虚拟专用局域网服务(VPLS)是一种广域网(WAN)配置,使用 IP/MPLS 主干网连接远程站点。
阅读本文后,您将能够:
复制文章链接
虚拟专用局域网服务(VPLS)属于虚拟专用网络(VPN)技术的一种,依托运营商管理的 IP/MPLS 骨干网络,将多个远端站点接入至同一个共享式以太网广播域内。该技术适用于设有多处分支机构的企业机构,以简化网络管理工作,并提供高性能的网络连接体验。本质上,VPLS 让企业所有分散办公地点,无论处于什么地理位置,都如同直接接入同一本地局域网一般。
VPLS 经常作为一种广域网 (WAN) 解决方案使用,利用服务提供商核心 MPLS 网络的可扩展性和可靠性。由于 VPLS 在 OSI 模型第二层运行,它可以直接处理以太网帧(第二层的数据单元,类似于网络层的数据包),无需在客户站点进行复杂的路由配置。它允许企业使用安全的高速隧道连接各个局域网(LAN)。这对于需要最大限度减少实时应用(如语音和视频)延迟的企业尤其重要。
VPLS 依赖于服务提供商的网络基础设施,特别是位于网络边界的提供商边界(PE)路由器和位于客户站点的客户边界(CE)设备。PE 路由器学习客户的媒体访问控制(MAC)地址,其工作原理类似于大型交换机。这些路由器在核心 MPLS 网络中创建“全网状”虚拟连接(伪线),确保任意两个客户站点间的互联。
VPLS 运行于第二层(数据链路层),可以透明地跨广域网桥接以太网帧。这表示客户网络流量可以在 VPLS 上传输,而无需了解底层 MPLS 网络。服务提供商使用 MPLS 标签逻辑隔离流量,并在其专用骨干网内安全地路由客户数据。
PLS 实现的核心技术特性:
依托硬件完成配置后,VPLS 路由策略与承载容量基本固定不可更改。虽然它能够有效连接分支机构,但远程办公人员和云计算可能的加入可能导致性能下降。由于 VPLS 专为站点间流量传输设计,分支机构与外部目标地址往来的网络流量,可能会选择非最优传输路径。访问 SaaS 应用的流量通常需从中心枢纽或数据中心流出 VPLS 网络。中央枢纽可能会成为瓶颈,当流量超过带宽时,进一步降低服务质量。
VPLS 也会产生横向移动风险,因为它没有原生分段或 Zero Trust 控制。部署 VPLS 网络的企业,实质上采用了城堡护城河式安全防护架构,这种架构仅侧重防护网络边界,而一旦攻击者突破防线进入内网,便可在其中肆意横向移动。
软件定义广域网 (SD-WAN) 是一个整合多种连接类型的模型,包括租赁线路、5G、互联网和云网络路由。因此相较于 VPLS,其具备更高灵活性,也能更好地适配现代业务需求。SD-WAN 减少了对网络流量中心枢纽的依赖。采用 SD-WAN 也可作为向安全访问服务边缘(SASE)架构转型的重要一步,该架构能够将 Zero Trust 安全能力与各类网络服务实现原生融合。
| VPLS | SASE |
| 站点间流量 | 用户可以位于任何地方 |
| 流量流经中央枢纽 | 灵活路由 |
| 带宽固定不变 | 带宽不受硬件限制 |
| 横向移动风险 | Zero Trust 安全 |
虚拟专用局域网服务 (VPLS) 是一种虚拟专用网络 (VPN) 技术,可以将多个远程位置连接成一个共享的以太网广播域。
拥有多个分公司的企业常常选用 VPLS,因其可简化网络管理并提供高性能连接。
VPLS 依赖提供商边缘 (PE) 路由器和客户边缘 (CE) 设备。这些路由器在核心 MPLS 网络中创建“全网状”虚拟连接(伪线),确保任意两个客户站点间的互联。
服务提供商使用 MPLS 标签逻辑隔离流量,并在其专用骨干网内安全地路由客户数据。然而,VPLS 缺乏内置的 Zero Trust 控制,如果攻击者通过遭入侵的用户账户或恶意软件感染的设备进入网络,就会带来横向移动风险。
与 VPLS 不同,软件定义广域网 (SD-WAN) 使用多种连接类型,如 5G 和公共互联网,以提供更大的灵活性。SD-WAN 减少了对中央枢纽的需求,从而更好地兼容云环境。SD-WAN 可以更轻松地将 Zero Trust 安全作为安全访问服务边缘 (SASE) 部署的一部分集成。