1、VRF的技術(shù)原理與配置實例原理簡介近年來網(wǎng)絡VPN技術(shù)方興未艾，日益成為業(yè)界關(guān)注的焦點。根據(jù)VPN實現(xiàn)的技術(shù)特點，可以把VPN技術(shù)分為以下三類：傳統(tǒng)VPN：FR和ATMCPE-basedVPN：L2TP和IPSec等ProviderProvisionedVPNs(PP-VPN)：MPLSL2VPN和MPLSL3VPN。本文介紹的VRF特性是MPLSVPN中經(jīng)常使用的技術(shù)，中文含義為VPN路由轉(zhuǎn)發(fā)實例。鑒于VRF與MPLSVPN密切相關(guān)，下面首先對MPLSVPN作簡要介紹。圖1是一個典型的MPLSL3VPN的組網(wǎng)圖，運營商通過自己的IP/MPLS核心網(wǎng)絡為BLUE和YELLOW兩個客戶提供VPN

2、服務。SITE1和SITE3分別為VPNBLUE的兩個站點，SITE2和SITE4分別為VPNYELLOW的兩個站點。VPNBLUE兩個站點內(nèi)的主機可以互訪，但不能訪問VPNYELLOW內(nèi)的主機。同樣，VPNYELLOW兩個站點內(nèi)的主機可以互訪，但不能訪問VPNBLUE內(nèi)的主機。從而實現(xiàn)了兩個VPN間的邏輯劃分和安全隔離。CE設備的作用是把用戶網(wǎng)絡連接到PE，與PE交互VPN用戶路由信息：向PE發(fā)布本地路由并從PE學習遠端站點路由。PE作用是向直連的CE學習路由，然后通過IBGP與其他PE交換所學的VPN路由。PE設備負責VPN業(yè)務的接入。P設備是運營商網(wǎng)絡中不與CE直接相連的設備，只要支持M

3、PLS轉(zhuǎn)發(fā)，并不能感知到VPN的存在。;Ill:.1.:.1.-:.1.:-:-:.1.:-:“Ila:-:-c“.:A;=:.1-:-:-:-:Ill:.1.:.1.:.:;-;:-=.l.:-:-=.l.:-:-=:,=MT-:K；*；KI-；I-;-;-;SITE410圖1上面組網(wǎng)中VPN的設計思想是很巧妙的，但存在如下幾個問題：1、本地路由沖突問題，即：在BLUE和YELLOW兩個VPN中可能會使用相同的IP地址段，比如10.1.1.0/24，那么在PE上如何區(qū)分這個地址段的路由是屬于哪個VPN的。2、路由在網(wǎng)絡中的傳播問題，上述問題會在整個網(wǎng)絡中存在。3、PE向CE的報文轉(zhuǎn)發(fā)問題，當

4、PE接收到一個目的地址在10.1.1.0/24網(wǎng)段內(nèi)的IP報文時，他如何判斷該發(fā)給哪個VPN？針對上述3個問題，分別有以下解決方案：1、為了解決本地路由沖突問題，我們引入了VRF的概念：把每臺PE路由器在邏輯上劃分為多臺虛擬路由器，即多個VPN路由轉(zhuǎn)發(fā)實例VRF,每個VRF對應一個VPN,有自己獨立的路由表、轉(zhuǎn)發(fā)表和相應的接口。這就相當于將一臺各VPN共享的PE模擬成多臺專用PE。這樣PE與CE交互的路由信息只是該VPN的路由，從而實現(xiàn)了VPN路由的隔離。由于不同VPN的路由存放在不同的VRF中，所以VPN路由重疊的問題也解決了。2、VPN重疊路由在網(wǎng)絡中的傳播問題，可以在路由傳遞的過程中為這

