Virtual Routing and Forwarding

最新推荐文章于 2024-12-02 21:35:01 发布
原创 最新推荐文章于 2024-12-02 21:35:01 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了VRF策略在Linux网络协议栈中的作用,如何通过VRF实现多租户环境下的路由与转发域隔离,以及VRF与命名空间、策略路由的结合使用。文章详细介绍了VRF的创建、配置过程,以及在不同应用场景下的实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 简介
VRF策略和路由规则配合在Linux网络协议栈中提供了一种创建虚拟路由与转发域地能力。一个典型的例子就是多租户问题,租户有自己地路由表,并且是不同的网关。

进程清晰地知道使用哪个VRF,通过将socket绑定在特定的VRF策略上。数据包通过socket系统调用后,使用与VRF策略关联的路由表发出。VRF策略实现的一个重要特性就是它只影响L3层及以上,所以L2工具(如LLDP)不受影响(即它们不需要在每个VRF中运行)。该设计还支持在VRF策略规则的基础上使用更高优先级的ip规则(策略路由PBR)进行优先引导特定流量。

此外,VRF策略允许将VRF嵌入到命名空间中,例如网络命名空间提供VRF虚拟网络接口层的隔离,命名空间内接口上的vlan提供L2隔离,VRF提供L3隔离。

二 设计
在创建VRF策略时,也会创建出一个虚拟网卡,所以文中的VRF策略与VRF虚拟网卡基本等同。

VRF虚拟网卡的创建会关联一张路由表,然后将实际网络接口或者VLAN等虚拟接口加入到特定的VRF策略,如下图所示:

网络接口收到报文后在IPv4和IPv6协议栈上处理给中会交给VRF虚拟网络接口, 造成一种是数据报文是经过VRF设备的假象(因为VRF是三层隔离,所以在ip-input中修改入接口为VRF虚拟接口)。与之类似,出接口上的路由规则让报文先经过VRF设备,而后再经过实际接口发出。这种实现就支持了tcpdump在VRF虚拟接口上对进出的报文进行tcpdump抓包,同时包括netfilter,tc在内。

[1] 转发的报文不会经过VRF虚拟网卡,因此这种报文无法被tcpdump抓取。------->求证

[2] IPtable在入方向实际接口支持PREROUTINT钩子点,在VRF虚拟接口支持INPUT和PREROUTING。在出方向,不管是实际接口还是VRF虚拟接口,都支持POSTROUTING和OUTPUT。

三 步骤

  1. VRF虚拟接口在创建时会关联一张FIB路由表,命令如下

 ip link add vrf-blue type vrf table 10 创建一个虚拟接口并关联一张表

 ip link set dev vrf-blue up 将虚拟接口状态置为UP

  1. 通过ip rule show 可知在虚拟网卡创建时,会生成一条策略路由指向l3mdev-table,这条策略路由对所有的VRF生效。用户可以修改这条策略路由的优先级,或者添加针对每个VRF虚拟网卡的策略。

ip rule add oif vrf-blue table 10

  1. 设置默认路由

ip route add table 10 unreachable default metric 4278198272

较高的metric 值保证可默认不可达路由可被路由协议生成的路由覆盖。FRR将metric解释为前一个字节表示距离,后面三个字节表示优先级。上述值即为[255/8192]

4,  设置L3接口归属于VRF虚拟接口

    ip link set dev ens6 master vrf-blue

    L3接口的主机路由和直连路由会自动的加入到VRF虚拟接口对应的路由表中,其

它依赖此接口的路由将被丢弃,需要重新加入到VRF接口对应的表中。

5,添加路由到表中

        ip route add table …….

        ip route add vrf vrf-xxx ……….

   

四 应用

     应用在使用VRF时,需要将socket绑定到相应的VRF 虚拟网卡上,或者在发送数据时通过IP_PKTINFO指定出接口信息。

     setsockopt(sd, SOL_SOCKET, SO_BINDTODEVICE, dev, strlen(dev)+1)

      对于没有绑定接口的socket,端口范围就是在默认VRF(全局VRF)中。也就是说当归属于VRF虚拟网口的接口收到报文后,将无法匹配到对应的socket,因为应用程序可能绑定同样的端口。

     TCP和UDP服务运行在默认VRF上下文(即是没有绑定到任何VRF接口上) 可以在所有VRF域中生效通过设置下述选项:

     sysctl –w net.ipv4.tcp_l3mdev_accept = 1

     sysctl –w net.ipv4.udp_l3mdev_accept = 1

     这两个选项在默认情况下是关闭的,因此socket 只会选择对应VRF的报文。与之类似的是原始套接字,为了更好的向后兼容性,默认使能,效果相当于是没有绑定虚拟网口,每次通过IP_PKTINFO指定出接口发送报文。

