华为----VRF隔离(生产网和办公网的隔离)

已于 2022-10-03 12:43:12 修改
阅读量1.4w 收藏 85
点赞数 7
分类专栏: 思科网络技术 文章标签: 华为 网络
于 2022-10-03 01:02:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/127135112
版权

目录

一、VRF 特性

二、案例讲解:

   (1)网络拓扑+需求描述

   (2) 相关配置:

实现需求 ①:生产网和办公网的隔离

实现需求②:各个网段实现上网需求 —— 路由泄露技术:

实现需求③:   PC1和PC3之间相互通信

一、VRF 特性

  • VRF和VRF之间在同一台路由器上面无法通信;VRF和全局路由表(show ip route)在同一台设备也无法通信。
  • 在VRF里面定义RD和RT值,其中RT值分为两个方向,这边入方向的RT值和对方的出方向的RT值必须匹配才能接受路由

 ——————————————————————————————————————————————————

二、案例讲解:

   (1)网络拓扑+需求描述

———————————————————————————————————————————————————— 

   (2) 相关配置:

  • 实现需求 ①:生产网和办公网的隔离

CE系列交换机配置:
<HUAWEI>system-view  //进入全局模式
------------------------------------------创建vlan
[~HUAWEI]vlan 10
[*HUAWEI-vlan10]vlan 20
[*HUAWEI-vlan20]quit
[*HUAWEI]commit //(commit)CE系列交换机,需要打commit配置才会生效
[~HUAWEI]display vlan   //查看vlan

----------------------------------------接口划vlan
[~HUAWEI]int g1/0/0
[~HUAWEI-GE1/0/0]port link-type access
[~HUAWEI-GE1/0/0]port default vlan 10
[*HUAWEI-GE1/0/0]undo shut
[*HUAWEI-GE1/0/0]quit

-------------------------------------接口封装trunk
[*HUAWEI]int g1/0/2
[~HUAWEI-GE1/0/2]undo shutdown
[*HUAWEI-GE1/0/2]port link-type trunk
[*HUAWEI-GE1/0/2]port trunk allow-pass vlan all //思科trunk允许所有vlan穿越,华为的默认不允许所有vlan穿越,修改一下
[*HUAWEI-GE1/0/2]quit
[*HUAWEI]commit //写入所配置的命令(如果没有打这个命令,默认不会生效)
[*HUAWEI]display current-configuration //相当于sh run
[~HUAWEI]display interface brief //查看接口up情况

-------------------------①接口下关闭:核心交换机关闭接口二层功能(二层变三层)
[~HUAWEI]int g1/0/1
[~HUAWEI-GE1/0/1]undo portswitch
[*HUAWEI-GE1/0/1]q
[*HUAWEI]commit

------------------------------------配置vlan ip
<HUAWEI>save //保存配置,相当于write
[*HUAWEI]int vlan 40
[*HUAWEI-Vlanif40]ip add 192.168.40.254 255.255.255.0
[*HUAWEI-Vlanif40]un sh
[*HUAWEI-Vlanif40]q
[*HUAWEI]commit

-------------------------------vpn实列配置(VRF配置)

①创建
[~HUAWEI]ip vpn-instance A
[*HUAWEI-vpn-instance-A]ipv4-family unicast //开启ipv4地址族,要不然绑定VPN实列后,无法配置ip地址
[*HUAWEI-vpn-instance-A-af-ipv4]q
[*HUAWEI-vpn-instance-A]q
[*HUAWEI]commit
[~HUAWEI]

②绑定VPN实列
[~HUAWEI]int vlan 10
[~HUAWEI-Vlanif10]ip binding vpn-instance A
[*HUAWEI-Vlanif10]ip add 192.168.10.254 255.255.255.0
[*HUAWEI-Vlanif10]q
[*HUAWEI]

[~HUAWEI]display ip routing-table //查看全局路由表
[~HUAWEI]display ip routing-table vpn-instance A //查看VPN实列

 最终各个PC之间相互ping验证,VPN实列(VRF)成功隔离!!!!

