例里，从一根伪线发来的流量不能转发到其他伪线上去。

# 5. H-VPLS

传统VPLS的痛点是扩展性比较差，因为全互联的拓扑需要在n个PE间建立起n*(n-1)/2条伪线。对于需要泛洪的BUM流量，PE需要复制流量到每条伪线上。因此无论是控制平面还是数据平面的压力都很大。H-VPLS被设计于减轻这种压力。

![l2vpn205.jpeg](/static/img/47f9d0e5fe7ceca3cd5fa95d967c9496.l2vpn205.webp)

## 5.1 架构变化

![l2vpn204.jpeg](/static/img/4deb52e7b958eb8c1e0598454f9f7c62.l2vpn204.webp)

传统VPLS的架构是扁平的全互联，而在H-VPLS是分段的。

- 只有nPE是全互联的，和传统VPLS的功能一致。-
- uPE只需要点到点的接入伪线连接到nPE。
- 如果启用了接入伪线备份功能，则会有一主一备两条伪线连接不同的nPE。
- 在nPE看来，接入伪线被当作AC看待，接入到nPE的VFI。

原来的PE变成了两个角色：

- **User-facing Provider Edge (u-PE)**：通常是运营商接入网PE，直接面向CE的设备，进行正常的交换动作。
- **Network Provider Edge (n-PE)**：通常是运营商核心网PE，它从uPE接收汇总的流量，在核心网根据VFI来处理VPLS实例内的数据转发。

## 5.2 水平分割

![l2vpn206.jpeg](/static/img/9de1028403a4185b1a46d6c34e6d0344.l2vpn206.webp)

Split-Horizon Group（SHG）水平分割组：
- 同一个SHG的成员无法互相转发以太帧。
- 默认所有VFI的PW被分配到SHG1里，因此一个VPLS实例里，从一个PW发来的流量无法转发到别的PW上。
- 接入PW和AC默认没有启用水平分割组的功能，因此也不属于任何一个SHG里，所以从一个接入PW发来的流量，可以发给VFI的PW和其他的接入PW。
- 可以手工设置SHG，对于AC，可以将整个物理接口或是EFP放到一个SHG里。不是所有的平台都支持给接入PW分配SHG。

# 6. 高可用

## 6.1 VPWS PW备份介绍

如果PW的LSP路径上有链路或是节点的故障，IGP和LDP会重新收敛。如果有流量工程TE和快速重路由FRR功能，PW会迅速切换到备份的隧道上，但是PW的状态不变，因为LDP的远程Hello依然可达，LDP的远程会话并没有断掉。

但如果是远端节点或是它的AC故障了，则PW就会down掉，TE/FRR也无济于事。如果远端CE是双上联到不同的PE，则可以使用备份PW的功能。

![l2vpn207.jpeg](/static/img/f1e784d64f588b60a9d5e58a1d35baf8.l2vpn207.webp)

## 6.2 单向PW备份

![l2vpn208.jpeg](/static/img/0ddc52b9f48efc8260a6e474aae51d63.l2vpn208.webp)

- 允许一侧的PE连接到两个远端PE或一个远端PE的两个AC上。
- 两条PE，主和备为一个节点或AC提供备份。
- 如果主PW故障，则切换到备PW上。

## 6.3 双向PW备份

![image.png](/static/img/590f7f322bde2ccd30377541cd512640.image.webp)

- 允许两个PE连接到两个远端PE。
- 双向PE备份需要在PE对AC的那一侧使用MC-LAG（跨设备链路聚合）。类似于Nexus交换机的vPC。
- 一共是四条伪线，只有连接本地Active PE和远端Active PE的伪线是主的伪线，其余3条为备份。
- MC-LAG是负载均衡的，当流量发到Standby PE的时候，流量会经过ICL（两个MC—LAG设备之前的互联链路）到Active PE，再通过Active PW发出流量。
- 如果接入侧使用其他的高可用方式，例如使用MST来负载不同VLAN的流量，则双向PW备份会失败。原因是2条PE到CE的link并不是Active Active的，因为无法和PW进行联动。

## 6.4 H-VPLS PW备份

- 正常状态下，nPE伪线全互联，uPE主备PW连接到两个nPE。
- MPLS域内节点或是链路的故障会导致TE/FRR介入，nPE的PW会使用其他的路径。不会影响到uPE的PW，因为nPE的LDP会话没有中断。

