1、VRFVRF技術白皮書技術白皮書1原理簡介原理簡介近年來網(wǎng)絡VPN技術方興未艾，日益成為業(yè)界關注的焦點。根據(jù)VPN實現(xiàn)的技術特點，可以把VPN技術分為以下三類：傳統(tǒng)VPN：FR和ATMCPEbasedVPN：L2TP和IPSec等ProviderProvisionedVPNs(PPVPN)：MPLSL2VPN和MPLSL3VPN。本文介紹的VRF特性是MPLSVPN中經(jīng)常使用的技術，中文含義為VPN路由轉發(fā)實例。鑒于VRF與MPLSVP

2、N密切相關，下面首先對MPLSVPN作簡要介紹。圖1是一個典型的MPLSL3VPN的組網(wǎng)圖，運營商通過自己的IPMPLS核心網(wǎng)絡為BLUE和YELLOW兩個客戶提供VPN服務。SITE1和SITE3分別為VPNBLUE的兩個站點，SITE2和SITE4分別為VPNYELLOW的兩個站點。VPNBLUE兩個站點內的主機可以互訪，但不能訪問VPNYELLOW內的主機。同樣，VPNYELLOW兩個站點內的主機可以互訪，但不能訪問VPNBLUE

3、內的主機。從而實現(xiàn)了兩個VPN間的邏輯劃分和安全隔離。CE設備的作用是把用戶網(wǎng)絡連接到PE，與PE交互VPN用戶路由信息：向PE發(fā)布本地路由并從PE學習遠端站點路由。PE作用是向直連的CE學習路由，然后通過IBGP與其他PE交換所學的VPN路由。PE設備負責VPN業(yè)務的接入。P設備是運營商網(wǎng)絡中不與CE直接相連的設備，只要支持MPLS轉發(fā)，并不能感知到VPN的存在。圖1上面組網(wǎng)中VPN的設計思想是很巧妙的，但存在如下幾個問題：1、本地路

4、由沖突問題，即：在本地路由沖突問題，即：在BLUE和YELLOW兩個兩個VPN中可能會使用相同的中可能會使用相同的IP地址段，比如地址段，比如10.1.1.024，那么在，那么在PE上如何區(qū)分這個地址段的路由是屬上如何區(qū)分這個地址段的路由是屬于哪個于哪個VPN的。的。2、路由在網(wǎng)絡中的傳播問題，上述問題會在整個網(wǎng)絡中存在。路由在網(wǎng)絡中的傳播問題，上述問題會在整個網(wǎng)絡中存在。3、PE向CE的報文轉發(fā)問題，當?shù)膱笪霓D發(fā)問題，當PE接收到一個

5、目的地址在接收到一個目的地址在10.1.1.024網(wǎng)段內的網(wǎng)段內的IP報文時，他如何判斷該發(fā)給哪個報文時，他如何判斷該發(fā)給哪個VPN？針對上述3個問題，分別有以下解決方案：1、為了解決本地路由沖突問題，為了解決本地路由沖突問題，我們引入了VRF的概念：把每臺PE路由器在邏輯上劃分為多臺虛擬路由器，即多個VPN路由轉發(fā)實例VRF，每個VRF對應一個VPN，有自己獨立的路由表、轉發(fā)表和相應的接口。這就相當于將一臺各VPN共享的PE模擬成多臺

6、專用PE。這樣PE與CE交互的路由信息只是該VPN的路由，從而實現(xiàn)了VPN路由的隔離。由于不同VPN的路由存放在不同的VRF中，所以VPN路由重疊的問題也解決了。2、VPN重疊路由在網(wǎng)絡中的傳播問題，重疊路由在網(wǎng)絡中的傳播問題，可以在路由傳遞的過程中為這條路由再添加一個標識，用以區(qū)別不同的VPN。正常的BGP4協(xié)議只能傳遞IPv4的路由，由于不同VPN用戶具有地址空間重疊的問題，必須修改BGP協(xié)議。BGP最大的優(yōu)點是擴展性好，可以在原來

7、的基礎上再定義新的屬性，通過對BGP修改，把BGP4擴展成MPBGP。在MPIBGP鄰居間傳遞VPN用戶路由時打上RD標記等VPN信息，這樣CE傳來的VPN用戶的IPv4路由被PE轉換為VPNIPv4路由，這樣就能保證對端PE能夠區(qū)分開屬于不同VPN用戶的地址重疊的路由。3、PE向CE的報文轉發(fā)問題，的報文轉發(fā)問題，由于IP報文的格式不可更改，沒有什么文章可以做，但可以在IP頭之外加上一些信息（標簽），由始發(fā)的VPN打上標記，這樣PE在

8、接收報文時可以根據(jù)這個標記進行轉發(fā)。每一個VRF可以看作一臺虛擬的路由器，好像是一臺專用的PE設備。該虛擬路由器包括如下元素：一張獨立的路由表轉發(fā)表，當然也包括了獨立的地址空間。一組歸屬于這個VRF的接口集合。一組只用于本VRF的路由協(xié)議。對于每個PE，可以維護一個或多個VRF，同時維護一個公網(wǎng)的路由表（也叫全局路由表），多個VRF實例相互分離獨立。實現(xiàn)VRF并不困難，關鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調各VRF和全局路由表之間

