不同网络跨域通信;也就是不同网段之间进行通信;我们使用的不是二层通信,而是三层通信。前面我们说过三层通信又叫网络层通信,它基于IP地址转发,所涉及到两个信息表:转发表跟全局路由表;而VPN技术,就是在这种跨域通信的基础上建立专用网。以前是利用物理介质,去构建一条专用网(传统的数据专用网),耗费成本较大,并且后期维护成本昂贵。随着技术发展与创新,现在利用现有的条件,在公网上通过运营商去建立一条虚拟专用隧道,采用加密协议进行加密。在不改变现有网络状态下实现安全、可靠的连接,来构建虚拟专用网,这就是VPN技术,即虚拟专用网。
而在VPN技术中,有一个关键技术就是VRF:
VRF全称是虚拟路由转发(Virtual Routing Forwarding)又称 VPN Instance(VPN 实例),是种虚拟化技术。在物理设备上创建多个VPN实例,每个VPN实例拥有独立的接口、路由表和路由协议进程等。简单理解是,将整个设备“分割”成多个小设备。每一个VPN实例就是相当于一个个独立的路由表,添加VPN实例相当于隔离建立多个独立的路由器。正常来说,一个路由器只有一个路由表,那么一台路由器有多个虚拟路由表,每个路由表互相隔离,其实就等同于多台“真实”的路由器。如此一来,就能够节省了实际设备成本,这种结果恰恰是因为引入VPN实例的概念。而全局路由表,又称为根实例,相对于交换机中的默认vlan1一样。新的vlan的创建,就是为了隔离vlan1本身这个大的广播域,而相同vlan下的设备就可以互相通信。同理得,创建新的VPN实例,可以实现绑定同一实例下的接口,即可以实现同一路由表下的互相通信,隔离其他实例的通信。
VRF的使用可以解决地址重叠的问题,即同时支持使用公有地址的客户端设备和私有地址的客户端设备,或者多个VPN使用同一个地址空间。也可以支持创建重叠VPN,所谓重叠VPN是指同一个站点同时属于多个VPN的情况。也适用于防火墙虚拟系统、BGP/MPLS IP VPN等应用场景。除此之外还可以实现类似专用PE的功能,用路由隔离不同的VPN用户。
下次如果遇到了企业网络IP地址重叠或者说企业专用网,就该想到VRF了吧!
审核编辑(宋佳男)