vrf白皮書

1、VRFVRF技術(shù)白皮書技術(shù)白皮書1原理簡(jiǎn)介原理簡(jiǎn)介近年來(lái)網(wǎng)絡(luò)VPN技術(shù)方興未艾，日益成為業(yè)界關(guān)注的焦點(diǎn)。根據(jù)VPN實(shí)現(xiàn)的技術(shù)特點(diǎn)，可以把VPN技術(shù)分為以下三類：傳統(tǒng)VPN：FR和ATMCPEbasedVPN：L2TP和IPSec等ProviderProvisionedVPNs(PPVPN)：MPLSL2VPN和MPLSL3VPN。本文介紹的VRF特性是MPLSVPN中經(jīng)常使用的技術(shù)，中文含義為VPN路由轉(zhuǎn)發(fā)實(shí)例。鑒于VRF與MPLSVP

2、N密切相關(guān)，下面首先對(duì)MPLSVPN作簡(jiǎn)要介紹。圖1是一個(gè)典型的MPLSL3VPN的組網(wǎng)圖，運(yùn)營(yíng)商通過(guò)自己的IPMPLS核心網(wǎng)絡(luò)為BLUE和YELLOW兩個(gè)客戶提供VPN服務(wù)。SITE1和SITE3分別為VPNBLUE的兩個(gè)站點(diǎn)，SITE2和SITE4分別為VPNYELLOW的兩個(gè)站點(diǎn)。VPNBLUE兩個(gè)站點(diǎn)內(nèi)的主機(jī)可以互訪，但不能訪問(wèn)VPNYELLOW內(nèi)的主機(jī)。同樣，VPNYELLOW兩個(gè)站點(diǎn)內(nèi)的主機(jī)可以互訪，但不能訪問(wèn)VPNBLUE

3、內(nèi)的主機(jī)。從而實(shí)現(xiàn)了兩個(gè)VPN間的邏輯劃分和安全隔離。CE設(shè)備的作用是把用戶網(wǎng)絡(luò)連接到PE，與PE交互VPN用戶路由信息：向PE發(fā)布本地路由并從PE學(xué)習(xí)遠(yuǎn)端站點(diǎn)路由。PE作用是向直連的CE學(xué)習(xí)路由，然后通過(guò)IBGP與其他PE交換所學(xué)的VPN路由。PE設(shè)備負(fù)責(zé)VPN業(yè)務(wù)的接入。P設(shè)備是運(yùn)營(yíng)商網(wǎng)絡(luò)中不與CE直接相連的設(shè)備，只要支持MPLS轉(zhuǎn)發(fā)，并不能感知到VPN的存在。圖1上面組網(wǎng)中VPN的設(shè)計(jì)思想是很巧妙的，但存在如下幾個(gè)問(wèn)題：1、本地路

4、由沖突問(wèn)題，即：在本地路由沖突問(wèn)題，即：在BLUE和YELLOW兩個(gè)兩個(gè)VPN中可能會(huì)使用相同的中可能會(huì)使用相同的IP地址段，比如地址段，比如10.1.1.024，那么在，那么在PE上如何區(qū)分這個(gè)地址段的路由是屬上如何區(qū)分這個(gè)地址段的路由是屬于哪個(gè)于哪個(gè)VPN的。的。2、路由在網(wǎng)絡(luò)中的傳播問(wèn)題，上述問(wèn)題會(huì)在整個(gè)網(wǎng)絡(luò)中存在。路由在網(wǎng)絡(luò)中的傳播問(wèn)題，上述問(wèn)題會(huì)在整個(gè)網(wǎng)絡(luò)中存在。3、PE向CE的報(bào)文轉(zhuǎn)發(fā)問(wèn)題，當(dāng)?shù)膱?bào)文轉(zhuǎn)發(fā)問(wèn)題，當(dāng)PE接收到一個(gè)

5、目的地址在接收到一個(gè)目的地址在10.1.1.024網(wǎng)段內(nèi)的網(wǎng)段內(nèi)的IP報(bào)文時(shí)，他如何判斷該發(fā)給哪個(gè)報(bào)文時(shí)，他如何判斷該發(fā)給哪個(gè)VPN？針對(duì)上述3個(gè)問(wèn)題，分別有以下解決方案：1、為了解決本地路由沖突問(wèn)題，為了解決本地路由沖突問(wèn)題，我們引入了VRF的概念：把每臺(tái)PE路由器在邏輯上劃分為多臺(tái)虛擬路由器，即多個(gè)VPN路由轉(zhuǎn)發(fā)實(shí)例VRF，每個(gè)VRF對(duì)應(yīng)一個(gè)VPN，有自己獨(dú)立的路由表、轉(zhuǎn)發(fā)表和相應(yīng)的接口。這就相當(dāng)于將一臺(tái)各VPN共享的PE模擬成多臺(tái)

