資源描述:
《VRF技術(shù)白皮書-H3C》由會員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�����、VRF技術(shù)白皮書1原理簡介近年來網(wǎng)絡(luò)VPN技術(shù)方興未艾��,日益成為業(yè)界關(guān)注的焦點(diǎn)���。根據(jù)VPN實(shí)現(xiàn)的技術(shù)特點(diǎn)�,可以把VPN技術(shù)分為以下三類:傳統(tǒng)VPN:FR和ATMCPE-basedVPN:L2TP和IPSec等ProviderProvisionedVPNs(PP-VPN):MPLSL2VPN和MPLSL3VPN����。本文介紹的VRF特性是MPLSVPN中經(jīng)常使用的技術(shù),中文含義為VPN路由轉(zhuǎn)發(fā)實(shí)例��。鑒于VRF與MPLSVPN密切相關(guān)�,下面首先對MPLSVPN作簡要介紹。圖1是一個典型的MPLSL3VPN
2���、的組網(wǎng)圖�,運(yùn)營商通過自己的IP/MPLS核心網(wǎng)絡(luò)為BLUE和YELLOW兩個客戶提供VPN服務(wù)。SITE1和SITE3分別為VPNBLUE的兩個站點(diǎn)��,SITE2和SITE4分別為VPNYELLOW的兩個站點(diǎn)�����。VPNBLUE兩個站點(diǎn)內(nèi)的主機(jī)可以互訪��,但不能訪問VPNYELLOW內(nèi)的主機(jī)����。同樣,VPNYELLOW兩個站點(diǎn)內(nèi)的主機(jī)可以互訪���,但不能訪問VPNBLUE內(nèi)的主機(jī)。從而實(shí)現(xiàn)了兩個VPN間的邏輯劃分和安全隔離���。CE設(shè)備的作用是把用戶網(wǎng)絡(luò)連接到PE����,與PE交互VPN用戶路由信息:向PE發(fā)布本地路由并
3��、從PE學(xué)習(xí)遠(yuǎn)端站點(diǎn)路由。PE作用是向直連的CE學(xué)習(xí)路由���,然后通過IBGP與其他PE交換所學(xué)的VPN路由��。PE設(shè)備負(fù)責(zé)VPN業(yè)務(wù)的接入��。P設(shè)備是運(yùn)營商網(wǎng)絡(luò)中不與CE直接相連的設(shè)備����,只要支持MPLS轉(zhuǎn)發(fā)�����,并不能感知到VPN的存在�����。圖1上面組網(wǎng)中VPN的設(shè)計思想是很巧妙的����,但存在如下幾個問題:1、本地路由沖突問題�,即:在BLUE和YELLOW兩個VPN中可能會使用相同的IP地址段,比如10.1.1.0/24,那么在PE上如何區(qū)分這個地址段的路由是屬于哪個VPN的�����。2�、路由在網(wǎng)絡(luò)中的傳播問題,上述問題會在
4�����、整個網(wǎng)絡(luò)中存在���。3���、PE向CE的報文轉(zhuǎn)發(fā)問題,當(dāng)PE接收到一個目的地址在10.1.1.0/24網(wǎng)段內(nèi)的IP報文時��,他如何判斷該發(fā)給哪個VPN���?針對上述3個問題�����,分別有以下解決方案:1、為了解決本地路由沖突問題���,我們引入了VRF的概念:把每臺PE路由器在邏輯上劃分為多臺虛擬路由器���,即多個VPN路由轉(zhuǎn)發(fā)實(shí)例VRF��,每個VRF對應(yīng)一個VPN�����,有自己獨(dú)立的路由表����、轉(zhuǎn)發(fā)表和相應(yīng)的接口�。這就相當(dāng)于將一臺各VPN共享的PE模擬成多臺專用PE。這樣PE與CE交互的路由信息只是該VPN的路由��,從而實(shí)現(xiàn)了VPN路由的
5���、隔離�。由于不同VPN的路由存放在不同的VRF中���,所以VPN路由重疊的問題也解決了�。2、VPN重疊路由在網(wǎng)絡(luò)中的傳播問題���,可以在路由傳遞的過程中為這條路由再添加一個標(biāo)識�,用以區(qū)別不同的VPN�。正常的BGP4協(xié)議只能傳遞IPv4的路由,由于不同VPN用戶具有地址空間重疊的問題���,必須修改BGP協(xié)議��。BGP最大的優(yōu)點(diǎn)是擴(kuò)展性好����,可以在原來的基礎(chǔ)上再定義新的屬性�,通過對BGP修改,把BGP4擴(kuò)展成MP-BGP���。在MP-IBGP鄰居間傳遞VPN用戶路由時打上RD標(biāo)記等VPN信息�����,這樣CE傳來的VPN用戶的IP
6�����、v4路由被PE轉(zhuǎn)換為VPN-IPv4路由�����,這樣就能保證對端PE能夠區(qū)分開屬于不同VPN用戶的地址重疊的路由�。3���、PE向CE的報文轉(zhuǎn)發(fā)問題����,由于IP報文的格式不可更改�,沒有什么文章可以做,但可以在IP頭之外加上一些信息(標(biāo)簽)����,由始發(fā)的VPN打上標(biāo)記,這樣PE在接收報文時可以根據(jù)這個標(biāo)記進(jìn)行轉(zhuǎn)發(fā)�。每一個VRF可以看作一臺虛擬的路由器,好像是一臺專用的PE設(shè)備�。該虛擬路由器包括如下元素:一張獨(dú)立的路由表/轉(zhuǎn)發(fā)表,當(dāng)然也包括了獨(dú)立的地址空間���。一組歸屬于這個VRF的接口集合�。一組只用于本VRF的路由協(xié)議。
7���、對于每個PE����,可以維護(hù)一個或多個VRF��,同時維護(hù)一個公網(wǎng)的路由表(也叫全局路由表)�,多個VRF實(shí)例相互分離獨(dú)立。實(shí)現(xiàn)VRF并不困難�����,關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調(diào)各VRF和全局路由表之間的關(guān)系���。在VRF中定義的和VPN業(yè)務(wù)有關(guān)的兩個重要參數(shù)是RT和RD����,RT和RD長度都是64bit��。RT是RouteTarget的縮寫�,RT的本質(zhì)是每個VRF表達(dá)自己的路由取舍及喜好的方式,主要用于控制VPN路由的發(fā)布和安裝策略���。分為import和export兩種屬性�����,前者表示了我對那些路由感興趣���,而后
8、者表示了我發(fā)出的路由的屬性�。當(dāng)PE發(fā)布路由時,將使用路由所屬VRF的RTexport規(guī)則�����,直接發(fā)送給其他的PE設(shè)備���。對端PE接收路由時���,首先接收所有的路由,并根據(jù)每個VRF配置的RT的import規(guī)則進(jìn)行檢查����,如果與路由中的RT屬性match,則將該路由加入到相應(yīng)的VRF中�。以下圖為例:SITE-1:我發(fā)的路由是藍(lán)色的�����,我也只接收藍(lán)色的路由���。SITE-2:我發(fā)的路由是黃色的,我也只接收黃色的路由�����。SITE-3:我發(fā)的路由是藍(lán)色的��,我也只接收藍(lán)色的路由�����。SITE-4:我發(fā)的路由是黃色