5、條路由再添加一個標識，用以區(qū)別不同的VPN。正常的BGP4協(xié)議只能傳遞IPv4的路由，由于不同VPN用戶具有地址空間重疊的問題，必須修改BGP協(xié)議。BGP最大的優(yōu)點是擴展性好，可以在原來的基礎上再定義新的屬性，通過對BGP修改，把BGP4擴展成MP-BGP。在MP-IBGP鄰居間傳遞VPN用戶路由時打上RD標記等VPN信息，這樣CE傳來的VPN用戶的IPv4路由被PE轉(zhuǎn)換為VPN-IPv4路由，這樣就能保證對端PE能夠區(qū)分開屬于不同VPN用戶的地址重疊的路由。3、PE向CE的報文轉(zhuǎn)發(fā)問題，由于IP報文的格式不可更改，沒有什么文章可以做，但可以在IP頭之外加上一些信息（標簽），由始發(fā)的VPN打上

6、標記，這樣PE在接收報文時可以根據(jù)這個標記進行轉(zhuǎn)發(fā)。每一個VRF可以看作一臺虛擬的路由器，好像是一臺專用的PE設備。該虛擬路由器包括如下元素：一張獨立的路由表/轉(zhuǎn)發(fā)表，當然也包括了獨立的地址空間。一組歸屬于這個VRF的接口集合。一組只用于本VRF的路由協(xié)議。對于每個PE，可以維護一個或多個VRF,同時維護一個公網(wǎng)的路由表（也叫全局路由表），多個VRF實例相互分離獨立。實現(xiàn)VRF并不困難，關(guān)鍵在于如何在PE上使用特定的策略規(guī)則來協(xié)調(diào)各VRF和全局路由表之間的關(guān)系。在VRF中定義的和VPN業(yè)務有關(guān)的兩個重要參數(shù)是RT和RD，RT和RD長度都是64bit。RT是RouteTarget的縮寫，RT的本

7、質(zhì)是每個VRF表達自己的路由取舍及喜好的方式，主要用于控制VPN路由的發(fā)布和安裝策略。分為import和export兩種屬性，前者表示了我對那些路由感興趣，而后者表示了我發(fā)出的路由的屬性。當PE發(fā)布路由時，將使用路由所屬VRF的RTexport規(guī)則，直接發(fā)送給其他的PE設備。對端PE接收路由時，首先接收所有的路由，并根據(jù)每個VRF配置的RT的import規(guī)則進行檢查，如果與路由中的RT屬性match，則將該路由力口入到相應的VRF中。以下圖為例：SITE-1：我發(fā)的路由是藍色的，我也只接收藍色的路由。SITE-2：我發(fā)的路由是黃色的，我也只接收黃色的路由。SITE-3：我發(fā)的路由是藍色的，我也

8、只接收藍色的路由。SITE-4：我發(fā)的路由是黃色的，我也只接收黃色的路由。這樣，SITE-1與SITE-3中就只有自己和對方的路由，兩者實現(xiàn)了互訪。同理SITE-2與SITE-4也一樣。這時我們就可以把SITE-1與SITE-3稱為VPNBLUE，而把SITE-2與SITE-4稱為VPNYELLOW。IMHEUSITE4mil加圖2RD是RouteDistinguisher的縮寫，是說明路由屬于哪個VPN的標志。理論上可以為每個VRF配置一個RD，通常建議為每個VPN的VRF都配置相同的RD，并且要保證這個RD全球唯一。如果兩個VRF中存在相同的地址，但是由于RD不同，這兩個路由在PE間發(fā)布過

9、程中也不會混淆，因為MPBGP把RD和路由一起發(fā)送，對端PE可以根據(jù)RD確定路由所屬的VPN，從而把路由安裝到正確的VRF中。RD并不會影響不同VRF之間的路由選擇以及VPN的形成，這些事情由RT搞定。PE從CE接收的標準的路由是IPv4路由，如果需要發(fā)布給其他的PE路由器，此時需要為這條路由附加一個RD。在IPv4地址加上RD之后，就變成VPN-IPv4地址族了。VPN-IPv4地址僅用于服務供應商網(wǎng)絡內(nèi)部。在PE發(fā)布路由時添加，在PE接收路由后放在本地路由表中，用來與后來接收到的路由進行比較。CE不知道使用的是VPN-IPv4地址。組網(wǎng)應用VRF與MPLS組合應用下面以圖3為例說明MPLS

