3.3.5　DMVPN per VRF

采用此方法最主要的考虑是希望借助GRE隧道组成的网状连接，在VRF和企业DC及远程分支机构之间构建一个背靠背的专门连接。这种模式下，VRF归属不同的租户，与不同的逻辑隧道覆盖连接。每个租户的VN均拥有专属的隧道覆盖以及单独的VRF，这些VRF彼此之间完全隔离。企业可以要求供应商在L2层和L3层部署这样的架构，前提是企业必须从供应商处购买一个单独的L3 VPN或者是一组单独的L2回路，然后企业再混合使用multi-VRF和GRE隧道覆盖在VNs和购买的L3或L2层服务上。

图3-14展示了一个使用DMVPN per VRF方法部署的样例，企业DC的头端路由或者中心路由（例如E-PE）的每一个VRF配置了一个mGRE隧道，远程分支既可以采用mGRE模式也可以采用每一个VRF配置一个GRE隧道模式，但如果远程分支采用的是分支到分支的连接方式，就必须使用mGRE模式，否则可以使用单个GRE模式。DMVPN适合分支到分支的连接方式（或者是动态隧道组织模式）和大量封装（更多详细信息请参见DMVPN概述一节）的场景。基于per-VRF准则，mGRE隧道接口可以支持分支路由之间创建动态的隧道接口（也应由mGRE配置）。此外，当分支路由都被当做NHRP客户端对待时，中心路由将被配置成NHRP服务器。

图　3-14　DMVPN样例

在大多数企业，大一点的站点需要以网状方式连接，而那些小的站点通常采用集中星型网络拓扑结构连接至头端路由，因而相对这类解决方案，其常规配置方法是在分支路由处采用GRE和mGRE的组合，如图3-14所示，分支路由E-CE1和E-CE2使用mGRE，而E-CE3使用GRE。中心路由E-PE是所有VRF（例如VRF-A、VRF-B和VRF-C）的主机，它可以采用平坦的multi-VRF跳转方式，如果企业DC支持MPLS VPN，还可以增加类似PE设备的功能。如果是类似PE设备那样的工作方式，中心路由将于企业DC的反射器间建立起MP-iBGP会话。

内置封装和简化的硬件设备及需求是这类方法的优点。此外，企业的操作人员一般都更熟悉将DMVPN当做分支汇聚的解决策略。尽管如此，这类方案的主要障碍仍然是可扩展性难题，DMVPN分支增长或者是mGRE隧道网状连接实例最终都将对系统路由设备性能产生限制，当租户数量增加以及远程分支站点增多时，也会对可控性产生不利影响。因此，这种方案比较适合那些远程分支较少或者租户或划分数量也不多的企业。