VRF 的技术原理与配置实例 1 原理简介 近年来网络 VPN 技术方兴未艾,日益成为业界关注的焦点。根据VPN 实现的技术特点,可以把 VPN 技术分为以下三类: 传统 VPN:FR 和 ATM CPE-bas ed VPN:L2TP 和 IPSec 等 Prov ider Prov is ioned VPNs ( PP-VPN ):MPLS L2VPN 和 MPLS L3VPN。 本文介绍的 VRF 特性是 MPLS VPN 中经常使用的技术,中文含义为 VPN 路由转发实例。鉴于 VRF 与MPLS VPN 密切相关,下面首先对 MPLS VPN 作简要介绍。 图 1 是一个典型的 MPLS L3VPN 的组网图,运营商通过自己的 IP/MPLS 核心网络为 BLUE 和 YELLOW两个客户提供 VPN 服务。SITE1 和 SITE3 分别为 VPN BLUE 的两个站点,SITE2 和 SITE4 分别为 VPN YELLOW 的两个站点。VPN BLUE 两个站点内的主机可以互访,但不能访问 VPN YELLOW 内的主机。同样,VPN YELLOW 两个站点内的主机可以互访,但不能访问 VPN BLUE 内的主机。从而实现了两个 VPN间的逻辑划分和安全隔离。 CE 设备的作用是把用户网络连接到 PE,与 PE 交互 VPN 用户路由信息:向PE 发布本地路由并从 PE 学习远端站点路由。 PE 作用是向直连的 CE 学习路由,然后通过 IBGP 与其他PE 交换所学的 VPN 路由。PE 设备负责VPN 业务的接入。 P 设备是运营商网络中不与 CE 直接相连的设备,只要支持MPLS 转发,并不能感知到 VPN 的存在。 图 1 上面组网中 VPN 的设计思想是很巧妙的,但存在如下几个问题: 1、 本地路由冲突问题,即:在BLUE 和 YELLOW 两个 VPN 中可能会使用相同的 IP 地址段,比如10.1.1.0/24,那么在PE 上如何区分这个地址段的路由是属于哪个 VPN 的。 2、 路由在网络中的传播问题,上述问题会在整个网络中存在。 3、 PE 向 CE 的报文转发问题,当 PE 接收到一个目的地址在 10.1.1.0/24 网段内的 IP 报文时,他如何判断该发给哪个 VPN? 针对上述 3 个问题,分别有以下解决方案: 1、 为了解决本地路由冲突问题,我们引入了 VRF 的概念:把每台 PE 路由器在逻辑上划分为多台虚拟路由器,即多个 VPN 路由转发实例 VRF,每个 VRF 对应一个 VPN,有自己独立的路由表、转发表和相应的接口。这就相当于将一台各 VPN 共享的 PE 模拟成多台专用 PE。这样 PE 与CE 交互的路由信息只是该 VPN 的路由,从而实现了 VPN 路由的...
