《VRF技术白皮书》由会员分享,可在线阅读,更多相关《VRF技术白皮书(33页珍藏版)》请在金锄头文库上搜索。
1、VRF技术白皮书1 原理简介近年来网络VPN技术方兴未艾,日益成为业界关注的焦点。根据VPN实现的技术特点,可以把VPN技术分为以下三类:传统VPN:FFR和ATMCPE-bassed VPPN:L2TP和IPSecc等Provideer Proovisiooned VVPNs ( PP-VVPN ):MPLS L2VPNN和MPLS L3VPNN。本文介绍的VRRF特性是MPLLS VPNN中经常使用用的技术,中中文含义为VVPN路由转转发实例。鉴鉴于VRF与MPLS VPN密切切相关,下面面首先对MPPLS VPPN作简要介介绍。图1是一个典型型的MPLSS L3VPPN的组网图图,运营商
2、通通过自己的IIP/MPLLS核心网络络为BLUEE和YELLOOW两个客户户提供VPNN服务。SITTE1和SITE33分别为VPNN BLUEE的两个站点点,SITEE2和SITE44分别为VPNN YELLLOW的两个个站点。VPPN BLUUE两个站点点内的主机可可以互访,但但不能访问VVPN YEELLOW内内的主机。同同样,VPNN YELLLOW两个站站点内的主机机可以互访,但但不能访问VVPN BLLUE内的主主机。从而实实现了两个VVPN间的逻逻辑划分和安安全隔离。CE设备的作用用是把用户网网络连接到PPE,与PE交互VPN用户路路由信息:向向PE发布本地地路由并从PPE学习
3、远端端站点路由。PE作用是向直直连的CE学习路由由,然后通过过IBGP与其其他PE交换所学学的VPN路由。PE设备负责责VPN业务的的接入。P设备是运营商商网络中不与与CE直接相连连的设备,只只要支持MPPLS转发,并并不能感知到到VPN的存在在。图1上面组网中VVPN的设计计思想是很巧巧妙的,但存存在如下几个个问题:1、 本本地路由冲突突问题,即:在BLUEE和YELLOOW两个VPN中可能能会使用相同同的IP地址段,比比如10.11.1.0/24,那么么在PE上如何区区分这个地址址段的路由是是属于哪个VVPN的。2、 路路由在网络中中的传播问题题,上述问题题会在整个网网络中存在。3、 PP
4、E向CE的报文转转发问题,当当PE接收到一一个目的地址址在10.11.1.0/24网段内内的IP报文时,他他如何判断该该发给哪个VVPN?针对上述3个问问题,分别有有以下解决方方案:1、 为了了解决本地路路由冲突问题题,我们引入了了VRF的概念念:把每台PPE路由器在在逻辑上划分分为多台虚拟拟路由器,即即多个VPNN路由转发实实例VRF,每个个VRF对应一一个VPN,有自自己独立的路路由表、转发发表和相应的的接口。这就就相当于将一一台各VPNN共享的PE模拟成多多台专用PEE。这样PE与CE交互的路路由信息只是是该VPN的路由由,从而实现现了VPN路由的的隔离。由于于不同VPNN的路由存放放在
5、不同的VVRF中,所所以VPN路由重重叠的问题也也解决了。2、 VVPN重叠路路由在网络中中的传播问题题,可以在路由由传递的过程程中为这条路路由再添加一一个标识,用用以区别不同同的VPN。正常常的BGP44协议只能传传递IPv44的路由,由由于不同VPPN用户具有有地址空间重重叠的问题,必必须修改BGGP协议。BGPP最大的优点点是扩展性好好,可以在原原来的基础上上再定义新的的属性,通过过对BGP修改,把把BGP4扩展展成MP-BBGP。在MP-IIBGP邻居居间传递VPPN用户路由由时打上RDD标记等VPNN信息,这样样CE传来的VPNN用户的IPvv4路由被PE转换为VPNN-IPv44路
6、由,这样样就能保证对对端PE能够区分分开属于不同同VPN用户的的地址重叠的的路由。3、 PPE向CE的报文转转发问题,由由于IP报文的格格式不可更改改,没有什么么文章可以做做,但可以在在IP头之外加加上一些信息息(标签),由由始发的VPPN打上标记记,这样PEE在接收报文文时可以根据据这个标记进进行转发。 每一个VRFF可以看作一一台虚拟的路路由器,好像像是一台专用用的PE设备。该该虚拟路由器器包括如下元元素:一张独立的路由由表/转发表,当当然也包括了了独立的地址址空间。一组归属于这个个VRF的接口口集合。一组只用于本VVRF的路由由协议。对于每个PE,可可以维护一个个或多个VRRF,同时维维
7、护一个公网网的路由表(也也叫全局路由由表),多个个VRF实例相相互分离独立立。实现VRRF并不困难难,关键在于于如何在PEE上使用特定定的策略规则则来协调各VVRF和全局局路由表之间间的关系。在VRF中定义义的和VPNN业务有关的的两个重要参参数是RT和RD,RT和RD长度都是是64bitt。RT是Routte Tarrget的缩缩写,RT的本质是是每个VRFF表达自己的的路由取舍及及喜好的方式式,主要用于于控制VPNN路由的发布布和安装策略略。分为immport和和exporrt两种属性性,前者表示示了我对那些些路由感兴趣趣,而后者表表示了我发出出的路由的属属性。当PEE发布路由时时,将使用
