VRF技术白皮书-H3C.pdf

VRF 技术白皮书 1 原理简介 近年来网络 VPN 技术方兴未艾，日益成为业界关注的焦点。根据 VPN 实现的技术特点，可以把 VPN 技 术分为以下三类： 传统 VPN：FR 和 ATM CPE-based VPN：L2TP 和 IPSec 等 Provider Provisioned VPNs ( PP-VPN )：MPLS L2VPN 和 MPLS L3VPN。 本文介绍的 VRF 特性是 MPLS VPN 中经常使用的技术，中文含义为 VPN 路由转发实例。鉴于 VRF 与 MPLS VPN 密切相关，下面首先对 MPLS VPN 作简要介绍。 图 1 是一个典型的 MPLS L3VPN 的组网图，运营商通过自己的 IP/MPLS 核心网络为 BLUE 和 YELLOW 两个客户提供 VPN 服务。SITE1 和 SITE3 分别为 VPN BLUE 的两个站点，SITE2 和 SITE4 分别为 VPN YELLOW 的两个站点。VPN BLUE 两个站点内的主机可以互访，但不能访问 VPN YELLOW 内的主机。同 样，VPN YELLOW 两个站点内的主机可以互访，但不能访问 VPN BLUE 内的主机。从而实现了两个 VPN 间的逻辑划分和安全隔离。 CE 设备的作用是把用户网络连接到 PE，与 PE 交互 VPN 用户路由信息：向 PE 发布本地路由 并从 PE 学习远端站点路由。 PE 作用是向直连的 CE 学习路由，然后通过 IBGP 与其他 PE 交换所学的 VPN 路由。PE 设备 负责 VPN 业务的接入。 P 设备是运营商网络中不与 CE 直接相连的设备，只要支持 MPLS 转发，并不能感知到 VPN 的 存在。 图 1 上面组网中 VPN 的设计思想是很巧妙的，但存在如下几个问题： 1、 本地路由冲突问题，即：在 BLUE 和 YELLOW 两个 VPN 中可能会使用相同的 IP 地址段，比 如 10.1.1.0/24，那么在 PE 上如何区分这个地址段的路由是属于哪个 VPN 的。 2、 路由在网络中的传播问题，上述问题会在整个网络中存在。 3、 PE 向 CE 的报文转发问题，当 PE 接收到一个目的地址在 10.1.1.0/24 网段内的 IP 报文时，他 如何判断该发给哪个 VPN？ 针对上述 3 个问题，分别有以下解决方案： 1、 为了解决本地路由冲突问题，我们引入了 VRF 的概念：把每台 PE 路由器在逻辑上划分为多台 虚拟路由器，即多个 VPN 路由转发实例 VRF，每个 VRF 对应一个 VPN，有自己独立的路由表、 转发表和相应的接口。这就相当于将一台各 VPN 共享的 PE 模拟成多台专用 PE。这样 PE 与 CE 交互的路由信息只是该 VPN 的路由，从而实现了 VPN 路由的隔离。由于不同 VPN 的路由 存放在不同的 VRF 中，所以 VPN 路由重叠的问题也解决了。 2、 VPN 重叠路由在网络中的传播问题，可以在路由传递的过程中为这条路由再添加一个标识，用 以区别不同的 VPN。正常的 BGP4 协议只能传递 IPv4 的路由，由于不同 VPN 用户具有 地址空间重叠的问题，必须修改 BGP 协议。BGP 最大的优点是扩展性好，可以在原 来的基础上再定义新的属性，通过对BGP修改，把BGP4扩展成MP-BGP。在MP-IBGP 邻居间传递 VPN 用户路由时打上 RD 标记等 VPN 信息，这样 CE 传来的 VPN 用户的 IPv4 路由被 PE 转换为 VPN-IPv4 路由，这样就能保证对端 PE 能够区分开属于不同 VPN 用户的地址重叠的路由。 3、 PE 向 CE 的报文转发问题，由于 IP 报文的格式不可更改，没有什么文章可以做，但可以在 IP 头之外加上一些信息（标签），由始发的 VPN 打上标记，这样 PE 在接收报文时可以根据这个 标记进行转发。 每一个 VRF 可以看作一台虚拟的路由器，好像是一台专用的 PE 设备。该虚拟路由器 包括如下元素： 一张独立的路由表/转发表，当然也包括了独立的地址空间。 一组归属于这个