VRF关键技术详解专业资料.doc
VRF关键技术详解专业资料.doc
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VRF 关键技术 详解 专业 资料
- 资源描述:
-
VRF技术详解 1. 原理简介 近年来网络VPN技术方兴未艾,日益成为业界关注焦点。依照VPN实现技术特点,可以把VPN技术分为如下三类: 老式VPN:FR和ATM CPE-based VPN:L2TP和IPSec等 Provider Provisioned VPNs ( PP-VPN ):MPLS L2VPN和MPLS L3VPN。 本文简介VRF特性是MPLS VPN中经常使用技术,中文含义为VPN路由转发实例。鉴于VRF与MPLS VPN密切有关,下面一方面对MPLS VPN作简要简介。 图1是一种典型MPLS L3VPN组网图,运营商通过自己IP/MPLS核心网络为BLUE和YELLOW两个客户提供VPN服务。SITE1和SITE3分别为VPN BLUE两个站点,SITE2和SITE4分别为VPN YELLOW两个站点。VPN BLUE两个站点内主机可以互访,但不能访问VPN YELLOW内主机。同样,VPN YELLOW两个站点内主机可以互访,但不能访问VPN BLUE内主机。从而实现了两个VPN间逻辑划分和安全隔离。 CE设备作用是把顾客网络连接到PE,与PE交互VPN顾客路由信息:向PE发布本地路由并从PE学习远端站点路由。 PE作用是向直连CE学习路由,然后通过IBGP与其她PE互换所学VPN路由。PE设备负责VPN业务接入。 P设备是运营商网络中不与CE直接相连设备,只要支持MPLS转发,并不能感知到VPN存在。 图1 上面组网中VPN设计思想是很巧妙,但存在如下几种问题: 1、 本地路由冲突问题,即:在BLUE和YELLOW两个VPN中也许会使用相似IP地址段,例如10.1.1.0/24,那么在PE上如何区别这个地址段路由是属于哪个VPN。 2、 路由在网络中传播问题,上述问题会在整个网络中存在。 3、 PE向CE报文转发问题,当PE接受到一种目地址在10.1.1.0/24网段内IP报文时,她如何判断该发给哪个VPN? 针对上述3个问题,分别有如下解决方案: 1、 为理解决本地路由冲突问题,咱们引入了VRF概念:把每台PE路由器在逻辑上划分为多台虚拟路由器,即各种VPN路由转发实例VRF,每个VRF相应一种VPN,有自己独立路由表、转刊登和相应接口。这就相称于将一台各VPN共享PE模仿成多台专用PE。这样PE与CE交互路由信息只是该VPN路由,从而实现了VPN路由隔离。由于不同VPN路由存储在不同VRF中,因此VPN路由重叠问题也解决了。 2、 VPN重叠路由在网络中传播问题,可以在路由传递过程中为这条路由再添加一种标记,用以区别不同VPN。正常BGP4合同只能传递IPv4路由,由于不同VPN顾客具备地址空间重叠问题,必要修改BGP合同。BGP最大长处是扩展性好,可以在本来基本上再定义新属性,通过对BGP修改,把BGP4扩展成MP-BGP。在MP-IBGP邻居间传递VPN顾客路由时打上RD标记等VPN信息,这样CE传来VPN顾客IPv4路由被PE转换为VPN-IPv4路由,这样就能保证对端PE可以区别开属于不同VPN顾客地址重叠路由。 3、 PE向CE报文转发问题,由于IP报文格式不可更改,没有什么文章可以做,但可以在IP头之外加上某些信息(标签),由始发VPN打上标记,这样PE在接受报文时可以依照这个标记进行转发。 每一种VRF可以看作一台虚拟路由器,好像是一台专用PE设备。该虚拟路由器涉及如下元素: 一张独立路由表/转刊登,固然也涉及了独立地址空间。 一组归属于这个VRF接口集合。 一组只用于本VRF路由合同。 对于每个PE,可以维护一种或各种VRF,同步维护一种公网路由表(也叫全局路由表),各种VRF实例互相分离独立。实现VRF并不困难,核心在于如何在PE上使用特定方略规则来协调各VRF和全局路由表之间关系。 在VRF中定义和VPN业务关于两个重要参数是RT和RD,RT和RD长度都是64bit。 RT是Route Target缩写,RT本质是每个VRF表达自己路由取舍及喜好方式,重要用于控制VPN路由发布和安装方略。分为import和export两种属性,前者表达了我对那些路由感兴趣,而后者表达了我发出路由属性。当PE发布路由时,将使用路由所属VRFRT export规则,直接发送给其她PE设备。对端PE接受路由时,一方面接受所有路由,并依照每个VRF配备RTimport规则进行检查,如果与路由中RT属性match,则将该路由加入到相应VRF中。如下图为例: SITE-1:我发路由是蓝色,我也只接受蓝色路由。 SITE-2:我发路由是黄色,我也只接受黄色路由。 