Im vorigen Beitrag haben wir über die Isolierung des Datenverkehrs mit Hilfe der privaten VLAN-Funktion auf Layer2-Ebene gesprochen. In diesem Tutorial werden wir die Isolierung des Datenverkehrs auf Layer3-Ebene mit VRF Lite auf Cisco-Routern besprechen.
Was ist VRF Lite
VRFs verwenden im Wesentlichen das gleiche Konzept wie VLANs und Trunking, aber auf Layer 3.
VRF (Virtual Routing and Forwarding) wird traditionell mit der IP MPLS-Technologie in Verbindung gebracht, wobei ein ISP Layer3 (oder Layer2) VPNs für Kunden mit VRF erstellt.
Betrachten Sie eine VRF als eine separate Routing-Instanz (und eine separate Routing-Tabelle) auf demselben Netzwerkgerät, die die IP-Routen für jeden Kunden enthält, die von den anderen Kunden isoliert sind.
Jede VRF ist wie ein separater virtueller Router mit einer eigenen Routing-Tabelle auf demselben physischen Router.
Wenn Sie nicht in einer ISP-Umgebung arbeiten, werden Sie dieser Technologie nicht sehr oft begegnen. Soweit ich weiß, werden MPLS und VRFs auch nicht im CCNA oder CCNP R&S geprüft.
Sie werden in den Kapiteln behandelt, die für die CCIE R&S Zertifizierung benötigt werden. Wenn Sie über diese Technologie lesen wollen, ist ein gutes Buch für den Anfang MPLS Fundamentals
, geschrieben von Luc De Ghein.
Obwohl VRFs und MPLS in der Regel auf High-End-ISP-Routern konfiguriert werden, können Sie diese Funktion auch auf einigen kleineren Cisco ISR-Routern in einer vereinfachten Form namens VRF Lite verwenden und die gleichen Vorteile nutzen.
Mit VRF Lite können Sie separate Routing-Tabellen auf demselben physischen Router-Gerät haben. Jede Routing-Tabelle (VRF-Instanz) ist von den anderen VRF-Instanzen isoliert.
Um zu demonstrieren, wie diese Funktion genutzt werden kann, betrachten wir das folgende vereinfachte Szenario:
Netzwerkszenario mit Cisco 891 und VRF Lite
Betrachten Sie das in der obigen Abbildung dargestellte Szenario. Wir haben einen Cisco 891 Border-Router mit einer Intranet-Verbindung für die Computer der Mitarbeiter und die Server des Unternehmens, und wir müssen auch Internet-Konnektivität für eine Wi-Fi-Verbindung anbieten, damit Gäste eine Verbindung zum Internet herstellen können.
Das Sicherheitsteam des Unternehmens verlangt, dass die Wi-Fi-Verbindung vollständig vom lokalen Intranet-Netz getrennt sein muss, damit die Gäste keinen Zugriff auf das lokale Netz haben. Daher können wir die beiden Layer3-Netzwerke mit VRF Lite isolieren. Wir werden „VRF Intranet“ und „VRF Extranet“ für die beiden Netzwerke erstellen.
Konfigurationsbeispiel auf Cisco Router
Der verwendete Router ist CISCO891-K9 mit dem installierten Image c890-universalk9-mz.151-4.M4.bin.
Jede VRF-Instanz wird zwei Layer3 geroutete Schnittstellen haben, die mit ihr verbunden sind, wie unten gezeigt. Betrachten Sie jede VRF-Instanz als einen virtuellen Router mit zwei Schnittstellen.
- VRF Intranet: VLAN10 und Interface Gi0 werden in „vrf Intranet“ aufgenommen.
- VRF Extranet: VLAN100 und Schnittstelle Fa8 werden in die „vrf Extranet“ aufgenommen.
Schritt 1: Erstellen der VRF Lite Instanzen
ip vrf Extranet
Beschreibung Extranet
!
ip vrf Intranet
Beschreibung Intranet
!
Schritt 2 : VLANs und Schnittstellen konfigurieren und in die VRF-Instanzen aufnehmen
vlan 10
Name Intranet
!
vlan 100
Name Extranet
!
Interface GigabitEthernet0 <—– wan port, der dem Internet zugewandt ist, für Intranet-Verkehr
ip vrf forwarding Intranet <—- interface ist mit der Intranet VRF verbunden
ip address 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
Schnittstelle Vlan10 <—— SVI-Schnittstelle für Intranet-Verkehr
Beschreibung Intranet <—— Schnittstelle ist an die Intranet-VRF angeschlossen
ip vrf forwarding Intranet
IP-Adresse 10.10.100.1 255.255.255.0
!