10、VPN與VRF的典型應用：組網(wǎng)中兩個用戶站點SITE1和SITE2屬于同一個VPN,在兩個PE上分別配置VRF參數(shù)，其中VRFSITE1的RD=100:1，importRT=100:3,exportRT=100:2,VRFSITE2的RD=100:1,importRT=100:2,exportRT=100:3。通過VRF的配置可見：兩個VRF的RD同為100:1，說明他們屬于同一個VPN；VRFSITE1導入和導出的RT分別等于VRFSITE2導出和導入的RT,說明兩個VRF分別可以接收對方的VPN站點內(nèi)的路由；PE連接CE的接口與VRF綁定，說明該接口是屬于對于VRF的資源，其他VRF和公網(wǎng)

11、是看不到的。PE和CE之間可以運行OSPF、RIP2、EBGP和靜態(tài)路由。運營商網(wǎng)絡要求為MPLS網(wǎng)絡,在PE1和PE2之間建立LSP，同時PE1與PE2間通過MP-IBGP來傳播VPN路由。BGP和路由協(xié)議的相關(guān)配置請參考VRP操作手冊和命令手冊。anceSitelroute-distinguisher100:1vpn4arget100:2eort-communityvpn4arget100:3import-communityvpn4arget100:3export-communityvpn4arget100:2import-communityIE!VKFSITE1Km.it；interfa

12、cesO/Oipbinding-vpn-instanceSitelipaddress100.10.0.2255.255.0.0interfaces0/0ipbinding-vpn-instanceSite2ipaddress100.11.0.2255.255.0.0Zipvpn-instanceSite2route-distinguisher100:1圖3VPNSITE1內(nèi)的一條路由10.10/16被通告到VPNSITE2的過程如下：PE1從接口S0/0上學習到由CE1通告的10.10.0.0/16的路由，由于S0/0是綁定到VRF的接口，所以PE1把該路由安裝到對應VRF的路由表中，并且分配

13、該路由的本地標簽，注意該標簽是本地唯一的。然后通過路由重新發(fā)布把VRF路由表中的路由重新發(fā)布到BGP中，此時通過附加VRF表的RD、RT參數(shù)，把正常的IPv4路由變成VPN-IPv4路由，如10.1000/16變成100:1:10.1000/16,同時把exportRT值和該路由的本地標簽值等信息一起通過MP-IBGP會話通告給PE2。PE2收到這條VPN-IPv4路由后，先根據(jù)RD確定該路由所屬的VRF，然后去掉VPN-IPv4路由所帶的RD值，使之恢復IPv4路由原貌,并且根據(jù)所屬VRF配置的導入策略（本地ImportRT與收到的exportRT是否一致）決定是否在本地VRF中安裝此路由。

14、本例中導入策略允許，所以PE2把10.10.0.0/16路由添加到VRF路由表中，同時記錄對應的標簽。PE2再通過CE和PE之間的路由協(xié)議，把10.10.0.0/16路由通過與VRF綁定的接口S0/1通告出去，CE2學習到這條路由后把該路由添加到路由表中。同樣的道理SITE2內(nèi)的路由10.11.0.0/16也可以被CE1學到。下面說明從CE2Ping10.1000/16時數(shù)據(jù)報文的轉(zhuǎn)發(fā)過程（假設PE1為該路由分配的標簽為10,從PE2到PE1的LSP標簽分別為L1、L2）：L2=1L1010.016SrTE210.11/16ActionPOPFWDOutLabelL2InLabelL210In

15、LabelL110PE1DestinationOutLabel10.10.0.0/1610PE1L1CE2圖4首先Ping包從CE2發(fā)出，為IPv4報文，在圖中用綠色方塊標識。當IP報文到達PE2時，PE2根據(jù)目的地址查找VRF的轉(zhuǎn)發(fā)表，發(fā)現(xiàn)該路由出標簽為10,同時該路由下一跳為PE1，而PE1對應的LSP標簽為L1,于是PE2給報文分別打上10、L1作為內(nèi)外層標簽，進行MPLS轉(zhuǎn)發(fā)。MPLS報文到達P時，P根據(jù)MPLS轉(zhuǎn)發(fā)表項把外層標簽替換為L2繼續(xù)轉(zhuǎn)發(fā)。MPLS報文到達PE1時，因為PE1是LSP的終點，所以外層標簽被剝掉。PE1根據(jù)露出的內(nèi)層標簽10判斷出該報文是發(fā)往SITE1所屬VPN