![l2vpn211.jpeg](/static/img/0d15d2bc3abe6525743ac524e3eb9f2e.l2vpn211.webp)


- 如果nPE节点故障或是其所有的MPLS接口Down了，uPE的PW会进行主备的切换。
- 如果有远端来的流量由于远端nPE的MAC地址表没有及时更新，所以依然会发给故障的nPE，因此会丢包。
- 直到远端nPE收到其他nPE发来的CE的数据帧，才会更新远端nPE的MAC地址表，才会按照正确的表项进行转发。
- 或者是等待远端nPE的MAC地址表的表项老化，条目被移除。再有流量，则会进行泛洪，找到争取的nPE去转发流量。


![l2vpn212.jpeg](/static/img/4194ec2393d6a931465531ab75d5af82.l2vpn212.webp)

- 当PE切换成功之后，uPE会产生一条MAC Withdrawal消息给它的远端nPE。
- 远端nPE会清理它的MAC地址表，并将这条消息传给VFI下所有的其它nPE。其它nPE也会清理自己的MAC地址表。
- 当再有到CE的流量远端nPE，由于MAC地址表里已经没有CE的MAC了，因此对于未知单播流量会在VFI内所有的nPE间进行泛洪。
- 当找到目的MAC的正确nPE出口，就会停止丢包了。


![l2vpn213.jpeg](/static/img/021deb5871ce68db39b20f146f191dca.l2vpn213.webp)

## 6.5 PW备份切换速度

PW切换的速度取决于两点：
- 检查到主PW故障的时间。
- 切换到备用PW到它进入到转发状态的时间。

主PW故障检测：
- AC故障，PE检测到故障后发送LDP Notification信息，包括PW Status TLV。
- 节点故障：
	- 远端PE的环回地址从路由表中移除。
	- T-LDP会话超时，时间通常会比较长。
	- 多跳BFD会话断开，BFD的检测间隔在毫秒级。

备份PW的状态：
- 冷备：默认行为，在被激活之前，PE不会传输备份PW的信令。
- 温备：在控制层面，PW的信令已经被交换，T-LDP的参数也协商完毕，在标签映射消息里携带的PW Status TLV会显示PW的备份状态。数据层面没有被激活，即没有被安装到转发表中，备份PW不会被用于转发数据。
- 热备：在控制层面，PW已经被激活了，转发表也有条目了，可以说是处于可以转发的状态。PW的备份状态，是由于MC-LAG会控制流量的方向，不在这条PW转发流量。


## 6.6 本地交换

![l2vpn214.jpeg](/static/img/509ab7e6ee05209bc7e22f3431ecad53.l2vpn214.webp)

Local Switching是PE在两个AC之间直接转发2层流量。这些2层流量不会被转发到MPLS网络中，因此不会有额外的封装和解封装操作。

对于local xconnect，因为是点到点的连接，直接将一个AC的流量转发到另一个AC。如果是local bridge domain，则查表后转发到正确的AC。Local bridge domain只是网关BDI，如果需要路由到其他网段的话。

L2VPN技术详解2：VPLS在MPLS网络中的实现与应用

![l2vpn000.jpeg](/static/img/3a106cbf72db4c1ed58e69792d9a8c1c.l2vpn000.webp)

>本文首先介绍了L2VPN的基本概念及其在运营商网络中的作用，说明了二层虚拟专用网络为不同地点的站点提供统一互联的优势。重点部分详细解析了VPWS（虚拟专线服务）作为L2VPN的典型实现方式，内容涵盖其架构模型、标签封装、转发流程、MTU处理、控制协议等核心技术细节，并结合网络结构图和实际案例，深入展现了VPWS在MPLS网络中的具体应用。



# 1. L2VPN介绍

Virtual Private Network虚拟专用网络是一种创建加密链接或是隧道的技术。而L2VPN是一种通过共享的共有或私有的网络来延伸客户局域网的技术。它使处于不同地点的站点就像在一个局域网内一样。

- 只提供2层连接。对于客户来说，运营商只是一个大的交换机。
- 部署在MPLS核心网之上，支持许多接入技术。

![l2vpn101.jpeg](/static/img/ce9092f50650fc4fd9f1147189c93d15.l2vpn101.webp)

