Tutorial de configuración de Cisco VRF Lite con ejemplo paso a paso

En el post anterior, hemos hablado de aislar el tráfico utilizando la función de VLAN privada a nivel de Capa2. En este tutorial, hablaremos del aislamiento del tráfico a nivel de Capa3 utilizando VRF Lite en los routers Cisco.

Qué es VRF Lite

Los VRFs emplean esencialmente el mismo concepto que las VLANs y el Trunking, pero en la Capa 3.

Los VRFs (Virtual Routing and Forwarding) se asocian tradicionalmente con la tecnología IP MPLS mediante la cual un ISP crea VPNs de Capa3 (o Capa2) para los clientes utilizando VRF.

Considere un VRF como una instancia de enrutamiento separada (y una tabla de enrutamiento separada) en el mismo dispositivo de red que contiene las rutas IP para cada cliente que están aisladas de los demás clientes.

Cada VRF es como un enrutador virtual separado con su propia tabla de enrutamiento en el mismo enrutador físico.

Si no trabaja en un entorno ISP no se encontrará con esta tecnología muy a menudo. Además, por lo que sé, MPLS y VRFs no se examinan en el nivel CCNA o CCNP R&S.

Se tratan en los capítulos necesarios para tu certificación CCIE R&S. Si quieres leer sobre esta tecnología, un buen libro para empezar es MPLS Fundamentals

escrito por Luc De Ghein.

Ahora, aunque los VRFs y MPLS se configuran normalmente en routers ISP de gama alta, todavía se puede utilizar esta característica en algunos routers Cisco ISR más pequeños de una manera simplificada llamada VRF Lite y tener las mismas ventajas.

Con VRF Lite, puede tener tablas de enrutamiento separadas en el mismo dispositivo router físico. Cada tabla de enrutamiento (instancia VRF) está aislada de las demás instancias VRF.

Para demostrar cómo utilizar esta característica veamos el siguiente escenario simplificado:

Escenario de red utilizando Cisco 891 y VRF Lite

cisco-vrf-lite-configuration

cisco-vrf-lite-configuration

Consideremos el escenario representado en el diagrama anterior. Tenemos un router fronterizo Cisco 891 con una conexión de Intranet para los ordenadores de los empleados y los servidores de la empresa y también necesitamos ofrecer conectividad a Internet para una conexión Wi-Fi que permita a los invitados conectarse a Internet.

El equipo de seguridad de la empresa exigió que la conexión Wi-Fi debe estar totalmente separada de la red intranet local, para que los invitados no tengan acceso a la red local. Por lo tanto, podemos aislar las dos redes de capa 3 utilizando VRF Lite. Crearemos «VRF Intranet» y «VRF Extranet» para las dos redes.

Ejemplo de configuración en el router Cisco

El router utilizado es el CISCO891-K9 con la imagen c890-universalk9-mz.151-4.M4.bin instalada.

Cada Instancia VRF tendrá dos interfaces enrutadas de Capa3 asociadas a ella como se muestra a continuación. Considere cada Instancia VRF como un router virtual con dos interfaces.

  • VRF Intranet: La VLAN10 y la interfaz Gi0 se incluirán en «vrf Intranet».
  • VRF Extranet: ¡VLAN100 y la interfaz Fa8 se incluirán en «vrf Extranet».
    • Paso 1 : Crear las instancias VRF Lite

      ip vrf Extranet
      descripción Extranet
      !
      ip vrf Intranet
      descripción Intranet
      !

      Paso 2 : Configurar VLANs e interfaces e incluirlas en las instancias VRF

      vlan 10
      nombre Intranet
      !
      vlan 100
      nombre Extranet
      !
      interfaz GigabitEthernet0 <—– puerto wan orientado a internet para el tráfico de la Intranet
      ip vrf forwarding Intranet <—- interfaz se adjunta al VRF de la Intranet
      ip address 10.¡10.10.1 255.255.255.0
      dúplex auto
      velocidad auto
      !
      interfaz Vlan10 <—— interfaz SVI para el tráfico de la Intranet
      descripción Intranet <—— interfaz está unida a la VRF de la Intranet
      ip vrf forwarding Intranet
      ip address 10.10.100.1 255.255.255.0

      interfaz FastEthernet8 <—— puerto wan orientado a internet para el tráfico de invitados
      ip vrf forwarding Extranet <—— interfaz está unida a la Extranet VRF
      ip address 192.¡168.1.1 255.255.255.0
      duplex auto
      velocidad auto

      interfaz Vlan100 <—— interfaz SVI para el tráfico de Extranet
      descripción Extranet
      ip vrf forwarding Extranet <—— interfaz está unida al VRF de Extranet
      dirección ip 100.100.100.1 255.255.255.0

      interfaz FastEthernet0 <– en esta interfaz se conecta el Punto de Acceso WiFi para invitados
      descripción AP
      switchport access vlan 100
      no ip address
      !
      Interfaz FastEthernet1 <– en esta interfaz se conectan los hosts de la Intranet
      descripción Intranet
      switchport access vlan 10
      ¡sin dirección ip
      !