9、的關系。在VRF中定義的和VPN業(yè)務有關的兩個重要參數(shù)是RT和RD，RT和RD長度都是64bit。RT是RouteTarget的縮寫，RT的本質是每個VRF表達自己的路由取舍及喜好的方式，主要用于控制VPN路由的發(fā)布和安裝策略。分為impt和expt兩種屬性，前者表示了我對那些路由感興趣，而后者表示了我發(fā)出的路由的屬性。當PE發(fā)布路由時，將使用路由所屬VRF的RTexpt規(guī)則，直接發(fā)送給其他的PE設備。對端PE接收路由時，首先接收所有的

10、路由，并根據(jù)每個VRF配置的RT的impt規(guī)則進行檢查，如果與路由中的RT屬性match，則將該路由加入到相應的VRF中。以下圖為例：SITE1：我發(fā)的路由是藍色的，我也只接收藍色的路由。SITE2：我發(fā)的路由是黃色的，我也只接收黃色的路由。SITE3：我發(fā)的路由是藍色的，我也只接收藍色的路由。SITE4：我發(fā)的路由是黃色的，我也只接收黃色的路由。這樣，SITE1與SITE3中就只有自己和對方的路由，兩者實現(xiàn)了互訪。同理SITE2與SI

11、TE4也一樣。這時我們就可以把SITE1與SITE3稱為VPNBLUE，而把SITE2與SITE4稱為VPNYELLOW。PE1從接口S00上學習到由CE1通告的10.10.0.016的路由，由于S00是綁定到VRF的接口，所以PE1把該路由安裝到對應VRF的路由表中，并且分配該路由的本地標簽，注意該標簽是本地唯一的。然后通過路由重新發(fā)布把VRF路由表中的路由重新發(fā)布到BGP中，此時通過附加VRF表的RD、RT參數(shù)，把正常的IPv4路由

12、變成VPNIPv4路由，如10.10.0.016變成100:1:10.10.0.016，同時把exptRT值和該路由的本地標簽值等信息一起通過MPIBGP會話通告給PE2。PE2收到這條VPNIPv4路由后，先根據(jù)RD確定該路由所屬的VRF，然后去掉VPNIPv4路由所帶的RD值，使之恢復IPv4路由原貌，并且根據(jù)所屬VRF配置的導入策略(本地ImptRT與收到的exptRT是否一致)決定是否在本地VRF中安裝此路由。本例中導入策略允許

13、，所以PE2把10.10.0.016路由添加到VRF路由表中，同時記錄對應的標簽。PE2再通過CE和PE之間的路由協(xié)議，把10.10.0.016路由通過與VRF綁定的接口S01通告出去，CE2學習到這條路由后把該路由添加到路由表中。同樣的道理SITE2內的路由10.11.0.016也可以被CE1學到。下面說明從CE2Ping10.10.0.016時數(shù)據(jù)報文的轉發(fā)過程（假設PE1為該路由分配的標簽為10，從PE2到PE1的LSP標簽分別為

14、L1、L2）：圖4首先Ping包從CE2發(fā)出，為IPv4報文，在圖中用綠色方塊標識。當IP報文到達PE2時，PE2根據(jù)目的地址查找VRF的轉發(fā)表，發(fā)現(xiàn)該路由出標簽為10，同時該路由下一跳為PE1，而PE1對應的LSP標簽為L1，于是PE2給報文分別打上10、L1作為內外層標簽，進行MPLS轉發(fā)。MPLS報文到達P時，P根據(jù)MPLS轉發(fā)表項把外層標簽替換為L2繼續(xù)轉發(fā)。MPLS報文到達PE1時，因為PE1是LSP的終點，所以外層標簽被剝掉

15、。PE1根據(jù)露出的內層標簽10判斷出該報文是發(fā)往SITE1所屬VPN的報文。于是PE1剝掉內層標簽向CE1轉發(fā)IP報文。CE1收到的是還原后的IP報文，后續(xù)處理與正常IP處理流程一樣，這里不再贅述。2.2VRFlite特性應用特性應用盡管VRF經(jīng)常與MPLS一起使用，但VRF也可以脫離MPLS單獨應用。VRFlite就是典型例子。VRFlite就是在CE設備上支持VRF。圖5所示為典型MPLSVPN組網(wǎng)中用戶側網(wǎng)絡，一個企業(yè)分支內部的三

16、個部門要求相互隔離，分別通過一臺CE連接到PE，形成一個VPN?？梢?，該分支機構需要三臺出口路由器，三條鏈路與PE連接；同時PE需要為一個企業(yè)用戶提供三個接口，這將帶來端口、鏈路資源的浪費，直接導致成本與支出的增加。圖5針對這種情況，我們引入VRFlite特性來解決問題，即在CE上配置VRF特性。具體組網(wǎng)如圖6所示：此時企業(yè)分支只需要一臺CE路由器與PE相連，在CE上配置VRF，CE連接三個部門的接口分別與VRF綁定。同時CE只需要一條