## 1.1 运营商提供L2VPN的动机

- 允许运营商用一套基础设施提供IP服务和旧的服务。
- 通过运营商提供的L2VPN服务，客户可以使用自己的路由协议（包括基于非IP的协议），QoS策略和安全机制等。
- 地址空间的私有性，运营商不知道客户的地址空间。
- 客户的CPE可以不用路由器，而可以只使用一台以太网交换机。

## 1.2 缩写

| 缩写    | 全称                                                |
| ----- | ------------------------------------------------- |
| SP    | Service Provider                                  |
| L2VPN | Layer 2 Virtual Private Network                   |
| VPWS  | Virtual Private Wire Service (point to point)     |
| VPLS  | Virtual Private LAN Service (Point to Multipoint) |
| EVPN  | Ethernet Virtual Private Network                  |
| PW    | Pseudowire                                        |
| EVC   | Ethernet Virtual Circuit                          |
| BD    | Bridge Domain                                     |
| BDI   | Bridge Domain Interface                           |
| EFP   | Ethernet Flow Point                               |
| PBB   | Provider Backbone Bridging                        |

## 1.3 L2VPN模式

- VPWS：提供点到点的伪线服务。
- VPLS：提供多点到多点的伪线服务
- EVPN：使用BGP来学习和分发MAC地址，不需要伪线。
- PBB-EVPN：除了EVPN的BGP控制平面，还结合了PBB的MAC-in-MAC技术，是核心网的操作更简单高效。

![l2vpn102.jpeg](/static/img/18a1bd3f53f4237d65e125bdb59aa762.l2vpn102.webp)

## 1.4 L2VPN控制层面协议

L2VPN的控制层面协议指的是PE之间通过什么机制来发现对方和交换标签并建立起L2VPN。

| L2VPN类型  | 控制层面协议                  | 说明                               |
| -------- | ----------------------- | -------------------------------- |
| **VPWS** | **Targeted LDP (tLDP)** | 点到点伪线的信令                         |
| **VPLS** | **BGP**或**LDP**         | 两者都可以使用，现代网络中更常见的是基于 BGP 的 VPLS。 |
| **EVPN** | **BGP**                 | 下一代标准，用于取代传统的 VPLS。              |

# 2. EVC模型

![l2vpn103.jpeg](/static/img/90d5eb27713f42e35dd50f1c39e5d557.l2vpn103.webp)

## 2.1 EVC

- 它可以认为是一个概念上的服务管道。
- 它描述了一个逻辑的端到端的以太服务路径，用来在运营商网络之上连接2个及以上的客户站点。
- 它是一个传输以太服务的模型，而不是一种具体的技术。

## 2.2 Service Instance

- 它是在路由器物理接口下一个EVC的实现。一个接口下可以有多个EVC。
- 它有效地定义了一个EFP。
- 一个EFP Service Instance是连接BD和物理接口的虚拟接口。

## 2.3 BD

- 一个广播域或是仿真局域网。
- 每个BD有一张MAC地址表。
- 可以将不同VLAN的接口或是没有VLAN标签的接口放到一个BD下面。这在传统的基于VLAN的交换模式是无法实现的。

## 2.4 EFP 

- 是一个2层的逻辑接口，用来给接口下的流量分类。
- 在同一个物理接口上可以多个不同的EFP连接到同一个BD，每个EFP有自己的匹配规则和重写操作。
- 一个物理接口接收到了一个数据帧，根据接口下的EFP匹配原则匹配，并在匹配到的EFP下面学到，并转发到同一BD下的一个或多个EFP。如果没有匹配的EFP，则会丢弃此数据帧。
- 可以进行VLAN的重写，譬如让出的VLAN和进的VLAN不同。

## 2.5 BDI

BDI是一个3层接口，作为BD下EFP连接的终端的网关，用于访问其他网段或是互联网。

# 3 LDP拓展

如在MPLS LDP的文章中谈到LDP通过标签映射消息来传递FEC和标签的绑定，它包括FEC TLV，Label TLV和可选参数TLV。FEC TLV用于解释标签的含义，在VPWS的情况下用来标识标签绑定的特定的PW。