—————————————————————————————————————————————————— 

  • 实现需求②:各个实现上网需求 —— 路由泄露技术:

-------R1:
[Huawei]ip route-static 0.0.0.0 0.0.0.0 13.1.1.3 //静态路由写入

-------CE3
[~HUAWEI]ip route-static vpn-instance A 13.1.1.0 255.255.255.0 13.1.1.1 public
//因为CE3的VPN-instance A里面的路由没有13.1.1.0的直连路由,
数据包从VPN-instance A里面到达CE3后不知道去往什么地方,所以需要把直连路由宣告进VPN-instance A
[~HUAWEI]ip route-static vpn-instance B 13.1.1.0 255.255.255.0 13.1.1.1 public
[*HUAWEI]commit
  • ---此时PC1的流量(ping 13.1.1.1)从 在VRF A里面经过CE3到达了R1(——》去方向)
  • ---到达R1之后查询全局路由表转发数据包给CE3,而因为CE3和R1之间接口属于全局路由表,所以R1来的路由实际上是在CE3的全局路由表上进行的。但是此时,CE3的全局路由表里面并没有去往PC的路由,所以需要写一条路由到PC1全局路由表里.(——》回方向)
解决:
[~HUAWEI]ip route-static 192.168.10.0 255.255.255.0 vpn-instance A 192.168.10.1
//去往192.168.10.0 下一跳扔给的192.168.10.1,对应出接口为(VRF A或者是叫vlan 10)
[*HUAWEI]commit
[~HUAWEI]display ip routing-table //查看路由是否配置成功(全局路由表)

 此时PC1 ping 13.1.1.1,可以通,成功实现需求② ! ! !

同理.其他网段也一样. 

—————————————————————————————————————————————————— 

  • 实现需求③:PC1和PC3之间相互通信

  •  因为(PC1去往PC3)去的时候 , 由于VRF隔离CE3上的VRF A里面并没有去往192.168.30.0的路由,所以,路由会在CE3上丢弃.即需要配置一条去往PC3的路由,之后到达了R1,由于上面配置之中,CE3的全局路由表里面,有了去往PC3的路由(实现上网需求).即数据包能够到达PC3(------>去)
  • 同理,回的时候也相同(------回)
CE3:

[~HUAWEI]ip route-static vpn-instance B 192.168.10.0 255.255.255.0 13.1.1.1 public
[~HUAWEI]ip route-static vpn-instance A 192.168.30.0 255.255.255.0 13.1.1.1 public
[*HUAWEI]commit
[~HUAWEI]

PC1ping PC3,最终实现需求 ! ! ! !