   

五 使用iproute2 配置VRF

     ip link add dev NAME type vrf table ID
     ip [-d] link show type vrf
     ip -br link show type vrf
     ip link set dev NAME master NAME
     ip link show vrf NAME
     ip [-6] neigh show vrf NAME
     ip addr show vrf NAME
     ip [-6] route show vrf NAME
     ip [-6] route show table ID
     ip link set dev NAME nomaster

 

 

 

 

https://blog.youkuaiyun.com/dog250/article/details/78069964

 

 

Switching, Routing, and Wireless Essentials (Version 7.00) – Available and Reliable Networks Exam
m0_75110976的博客
07-05 1214
思科DHCP章节测试
Virtual Routing and Forwarding (VRF)
务远的博客
01-09 1954
Virtual Routing and Forwarding (VRF) The VRF device combined with ip rules provides the ability to create virtual routing and forwarding domains (aka VRFs, VRF-lite to be specific) in the Linux networ...
VRF-Virtual Routing & Forwarding
lltvw的博客
07-18 635
原文 译 Network Virtualization – Path Isolation Network Virtualization makes most modern Path Isolation techniques in networking possible. Network Virtualization and Path Isolation are crucial in modern network design and implementation. 网络虚拟化使大多数现代化路径隔离技术在网络
Linux网络:Virtual Routing and Forwarding (VRF)
RToax
05-22 1742
目录 Virtual Routing and Forwarding (VRF) VRF安装 VRF示例 进程绑定VRF VRF操作 创建VRF 查询VRF列表 添加网卡到VRF 查询VRF邻接表和路由 从VRF中删除网卡 参考 Virtual Routing and Forwarding (VRF) Linux内核的Virtual Routing and Forwarding(VRF) 是由路由表和一组网络设备组成的路由实例。 VRF安装 Ubuntu默认不包括vrf内核模块.
VRF(Virtual Routing and Forwarding,虚拟路由转发)
jiechuhoudeshang的博客
07-26 1185
参考文献: 五分钟理解VRF(Virtual Routing and Forwarding,虚拟路由转发)
Virtual Routing and Forwarding for Linux-开源
05-07
适用于Linux的虚拟路由和转发
cisco-Routing CCNP Routing Exam
05-12
在CCNP Routing认证中,考生需要掌握VRF(Virtual Routing and Forwarding)用于隔离不同逻辑网络,MPLS(Multiprotocol Label Switching)用于快速数据传输,以及QoS(Quality of Service)用于保障网络流量的...
MPLS VNPHUB and SPOKE.zip
03-01
2. **创建VRF(Virtual Routing and Forwarding)**:VRF是MPLS VNP的核心,它为每个虚拟网络创建独立的路由表。在HUB和SPOKE上,都需要为每个虚拟网络创建相应的VRF实例。 3. **配置LSP(Label Switched Path)**...
VRF简单路由配置方法与步骤
最新发布
07-01
在构建网络时,VRF(Virtual Routing and Forwarding)技术常被用于实现不同业务或用户的网络隔离。以下是一个基于三台路由器的VRF简单配置示例,主要围绕虚拟路由表的设置展开。 三台路由器分别命名为Router A、...
routing and forwarding
yanhc519的专栏
06-06 933
以下来自维基百科。在现代路由器架构中。路由表一般不直接作为转发依据。而是用路由表来生成一个更小的转发表。 Routing tables are generally not used directly for packet forwarding in modern router architectures; instead, they are used to generate the information for a smaller forwarding table. This forwarding tab
VRF -- 虚拟路由转发
qq_45742976的博客
12-24 2442
