So lassen sich mit VRF mehrere Routing-Instanzen auf einem Cisco-Router konfigurieren

VRF (Virtual Routing and Forwarding) bietet eine Möglichkeit, um mehrere Routing-Instanzen auf einem Router zu konfigurieren. Dies ist von Vorteil, wenn man Kunden-Traffic und Routing separat halten und dabei dieselbe Hardware nutzen will. Man könnte nun meinen, dass man die Kunden auch separat halten kann, indem man Sub-Schnittstellen oder verschiedene physische Schnittstellen verwendet und dann über ACL-Filter den Traffic trennt. Dies ist natürlich durchaus eine anwendbare Methode, doch wenn man dann aus irgendeinem Grund eine Überlappung der Kundenadressierung beabsichtigen sollte, stößt man auf ernste Probleme. Mit einem VRF kann man dagegen die gleiche IP-Adresse gleichzeitig an zwei verschiedene Schnittstellen auf einem Router zuweisen.

Hier ein Beispiel aus der Praxis: Zu Schulungszwecken soll eine Laborumgebung eingerichtet werden, für einen Kurs aus acht Pods, alle mit identischer Topologie und identischer Adressierung. Hier ein Blick auf die grundlegende Topologie in der folgenden Abbildung:

Auch wenn diese Topologie auf den ersten Blick recht schlicht erscheint, musste sie doch sieben Mal dupliziert werden. Dabei wird jeder Labor-Pod als ein separater Kunde betrachtet. Also kommt der Router zum Einsatz, um diese zu isolieren. Der erste Schritt ist das Erstellen der VRFs.

Erstellen von VRFs

ip vrf POD1
 rd 1:1
!
ip vrf POD2
 rd 2:2
!
ip vrf POD3
 rd 3:3
!
ip vrf POD4
 rd 4:4
!
ip vrf POD5
 rd 5:5
!
ip vrf POD6
 rd 6:6
!
ip vrf POD7
 rd 7:7
!
ip vrf POD8
 rd 8:8
!

Mit der oben stehenden Konfiguration entsteht ein einzelner Router, der wie acht unabhängige Router fungieren kann. Wichtig ist dabei, dass der rd oder Route Distinguisher ein Überlappen der IP-Adressen erlaubt. In diesem Router wird jede Adresse vom RD getaggt, der das Format ip-address:rd hat. Dies ist ein lokal relevanter Wert.

Der nächste Schritt besteht im Verknüpfen jeder Schnittstelle mit einem VRF:

interface FastEthernet0/0.1
 encapsulation dot1Q 201
 ip vrf forwarding POD1
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.2
 encapsulation dot1Q 202
 ip vrf forwarding POD2
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.3
 encapsulation dot1Q 203
 ip vrf forwarding POD3
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.4
 encapsulation dot1Q 204
 ip vrf forwarding POD4
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.5
 encapsulation dot1Q 205
 ip vrf forwarding POD5
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.6
 encapsulation dot1Q 206
 ip vrf forwarding POD6
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.7
 encapsulation dot1Q 207
 ip vrf forwarding POD7
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.8
 encapsulation dot1Q 208
 ip vrf forwarding POD8
 ip address 192.168.1.1 255.255.255.0
!
!
interface FastEthernet0/1.1
 encapsulation dot1Q 211
 ip vrf forwarding POD1
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.2
 encapsulation dot1Q 212
 ip vrf forwarding POD2
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.3
 encapsulation dot1Q 213
 ip vrf forwarding POD3
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.4
 encapsulation dot1Q 214
 ip vrf forwarding POD4
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.5
 encapsulation dot1Q 215
 ip vrf forwarding POD5
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.6
 encapsulation dot1Q 216
 ip vrf forwarding POD6
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.7
 encapsulation dot1Q 217
 ip vrf forwarding POD7
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0
!
interface FastEthernet0/1.8
 encapsulation dot1Q 218
 ip vrf forwarding POD8
 ip address 172.26.26.53 255.255.255.0 secondary
 ip address 172.26.26.1 255.255.255.0

Um zu überprüfen, ob das Routing isoliert ist, kann man die Routing-Tabelle aus Sicht jedes einzelnen VRF betrachten.

Erster POD1:

BBR#show ip route vrf POD1
Routing Table: POD1
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
     172.26.0.0/24 is subnetted, 1 subnets
C       172.26.26.0 is directly connected, FastEthernet0/1.1
     10.0.0.0/24 is subnetted, 2 subnets
S       10.0.1.0 [1/0] via 192.168.1.2
C       10.0.100.0 is directly connected, Loopback201
C    192.168.1.0/24 is directly connected, FastEthernet0/0.1
BBR#

Um zu sehen, welche Schnittstellen den jeweiligen VRF zugewiesen sind, lässt sich der Befehl show ip vrf brief wie unten gezeigt verwenden.

BBR#sh ip vrf brief
  Name                             Default RD          Interfaces
  POD1                             1:1                 Lo201
                                                       Fa0/0.1
                                                       Fa0/1.1
  POD2                             2:2                 Lo202
                                                       Fa0/0.2
                                                       Fa0/1.2
  POD3                             3:3                 Lo203
                                                       Fa0/0.3
                                                       Fa0/1.3
  POD4                             4:4                 Lo204
                                                       Fa0/0.4
                                                       Fa0/1.4
  POD5                             5:5                 Lo205
                                                       Fa0/0.5
                                                       Fa0/1.5
  POD6                             6:6                 Lo206
                                                       Fa0/0.6
                                                       Fa0/1.6
  POD7                             7:7                 Lo207
                                                       Fa0/0.7
                                                       Fa0/1.7
  POD8                             8:8                 Lo208
                                                       Fa0/0.8
                                                       Fa0/1.8
BBR#

Es gibt noch verschiedene andere Befehle zum Überprüfen des VRF, aber wie man sieht, ist dieser Router mit acht VRFs partitioniert.