冯富江的技术博客
关注
  • 7
    点赞
  • 85
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
VRF实例实现多区域隔离【实践】
qq_35009393的博客
04-07 2335
前几天在做项目时,遇到一个很头疼的问题,那就是网络架构要调整但是设备不够。后边进过几轮讨论,用一种非主流的方式解决了设备不够的问题。个人感觉这种方式还是比较实用,所以记录一下。 背景:数据中心内有两个新建的APP区域,按照安全人员的要求,这两个区域之间必须边界必须设置防火墙,让区域之间的互访和其他区域的访问必须通过防火墙。在最初的架构上,这两个区域的关在同一组交换机上,同时防火墙也只有一组。所以,要这个隔离的目的,需要增加一组防火墙,以及将两个区域的关分开。 但是,实际情况是在设备采购之前,沟通的
VRF -- 虚拟路由转发
qq_45742976的博客
12-24 1195
不同的数据流量需要送往不同的公司,在传统的网络设计中,这可能会导致IP地址冲突和网络隔离的困难。VRF(Virtual Routing and Forwarding)虚拟路由转发,是一种网络虚拟化技术,用于在同一物理网络设备上创建多个虚拟路由表,每个虚拟路由表都是相互独立的,就像是在同一设备上运行了多个独立的路由器一样。当引入VRF时,每个VRF都有自己的路由表,不同的接口关联到不同的VRF,从而使每个接口使用独立的路由表。划分VRF之后,全局路由表里面就不再包含创建了VRF的接口信息。
HCIE考试核心内容 第一部分 VRF相关
最新发布
2301_78439235的博客
06-11 922
配置接口与VPN实例绑定后,或取消接口与VPN实例的绑定,都会清除该接口的IP地址、三层特性和IP相关的路由协议,如果需要应重新配置。VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。VRF是对物理设备的一个逻辑划分,每个逻辑单元都被称为一个VPN实例,实例之间在路由层面是隔离的。通过创建VPN实例的方式在PE上区别不同VPN的路由。
VRF基本概念及应用
weixin_52654869的博客
05-20 1502
交换机上完成VLAN相关配置路由器上完成配置子接口测试主机是否ping通关创建生产与管理网络的VPC实力,并使能IPv4地址族将接口绑定到实例往实例中添加静态路由。
VRF技术-原理简介
热门推荐
dolphin98629的专栏
02-18 6万+
VRF技术白皮书 1  原理简介 近年来网络VPN技术方兴未艾,日益成为业界关注的焦点。根据VPN实现的技术特点,可以把VPN技术分为以下三类: 传统VPN:FR和ATM CPE-based VPN:L2TP和IPSec等 Provider Provisioned VPNs ( PP-VPN ):MPLS L2VPN和MPLS L3VPN。 本文
MPLS 实验-VRF表分离(Huawei设备)
Hala
05-25 1850
本篇文章将已实验的基础来详细讲解MPLS VPN中VRF表的分离技术与静态穿越VRF表 如果你不理解以下四点,那就请继续看下去吧 控制层面与数据层面的区别 MPLS VPN 中VRF表的作用 静态路由如何穿越不同的VRF表 如何打破AS-Path的防环原则 实验拓扑如下 需求: 分部间的通信要绕行总部 尽可能减少VRF表的数量(VRF表分离) 去往互联采用静态的VRF穿越 ...
办公网与互联隔离策略分析研究
10-22
2008年北京奥运会和残奥会期间,国内一些行业和企业为了保证信息安全,采用了办公网和互联直接物理断开的非常规手段。在奥运特殊时期,特殊手段起到了非常好的安全效果。本文针对电力行业网络信息安全的需求,结合国家相关政策,提出发电企业集团逻辑隔离、逻辑强隔离、物理隔离3种网络安全隔离技术方案,同时进行了策略分析并最终给出建议。     1 发电企业集团信息网络安全现状     1.1 发电企业集团网络逻辑隔离基本架构     发电企业集团网络通常可分为生产控制大区和管理信息大区。生产控制大区严格按照国家电力二次系统的要求,坚持安全分区、网络专用、横向隔离、纵向认证的原则, 保障电力监控系统和电力调
VRF(华为VPN实例) 详解
Richardlygo的博客
05-03 1147
【代码】VRF(华为VPN实例) 详解。
VRF 路由表隔离
qq_65429693的博客
02-25 1469
VRF隔离路由表
华为数通笔记-VRF
qq_45959697的博客
04-06 1万+
VRF VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。 网络需求 某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机。 核心交换机上同时连接了生产网络和管理网络的服务器群,两个段均为192.168.100.0/24段。 需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信。 通过..
ENSP MPLS-VRF实验(华为设备)
weixin_72910567的博客
03-17 1657
在R1 R3 R4 R5中开启ospf,并在GigabitEthernet0/0/0 和LoopBack0 下开启ospf功能,另外一个方法就是可以在区域中宣告自己的ip,这里演示第一中方法。在R1 R3 R4 R5的LoopBack0 中配置OSPF 网络类型 ,设置为broadcast类型。R1 R3 R4 R5分别启动ospf进程,进程号为1,进入区域0。在isp路由器中的接口下绑定vpn实列,并配置ip地址。在isp路由器中启动多个ospf进程,并绑定VPN实列。在isp路由器中配置vpn实列。