8、路路由所属VRRF的RT exxport规规则,直接发发送给其他的的PE设备。对对端PE接收路由由时,首先接接收所有的路路由,并根据据每个VRFF配置的RT的imporrt规则进行行检查,如果果与路由中的的RT属性matcch,则将该该路由加入到到相应的VRRF中。以下下图为例:SITE-1:我发的路由由是蓝色的,我我也只接收蓝蓝色的路由。SITE-2:我发的路由由是黄色的,我我也只接收黄黄色的路由。SITE-3:我发的路由由是蓝色的,我我也只接收蓝蓝色的路由。SITE-4:我发的路由由是黄色的,我我也只接收黄黄色的路由。这样,SITEE-1与SITE-3中就只有有自己和对方方的路由,两两者实
9、现了互互访。同理SSITE-22与SITE-4也一样。这这时我们就可可以把SITTE-1与SITE-3称为VPN BLUE,而而把SITEE-2与SITE-4称为VPN YELLOOW。 图2 RD是Routte Disstinguuisherr的缩写,是是说明路由属属于哪个VPPN的标志。理理论上可以为为每个VRFF配置一个RDD,通常建议议为每个VPPN的VRF都配置置相同的RDD,并且要保保证这个RDD全球唯一。如如果两个VRRF中存在相相同的地址,但但是由于RDD不同,这两两个路由在PPE间发布过过程中也不会会混淆,因为为MP BGGP把RD和路由一一起发送,对对端PE可以根据据RD确
10、定路由由所属的VPPN,从而把把路由安装到到正确的VRRF中。RD并不会影响响不同VRFF之间的路由由选择以及VVPN的形成成,这些事情情由RT搞定。PE从CE接收收的标准的路路由是IPvv4路由,如如果需要发布布给其他的PPE路由器,此此时需要为这这条路由附加加一个RD。在IPv44地址加上RDD之后,就变变成VPN-IPv4地地址族了。VVPN-IPPv4地址仅仅用于服务供供应商网络内内部。在PEE发布路由时时添加,在PPE接收路由由后放在本地地路由表中,用用来与后来接接收到的路由由进行比较。CE不知道使用的是VPN-IPv4地址。 2 组网应用用2.1 VRF与MPLS组合合应用下面以图
11、3为例例说明MPLLS VPNN与VRF的典型型应用:组网中两个用户户站点SITTE1和SITE22属于同一个个VPN,在两两个PE上分别配配置VRF参数,其其中VRF SITE11的RD=1000:1,imporrt RT =100:3,exporrt RT =100:2,VRF SSITE2的的RD=1000:1,imporrt RT =100:2,exporrt RT =100:3。通过VRFF的配置可见见:两个VRF的RRD同为100:1,说明他他们属于同一一个VPN;VRF SITTE1导入和和导出的RTT分别等于VRRF SITTE2导出和和导入的RTT,说明两个个VRF分别可可以
12、接收对方方的VPN站点内内的路由;PE连接CE的的接口与VRRF绑定,说说明该接口是是属于对于VVRF的资源源,其他VRRF和公网是是看不到的。PE和CE之间间可以运行OOSPF、RIP2、EBGP和静静态路由。运运营商网络要要求为MPLLS网络,在在PE1和PE2之间建建立LSP,同时时PE1与PE2间通过过MP-IBBGP来传播播VPN路由。BGPP和路由协议议的相关配置置请参考VRRP操作手册册和命令手册册。 图3 VPN SITTE1内的一一条路由100.10/116被通告到到VPN SSITE2的的过程如下:PE1从接口SS0/0上学学习到由CEE1通告的10.10.0.0/16的的
13、路由,由于于S0/0是绑绑定到VRFF的接口,所所以PE1把该路路由安装到对对应VRF的路由由表中,并且且分配该路由由的本地标签签,注意该标标签是本地唯唯一的。然后通过路由重重新发布把VVRF路由表表中的路由重重新发布到BBGP中,此此时通过附加加VRF表的RD、RT参数,把把正常的IPPv4路由变变成VPN-IPv4路路由,如100.10.00.0/166变成100:1:10.10.0.0/16,同同时把expport RRT值和该路路由的本地标标签值等信息息一起通过MMP-IBGGP会话通告告给PE2。PE2收到这条条VPN-IIPv4路由由后,先根据据RD确定该路路由所属的VVRF,然后
14、后去掉VPNN-IPv44路由所带的的RD值,使之之恢复IPvv4路由原貌貌,并且根据据所属VRFF配置的导入入策略(本地Impoort RTT与收到的exxport RT是否一一致)决定是否在在本地VRFF中安装此路路由。本例中中导入策略允允许,所以PPE2把10.100.0.0/16路由添添加到VRFF路由表中,同同时记录对应应的标签。PE2再通过CCE和PE之间的路路由协议,把把10.100.0.0/16路由通通过与VRFF绑定的接口口S0/1通告告出去,CEE2学习到这这条路由后把把该路由添加加到路由表中中。同样的道理SIITE2内的的路由10.11.0.0/16也也可以被CEE1学到。下面说明从CEE2 Pinng 10.10.0.0/16时时数据报文的的转发过程(假假设PE1为该路路由分配的标标签为10,从PE2到PE1的LSP标签分分别为L1、L2):