6、專用PE。這樣PE與CE交互的路由信息只是該VPN的路由，從而實(shí)現(xiàn)了VPN路由的隔離。由于不同VPN的路由存放在不同的VRF中，所以VPN路由重疊的問(wèn)題也解決了。2、VPN重疊路由在網(wǎng)絡(luò)中的傳播問(wèn)題，重疊路由在網(wǎng)絡(luò)中的傳播問(wèn)題，可以在路由傳遞的過(guò)程中為這條路由再添加一個(gè)標(biāo)識(shí)，用以區(qū)別不同的VPN。正常的BGP4協(xié)議只能傳遞IPv4的路由，由于不同VPN用戶具有地址空間重疊的問(wèn)題，必須修改BGP協(xié)議。BGP最大的優(yōu)點(diǎn)是擴(kuò)展性好，可以在原來(lái)

7、的基礎(chǔ)上再定義新的屬性，通過(guò)對(duì)BGP修改，把BGP4擴(kuò)展成MPBGP。在MPIBGP鄰居間傳遞VPN用戶路由時(shí)打上RD標(biāo)記等VPN信息，這樣CE傳來(lái)的VPN用戶的IPv4路由被PE轉(zhuǎn)換為VPNIPv4路由，這樣就能保證對(duì)端PE能夠區(qū)分開屬于不同VPN用戶的地址重疊的路由。3、PE向CE的報(bào)文轉(zhuǎn)發(fā)問(wèn)題，的報(bào)文轉(zhuǎn)發(fā)問(wèn)題，由于IP報(bào)文的格式不可更改，沒(méi)有什么文章可以做，但可以在IP頭之外加上一些信息（標(biāo)簽），由始發(fā)的VPN打上標(biāo)記，這樣PE在

8、接收?qǐng)?bào)文時(shí)可以根據(jù)這個(gè)標(biāo)記進(jìn)行轉(zhuǎn)發(fā)。每一個(gè)VRF可以看作一臺(tái)虛擬的路由器，好像是一臺(tái)專用的PE設(shè)備。該虛擬路由器包括如下元素：一張獨(dú)立的路由表轉(zhuǎn)發(fā)表，當(dāng)然也包括了獨(dú)立的地址空間。一組歸屬于這個(gè)VRF的接口集合。一組只用于本VRF的路由協(xié)議。對(duì)于每個(gè)PE，可以維護(hù)一個(gè)或多個(gè)VRF，同時(shí)維護(hù)一個(gè)公網(wǎng)的路由表（也叫全局路由表），多個(gè)VRF實(shí)例相互分離獨(dú)立。實(shí)現(xiàn)VRF并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來(lái)協(xié)調(diào)各VRF和全局路由表之間

9、的關(guān)系。在VRF中定義的和VPN業(yè)務(wù)有關(guān)的兩個(gè)重要參數(shù)是RT和RD，RT和RD長(zhǎng)度都是64bit。RT是RouteTarget的縮寫，RT的本質(zhì)是每個(gè)VRF表達(dá)自己的路由取舍及喜好的方式，主要用于控制VPN路由的發(fā)布和安裝策略。分為impt和expt兩種屬性，前者表示了我對(duì)那些路由感興趣，而后者表示了我發(fā)出的路由的屬性。當(dāng)PE發(fā)布路由時(shí)，將使用路由所屬VRF的RTexpt規(guī)則，直接發(fā)送給其他的PE設(shè)備。對(duì)端PE接收路由時(shí)，首先接收所有的

10、路由，并根據(jù)每個(gè)VRF配置的RT的impt規(guī)則進(jìn)行檢查，如果與路由中的RT屬性match，則將該路由加入到相應(yīng)的VRF中。以下圖為例：SITE1：我發(fā)的路由是藍(lán)色的，我也只接收藍(lán)色的路由。SITE2：我發(fā)的路由是黃色的，我也只接收黃色的路由。SITE3：我發(fā)的路由是藍(lán)色的，我也只接收藍(lán)色的路由。SITE4：我發(fā)的路由是黃色的，我也只接收黃色的路由。這樣，SITE1與SITE3中就只有自己和對(duì)方的路由，兩者實(shí)現(xiàn)了互訪。同理SITE2與SI

