VRF
VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。
网络需求
某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机。
核心交换机上同时连接了生产网络和管理网络的服务器群,两个网段均为192.168.100.0/24网段。
需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信。
通过部署ACL实现
在核心交换机部署ACL,禁止生产和管理网络之间的互访流量。
缺陷:
配置繁琐,拓展性差。
无法解决两张网络使用重叠网段的问题,需要在部署时规避重叠网段。
通过增加核心交换机实现
增加核心交换机,从物理上隔离两张网络。
缺陷:增加额外的设备成本投入。
通过VRF技术实现
- VRF又称VPN实例(VPN Instance),是一种虚拟化技术。在物理设备上创建多个VPN实例,每个VPN实例拥有独立的接口、路由表和路由协议进程等。
VRF的实现过程
- VRF是对物理设备的一个逻辑划分,每个逻辑单元都被称为一个VPN实例,实例之间在路由层面是隔离的。VRF实现过程如下:
- 创建实例,并将三层接口(可以是路由器的物理接口或者子接口,也可以是VLANIF接口)绑定到实例;
- (可选)配置与实例绑定的路由协议或静态路由;
- 基于与实例绑定的接口和路由协议等建立实例路由表并基于实例路由表转发数据,
- 实现实例间隔离。
缺省时,一个网络设备的所有接口都属于同一个转发实例——设备的根实例。
部署VRF前
背景:PC1、R1及R1所连的1.1.1.0/24网段属于业务网络。
PC2、R2及R2所连的2.2.2.0/24网段属于管理网络。核心交换机上所有的直连路由,以及设备所发现的、到达远端网络的路由,均被存储在设备的路由表中(我们将该路由表称为全局路由表),业务及管理网络可以通过核心交换机实现互通。
需求:通过配置实现业务与管理网络完全隔离。
创建VPN实例
部署动态路由协议
在设备上可运行多种动态路由协议,或运行同一种动态路由协议的多个进程,关联到VPN实例的动态路由协议进程专为该实例服务,从该进程学习到的路由加载到VPN实例的路由表中。
常见应用场景
VRF配置
9963
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
