Layer-2 VPNs und VPLS - Ethernet über MPLS

24.06.2026 Zuletzt aktualisiert: 24.06.2026 5 Min. Lesezeit

Nachdem MPLS VPNs den Transport von Layer-3-Netzen über ein gemeinsames Backbone ermöglicht haben, folgt ein weiterer typischer Kundenwunsch im Service-Provider-Umfeld: die transparente Verlängerung von Ethernet-Segmenten über große Distanzen.

Viele Unternehmen möchten ihre Standorte so verbinden, dass sie sich weiterhin in derselben Layer-2-Domäne befinden. Für den Kunden soll es so wirken, als wären alle Standorte über einen einzigen großen Switch miteinander verbunden. IP-Routing bleibt dabei vollständig in der Verantwortung des Kunden.

Genau für diesen Anwendungsfall wurden Layer-2 VPNs entwickelt. In MPLS-Netzen ist die bekannteste und historisch wichtigste Variante das Virtual Private LAN Service, kurz VPLS.

Für die JNCIS-SP-Zertifizierung ist dieses Thema besonders relevant, da es die zuvor behandelten Layer-2- und MPLS-Konzepte zusammenführt.

Warum Layer-2-Dienste über MPLS benötigt werden

Während MPLS Layer-3 VPNs eine getrennte Routingumgebung pro Kunde bereitstellen, benötigen viele Unternehmen eine andere Art von Service.

Sie wollen:

  • eigene Broadcast-Domänen behalten,
  • eigenes Spanning Tree Design nutzen,
  • eigenes Routingprotokoll betreiben,
  • Layer-2-Konnektivität zwischen Standorten.

Typische Beispiele sind Rechenzentren, Campus-Verbindungen oder Legacy-Anwendungen, die auf Layer 2 angewiesen sind.

Ein reiner Layer-3 VPN-Service würde diese Anforderungen nicht erfüllen.

Die Grundidee von Layer-2 VPNs

Ein Layer-2 VPN transportiert Ethernet-Frames transparent durch das MPLS-Backbone.

Der Provider betrachtet die Kundendaten nicht als IP-Pakete, sondern als Ethernet-Frames.

Diese Frames werden innerhalb des MPLS-Netzes gekapselt und am Ziel wieder originalgetreu ausgeliefert.

Für den Kunden entsteht der Eindruck eines großen virtuellen Ethernet-Switches.

Die Rolle von Pseudowires

Die technische Grundlage vieler Layer-2 VPNs ist der sogenannte Pseudowire.

Ein Pseudowire ist eine virtuelle Punkt-zu-Punkt-Verbindung über ein MPLS-Netz.

Er emuliert eine direkte Layer-2-Verbindung zwischen zwei Standorten.

Mehrere Pseudowires können anschließend zu komplexeren Topologien kombiniert werden.

Diese Struktur bildet die Basis für Technologien wie VPLS.

Virtual Private LAN Service

VPLS erweitert das Konzept des Pseudowires von Punkt-zu-Punkt auf Multipoint-Konnektivität.

Alle Standorte eines Kunden werden in eine gemeinsame virtuelle Bridge-Domäne eingebunden.

Jeder Standort kann direkt mit jedem anderen kommunizieren, ohne dass Routing erforderlich ist.

Aus Sicht des Kunden verhält sich das Netzwerk wie ein großes Ethernet-LAN.

Die Rolle der Provider Edge Router

Wie bei MPLS Layer-3 VPNs spielen Provider Edge Router eine zentrale Rolle.

Sie übernehmen die Aufgabe, Ethernet-Frames zu klassifizieren, zu kapseln und weiterzuleiten.

Innerhalb des MPLS-Backbones bleibt der Datenverkehr vollständig transparent.

Core-Router sehen ausschließlich MPLS-Labels und keine Kundendaten.

Diese klare Trennung ist entscheidend für die Skalierbarkeit der Architektur.

MAC Learning im VPLS

Ein zentrales Konzept von VPLS ist das MAC Learning auf Provider-Ebene.

Da mehrere Standorte in derselben Layer-2-Domäne verbunden sind, müssen MAC-Adressen über das gesamte VPN gelernt werden.

Jeder PE-Router lernt:

  • welche MAC-Adressen an welchem Pseudowire erreichbar sind,
  • über welchen Remote-PE bestimmte Ziele erreicht werden können.

Dieses Verfahren ähnelt stark einem großen verteilten Switch.

Flooding und Broadcast-Verhalten

Da Ethernet ein broadcast-basiertes Protokoll ist, muss VPLS auch unbekannte Zieladressen unterstützen.

Wenn eine MAC-Adresse nicht bekannt ist, werden Frames an alle beteiligten Standorte geflutet.

Gleiches gilt für Broadcast- und Multicast-Verkehr.

Dieses Verhalten ist funktional notwendig, führt aber zu Skalierungsüberlegungen in großen Netzen.

