VRF技术

1.VRF（Virtual Routing and Rorwarding，虚拟路由转发）  通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离，常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景
 VRF又称VPN实例（VPN Instance），是一种虚拟化技术。在物理设备上创建多个VPN实例，每个VPN实例拥有独立的接口、路由表和路由协议进程等
 VRF是对物理设备的一个逻辑划分，每个逻辑单元都被称为一个VPN实例，实例之间在路由层面是隔离的。VRF实现过程如下：
  创建实例，并将三层接口（可以是路由器的物理接口或者子接口，也可以是VLANIF接口）绑定到实例；
  （可选）配置与实例绑定的路由协议或静态路由；
  基于与实例绑定的接口和路由协议等建立实例路由表并基于实例路由表转发数据，实现实例间隔离
   

   


2.举例
 1.背景：PC1、R1及R1所连的1.1.1.0/24网段属于业务网络。
  PC2、R2及R2所连的2.2.2.0/24网段属于管理网络。核心交换机上所有的直连路由，以及设备所发现的、到达远端网络的路由，均被存储在设备的路由表中（我们将该路由表称为全局路由表），业务及管理网络可以通过核心交换机实现互通。
  需求：通过配置实现业务与管理网络完全隔离
 2.创建VPN实例
  在设备上可运行多种动态路由协议，或运行同一种动态路由协议的多个进程，关联到VPN实例的动态路由协议进程专为该实例服务，从该进程学习到的路由加载到VPN实例的路由表中
 

 

 

 

 

 


3.常见应用场景
 1.防火墙虚拟系统
  虚拟系统（Virtual System）是在一台物理设备上划分出的多台相互独立的逻辑设备。虚拟系统主要具有以下特点：
  资源虚拟化：每个虚拟系统都有独享的资源，包括接口、VLAN、策略和会话等。
  路由虚拟化：每个虚拟系统都拥有各自的路由表，相互独立隔离。
  其中路由虚拟化依靠创建VPN实例来实现
 2.BGP/MPLS IP VPN
  BGP/MPLS IP VPN是一种基于PE的L3VPN技术。它使用BGP在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。
  通过创建VPN实例的方式在PE上区别不同VPN的路由

3.VRF基本配置命令
 1.创建VPN实例/进入VPN实例视图
 [Huawei] ip vpn-instance vpn-instance-name
 2.使能VPN实例的IPv4类型的路由通告和数据转发功能
 ipv4-family命令用来使能VPN实例的IPv4地址族，并进入VPN实例IPv4地址族视图。缺省情况下，未使能VPN实例的IPv4地址族。接口不能与未使能任何地址族的VPN实例绑定。
 [Huawei-vpn-instance-InstanceName] ipv4-family
 3.将接口绑定到VPN实例
 [Huawei-GigabitEthernet0/0/0]ip binding vpn-instance vpn-instance-name
 4.向VPN实例的路由表中添加静态路由
 [Huawei] ip route-static vpn-instance vpn-instance-name ip-address { mask | mask-length } { nexthop-address | interface-type interface-number }
 5.创建与VPN实例绑定的动态路由协议进程（以OSPF为例）
 [Huawei] ospf [ process-id | router-id router-id ] vpn-instance vpn-instance-name  
 5.VPN实例维护命令
 [Huawei] display ip routing-table  vpn-instance vpn-instance-name  
 [Huawei] ping -vpn-instance vpn-instance-name host   
 [Huawei] tracert -vpn-instance vpn-instance-name host   

4.配置案例
 1.背景：某企业内部有生产和管理两张网络，其拓扑简化如左图:
 PC1属于生产网络，PC2属于管理网络，S1是这两台PC的接入交换机，将两台PC分别划入VLAN10和VLAN20。
 R1上通过配置子接口作为PC1和PC2的网关。
 需求：将生产和管理网络隔离开来，并使用静态路由实现网络内部通信。
 

2.配置：
 1.创建生产与管理网络的VPN实例，并使能IPv4地址族
 [R1]ip vpn-instance production
 [R1-vpn-instance-production]ipv4-family
 [R1-vpn-instance-production-af-ipv4]quit
 [R1-vpn-instance-production]quit
 [R1]ip vpn-instance management
 [R1-vpn-instance-management]ipv4-family
 [R1-vpn-instance-management-af-ipv4]quit
 [R1-vpn-instance-management]quit
 2.将接口绑定到实例
 [Huawei]interface GigabitEthernet 0/0/0.1
 [Huawei-GigabitEthernet0/0/0.1]ip binding vpn-instance production
 Info: All IPv4 related configurations on this interface are removed!
 //接口绑定到实例后，接口下关于IP的配置将被清除，需要重新配置。
 [Huawei-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
 [Huawei-GigabitEthernet0/0/0.1]quit
 [Huawei]interface GigabitEthernet 0/0/0.2
 [Huawei-GigabitEthernet0/0/0.2]ip binding vpn-instance management
 Info: All IPv4 related configurations on this interface are removed!
 [Huawei-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
 [Huawei-GigabitEthernet0/0/0.2]quit
 3.往实例中添加静态路由
 [R1]ip route-static vpn-instance production 192.168.100.0 24 192.168.101.254
 [R1]ip route-static vpn-instance management 192.168.200.0 24 192.168.102.254
 4.检查配置
 [R1] display ip routing-table vpn-instance production