在RFC 4447使用LDP来建立和维持伪线的标准中，指定了3种新的TLV，2种新的FEC组件和一些新的错误代码。

## 3.1 PWid FEC Element

![l2vpn108.jpeg](/static/img/ad9d870588c1e2a841268213935b352c.l2vpn108.webp)

当伪线两端都使用相同的4字节的VC ID来配置伪线的时候，回用到这条PWid FEC Element，包括下面的字段。

- FEC Element类型：8比特，值为0x80（128）。
- 控制字位： 1比特，值为1则此伪线启用了控制字，值为0则为未启用。
- PW类型： 15比特，譬如譬如以太网标签模式，PPP，SONET等。
- PW信息长度：8比特，包括PW ID和接口参数子TLV的字节数。如果为0，则意味着使用Group ID的参数。
- Group ID：32比特，将PW按物理和隧道接口分组。如果此接口有状态变化，允许一条消息通告多条PW的状态变化。
- PW ID：32比特，也就是配置的VC ID。只有伪线两端的PW ID和PW类型一致的情况下，伪线才能起来。
- 接口参数子TLV： 譬如MTU，MTU不一致也影响伪线的建立。

## 3.2 PW Status TLV


![l2vpn109.jpeg](/static/img/74876eb51314f8ce8590e17bdb5ea351.l2vpn109.webp)


在LDP通知消息中包含PW Status TLV，包含了PE报告的危险状态信息。32位状态码标识了不同的状态。此TLV也可能包含在标签映射消息和标签撤回消息里。

# 4. VPWS

## 4.1 AToM

AToM是Any Transport over MPLS的缩写 ，它允许运营商在统一的MPLS网络上提供多种类型的L2流量。它是思科实现VPWS的形式。

运行AToM的条件如下：
- 核心网运行IP路由协议，PE之间IP可达。
- 核心网运行MPLS，PE之间存在LSP。
- 必须使用环回接口来发起和终结L2流量。
- 核心网路由器建议使用/32的环回接口地址作为LDP的RID。

EoMPLS是用AToM的一种，用于在MPLS网络中传递以太帧。不过EoMPLS除了可以传递点到点的VPWS，还可以传递多点到多点的VPLS。

## 4.2 伪线参考模型

![l2vpn104.jpeg](/static/img/db6f9c549079de7f45c0a12922381c51.l2vpn104.webp)

- Attachment Circuit（AC）：是一个连接PE和CE的物理或虚拟的电路。
- Pseudowire（PW）：伪线是一条逻辑的端到端的虚拟链接。就像光纤有收发端一样，伪线的内部是有两条单向的PW1和PW2。因为MPLS的LSP也是单向的，因此伪线的去程和回城可能走不同的物理路径。
- PSN Tunnel：PSN指的是实际传输数据的底层网络，Tunnel指的是经过PSN的物理传输路径，它可以承载多条伪线。
- Native Service：客户网络存在的原始的2层协议（以太，FR，ATM）。
- Emulated Layer-2 Service：由运营商提供的虚拟服务，是物理直连的替代。

## 4.3 VPWS流量封装

![l2vpn105.jpeg](/static/img/a3c9c5b35fcba2b1cb90b25ecffdf087.l2vpn105.webp)

运营商在MPLS网络里使用三层封装来隔离不同客户的流量。

- 隧道标签：将流量从一个PE送到另一个PE。
- VC标签：标识客户的点到点的伪线。因为点到点伪线只有，所以TTL被设置成2。它是最内层的标签，所以栈底位为设置成1。
- 控制字：当PSN网络为MPLS时使用。为可选项，但是有些原生的2层协议则为要求必须有控制字。对于以太网，则为可选项。

### 4.3.1 隧道标签

- 最外层标签，决定数据包穿越MPLS网络的LSP。
- 将服务和传输解耦，它不关心具体承载的服务（PW）。
- 路径复用，多条伪线可以共用一条LSP。

### 4.3.1 VC标签

- 最内层标签，VPWS由两条单向的伪线组成，每条伪线都由下游LER给上游LER分配一个唯一的VC标签。
- VC标签可以通过T-LDP，BGP或是手工配置来分配。

### 4.3.3 控制字

![l2vpn106.jpeg](/static/img/b119a2c77abeac3ed03ea6d38cfa4223.l2vpn106.webp)