Schnittstelle FastEthernet8 <—— wan port zum Internet für Gastverkehr
ip vrf forwarding Extranet <—— Schnittstelle ist mit der Extranet VRF verbunden
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
Schnittstelle Vlan100 <—— SVI-Schnittstelle für Extranet-Verkehr
Beschreibung Extranet
ip vrf forwarding Extranet <——-Schnittstelle ist mit der Extranet-VRF verbunden
IP-Adresse 100.100.100.1 255.255.255.0
!
interface FastEthernet0 <– an dieser Schnittstelle ist der WiFi Access Point für Gäste angeschlossen
description AP
switchport access vlan 100
no ip address
!
interface FastEthernet1 <– an diese Schnittstelle werden die Intranet-Hosts angeschlossen
description Intranet
switchport access vlan 10
no ip address
!
Schritt 3 : Fügen Sie Standardrouten zum Internet für beide VRF-Instanzen hinzu
ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254
ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.254
Schritt 4 : Überprüfungen
– Anzeigen der vrf Konfiguration
Netzwerkschulung#sh run vrf Intranet
Konfiguration erstellen…
Aktuelle Konfiguration : 324 Bytes
ip vrf Intranet
Beschreibung Intranet
!
!
interface GigabitEthernet0
ip vrf forwarding Intranet
ip address 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan10
description Intranet
ip vrf forwarding Intranet
ip address 10.10.100.1 255.255.255.0
!
ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254
end
Networkstraining#sh run vrf Extranet
Gebäudekonfiguration…
Aktuelle Konfiguration : 326 Bytes
ip vrf Extranet
Beschreibung Extranet
!
!
interface FastEthernet8
ip vrf forwarding Extranet
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan100
description Extranet
ip vrf forwarding Extranet
ip address 100.100.100.1 255.255.255.0
!
ip route vrf Extranet 0.0.0.0 0.0.0 192.168.1.254
– überprüfe beide Routing-Tabellen
Netzwerkschulung#sh ip route vrf Intranet
Routing Tabelle: Intranet
Gateway of last resort ist 10.10.10.254 zu Netzwerk 0.0.0.0
S* 0.0.0.0/0 via 10.10.10.254
10.0.0.0/8 ist variabel subnettiert, 2 Subnetze, 2 Masken
C 10.10.10.0/24 ist direkt verbunden, GigabitEthernet0
L 10.10.10.1/32 ist direkt verbunden, GigabitEthernet0
Networkstraining#sh ip route vrf Extranet
Routing Tabelle: Extranet
Gateway of last resort ist 192.168.1.254 zu Netzwerk 0.0.0.0
S* 0.0.0.0/0 via 192.168.1.254
192.168.1.0/24 ist variabel subnettiert, 2 Subnetze, 2 Masken
C 192.168.1.0/24 ist direkt verbunden, FastEthernet8
L 192.168.1.1/32 ist direkt verbunden, FastEthernet8
– überprüfe ARP-Einträge
Netzwerkschulung#sh ip arp vrf Intranet
Protokoll Adresse Alter (min) Hardware Addr Typ Schnittstelle
Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0
Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10
Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10
Networkstraining#sh ip arp vrf Extranet
Protokoll Adresse Alter (min) Hardware Addr Typ Schnittstelle
Internet 100.100.100.1 – fc99.4712.9ecb ARPA Vlan100
Internet 100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100
Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8
Abschließende Anmerkungen
- Wie Sie sehen können, sind die Routing-Tabellen völlig getrennt und der Verkehr wird völlig getrennt sein.
- Wenn Sie den Befehl „show ip route“ ohne Angabe eines VRF-Namens ausführen, wird die „Globale Routing-Tabelle“ des Geräts angezeigt (die in unserem obigen Beispiel leer sein wird).
- Wenn Sie ping, telnet oder andere Befehle ausführen, die auf die Routing-Tabellen zugreifen, müssen Sie immer den Namen der VRF-Routing-Instanz angeben, die Sie verwenden möchten:
Beispiel: ping vrf Intranet 10.10.100.10
- Das VRF Lite Feature wird auch von anderen Herstellern angeboten. In der Juniper-Umgebung heißt sie zum Beispiel „Routing Instance“.
Cisco ASA VRF Support
Viele Leute fragen, ob die Cisco ASA Firewall VRF Konfiguration unterstützt. Die Antwort ist, dass der ASA keine VRF-Konfiguration unterstützt, da es nur eine einzige Routing-Tabelleninstanz auf dem ASA gibt.
Hier sind die Optionen, die Sie haben, um ein ASA-Gerät in einem VRF-Netzwerk zu verwenden:
- Konfigurieren Sie VLAN-Subinterfaces auf dem ASA und schließen Sie jedes VRF-Netzwerk auf jedem Subinterface ab. Dann können Sie Zugriffskontrolllisten und Verkehrskontrolle der Inter-VRF-Kommunikation über die ASA-Appliance anwenden.
- Verwendung von Sicherheitskontexten: Dies bedeutet, dass verschiedene Sicherheitskontexte (virtuelle ASA-Firewalls) auf demselben Gerät konfiguriert werden und somit separate Routing-Tabellen und eine separate Richtlinienkontrolle für jeden Kontext vorhanden sind. Dies ist vergleichbar mit mehreren VRFs auf demselben Gerät, allerdings handelt es sich dabei nicht um eine native VRF-Funktionalität, wie sie bei Routern vorhanden ist.