      Paso 3 : Añadir rutas por defecto hacia internet para ambas instancias VRF

      ip route vrf Intranet 0.0.0.0 0.0.0 10.10.10.254
      ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.¡254

      Paso 4 : Verificaciones

      – mostrando la configuración de la vrf

      Networkstraining#sh run vrf Intranet
      Construyendo la configuración…

      Configuración actual : 324 bytes
      ip vrf Intranet
      descripción Intranet
      !

      interfaz GigabitEthernet0
      ip vrf forwarding Intranet
      dirección ip 10.10.10.1 255.255.255.0
      dúplex auto
      velocidad auto

      interfaz Vlan10
      descripción Intranet
      ip vrf forwarding Intranet
      dirección 10.10.100.1 255.255.255.0
      !
      ip route vrf Intranet 0.0.0.0 0.0.0 10.10.10.254
      end

      Networkstraining#sh run vrf Extranet
      Configuración del edificio…

      Configuración actual : 326 bytes
      ip vrf Extranet
      descripción Extranet
      !
      !
      interfaz FastEthernet8
      ip vrf forwarding Extranet
      ip address 192.168.1.1 255.255.255.0
      duplex auto
      speed auto
      !
      interfaz Vlan100
      description Extranet
      ip vrf forwarding Extranet
      ip address 100.100.100.1 255.255.255.0
      !
      ip route vrf Extranet 0.0.0.0 0.0.0 192.168.1.254

      – verifique ambas tablas de enrutamiento

      Networkstraining#sh ip route vrf Intranet

      Tabla de enrutamiento: Intranet

      La puerta de enlace de último recurso es 10.10.10.254 a la red 0.0.0.0

      S* 0.0.0.0/0 a través de 10.10.10.254
      10.0.0.0/8 tiene una subred variable, 2 subredes, 2 máscaras
      C 10.10.10.0/24 está conectada directamente, GigabitEthernet0
      L 10.10.10.1/32 está conectada directamente, GigabitEthernet0

      Networkstraining#sh ip route vrf Extranet

      Tabla de enrutamiento: Extranet

      La puerta de enlace de último recurso es 192.168.1.254 a la red 0.0.0.0

      S* 0.0.0/0 a través de 192.168.1.254
      192.168.1.0/24 tiene una subred variable, 2 subredes, 2 máscaras
      C 192.168.1.0/24 está conectada directamente, FastEthernet8
      L 192.168.1.1/32 está conectada directamente, FastEthernet8

      – verifique las entradas ARP

      Networkstraining#sh ip arp vrf Intranet

      Protocolo Dirección Edad (min) Hardware Addr Tipo Interfaz
      Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0
      Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10
      Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10

      Networkstraining#sh ip arp vrf Extranet

      Dirección de protocolo Age (min) Hardware Addr Type Interface
      Internet 100.100.100.1 – fc99.4712.9ecb ARPA Vlan100
      Internet 100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100
      Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8

      Notas finales

      • Como podéis ver, las tablas de enrutamiento están totalmente separadas y el tráfico estará totalmente separado.
      • Si ejecuta el comando «show ip route» sin especificar un nombre de VRF, mostrará la «Tabla de enrutamiento global» del dispositivo (que estará vacía en nuestro ejemplo anterior).
      • Cuando ejecute ping, telnet u otros comandos que hagan uso de las tablas de enrutamiento, deberá especificar siempre el nombre de la instancia de enrutamiento VRF que desea utilizar:
        • Ejemplo: ping vrf Intranet 10.10.100.10

          • La función VRF Lite la ofrecen también otros proveedores. Por ejemplo en el entorno de Juniper se llama «instancia de enrutamiento».

          Soporte VRF de Cisco ASA

          Mucha gente se pregunta si el firewall Cisco ASA soporta la configuración VRF. La respuesta es que el ASA no soporta la configuración de vrf ya que sólo hay una única instancia de tabla de enrutamiento en el ASA.

          Aquí tienes las opciones que tienes para utilizar un dispositivo ASA en una red VRF:

          • Configurar subinterfaces VLAN en el ASA y terminar cada red VRF en cada subinterfaz. A continuación, puede aplicar listas de control de acceso y control de tráfico de la comunicación entre VRF a través del dispositivo ASA.
          • Utilizar contextos de seguridad: Esto significa configurar diferentes contextos de seguridad (firewalls virtuales ASA) en el mismo dispositivo teniendo así tablas de enrutamiento separadas y control de políticas separado para cada contexto. Esto es similar a tener múltiples VRFs en el mismo dispositivo sin embargo no es una funcionalidad VRF nativa como la que se tiene en los Routers.
              • Por lo tanto, el sistema de gestión de la red es muy sencillo de utilizar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.