11、TE4也一樣。這時(shí)我們就可以把SITE1與SITE3稱為VPNBLUE，而把SITE2與SITE4稱為VPNYELLOW。PE1從接口S00上學(xué)習(xí)到由CE1通告的10.10.0.016的路由，由于S00是綁定到VRF的接口，所以PE1把該路由安裝到對(duì)應(yīng)VRF的路由表中，并且分配該路由的本地標(biāo)簽，注意該標(biāo)簽是本地唯一的。然后通過(guò)路由重新發(fā)布把VRF路由表中的路由重新發(fā)布到BGP中，此時(shí)通過(guò)附加VRF表的RD、RT參數(shù)，把正常的IPv4路由

12、變成VPNIPv4路由，如10.10.0.016變成100:1:10.10.0.016，同時(shí)把exptRT值和該路由的本地標(biāo)簽值等信息一起通過(guò)MPIBGP會(huì)話通告給PE2。PE2收到這條VPNIPv4路由后，先根據(jù)RD確定該路由所屬的VRF，然后去掉VPNIPv4路由所帶的RD值，使之恢復(fù)IPv4路由原貌，并且根據(jù)所屬VRF配置的導(dǎo)入策略(本地ImptRT與收到的exptRT是否一致)決定是否在本地VRF中安裝此路由。本例中導(dǎo)入策略允許

13、，所以PE2把10.10.0.016路由添加到VRF路由表中，同時(shí)記錄對(duì)應(yīng)的標(biāo)簽。PE2再通過(guò)CE和PE之間的路由協(xié)議，把10.10.0.016路由通過(guò)與VRF綁定的接口S01通告出去，CE2學(xué)習(xí)到這條路由后把該路由添加到路由表中。同樣的道理SITE2內(nèi)的路由10.11.0.016也可以被CE1學(xué)到。下面說(shuō)明從CE2Ping10.10.0.016時(shí)數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)過(guò)程（假設(shè)PE1為該路由分配的標(biāo)簽為10，從PE2到PE1的LSP標(biāo)簽分別為

14、L1、L2）：圖4首先Ping包從CE2發(fā)出，為IPv4報(bào)文，在圖中用綠色方塊標(biāo)識(shí)。當(dāng)IP報(bào)文到達(dá)PE2時(shí)，PE2根據(jù)目的地址查找VRF的轉(zhuǎn)發(fā)表，發(fā)現(xiàn)該路由出標(biāo)簽為10，同時(shí)該路由下一跳為PE1，而PE1對(duì)應(yīng)的LSP標(biāo)簽為L(zhǎng)1，于是PE2給報(bào)文分別打上10、L1作為內(nèi)外層標(biāo)簽，進(jìn)行MPLS轉(zhuǎn)發(fā)。MPLS報(bào)文到達(dá)P時(shí)，P根據(jù)MPLS轉(zhuǎn)發(fā)表項(xiàng)把外層標(biāo)簽替換為L(zhǎng)2繼續(xù)轉(zhuǎn)發(fā)。MPLS報(bào)文到達(dá)PE1時(shí)，因?yàn)镻E1是LSP的終點(diǎn)，所以外層標(biāo)簽被剝掉

15、。PE1根據(jù)露出的內(nèi)層標(biāo)簽10判斷出該報(bào)文是發(fā)往SITE1所屬VPN的報(bào)文。于是PE1剝掉內(nèi)層標(biāo)簽向CE1轉(zhuǎn)發(fā)IP報(bào)文。CE1收到的是還原后的IP報(bào)文，后續(xù)處理與正常IP處理流程一樣，這里不再贅述。2.2VRFlite特性應(yīng)用特性應(yīng)用盡管VRF經(jīng)常與MPLS一起使用，但VRF也可以脫離MPLS單獨(dú)應(yīng)用。VRFlite就是典型例子。VRFlite就是在CE設(shè)備上支持VRF。圖5所示為典型MPLSVPN組網(wǎng)中用戶側(cè)網(wǎng)絡(luò)，一個(gè)企業(yè)分支內(nèi)部的三

16、個(gè)部門要求相互隔離，分別通過(guò)一臺(tái)CE連接到PE，形成一個(gè)VPN。可見(jiàn)，該分支機(jī)構(gòu)需要三臺(tái)出口路由器，三條鏈路與PE連接；同時(shí)PE需要為一個(gè)企業(yè)用戶提供三個(gè)接口，這將帶來(lái)端口、鏈路資源的浪費(fèi)，直接導(dǎo)致成本與支出的增加。圖5針對(duì)這種情況，我們引入VRFlite特性來(lái)解決問(wèn)題，即在CE上配置VRF特性。具體組網(wǎng)如圖6所示：此時(shí)企業(yè)分支只需要一臺(tái)CE路由器與PE相連，在CE上配置VRF，CE連接三個(gè)部門的接口分別與VRF綁定。同時(shí)CE只需要一條