Split-Horizon-Forwarding

Um Schleifen in der Layer-2-Domäne zu vermeiden, verwendet VPLS das Prinzip des Split-Horizon-Forwarding.

Ein Frame, der von einem Pseudowire empfangen wurde, wird nicht an andere Pseudowires weitergeleitet.

Dadurch wird verhindert, dass Layer-2-Schleifen entstehen.

Dieses Konzept ist essenziell für die Stabilität großer VPLS-Netze.

Hierarchische VPLS-Strukturen

In großen Service-Provider-Netzen reicht eine flache VPLS-Architektur oft nicht aus.

Stattdessen werden hierarchische Modelle eingesetzt.

Dabei werden mehrere Ebenen von PE-Routern kombiniert.

Ein Teil der Router übernimmt die Rolle von Aggregationspunkten.

Dadurch lässt sich die Skalierbarkeit deutlich verbessern.

Diese Architektur wird häufig als H-VPLS bezeichnet.

Die Kapselung von Ethernet in MPLS

Damit Ethernet-Frames über MPLS transportiert werden können, müssen sie gekapselt werden.

Der ursprüngliche Ethernet-Frame bleibt dabei vollständig erhalten.

Er wird in einen MPLS-Transport eingebettet.

Zusätzlich kann ein weiteres Label zur Identifikation des VPNs hinzugefügt werden.

Diese Kombination ermöglicht eine transparente Weiterleitung durch das Backbone.

Unterschiede zu Layer-3 VPNs

Layer-2 und Layer-3 VPNs verfolgen unterschiedliche Ansätze.

MerkmalLayer-2 VPNLayer-3 VPN
Kunde siehtEthernetIP Routing
RoutingKundeProvider
Broadcast-DomäneDurchgehendGetrennt
TechnologieVPLS / PseudowiresVRF / MP-BGP

Diese Unterschiede sind für das Verständnis der Service-Provider-Architektur entscheidend.

Vorteile von Layer-2 VPNs

Layer-2 VPNs bieten mehrere Vorteile für Kunden:

  • vollständige Kontrolle über das eigene Routing,
  • einfache Migration bestehender Netzwerke,
  • Unterstützung legacy-basierter Anwendungen,
  • flexible Standortvernetzung.

Gerade Unternehmen mit bestehenden Layer-2-Designs profitieren stark von dieser Technologie.

Nachteile und Herausforderungen

Trotz ihrer Flexibilität bringen Layer-2 VPNs auch Herausforderungen mit sich.

Broadcast-Verkehr kann sich im gesamten VPN ausbreiten.

MAC-Tabellen müssen skaliert werden.

Fehlkonfigurationen können schnell zu Schleifen führen.

Aus diesem Grund werden moderne Architekturen zunehmend durch EVPN ersetzt.

EVPN als Weiterentwicklung

EVPN wurde entwickelt, um die Skalierungsprobleme klassischer VPLS-Designs zu lösen.

Statt reines MAC Learning auf Data Plane Ebene zu verwenden, nutzt EVPN BGP-basierte Control-Plane-Informationen.

Dadurch entstehen effizientere und stabilere Layer-2 VPNs.

EVPN ist heute der moderne Standard in vielen Provider- und Datacenter-Umgebungen.

Typische Fehlerbilder

Probleme in Layer-2 VPNs entstehen häufig durch:

  • fehlende Pseudowire-Informationen,
  • MAC-Flapping,
  • falsche VLAN-Zuordnung,
  • Split-Horizon-Verletzungen,
  • inkonsistente VPLS-Konfiguration,
  • Flooding-Probleme.

Viele dieser Fehler führen zu schwer nachvollziehbaren Layer-2-Loop-Szenarien.

Relevanz für die JNCIS-SP-Prüfung

Kandidaten sollten insbesondere verstehen:

  • die Grundidee von Layer-2 VPNs,
  • die Rolle von Pseudowires,
  • MAC Learning im VPLS,
  • Flooding und Broadcast-Verhalten,
  • Split-Horizon-Forwarding,
  • Unterschiede zu Layer-3 VPNs,
  • die Rolle von EVPN als Weiterentwicklung.

Diese Themen verbinden Ethernet-Konzepte mit MPLS und bilden einen wichtigen Bestandteil der Zertifizierung.

Fazit

Layer-2 VPNs und VPLS ermöglichen die transparente Erweiterung von Ethernet-Netzen über ein MPLS-Backbone. Durch Pseudowires, MAC Learning und Split-Horizon-Mechanismen entsteht eine virtuelle Switch-Struktur, die mehrere Standorte miteinander verbindet.

Für JNCIS-SP-Kandidaten ist dieses Thema besonders wertvoll, da es die Brücke zwischen klassischen Ethernet-Konzepten und moderner MPLS-Technologie schlägt. Gleichzeitig bildet es die Grundlage für EVPN, das heute als zukunftsorientierte Weiterentwicklung dieser Architektur gilt.

Artikelserie JNCIS-SP Zertifizierung
Schlagworte Juniper JNCIS-SP MPLS VPLS L2circuit CCC