2024年5月4日发(作者:)

VRF虚拟路由器使用

VPN-INSTANCE又叫VRF虚拟路由器,概念出现在MPLS-VPN中。但是在许多有安全要求的

场景中也可以单独的使用vpn-instance。

vpn-instance的原理是将一台物理设备虚拟成多个虚拟设备,并将相应的物理接口分配至虚拟设备

中使用,从而实现每个虚拟设备之间及和根物理设备之间完全隔离。并且每一个逻辑设备之间都是相互

独立的,使用自己独立的路由表、独立进程、独立进出接口(用于区分全局路由表、进程个转发接口)

在某些有安全需求的场景中广泛应用,相比之使用ACL隔离数据流量增加了强大的可扩展性,相比

之纯物理设备隔离减少了成本,比如如下场景中:

公司内有生产网络和实验网络,要求生产网络和实验网络进行隔离,但是又不能增加物理设备还要

求后续加入新的网络有良好的扩展性,这样显然ACL和物理设备隔离就不能成为方案的首选,此种场景

下使用VPN-instance作为首选方案非常合适,如下拓扑结构:

要求shengchan网只能和外部的shengchan网相互连接,和shiyan网实现安全隔离

在这个案例中,因为核心交换机是一台三层设备,所以在默认情况下直连路由之间是可以相互通信

的(vlan1、2、3、4之间都是可以相互通信的),这样就造成了生产网的PC和实验网的PC可以相互

通信,现在需要将shengchan网和shiyan网隔离开来,可以

使用vpn-instance,在核心交换机LSW1上创建2个虚拟路由器VFR分别用于shengchan网和

shiyan网,每一个VRF都有自己单独的路由表,在物理设备中不会有相应的全局路由表,实现了

shengchan网和shiyan网的完全隔离

配置思路及配置如下:

在核心交换机上配置VPN-INSTANCE

vlan batch 1 2 3 4

ip vpn-instance shengchan 创建vpn实例,名称为shengchan

router-distinguisher 1:1 路由的RD值为1:1

quit

ip vpn-instance shiyan

router-distinguisher 2:2

quit

interface vlanif 1

ip binding vpn-instance shengchan 将vlanif1接口绑定到vlan-instance

shengchan中

ip address 192.168.1.254 24

interface vlanif 3

ip binding vpn-instance shengchan

ip add 172.16.1.254 24

interface vlanif 2

ip binding vpn-instance shiyan

ip add 192.168.2.254 24

interface vlanif 4

ip binding vpn-instance shiyan

ip add 172.16.2.254 24

ospf 13 route-id 192.168.1.254 vpn-instace shengchan

//创建ospf13,并只在vp-instance实例shengchan中使用

area 0

network 192.168.1.0 0.0.0.255

network 172.16.1.0 0.0.0.255

ospf 24 route-id 192.168.2.254 vpn-instace shiyan

area 0

network 192.168.2.0 0.0.0.255

network 172.16.2.0 0.0.0.255

查看vpn-instance是否完成display vpn-instance

配置完成后,可以看到在全局路由表中并没有路由存在,必须在vpn-instance路由表中才可以看

向对应的路由表象display router-static vpn-instance shengchan/shiyan

在AR1上配置接口ip和ospf

ospf 13

area 0

network 172.16.1.0 0.0.0.255

network 3.3.3.0 0.0.0.255

在AR2上配置接口ip和ospf

ospf 24

area 0

network 172.16.2.0 0.0.0.255

network 4.4.4.0 0.0.0.255

配置完成后,就实现了PC1只能与PC3互访,而PC2只能与PC4互访。

由于电脑运行不了ensp,这里就只能手写命令了

PS:如果把OSPF换成静态路由,那么在核心交换机分别为shengchan/shiyan两个vpn-instance

(VRF)配置:ip route-static vpn-instance shengchan 3.3.3.0 255.255.255.0 172.16.2.253 到达

3.3.3.0和4.4.4.0网络的静态路由,在AR1和AR2也配置去往192.168.1.0/24和192.168.2.0/24的

路由即可