1 原理简介 近年来网络VPN 技术方兴未艾,日益成为业界关注的焦点。根据VPN 实现的技术特点,可以把VPN 技术分为以下三类: 传统VPN: FR 和 ATM CPE-based VPN: L2TP 和 IPSec 等 Provider Provisioned VPNs ( PP-VPN ): MPLS L2VPN 和 MPLS L3VPN。 本文介绍的VRF 特性是MPLS VPN 中经常使用的技术,中文含义为VPN 路由转发实例。鉴于VRF与 MPLS VPN 密切相关,下面首先对MPLS VPN 作简要介绍。 图 1 是一个典型的MPLS L3VPN 的组网图,运营商通过自己的IP/MPLS 核心网络为BLUE 和 YELLOW两个客户提供VPN 服务。SITE1 和SITE3 分别为VPN BLUE 的两个站点,SITE2 和SITE4 分别为VPN YELLOW 的两个站点。VPN BLUE 两个站点内的主机可以互访,但不能访问VPN YELLOW 内的主机。同样,VPN YELLOW 两个站点内的主机可以互访,但不能访问VPN BLUE 内的主机。从而实现了两个VPN 间的逻辑划分和安全隔离。 CE 设备的作用是把用户网络连接到PE,与PE 交互VPN 用户路由信息:向PE 发布本地路由并从PE 学习远端站点路由。 PE 作用是向直连的CE 学习路由,然后通过IBGP 与其他PE 交换所学的VPN 路由。PE 设备负责VPN 业务的接入。 P 设备是运营商网络中不与CE 直接相连的设备,只要支持MPLS 转发,并不能感知到VPN 的存在。 图 1 上面组网中VPN 的设计思想是很巧妙的,但存在如下几个问题: 1、 本地路由冲突问题,即:在BLUE 和 YELLOW 两个VPN 中可能会使用相同的IP 地址段,比如10.1.1.0/24,那么在PE 上如何区分这个地址段的路由是属于哪个VPN 的。 2、 路由在网络中的传播问题,上述问题会在整个网络中存在。 3、 PE 向 CE 的报文转发问题,当PE 接收到一个目的地址在10.1.1.0/24 网段内的IP 报文时,他如何判断该发给哪个VPN? 针对上述3 个问题,分别有以下解决方案: 1、 为了解决本地路由冲突问题,我们引入了VRF 的概念:把每台PE 路由器在逻辑上划分为多台虚拟路由器,即多个VPN 路由转发实例VRF,每个VRF 对应一个VPN,有自己独立的路由表、转发表和相应的接口。这就相当于将一台各VPN 共享的PE 模拟成多台专用 PE。 这样PE 与 CE 交互的路由信息只是该VPN 的路由,从而实现了VPN 路由的隔离。由于不同VPN 的路由存放在不同的VRF 中,所以VPN 路由重叠的问题也解决了。 2、 VPN 重叠路由在网络中的传播问题,...