号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
下午好,我的网工朋友。
你是不是也遇到过这种情况:同一台路由器上要处理多个业务,流量得分开走,但又不想增加额外的硬件或者搞得网络配置复杂乱七八糟?
其实,有个简单而高效的办法——那就是VRF(虚拟路由转发)。通过VRF,你可以在一台设备上创建多个虚拟路由表,实现业务流量的完全隔离,既省钱又省事。而且,VRF不仅适用于普通网络,它在MPLS VPN中的应用更是让它大放异彩。今天就来聊聊VRF。
今日文章阅读福利:《MPLS-华为详解指南 》
说到VRF是绝对离不开MPLS的,今天送一份超级干货。
私信发送暗号“MPLS”,即可获取此份内容详实的pdf。
我们将通过这个环境来讲解一下VRF的概念。
通过在R1上部署VRF,可以达到路由或流量隔离的目的,再者VRF在MPLS VPN中的使用,也是非常重要的。
在上图中,假设PC1与R2这一侧的网络属于一个独立的业务;PC2与R3这一侧的网络属于另一个独立的业务,由于设备资源有限或者其他方面的原因,这两个独立的业务的相关节点连接在R1上,也就是同一台设备上。那么在完成相关配置后,R1的路由表如上图所示。
现在如果PC1要发一个数据包到2.2.2.2,那么这个数据包在到达R1后,R1就会去查看自己的路由表,发现有一条2.2.2.0/24的路由匹配,因此将这个IP包从GE0/0/2口转发给192.168.100.2。这是没有问题的,然而如果PC1要访问3.3.3.0/24网络呢?也是无鸭梨的,因为数据包到达R1后,她照样查找路由表结果发现有匹配的路由,因此将数据包转给R3。
但是实际上,从业务的角度考虑,我们禁止PC1访问3.3.3.0/24网络。
那么怎么办?
增加一台路由器,然后将两个业务从物理上隔离么?这无疑也增加了成本。那么保持现有的网络结构不变,但是通过ACL或者其他工具将禁止同行的流量过滤掉呢?
这是一种可行的方法,但是却也增加了网络部署的复杂程度,同时有可能在全局上部署的策略影响到局部,或者,两个业务各有自己的网络需求,这在一台设备上就不大好弄了。
现在,我们在R1上创建两个VRF:VRF1及VRF2,创建完成后,我们可以理解为,拥有了两台虚拟路由器。
当然,现在这两台虚拟路由器上啥也没有。
接下去我们将GE0/0/1口及GE0/0/2口绑定到VRF1;将GE0/0/3及GE0/0/4口绑定到VRF2。如此一来这两台虚拟路由器就各自拥有了两个物理接口。
值得注意的是,这两台虚拟路由器是虽然都在同一台物理设备上,但是却是隔离的,他们将有自己的接口,自己的路由表,自己的ARP表等等相关的内容。
我们的环境就变成有点像这样:
我们看到,VRF1及VRF2有了自己的接口,也有了自己的路由表。并且相互之间是隔离的。
现在PC1要发送一个数据包到2.2.2.2,R1从接口GE0/0/1收到了这个数据包,由于此时GE0/0/1已经绑定到了VRF1,因此在执行目的IP的路由查找的时候,查的是VRF1的路由表,查找到匹配的路由条目后,间个数据包从其指示的GE0/0/1口转发给下一跳192.168.100.2。
那么如果PC1要访问3.3.3.3呢?数据包发到了R1,R1从接口GE0/0/1收到了这个数据包,于是它在做路由查找的时候,查的仍然是VRF1的路由表。
经过查表后,它发现并无匹配的条目,因此将数据包丢弃。
我们还能在R1上,运行支持VRF的动态路由协议,例如OSPF、BGP等等,当然静态路由也是支持VRF的。在上图中,我们在R1上运行了OSPF及BGP,其中OSPF关联到VRF1,BGP关联到VRF2。
那么R1从这个OSPF的VRF实例学习到的路由就装载进了VRF1的路由表;同理从BGP的这个VRF进程中学习到的路由就装载进了VRF2的路由表。
从上面我们可以看出VRF的优势。
在创建VRF并分配特定的资源(如接口)后,我们进一步的配置,例如路由、策略等,都可以在VRF的基础上来完成,并且VRF之间是相互独立的,互不干扰,又可以独立管理,这在某些业务场合下非常有吸引力。
在防火墙及交换机上同样支持VRF的特性。我们在防火墙上通过创建VRF,可以得到多个虚拟防火墙,甚至将不同的虚拟防护墙租借给不同的客户。
当然不得不提的是VRF在MPLS VPN中的应用,这是它大放光彩的地方,不过MPLS VPN的讨论并非本文的重点,就此抚摸一下。
整理:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
