VRF (Virtual Routing and Forwarding) bietet eine Möglichkeit, um mehrere Routing-Instanzen auf einem Router zu konfigurieren. Dies ist von Vorteil, wenn man Kunden-Traffic und Routing separat halten und dabei dieselbe Hardware nutzen will. Man könnte nun meinen, dass man die Kunden auch separat halten kann, indem man Sub-Schnittstellen oder verschiedene physische Schnittstellen verwendet und dann über ACL-Filter den Traffic trennt. Dies ist natürlich durchaus eine anwendbare Methode, doch wenn man dann aus irgendeinem Grund eine Überlappung der Kundenadressierung beabsichtigen sollte, stößt man auf ernste Probleme. Mit einem VRF kann man dagegen die gleiche IP-Adresse gleichzeitig an zwei verschiedene Schnittstellen auf einem Router zuweisen.
Hier ein Beispiel aus der Praxis: Zu Schulungszwecken soll eine Laborumgebung eingerichtet werden, für einen Kurs aus acht Pods, alle mit identischer Topologie und identischer Adressierung. Hier ein Blick auf die grundlegende Topologie in der folgenden Abbildung:
Auch wenn diese Topologie auf den ersten Blick recht schlicht erscheint, musste sie doch sieben Mal dupliziert werden. Dabei wird jeder Labor-Pod als ein separater Kunde betrachtet. Also kommt der Router zum Einsatz, um diese zu isolieren. Der erste Schritt ist das Erstellen der VRFs.
Erstellen von VRFs
ip vrf POD1 rd 1:1 ! ip vrf POD2 rd 2:2 ! ip vrf POD3 rd 3:3 ! ip vrf POD4 rd 4:4 ! ip vrf POD5 rd 5:5 ! ip vrf POD6 rd 6:6 ! ip vrf POD7 rd 7:7 ! ip vrf POD8 rd 8:8 !
Mit der oben stehenden Konfiguration entsteht ein einzelner Router, der wie acht unabhängige Router fungieren kann. Wichtig ist dabei, dass der rd oder Route Distinguisher ein Überlappen der IP-Adressen erlaubt. In diesem Router wird jede Adresse vom RD getaggt, der das Format ip-address:rd hat. Dies ist ein lokal relevanter Wert.
Der nächste Schritt besteht im Verknüpfen jeder Schnittstelle mit einem VRF:
interface FastEthernet0/0.1 encapsulation dot1Q 201 ip vrf forwarding POD1 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.2 encapsulation dot1Q 202 ip vrf forwarding POD2 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q 203 ip vrf forwarding POD3 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.4 encapsulation dot1Q 204 ip vrf forwarding POD4 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.5 encapsulation dot1Q 205 ip vrf forwarding POD5 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.6 encapsulation dot1Q 206 ip vrf forwarding POD6 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.7 encapsulation dot1Q 207 ip vrf forwarding POD7 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.8 encapsulation dot1Q 208 ip vrf forwarding POD8 ip address 192.168.1.1 255.255.255.0 ! ! interface FastEthernet0/1.1 encapsulation dot1Q 211 ip vrf forwarding POD1 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.2 encapsulation dot1Q 212 ip vrf forwarding POD2 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.3 encapsulation dot1Q 213 ip vrf forwarding POD3 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.4 encapsulation dot1Q 214 ip vrf forwarding POD4 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.5 encapsulation dot1Q 215 ip vrf forwarding POD5 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.6 encapsulation dot1Q 216 ip vrf forwarding POD6 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.7 encapsulation dot1Q 217 ip vrf forwarding POD7 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0 ! interface FastEthernet0/1.8 encapsulation dot1Q 218 ip vrf forwarding POD8 ip address 172.26.26.53 255.255.255.0 secondary ip address 172.26.26.1 255.255.255.0
Um zu überprüfen, ob das Routing isoliert ist, kann man die Routing-Tabelle aus Sicht jedes einzelnen VRF betrachten.
Erster POD1:
BBR#show ip route vrf POD1 Routing Table: POD1 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.26.0.0/24 is subnetted, 1 subnets C 172.26.26.0 is directly connected, FastEthernet0/1.1 10.0.0.0/24 is subnetted, 2 subnets S 10.0.1.0 [1/0] via 192.168.1.2 C 10.0.100.0 is directly connected, Loopback201 C 192.168.1.0/24 is directly connected, FastEthernet0/0.1 BBR#
Um zu sehen, welche Schnittstellen den jeweiligen VRF zugewiesen sind, lässt sich der Befehl show ip vrf brief wie unten gezeigt verwenden.
BBR#sh ip vrf brief Name Default RD Interfaces POD1 1:1 Lo201 Fa0/0.1 Fa0/1.1 POD2 2:2 Lo202 Fa0/0.2 Fa0/1.2 POD3 3:3 Lo203 Fa0/0.3 Fa0/1.3 POD4 4:4 Lo204 Fa0/0.4 Fa0/1.4 POD5 5:5 Lo205 Fa0/0.5 Fa0/1.5 POD6 6:6 Lo206 Fa0/0.6 Fa0/1.6 POD7 7:7 Lo207 Fa0/0.7 Fa0/1.7 POD8 8:8 Lo208 Fa0/0.8 Fa0/1.8 BBR#
Es gibt noch verschiedene andere Befehle zum Überprüfen des VRF, aber wie man sieht, ist dieser Router mit acht VRFs partitioniert.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…