SITE-3:我发路由是蓝色,我也只接受蓝色路由。 SITE-4:我发路由是黄色,我也只接受黄色路由。 这样,SITE-1与SITE-3中就只有自己和对方路由,两者实现了互访。同理SITE-2与SITE-4也同样。这时咱们就可以把SITE-1与SITE-3称为VPN BLUE,而把SITE-2与SITE-4称为VPN YELLOW。 图2 RD是Route Distinguisher缩写,是阐明路由属于哪个VPN标志。理论上可觉得每个VRF配备一种RD,普通建议为每个VPNVRF都配备相似RD,并且要保证这个RD全球唯一。如果两个VRF中存在相似地址,但是由于RD不同,这两个路由在PE间发布过程中也不会混淆,由于MP BGP把RD和路由一起发送,对端PE可以依照RD拟定路由所属VPN,从而把路由安装到对的VRF中。 RD并不会影响不同VRF之间路由选取以及VPN形成,这些事情由RT搞定。 PE从CE接受原则路由是IPv4路由,如果需要发布给其她PE路由器,此时需要为这条路由附加一种RD。在IPv4地址加上RD之后,就变成VPN-IPv4地址族了。VPN-IPv4地址仅用于服务供应商网络内部。在PE发布路由时添加,在PE接受路由后放在本地路由表中,用来与日后接受到路由进行比较。CE不懂得使用是VPN-IPv4地址。 2. 组网应用 2.1 VRF与MPLS组合应用 下面以图3为例阐明MPLS VPN与VRF典型应用: 组网中两个顾客站点SITE1和SITE2属于同一种VPN,在两个PE上分别配备VRF参数,其中VRF SITE1RD=100:1,import RT =100:3,export RT =100:2,VRF SITE2RD=100:1,import RT =100:2,export RT =100:3。通过VRF配备可见: 两个VRFRD同为100:1,阐明她们属于同一种VPN; VRF SITE1导入和导出RT分别等于VRF SITE2导出和导入RT,阐明两个VRF分别可以接受对方VPN站点内路由; PE连接CE接口与VRF绑定,阐明该接口是属于对于VRF资源,其她VRF和公网是看不到。 PE和CE之间可以运营OSPF、RIP2、EBGP和静态路由。运营商网络规定为MPLS网络,在PE1和PE2之间建立LSP,同步PE1与PE2间通过MP-IBGP来传播VPN路由。BGP和路由合同有关配备请参照VRP操作手册和命令手册。 图3 VPN SITE1内一条路由10.10/16被告示到VPN SITE2过程如下: PE1从接口S0/0上学习到由CE1告示10.10.0.0/16路由,由于S0/0是绑定到VRF接口,因此PE1把该路由安装到相应VRF路由表中,并且分派该路由本地标签,注意该标签是本地唯一。 然后通过路由重新发布把VRF路由表中路由重新发布到BGP中,此时通过附加VRF表RD、RT参数,把正常IPv4路由变成VPN-IPv4路由,如10.10.0.0/16变成100:1:10.10.0.0/16,同步把export RT值和该路由本地标签值等信息一起通过MP-IBGP会话告示给PE2。 PE2收到这条VPN-IPv4路由后,先依照RD拟定该路由所属VRF,然后去掉VPN-IPv4路由所带RD值,使之恢复IPv4路由原貌,并且依照所属VRF配备导入方略(本地Import RT与收到export RT与否一致)决定与否在本地VRF中安装此路由。本例中导入方略容许,因此PE2把10.10.0.0/16路由添加到VRF路由表中,同步记录相应标签。 PE2再通过CE和PE之间路由合同,把10.10.0.0/16路由通过与VRF绑定接口S0/1告示出去,CE2学习到这条路由后把该路由添加到路由表中。 同样道理SITE2内路由10.11.0.0/16也可以被CE1学到。 下面阐明从CE2 Ping 10.10.0.0/16时数据报文转发过程(假设PE1为该路由分派标签为10,从PE2到PE1LSP标签分别为L1、L2): 图4 一方面Ping包从CE2发出,为IPv4报文,在图中用绿色方块标记。 当IP报文到达PE2时,PE2依照目地址查找VRF转刊登,发现该路由出标签为10,同步该路由下一跳为PE1,而PE1相应LSP标签为L1,于是PE2给报文分别打上10、L1作为内外层标签,进行MPLS转发。 MPLS报文到达P时,P依照MPLS转刊登项把外层标签替代为L2继续转发。 MPLS报文到达PE1时,由于PE1是LSP终点,因此外层标签被剥掉。PE1依照露出内层标签10判断出该报文是发往SITE1所属VPN报文。于是PE1剥掉内层标签向CE1转发IP报文。 CE1收到是还原后IP报文,后续解决与正常IP解决流程同样,这里不再赘述。 2.2 VRF lite特性应用 尽管VRF经常与MPLS一起使用,但VRF也可以脱离MPLS单独应用。