vrf 简单路由配置
05-30
vrf 简单配置 其中用到了3个路由器。在虚拟路由表中的简单的设置。分享下。
HCIE-Routing&Switching-LAB-V3.0-进阶测试题和答案
12-17
【HCIE-Routing&Switching-LAB-V3.0-进阶测试题和答案】是华为认证专家(HCIE)路由与交换领域的实践考试资源,旨在帮助考生掌握高级网络技术,提升解决实际问题的能力。华为数通(DATACOM)认证是华为针对企业网络...
网络技术论坛-华为数据中心网络虚拟化与DCI方案解析1
08-03
通道虚拟化通过VLAN、VRF、链路捆绑和MSTP等技术实现流量隔离;业务虚拟化则在单个网络隔离多个业务;设备虚拟化通过如SVF(Super Virtual Fabric)、CSS(Cluster Switch System)和iStack等技术,将单个设备虚拟...
HCNP-R&S(HCDP).zip
03-02
华为认证网络专家(HCNP-R&S,又称为HCDP,华为认证数据中心专家)是华为技术有限公司提供的一个中级网络技术认证,旨在验证个人在企业级路由、交换和网络优化方面的能力。这个认证涵盖了一系列关键的技术领域,包括...
华为-BGP选择路由的策略
07-21
此外,华为设备还区分了LocalCross和RemoteCross两种路由类型,分别表示本地区域内的跨VRF路由和远程区域的跨VRF路由。 10. **优选到BGP下一跳IGPMetric较小的路由**:在多条路由的其他属性都相同时,BGP会选择到达...
华为网络协议FAQ之路由协议篇 V2.0
10-24
8. **VRF(虚拟路由和转发)**:在单个路由器上实现多个逻辑独立的路由实例,以支持多租户环境或服务提供商的业务隔离。 9. **路由重分配**:允许不同路由协议之间的信息交换,如将OSPF的路由引入到RIP中,或反之。...
提高网络安全性和灵活性:虚拟路由和转发 VRF 技术到底强在哪里?
网络技术联盟站
12-23 2194
VRF 是一种将路由表和转发表在逻辑上分隔开的技术。每个VRF都拥有自己的独立路由表和转发表,使得它们彼此之间相互隔离。这种隔离允许在同一物理网络中存在多个逻辑上独立的虚拟网络。BGP VRF(边界协议虚拟路由和转发)是一种 BGP 功能,用于在多租户或多 VRF 环境中提供更精细的路由控制和通告。这种功能使得在同一设备上运行的不同 VRF 之间的 BGP 对等互联成为可能,同时提供对地址家族(IPv4 单播、IPv4 单播 VRF、IPv6 单播、IPv6 单播 VRF 等)的支持。
华为 VRF和路由泄露实验
weixin_52557120的博客
03-01 1524
我们在写路由的时候,为什么不通,因为你实例里没目的的IP,当然不通,那我们就需要将路由加入到这个实例路由表里,查看下图,10.2.100.2和192.168.4.254都在dc的路由表里,这个表里是没有去PC2的路由的,所以,路由写法:ip route-static 带上实例dc 去往目的地址192.168.2.0 我的下一跳需要交给10.2.100.1,这样去的路由就写好了,路由需要来回,所以在LSW4上写一条去PC2的路由,下一跳交给10.2.100.2即可。PC3访问PC1,PC5访问PC2。
华为usg6625e策略路由多出口配置
08-29
华为USG6625E是一款企业级边界安全关设备,支持多出口配置,下面是对其策略路由多出口配置的回答。 首先,华为USG6625E支持VRF(Virtual Routing Forwarding)技术,可以创建多个VRF实例来划分不同的路由域。通过VRF,可以实现多出口的配置。 具体配置步骤如下: 1. 创建VRF实例:使用vrf instance命令可以创建VRF实例,并为实例指定一个唯一的名称。例如,创建两个VRF实例VRF1和VRF2: VRF1 VRF2 2. 配置路由:使用route-policy命令配置路由策略,将流量引导至不同的出口。 a. 创建路由策略: route-policy policy1 permit node 10 b. 配置策略条件: if-match ip-prefix prefix1 c. 配置策略行为: apply mpls-label 10000 d. 将策略应用到VRF和出口接口上: apply outbound-interface GigabitEthernet 0/0/0 apply vrf VRF1 3. 配置源地址策略路由映射:使用source ip routing-policy命令配置源地址和策略路由映射,将特定源地址的流量引导至指定的策略路由。 source ip routing-policy policy1 ip-address ip1 ip-mask mask1 4. 配置目的地址策略路由映射:使用destination ip routing-policy命令配置目的地址和策略路由映射,将特定目的地址的流量引导至指定的策略路由。 destination ip routing-policy policy1 ip-address ip2 ip-mask mask2 配置完成后,根据路由策略和地址映射,USG6625E可以根据源地址和目的地址将流量引导至不同的出口进行转发。通过这种方式,可以实现多出口配置,提高网络的容错性和带宽利用率。 需要注意的是,以上仅为简要说明,实际配置可能依赖于网络拓扑和具体需求,建议参考华为官方文档或咨询华为技术支持进行详细配置。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值