隨著網路基礎設施建設的快速增長,各個行業廣域專網的鏈路技術也相應發生了較大的變化。傳統的廣域專網一般租用點到點的長途DDN專線來實現,存在建設週期長,困難等問題。隨著MPLS技術的推廣,業界開始流行採用BGPMPLSVPN技術解決方案來解決上述難題,成為了當前流行的VPN解決方案之一。
一般情況下,在PE(ProviderEdge)裝置上配置OSPF或者多例項來實現PE和CE(CustomerEdge)間的路由學習和分發,通過配置路由目標(route-target)配合route-map可以實現VRF之間路由的引入和引出,但採用這種方法缺點是佔用記憶體多,協議配置複雜。
另外,雖然在某些情況下可以直接採用在VRF下配置靜態路由的方法實現PE與CE的路由和VRF之間的互訪,但是在實現配置VRF靜態路由的時候,特別點到點鏈路的時候,必須指定路由的具體下一跳,即主機靜態路由。這就需要為不同的主機靜態路由配置不同的下一跳地址,從而需要大量的重複性的操作,大大佔用了PE的記憶體,影響了處理能力,消耗了頻寬。
針對以上兩種VRF之間通訊方法所存在的問題和不足,本文著重描述在路由器中提供一種可大大減少PE裝置中路由配置的VRF通訊方法。
這種方法通過在現有VRF靜態路由的基礎上加以擴充套件,通過配置到其他VRF的下一跳為出介面名的子網靜態路由,即在PE的各個VRF中配置到其他VRF的子網路由字首和出介面名稱的靜態路由,也就是配置的時候可以不指定具體的下一跳,在轉文前使用ARP獲得二層頭中的目的MAC地址,這樣就可以在PE上通過有限的幾條擴充套件靜態路由代替大量的主機靜態路由,減少了資源的佔用。同時,簡潔的靜態路由更利於,即使在同一子網中增加新的PC,也無需另行增加轉發靜態路由,大大簡化了配置。結合左圖說明具體實施方式。
本方法通過在PE的不同VRF轉發表中儲存到其他VRF的下一跳為出介面名的子網靜態路由,並在與VRF連線的各裝置中設定指向PE的路由,即在這些裝置中啟動OSPF、或者配置靜態路由。若PE中報文目的地址不是直接相連的子網,在與PE相連二級路由器(CE)上啟動代理ARP。
如圖所示,以PE內的兩個VRF:VRFa、VRFb為例對本方法的具體實現步驟進行說明。各裝置的地址及PE介面分別如圖所示,若採用原來的靜態路由配置,要在PE裝置上進行如下配置,即要為PE配置不同的下一跳地址(見下表)。
上述配置雖然實現了VRFa和VRFb的互訪,但如果需要對其擴充套件,如在VRFb的site中增加20臺PC,並分配IP地址為10.1.2.x等,就導致必須再在PE中配置20條諸如iproutevrfVRFa10.1.2.x255.255.255.255eth0/110.1.2.x的靜態路由,這就大大增加了配置的重複性。
採用靜態路由的簡化配置即可實現不同VRF之間的通訊。首先,在CE上和PC上要分別配置預設路由指向PE,這裡,CE和PE間及PC和PE間的路由分發可以採用靜態路由外的其他方式,如OSPF或者等,目的是生成CE到PE的路由。然後在PE上進行如下配置:
iproutevrfVRFa10.1.2.0255.255.255.0eth0/1
上述命令指明瞭從VRFa中來的報文,如果要傳送到prefix(字首)10.1.2.0/24,就必須從eth0/1出去。
路由器的設定方法iproutevrfVRFb10.1.1.0255.255.255.0eth0/0
上述命令指明瞭從VRFb中來的報文,如果要傳送到prefix10.1.1.0/24,就必須從eth0/0出去。
這樣,由於路由所在的VRF和出介面的VRF不同,於是就實現了VRF的互訪,兩個不同的VRFa和VRFb就可以通訊了,配置的到子網靜態路由沒有指定具體的下一跳,大大簡化了配置。
最後我們簡述一下從VRFa的CE裝置pingVRFb的PC10.1.2.2的流程:
CE傳送報文的時,在本地轉發表中查到了指向PE裝置的預設路由,報文被髮到PE裝置的eth0/0介面;當PE裝置收到了CE發來的報文,IP的目的地址是10.1.2.2,IP就會在VRFa的轉發表中查詢該路由,靜態路由10.1.2.0/24作為匹配到的最佳路由被選中;按照該路由轉發到下一跳,即報文傳送到二層裝置,但由於該路由只有介面名而沒有具體的下一跳地址,故將報文的目的IP地址10.1.2.2作為ARPrequest的目標,傳送ARP;經過二層裝置該請求,當PC10.1.1.2收到該ARP請求以後,以自己介面MAC應答,回送給PE;PE裝置收到該應答後,二層報文的目的MAC就填寫為ARP應答的MAC;報文被轉交給驅動從介面eth0/1傳送出去,報文的下一跳地址就是10.1.2.2的MAC地址,PC10.1.2.2收到報文以後,發現報文的目的IP地址是自己,交上層進行處理。