VRF lite就是典型例子。VRF lite就是在CE设备上支持VRF。 图5所示为典型MPLS VPN组网中顾客侧网络,一种公司分支内部三个部门规定互相隔离,分别通过一台CE连接到PE,形成一种VPN。可见,该分支机构需要三台出口路由器,三条链路与PE连接;同步PE需要为一种公司顾客提供三个接口,这将带来端口、链路资源挥霍,直接导致成本与支出增长。 图5 针对这种状况,咱们引入VRF lite特性来解决问题,即在CE上配备VRF特性。详细组网如图6所示:此时公司分支只需要一台CE路由器与PE相连,在CE上配备VRF,CE连接三个部门接口分别与VRF绑定。同步CE只需要一条物理链路与PE相连,并通过链路子接口分别与VRF绑定,完毕CE与PE上相应VRF逻辑连接。PE与CE可以在各个VRF中运营动态路由合同完毕VPN路由互换。PE上配备和图5中同样,需要配备VRF和MP-IBGP。 图6 这种方案长处有: 只需要一种CE,比多CE状况简化了网络配备和管理; PE与CE间只需一条物理链路; 节约了PE端口资源; 容许公司内部不同部门间地址重叠; 3. 应用场合 VRF特性用于实现VPN需求,可以与MPLS配合使用,也可以单独组网应用 4. 配备举例 4.1VRF与MPLS组合应用 图3所示组网配备如下: CE1配备: # sysname CE1 # domain system # controller T3 3/0 using t3 # interface Aux0 async mode flow # interface Ethernet0/0 /*连接site1内网络*/ ip address 10.10.0.1 255.255.0.0 # interface Ethernet0/1 # interface Serial3/0/0 link-protocol ppp ip address 100.10.0.1 255.255.0.0 # interface NULL0 # interface LoopBack9 ip address 28.40.1.1 255.255.255.255 # ospf 1 import-route direct area 0.0.0.0 network 100.10.0.0 0.0.255.255 # user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 # return PE1配备: # sysname PE1 # mpls lsr-id 28.40.1.2 # /*公网运营MPLS*/ mpls # mpls ldp # /*VRF配备*/ ip vpn-instance site1 route-distinguisher 100:1 vpn-target 100:2 export-extcommunity vpn-target 100:3 import-extcommunity # domain system # controller T3 3/0 using t3 # interface Aux0 async mode flow # interface Ethernet0/0 /*连接P接口*/ ip address 172.16.32.59 255.255.0.0 mpls mpls ldp enable # interface Ethernet0/1 # interface Serial0/0 /*连接CE接口*/ ip binding vpn-instance site1 link-protocol ppp ip address 100.10.0.2 255.255.0.0 # interface NULL0 # interface LoopBack9 ip address 28.40.1.2 255.255.255.255 # bgp 100 /*配备MP iBGP*/ undo synchronization group in100 internal peer in100 connect-interface LoopBack9 peer 46.80.1.1 group in100 /*46.80.1.1是PE2loopback口地址*/ # ipv4-family vpn-instance blue import-route direct import-route ospf undo synchronization # ipv4-family vpnv4 peer in100 enable peer 46.80.1.1 group in100 # ospf 1 /*IP网络上跑OSPF*/ import-route direct area 0.0.0.0 network 172.16.0.0 0.0.255.255 # ospf 100 vpn-instance site1 /*VRF中运营OSPF,与CE互换路由*/ import-route direct area 0.0.0.0 network 100.10.0.0 0.0.255.255 # user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 # return 阐明: PE2和CE2配备与PE1和CE1类似,此处不再列出。 