L3VPN

在經濟全球化的今天，公司各分支機構，公司與合作夥伴、供應商，公司與客戶之間都可能建立連線通道以進行信息傳送。傳統的企業網組網方案中，要進行遠端LAN 到 LAN互連，除了租用DDN專線或幀中繼之外，並無更好的解決方法。但是這樣的方案必然導致高昂的長途線路租用費及長途電話費。於是，虛擬專用網VPN（Virtual Private Network）應運而生了。

VPN是在Internet 上臨時建立的安全專用虛擬網路，在降低使用成本、增加擴展性、增強安全性方面都給使用者帶來了巨大的收益。

VPN誕生後，在通訊領域，又區分出了L2VPN和L3VPN兩個分支。這是一個偉大的動作，這個動作使得在處理業務的時候更加的細化。

L3VPN的誕生是為了將私網和公網進行對接，就好比將一個個的私人空間與公共空間對接，同時也能從公共空間獲取對個人有用的資源。

私網VPN1和VPN2分別通過公共網路實現相互通信。這兩個VPN私網可以使用相同的IP位址，那么如何區分呢？

答案就是採用VRF實現不同VPN之間的路由隔離。且每個VRF在PE上都會有相對獨立的路由表和標籤轉發表（根據這兩個轉發表，實現在公共網路內不同VPN業務按照各自的最優路由達到目的地）。

通常來講，L3VPN套用於有L3需求的的私網業務。L3VPN業務採用類似於傳統路由的方式進行IP分組的轉發。在路由器接收到IP數據包後，在轉發表中查找IP數據包的目的地址，使用預先建立的通道進行IP數據包跨網路的傳送。為了感知客戶網路，運營商的邊界路由器PE和客戶端路由器CE進行路由信息的互動。PE和CE之間的路由交換可以採用靜態路由交換或者動態協定路由。

了解L3VPN，要先了解幾個發揮至關重要作用的角色，分別是：

VRF：為了在邊緣側設備上識別不同的VPN信息，提出了VRF的概念。在L3VPN組網中，不同VPN之間的路由通過VRF進行隔離。每個VRF可以看做是一台虛擬的PE設備，管理單獨的VPN業務，儲存路由信息。每個VRF包含的路由信息有與此VRF相關的直連從客戶邊緣側接收到的路由，以及從其他網路側邊緣路由器接收到的具有可接受的BGP屬性的路由。

CE：客戶邊緣側的設備

PE：公共網路邊緣側設備，負責VPN業務的接入。每個PE可以維護一個或多個VRF。

P：公共網路中間經過設備，負責路由和業務的快速轉發。

RD：是VRF的標識符，一個VPN具備一個RD，因此RD在不同的VPN之間具備唯一性。即如果兩個VPN使用相同的一套IP位址，那么PE給它們添加不同的RD，RD的唯一性避免了IP位址空間的衝突。

RT：PE發布路由時使用RT的EXPORT規則，將路由傳送給其他的PE設備。