VRF,通常与MPLS相联系。在这样的网络中,MPLS封装被用来分割用户流量,每个用户维护一个独立的VRF。但是,VRF的配置并不是必须依靠MPLS,对这样的VRF我们称为VRF lite

这里讨论的就是这样一个方案。

   假设下面的图形就是一个公司的网络,正如你的预期,正常的公司流量是必须通过防火墙的,以此增强公司网络的安全性。但是,目前第二个网络连接被加入到这个网络:一个不受限的ADSL线路被专门的用户用来访问公司内网。10.0.0.0/16网段是受信任的网络,而192.168.0.0/16是给专门的用户用的。

    

     

       所有的路由器接口都配置两个子接口;.10用于VLAN10, .20用于VLAN20。例如:下面是R1的F2/0口的配置。 
interface FastEthernet2/0
 description R2
 no ip address
interface FastEthernet2/0.10
 encapsulation dot1Q 10
 ip address 10.0.12.1 255.255.255.252
interface FastEthernet2/0.20
 encapsulation dot1Q 20
 ip address 192.168.12.1 255.255.255.252

 这样的话,明显是有安全漏洞的,可以通过VRF来解决,利用VRF将网络分割成两个虚拟的,独立的网络。

   现在,在R1上开始创建VRF BLUERED

R1(config)# ip vrf BLUE
R1(config-vrf)# descr