BGP/MPLSVPN概念一：VRF

BGP/MPLSVPN的安全舉措之一就是路由隔離和信息隔離，它是通過VPN路由轉(zhuǎn)發(fā)(VPNRouting&&Forwarding：VRF)表和MPLS中的LSP來實現(xiàn)的。在PE路由器上，存在有多個BGP/MPLSVPN概念一：VRF表，這些VRF表是和PE路由器上的一個或多個子接口相對應的，用于存放這些子接口所屬VPN的路由信息。

通常情況下，VRF表中只包含一個VPN的路由信息，但是當子接口屬于多個VPN時，其所對應的VRF表中就包含了子接口所屬的所有VPN的路由信息。對于每一個VRF表，都具有路由區(qū)分符(RouteDistinguisher：RD)和路由目標(RouteTarget：RT)兩大屬性。

BGP/MPLSVPN概念二：RD

VPN中IP地址的規(guī)劃是由客戶自行制訂的，因而有可能會出現(xiàn)客戶選擇在RFC1918中定義的私有地址作為他們的站點地址或者不同的VPN使用相同的地址域，也就是所謂的地址重疊現(xiàn)象。地址重疊的后果之一就是BGP無法區(qū)分來自不同VPN的重疊路由，從而導致某個站點不可達。

為了解決這個問題，BGP/MPLSVPN除了采用在PE路由器上使用多個VRF表的方法，還引入了RD的概念。RD具有全局唯一性，通過將8個字節(jié)的BGP/MPLSVPN概念二：RD作為IPv4地址前綴的擴展，使不唯一的IPv4地址轉(zhuǎn)化為唯一的VPN-IPv4地址。VPN-IPv4地址對客戶端設備來說是不可見的，它只用于骨干網(wǎng)絡上路由信息的分發(fā)。

RD和VRF表之間建立了一一對應的關(guān)系。通常情況下，對于不同PE路由器上屬于同一個VPN的子接口，為其所對應的VRF表分配相同的RD，換句話說，就是為每一個VPN分配一個唯一的RD。但是對于重疊VPN，即某個站點屬于多個VPN的情況，由于PE路由器上的某個子接口屬于多個VPN，此時，該子接口所對應的VRF表只能被分配一個RD，從而多個VPN共享一個RD。

BGP/MPLSVPN概念三：RT

RT的作用類似于BGP中擴展團體屬性，用于路由信息的分發(fā)。它分成ImportRT和ExportRT，分別用于路由信息的導入、導出策略。當從VRF表中導出VPN路由時，要用ExportRT對VPN路由進行標記;

在往VRF表中導入VPN路由時，只有所帶RT標記與VRF表中任意一個ImportRT相符的路由才會被導入到VRF表中。RT使得PE路由器只包含和其直接相連的VPN的路由，而不是全網(wǎng)所有VPN的路由，從而節(jié)省了PE路由器的資源，提高了網(wǎng)絡拓展性。

RT具有全局唯一性，并且只能被一個VPN使用。通過對ImportRT和ExportRT的合理配置，運營商可以構(gòu)建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spokeVPN。

【編輯推薦】

1. MPLS和以太網(wǎng)WAN趕走了幀中繼和ATM
2. 企業(yè)廣域網(wǎng)連接：MPLS VPN公共互聯(lián)網(wǎng)誰更好
3. MPLS VPN故障解決技巧解析
4. 路由故障解決之MPLS LDP鄰居無法建立