报文字段：
- 4比特0。
- 4比特的FLAG位。
- 2比特的FRG位，用来标识是否分片。第一个比特是B位也就是开始位，第二个比特是E位也就是结束位。对于未分片的数据包的B位和E位都是0。
- 6比特的长度位，在分片和填充（以太网数据帧小于64字节）的情况下，让出口PE决定原始帧的大小并移除填充比特。
- 16比特的序列号，在PSN底层网络有ECMP的情况下，出口PE使用序列号来以正确的顺序来组装数据帧。

MTU限制引起的分片流程：
- 入口PE收到客户网络的2层帧，发现它的大小大于MPLS网络的MTU。
- PE将大的数据帧分片来适应MPLS网络的MTU，封装后发给出口PE。
- 出口PE根据序列号来决定接收到数据包的顺序，根据长度位移除填充比特并得到原始数据帧的长度，最后组装回原来的数据帧发送给客户网络。

## 4.4 VPWS转发层面流程

![l2vpn107.jpeg](/static/img/2e34748a138d38c7a75183a719b0b480.l2vpn107.webp)

1. CE1发送原生的L2流量，譬如以太帧。
2. PE1压上内层标签用来识别PW或VC，再压上外层的隧道标签用于将流量送到PE2。
3. 经过P1，交换上层标签，下层标签不变。
4. P2通过次末跳弹出机制将最上层的标签弹出，将带VC标签的数据包发给PE2。
5. PE2查收VC标签对应的PW或VC，并剥离VC标签，将以太帧发送给CE2。

## 4.5 以太帧在MPLS网络中的传播

![l2vpn110.jpeg](/static/img/34ab3370e74b4a50f7cfef8b19270680.l2vpn110.webp)

入口PE在收到客户的以太帧的时候，会将最前面的前导码和最后的校验码移除。在客户以太帧头部前面封装隧道标签，VC标签和控制字。最后再封装进以太帧，以太的类型为MPLS，表示后面接的MPLS的标签而不是IP包。抓包的文件显示如下：

![l2vpn111.jpeg](/static/img/3431da75fae4a29905e71f7674c0593e.l2vpn111.webp)

当一个带有VLAN标签的以太帧到达PE的时候，这个标签有两种情况：
- 由PE前面的运营商的交换机打上的区分服务的标签。
- 客户设备产生的标签，不用于区分服务。

但是PE不会自动进行判断，而是由操作员通过配置告诉路由器怎么处理这个标签。客户的非区分服务的标签总会被携带，需要处理的是区分服务的标签。

- 接口模式/以太原生模式：将以太帧发送到伪线前剥离服务区分标签。PW类型为0x0005，同一个AC收到的以太帧都通过同一条伪线。
- VLAN模式/以太标签模式：每个以太帧都必须有服务区分标签，如缺失则加上一个占位的假标签。PW类型为0x0004，同一个AC收到的以太帧根据服务区分标签来映射到不同的伪线上。

思科设备默认使用VC类型5（接口模式）来建立伪线，如果被提议被远端PE拒绝则会使用VC类型4（VLAN模式）。也可以在配置中手工指定使用哪种类型。

## 4.6 重写操作

通过使用`rewrite ingress tag pop 1 symmetric`，入口PE将最外层的标签弹掉再进入PW，到出口PW再将标签加回去。2层TAG，则只会弹出最外层标签。

![l2vpn112.jpeg](/static/img/d31a716178016f40a65cfed6c1a0076f.l2vpn112.webp)

## 4.7 MTU

![l2vpn113.jpeg](/static/img/065ba2df87a2d7241dfd3dd5fdc14f4d.l2vpn113.webp)

VPWS不支持分片，如有超过MTU的数据包会直接丢弃且不会有任何的通知机制。

- 如果客户发送的以太帧大于AC MTU，入口AC则会丢弃此数据包。
- 经过PE处理过的客户以太帧，譬如经过rewrite处理，加上PW报头。如果这个值超过了PW的MTU，入口PE在把它发到MPLS前就丢弃此数据包。
- 经过MPLS封装后的数据，如果它大于经过的MPLS的路径上的任意一个物理接口的MTU，这个数据包会被P路由器丢弃。

没有机制去检查MPLS网络内的MTU。MPLS网络内路由器的MTU应该设置为足够大。

PW的MTU来自于AC的MTU，两端的PE会协商一个MTU值，通常是两者种小的那个值。