1.Kompella二层VPN

  Kompella方案在实施二层VPN时分为以下三步：

  第一步，建立LSP。网络在PE路由器间事先建立LSP，可采用RSVP－TE，LDP或CR－LDP中的任一种方法。这些LSP可被用于多种业务，包括传统Internet、二层VPN、三层VPN等。这一步实际上是网络提供商实施MPLS的一个必要步骤，与二层VPN的实施相对独立。

  第二步，在PE路由器上实施VPN信息。这一步实际上是控制平面建立VPN数据传输通道的过程，是实施二层VPN的关键。首先，在PE2路由器上为每一个连接到它的CE设备建立一个VPN转发表（VFT），这个转发表包括该CE设备的身份识别码（ID）、可连接CE设备的最大数目N、标记值范围（预留N个连续的标记）、使用边界网关协议（BGP）时的路由目标共同体标识或使用标记分发协议（LDP）时的VPN ID，分配给CE－PE连接的一组本地子接口ID。其次，为每个CE设备配置VFT表（这里以配置CE3的VFT为例），为VFT中的每个子接口ID分配相应的标记，即要到达CE3的其他CE设备需要使用的VPN标记，如子接口数据链路连接标识（DLCI）＝44时，VPN标记＝300；然后使用BGP协议来实现成员自动发现和成员间链路自动分配，使用基于BGP路由目标共同体和目的地址的路由过滤来配置VPN拓扑。接下来，PE2利用BGP或LDP协议向拓扑中的其他VPN成员（如PE1）发布VPN连接表（VCT），其中VCT是VFT的子集，包含VFT中除本地子接口ID之外的前四项。收到VCT的PE1路由器更新自己VFT中相关的子接口ID列表， 如子接口DLCI＝33是用于CE1去往CE3的，则为该子接口添加其VPN标记＝300和相应的PE1到PE2的LSP隧道的LSP标记101。类似地可以配置其他VPN信息。

  第三步，实施VPN数据转发。数据沿第二步建立的VPN通道转发的详细过程。CE1发往CE3的数据以DLCI＝33发往PE1，在PE1处查找相应的VFT，将数据的帧中继头去掉，压入两层标记（VPN标记和LSP标记），核心网中的P路由器象处理普通MPLS分组一样只是根据LSP标记进行交换，根本不知道VPN的存在，直到出口前，执行倒数第二跳弹栈（pop）。在PE2处再根据VPN标记，查找相应的VFT表，用子接口DLCI＝44恢复二层数据格式并转发给CE3。

  2.Martini二层VPN

  Martini二层VPN方案与Kompella二层VPN方案类似，数据转发过程也采用两层标记堆栈来提高转发状态的可扩展性，只是在Martini二层VPN方案中内部标记被称为虚链路（VC）标记，而不是VPN标记，外部标记仍称为LSP隧道标记。在控制平面，Martini二层VPN方案采用LDP来更新相应的接口信息，建立VPN通道。为此不同于发布VCT表，Martini二层VPN方案定义了一个新的虚链路类型长度值（TLV）参数，在LDP的标记映射和标记撤销消息中携带。这个VC TLV中包括面向CE设备的接口参数、接口的最大传输单元（MTU）、连接ATM信元的最大数量等信息。另外Martini二层VPN方案定义了在两层标记和数据净荷之间可选的一个32bit的控制字选项，可用于排序、对小数据包的填充以及与数据链路层协议相关的控制位的传送。其他的控制和处理过程与Kompella二层VPN方案相同。

[1]  [2]  [3]  [4]