关于BGP和MPLS配备,请参照操作手册和命令手册 4.2 VRF lite特性应用 图6中各路由器配备如下 CE配备: # sysname CE # ip vpn-instance MRT /*VRF MRT */ route-distinguisher 100:1 vpn-target 100:1 export-extcommunity vpn-target 100:1 import-extcommunity # ip vpn-instance RD /*VRF RD */ route-distinguisher 200:1 vpn-target 200:1 export-extcommunity vpn-target 200:1 import-extcommunity # ip vpn-instance HR /*VRF HR */ route-distinguisher 300:1 vpn-target 300:1 export-extcommunity vpn-target 300:1 import-extcommunity # domain system # local-user admin # interface Aux0 async mode flow # interface Ethernet0/0 ip address 110.11.0.2 255.255.0.0 /*连接MRT部门*/ # interface Ethernet0/1 ip address 110.12.0.2 255.255.0.0 /*连接RD部门*/ # interface Ethernet2/0 ip address 110.13.0.2 255.255.0.0 /*连接HR部门*/ # interface Ethernet2/1 # interface Ethernet2/1.1 /*VRF MRT子接口*/ ip binding vpn-instance MRT ip address 11.11.0.2 255.255.0.0 vlan-type dot1q vid 1 # interface Ethernet2/1.2 /*VRF RD子接口*/ ip binding vpn-instance RD ip address 11.12.0.2 255.255.0.0 vlan-type dot1q vid 2 # interface Ethernet2/1.3 /*VRF HR子接口*/ ip binding vpn-instance HR ip address 11.13.0.2 255.255.0.0 vlan-type dot1q vid 3 # interface Serial1/0 link-protocol ppp ip address ppp-negotiate # interface NULL0 # ospf 1 vpn-instance MRT /*VRF MRT与PE跑ospf*/ import-route direct area 0.0.0.0 network 11.11.0.0 0.0.255.255 # ospf 2 vpn-instance RD /* VRF RD与PE跑ospf */ import-route direct area 0.0.0.0 network 11.12.0.0 0.0.255.255 # ospf 3 vpn-instance HR /* VRF HR与PE跑ospf */ import-route direct area 0.0.0.0 network 11.13.0.0 0.0.255.255 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme # return PE配备: # sysname 2840 # mpls lsr-id 28.40.0.1 # mpls #展开阅读全文
咨信网温馨提示:1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。
实名认证
平台协调中心【客服】
自信AI助手
微信客服
客服QQ
发送邮件
意见反馈
链接地址:https://www.zixin.com.cn/doc/3034497.html