RG-S8600系列交换机VRF技术解析

VPN①是利用公共网络资源，为每个用户提供一种逻辑上的专用网络，以达到一种安全的方式在ISP②骨干网上共享带宽。以MPLS③ VPN为主的IP VPN技术，由于其在提供服务质量和安全保证方面的优势，已越来越成为解决企业和行业用户在不同地域分支机构互联互通的优选解决方案。

VRF④的提出，主要为了解决MPLS L3VPN⑤中的本地路由冲突问题。因此在了解VRF技术之前，有必要先对MPLS L3VPN作一下简要介绍。在典型的MPLS L3VPN网络中，各网络设备的主要职责功能包括：

• CE设备：作为用户网络边缘设备，提供接口与PE设备相连；负责发送本地路由给PE，并从PE接收远端VPN用户网络路由。
• PE设备：作为MPLS骨干网的边缘设备，可以连接多个不同的CE；负责接收CE端发送的VPN路由信息，向其他PE发送VPN路由信息，并从其他PE接收VPN路由信息，分发给对应的CE。
• P设备：MPLS骨干网核心设备，不和CE相连；无需知道VPN路由信息。

基于MPLS L3VPN组网分析，要使VPN路由信息能正确分发，至少需要解决由于VPN路由重叠会带来的2个问题：

1）保证本地路由不冲突：两个VPN使用相同的IP地址网段（10.10.1.0/16），因此要求PE上能区分该地址网段路由属哪个VPN所有。

2）保证VPN路由分发传递过程不冲突，要求路由接收端能够区分开属于不同VPN用户的重叠路由。

这些问题，通过引入新的技术概念或对原有标准协议进行扩展，都得到了很好的解决：

1）为了解决本地路由冲突问题，引入了VRF的概念。

2）解决路由在分发传递过程中的冲突问题，通过将BGP4⑥扩展成MP-BGP⑦，引入路由区分符RD（Route Distinguisher）概念，将IPv4路由转变成VPN-IPv4路由。

每个PE都维护一系列的转发表：包括一个全局转发表（或叫缺省转发表）；以及可以有多个的VPN路由转发表，这多个VPN路由转发表之间相互分离独立。如果一个报文由CE到达PE，且该报文到达PE的接口没有同任何VRF绑定的话，将使用全局转发表为该报文的目的地址查找路由。简单一点说，就是：全局转发表存放的是公网路由（保证ISP网络中PE、P间各设备路由能互通）；VRF存放的是VPN网络的私网路由。

在一台PE上可以有多个VRF，用来和CE端交换路由信息。可以把每个VRF想象成一台“虚拟路由器”，每个虚拟路由器都和CE相连，负责从CE端接收路由信息，或者向CE端通告VPN路由信息。由于不同的VPN路由信息存放在不同的“虚拟路由器”中，因此VRF可以解决PE上不同的VPN采用相同地址导致的本地路由冲突问题。

逻辑上每个VRF包括下面几个要素：

1）一张独立的路由转发表，用于完成路由转发。

2）一组归属于这个VRF的接口集合，用于把从该接口收到的报文关联到该VRF。

3）一组只用于本VRF的路由协议，用于和CE端交互路由。

同时，在VRF中还定义了两个重要的属性：路由区分符RD（Route Distinguisher）和路由目标RT（Route Target）。

锐捷网络的交换机产品将PE的VRF功能范围扩展到接入层，大大减少用户接入时所需要的传统CE设备数量，以低成本解决安全性问题，实现真正的MPLS/VPN端到端解决方案。

结束语：通过VRF功能，可实现专用PE的功能，用路由隔离不同的VPN用户，相当于将一台交换机虚拟成了多台逻辑设备，从而实现MPLS/VPN端到端的解决方案。锐捷网络核心交换机RG-S8600系列支持VRF功能，满足不同客户对VPN网络的需求。

① VPN：Virtual Private Network，虚拟专用网络

② ISP：Internet Service Provider，互联网服务提供商

③ MPLS：Multi-Protocol Label Switching，多协议标签交换

④ VRF：Virtual Routing Forwarding，VPN路由转发表

⑤ L3VPN：Layer 3 Virtual Private Network，三层虚拟专用网络

⑥ BGP4：Border Gateway Protocol 4，边界网关协议第四版

⑦ MP-BGP：Multiprotocol Extensions for BGP-4，BGP-4多协议扩展