16、的報文。于是PE1剝掉內(nèi)層標簽向CE1轉(zhuǎn)發(fā)IP報文。CE1收到的是還原后的IP報文，后續(xù)處理與正常IP處理流程一樣，這里不再贅述。VRFlite特性應用盡管VRF經(jīng)常與MPLS起使用，但VRF也可以脫離MPLS單獨應用。VRFlite就是典型例子。VRFlite就是在CE設備上支持VRF。圖5所示為典型MPLSVPN組網(wǎng)中用戶側(cè)網(wǎng)絡，一個企業(yè)分支內(nèi)部的三個部門要求相互隔離，分別通過一臺CE連接到PE,形成一個VPN?？梢姡摲种C構(gòu)需要三臺出口路由器，三條鏈路與PE連接；同時PE需要為一個企業(yè)用戶提供三個接口，這將帶來端口、鏈路資源的浪費，直接導致成本與支出的增加。CE1人事圖5針對這種情況，

17、我們引入VRFlite特性來解決問題，即在CE上配置VRF特性。具體組網(wǎng)如圖6所示：此時企業(yè)分支只需要一臺CE路由器與PE相連，在CE上配置VRF,CE連接三個部門的接口分別與VRF綁定。同時CE只需要一條物理鏈路與PE相連，并通過鏈路的子接口分別與VRF綁定，完成CE與PE上對應VRF的邏輯連接。PE與CE可以在各個VRF中運行動態(tài)路由協(xié)議完成VPN路由交換。PE上的配置和圖5中的一樣，需要配置VRF和MP-IBGP。圖6這種方案的優(yōu)點有：只需要一個CE,比多CE情況簡化了網(wǎng)絡的配置和管理；PE與CE間只需一條物理鏈路；節(jié)省了PE端口資源；允許企業(yè)內(nèi)部不同部門間的地址重疊；應用場合VRF特性

18、用于實現(xiàn)VPN的需求，可以與MPLS配合使用，也可以單獨組網(wǎng)應用配置舉例4.1VRF與MPLS組合應用圖3所示的組網(wǎng)配置如下：CE1配置：sysnameCE1#domainsystem#controllerT33/0usingt3#interfaceAux0asyncmodeflow#interfaceEthernet0/0/*連接site1內(nèi)的網(wǎng)絡*/ipaddress10.10.0.1255.255.0.0#interfaceEthernet0/1#interfaceSerial3/0/0link-protocolpppipaddress100.10.0.1255.255.0.0#inte

19、rfaceNULL0#interfaceLoopBack9ipaddress28.40.1.1255.255.255.255#ospf1import-routedirectarea0.0.0.0network100.10.0.00.0.255.255#user-interfacecon0idle-timeout00user-interfaceaux0user-interfacevty04#returnPE1配置：#sysnamePE1#mplslsr-id28.40.1.2#/*公網(wǎng)運行MPLS*/mpls#mplsldp#/*VRF配置*/ipvpn-instancesite1route-d

20、istinguisher100:1vpn-target100:2export-extcommunityvpn-target100:3import-extcommunity#domainsystem#controllerT33/0usingt3#interfaceAux0asyncmodeflow#interfaceEthernet0/0/*連接P的接口*/ipaddress172.16.32.59255.255.0.0mplsmplsldpenable#interfaceEthernet0/1#interfaceSerial0/0/*連接CE的接口*/ipbindingvpn-instance

21、site1link-protocolpppipaddress100.10.0.2255.255.0.0#interfaceNULL0#interfaceLoopBack9ipaddress28.40.1.2255.255.255.255#bgp100/*配置MPiBGP*/undosynchronizationgroupin100internalpeerin100connect-interfaceLoopBack9peer46.80.1.1groupin100/*46.80.1.1是PE2的loopback口地址*/#ipv4-familyvpn-instanceblueimport-rout

