VPN①是利用公共网络资源,为每个用户提供一种逻辑上的专用网络,以达到一种安全的方式在ISP②骨干网上共享带宽。以MPLS③ VPN为主的IP VPN技术,由于其在提供服务质量和安全保证方面的优势,已越来越成为解决企业和行业用户在不同地域分支机构互联互通的优选解决方案。
VRF④的提出,主要为了解决MPLS L3VPN⑤中的本地路由冲突问题。因此在了解VRF技术之前,有必要先对MPLS L3VPN作一下简要介绍。在典型的MPLS L3VPN网络中,各网络设备的主要职责功能包括:
- CE设备:作为用户网络边缘设备,提供接口与PE设备相连;负责发送本地路由给PE,并从PE接收远端VPN用户网络路由。
- PE设备:作为MPLS骨干网的边缘设备,可以连接多个不同的CE;负责接收CE端发送的VPN路由信息,向其他PE发送VPN路由信息,并从其他PE接收VPN路由信息,分发给对应的CE。
- P设备:MPLS骨干网核心设备,不和CE相连;无需知道VPN路由信息。
基于MPLS L3VPN组网分析,要使VPN路由信息能正确分发,至少需要解决由于VPN路由重叠会带来的2个问题:
1)保证本地路由不冲突:两个VPN使用相同的IP地址网段(10.10.1.0/16),因此要求PE上能区分该地址网段路由属哪个VPN所有。
2)保证VPN路由分发传递过程不冲突,要求路由接收端能够区分开属于不同VPN用户的重叠路由。
这些问题,通过引入新的技术概念或对原有标准协议进行扩展,都得到了很好的解决:
1)为了解决本地路由冲突问题,引入了VRF的概念。
2)解决路由在分发传递过程中的冲突问题,通过将BGP4⑥扩展成MP-BGP⑦,引入路由区分符RD(Route Distinguisher)概念,将IPv4路由转变成VPN-IPv4路由。
每个PE都维护一系列的转发表:包括一个全局转发表(或叫缺省转发表);以及可以有多个的VPN路由转发表,这多个VPN路由转发表之间相互分离独立。如果一个报文由CE到达PE,且该报文到达PE的接口没有同任何VRF绑定的话,将使用全局转发表为该报文的目的地址查找路由。简单一点说,就是:全局转发表存放的是公网路由(保证ISP网络中PE、P间各设备路由能互通);VRF存放的是VPN网络的私网路由。
在一台PE上可以有多个VRF,用来和CE端交换路由信息。可以把每个VRF想象成一台“虚拟路由器”,每个虚拟路由器都和CE相连,负责从CE端接收路由信息,或者向CE端通告VPN路由信息。由于不同的VPN路由信息存放在不同的“虚拟路由器”中,因此VRF可以解决PE上不同的VPN采用相同地址导致的本地路由冲突问题。
逻辑上每个VRF包括下面几个要素:
1)一张独立的路由转发表,用于完成路由转发。
2)一组归属于这个VRF的接口集合,用于把从该接口收到的报文关联到该VRF。
3)一组只用于本VRF的路由协议,用于和CE端交互路由。
同时,在VRF中还定义了两个重要的属性:路由区分符RD(Route Distinguisher)和路由目标RT(Route Target)。
锐捷网络的交换机产品将PE的VRF功能范围扩展到接入层,大大减少用户接入时所需要的传统CE设备数量,以低成本解决安全性问题,实现真正的MPLS/VPN端到端解决方案。
结束语:通过VRF功能,可实现专用PE的功能,用路由隔离不同的VPN用户,相当于将一台交换机虚拟成了多台逻辑设备,从而实现MPLS/VPN端到端的解决方案。锐捷网络核心交换机RG-S8600系列支持VRF功能,满足不同客户对VPN网络的需求。
① VPN:Virtual Private Network,虚拟专用网络
② ISP:Internet Service Provider,互联网服务提供商
③ MPLS:Multi-Protocol Label Switching,多协议标签交换
④ VRF:Virtual Routing Forwarding,VPN路由转发表
⑤ L3VPN:Layer 3 Virtual Private Network,三层虚拟专用网络
⑥ BGP4:Border Gateway Protocol 4,边界网关协议第四版
⑦ MP-BGP:Multiprotocol Extensions for BGP-4,BGP-4多协议扩展
相关标签:
点赞
更多技术博文
-
一文帮助您了解如何进行风险辨识,确保计算机系统安全
本文探讨了在计算机系统安全中的关键一环——如何进行风险辨识。通过系统化方法,识别和评估潜在的安全威胁和漏洞,从而全面了解系统中存在的潜在风险。采取多种方法,如安全漏洞扫描、安全威胁模拟等,有助于发现安全威胁,并为进一步的安全保护提供基础。
-
#知识百科
-
#安全
-
-
风险检测系统:如何保障计算机系统安全?
本文探讨了风险检测系统在计算机安全中的关键作用。通过监测系统行为、分析网络流量等方式,风险检测系统能及时发现潜在安全威胁,提高系统安全性和稳定性。文章强调建立和使用风险检测系统是保护计算机系统安全的重要措施,对各个领域的安全保障具有重要意义。
-
#知识百科
-
#安全
-
-
企业办公场所智能化核心技术之POE网关是什么
本文探讨了POE网关在提升企业办公智能化水平中的关键作用。通过以太网电缆为智能设备提供数据和电力,POE网关简化了设备管理流程,提高了工作效率,降低了总体成本。这项关键技术不仅满足了企业对智能化办公环境的需求,还为企业创造出更智能、高效、节能的办公环境。
-
#知识百科
-
#安全
-
-
一文带你了解POE交换机与POE路由器是什么?
本文探讨了POE交换机和POE路由器在智能化办公环境中的关键作用。它们通过为智能设备提供电力和数据传输,实现了高效通信和智能管理。POE交换机简化了设备连接并提升了工作效率,而POE路由器作为核心枢纽,打造了灵活、可靠和安全的网络环境。
-
#交换机
-
#知识百科
-