不同的数据流量需要送往不同的公司,在传统的网络设计中,这可能会导致IP地址冲突和网络隔离的困难。VRF(Virtual Routing and Forwarding)虚拟路由转发,是一种网络虚拟化技术,用于在同一物理网络设备上创建多个虚拟路由表,每个虚拟路由表都是相互独立的,就像是在同一设备上运行了多个独立的路由器一样。当引入VRF时,每个VRF都有自己的路由表,不同的接口关联到不同的VRF,从而使每个接口使用独立的路由表。划分VRF之后,全局路由表里面就不再包含创建了VRF的接口信息。
Linux VRF(Virtual Routing Forwarding)的原理和实现
热门推荐
TCP/IP
09-23 3万+
动机明天,是2017年9月24日,两年前的明天,我从上海第一次来到深圳参加面试,两年前的今天,此时我还在上海虹桥机场等候延误的飞机,两年前的今晚,我在深圳南山区南新路片区徘徊,企图能在南方城市找到一家东北烧烤,并且欣赏这座城市(最终我找到了!),两年前的明晚,我喝了一瓶750ml的威士忌,次日返回上海…面试后,我感觉我被录取了,然后做了一个决定,举家再次搬迁,来到了深圳,在上海留下了我的空房和我的足
华为数通笔记-VRF
qq_45959697的博客
04-06 1万+
VRF VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。 网络需求 某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机。 核心交换机上同时连接了生产网络和管理网络的服务器群,两个网段均为192.168.100.0/24网段。 需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信。 通过..
VRF(虚拟路由转发)的实验配置
zhgjx_ywz的博客
12-02 2296
这种隔离性使得即使在同一台路由器上,不同VRF实例之间的路由信息互不干扰,实现了高效的网络流量管理和控制。VRF技术的核心在于它允许在同一个物理路由器上创建多个逻辑上的隔离路由实例,每个VRF实例都有自己的路由表、转发信息库(FIB)以及一组接口。数据包处理:当网络设备收到数据包时,会根据数据包的目标IP地址和VRF标识,选择相应的VRF实例中的路由表进行路由查找和转发决策。通过MPLS的标签交换特性,可以实现不同VRF之间的快速转发和隔离,同时保证数据传输的安全性和可靠性。这大大提高了网络的整体安全性。
HCIE考试核心内容 第一部分 VRF相关
2301_78439235的博客
06-11 1515
配置接口与VPN实例绑定后,或取消接口与VPN实例的绑定,都会清除该接口的IP地址、三层特性和IP相关的路由协议,如果需要应重新配置。VRF(Virtual Routing and Forwarding,虚拟路由转发)技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离,常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。VRF是对物理设备的一个逻辑划分,每个逻辑单元都被称为一个VPN实例,实例之间在路由层面是隔离的。通过创建VPN实例的方式在PE上区别不同VPN的路由。
华为eNSP:VPF基本概念及应用
nankon_的博客
12-02 1639
1、VRF技术通过其强大的功能和多样化的作用,在现代网络设计中发挥着越来越重要的作用。随着企业和服务提供者对网络安全和灵活性的需求不断增长,VRF的重要性将继续增加。2、VRF技术提高了网络安全性和灵活性,因为它允许在同一台物理设备上运行多个逻辑上独立的路由器实例,从而有效地隔离不同的数据流量或业务。
vrf
03-11
### VRF (Virtual Routing and Forwarding) 配置与文档 #### Linux 内核中的 VRF 实现 VRF(虚拟路由转发)是由路由表和一组网络接口组成的逻辑实体,用于隔离不同租户或服务之间的流量。通过创建独立的路由空间,可以有效地管理多个不同的路由环境而不互相干扰[^1]。 对于 Linux 系统而言,在内核层面支持 VRF 功能意味着可以通过特定命令来管理和操作这些虚拟化的路由实例。例如,`ip link set dev eth1 master vrf-blue` 命令能够将第三层接口绑定至指定名称为 `vrf-blue` 的 VRF 设备上[^3]。 当涉及到实际的数据传输过程中,Linux 内核会依据接收到或者发出的数据包所对应的物理网卡属性自动判断其归属哪个具体的 VRF 范围,并执行相应的处理流程。比如发送数据时,`l3mdev_ip_out()` 函数负责设置目的地址解析结构体 (`dst_entry`) 并最终调用 `vrf_xmit()` 来完成报文的实际传送工作[^4]。 #### 技术文档资源推荐 为了更深入理解如何配置以及优化基于 VRF 构建的企业级解决方案,建议查阅官方手册和其他权威资料: - **《Linux Networking Documentation》**:提供有关于整个操作系统网络子系统的全面介绍,其中包含了关于 VRF 特性的描述及其应用场景说明。 - **Red Hat Enterprise Linux Network Guide**:针对企业版发行版本编写的操作指南,详细记录了各种高级特性如 VRF 的部署方法和技术细节。 - **Cisco IOS XE Virtual Routing and Forwarding Configuration Guide**:虽然主要面向思科产品线,但对于通用概念的理解同样具有很高的参考价值。 ```bash # 创建一个新的 VRF 接口并分配给它一个 IP 地址 ip netns add blue ip -n blue link set lo up ip -n blue addr add 192.0.2.1/24 dev lo ip link add name vrf-blue type vrf table 100 ip link set dev vrf-blue up ip link set dev eth1 master vrf-blue ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值