22、edirectimport-routeospfundosynchronization#ipv4-familyvpnv4peerin100enablepeer46.80.1.1groupin100#ospf1/*IP網(wǎng)絡上跑OSPF*/import-routedirectarea0.0.0.0network172.16.0.00.0.255.255#ospf100vpn-instancesitel/*VRF中運行OSPF,與CE交換路由*/import-routedirectarea0.0.0.0network100.10.0.00.0.255.255#user-interfacecon0idl

23、e-timeout00user-interfaceaux0user-interfacevty04#return說明：PE2和CE2的配置與PE1和CE1類似，此處不再列出。關(guān)于BGP和MPLS的配置，請參考操作手冊和命令手冊VRFlite特性應用圖6中各路由器的配置如下CE的配置：#sysnameCEipvpn-instanceMRTroute-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instanceRDroute-distinguisher200:

24、1vpn-target200:1export-extcommunityvpn-target200:1import-extcommunity#ipvpn-instanceHRroute-distinguisher300:1vpn-target300:1export-extcommunityvpn-target300:1import-extcommunity#domainsystem#local-useradmin#interfaceAux0asyncmodeflow#interfaceEthernet0/0ipaddress110.11.0.2255.255.0.0#interfaceEther

25、net0/1ipaddress110.12.0.2255.255.0.0#interfaceEthernet2/0ipaddress110.13.0.2255.255.0.0#interfaceEthernet2/1#interfaceEthernet2/1.1ipbindingvpn-instanceMRTipaddress11.11.0.2255.255.0.0vlan-typedot1qvid1/*VRFMRT*/*VRFRD*/*VRFHR*/*連接MRT部門*/*連接RD部門*/*連接HR部門*/*VRFMRT的子接口*/#interfaceEthernet2/1.2ipbindin

26、gvpn-instanceRDipaddress11.12.0.2255.255.0.0vlan-typedot1qvid2#interfaceEthernet2/1.3ipbindingvpn-instanceHRipaddress11.13.0.2255.255.0.0vlan-typedot1qvid3#interfaceSerial1/0link-protocolpppipaddressppp-negotiate#interfaceNULL0#ospf1vpn-instanceMRTimport-routedirectarea0.0.0.0network11.11.0.00.0.255

27、.255#ospf2vpn-instanceRDimport-routedirectarea0.0.0.0network11.12.0.00.0.255.255#ospf3vpn-instanceHRimport-routedirectarea0.0.0.0network11.13.0.00.0.255.255#user-interfacecon0user-interfaceaux0user-interfacevty04authentication-modescheme#/*VRFRD的子接口*/*VRFHR的子接口*/*VRFMRT與PE跑ospf*/*VRFRD與PE跑ospf*/*VRF

28、HR與PE跑ospf*/returnPE的配置：#sysname2840#mplslsr-id28.40.0.1#mpls#mplsldp#ipvpn-instanceMRTroute-distinguisher100:1vpn-target100:1export-extcommunityvpn-target100:1import-extcommunity#ipvpn-instanceRDroute-distinguisher200:1vpn-target200:1export-extcommunityvpn-target200:1import-extcommunity#ipvpn-insta

29、nceHRroute-distinguisher300:1vpn-target300:1export-extcommunityvpn-target300:1import-extcommunity#interfaceAux0asyncmodeflow#interfaceEthernet0/0ipaddress172.16.0.2255.255.0.0mplsmplsldpenable#interfaceEthernet0/1ipaddress11.13.0.1255.255.0.0#/*VRFMRT*/*VRFRD*/*VRFHR*/interfaceEthernet0/1.1/*VRFMRT的子接口*/ipbindingvpn-instanceMRTipaddress11.11.0.1255.255.0.0vlan-typedot1qvid1#interfaceEthernet0/1.2ipbindingvpn-instanceRDipaddress11.12.0.1255.255.0.0vlan-typedot1qvid2#interfaceEther