In het vorige bericht hebben we het gehad over het isoleren van verkeer met behulp van de privé VLAN-functie op Layer2-niveau. In deze handleiding bespreken we het isoleren van verkeer op Layer3-niveau met behulp van VRF Lite op Cisco-routers.
Wat is VRF Lite
VRF’s maken in wezen gebruik van hetzelfde concept als VLAN’s en Trunking, maar dan op Layer 3.
VRF (Virtual Routing and Forwarding) wordt traditioneel geassocieerd met IP MPLS-technologie, waarbij een ISP Layer3 (of Layer2) VPN’s voor klanten creëert met behulp van VRF.
Beschouw een VRF als een afzonderlijke routeringsinstantie (en een afzonderlijke routeringstabel) op hetzelfde netwerkapparaat die de IP-routes voor elke klant bevat, die van de andere klanten zijn geïsoleerd.
Elke VRF is als een afzonderlijke virtuele router met een eigen routeringstabel op dezelfde fysieke router.
Als je niet in een ISP-omgeving werkt, zul je niet vaak met deze technologie in aanraking komen. Bovendien worden MPLS en VRF’s, voor zover ik weet, niet op CCNA- of CCNP R&S-niveau geëxamineerd.
Ze worden besproken in de hoofdstukken die nodig zijn voor je CCIE R&S-certificering. Als u over deze technologie wilt lezen, is een goed boek om mee te beginnen MPLS Fundamentals
geschreven door Luc De Ghein.
Nu, hoewel VRF’s en MPLS gewoonlijk worden geconfigureerd op high-end ISP-routers, kun je deze functie op sommige kleinere Cisco ISR-routers nog steeds gebruiken op een vereenvoudigde manier die VRF Lite wordt genoemd en dezelfde voordelen biedt.
Met VRF Lite kun je afzonderlijke routeringstabellen op hetzelfde fysieke routerapparaat hebben. Elke routeringstabel (VRF-instantie) is geïsoleerd van de andere VRF-instanties.
Om te demonstreren hoe deze functie kan worden gebruikt, laten we het volgende vereenvoudigde scenario bekijken:
Netwerkscenario met Cisco 891 en VRF Lite
Bekijk het scenario dat in het bovenstaande diagram wordt weergegeven. We hebben een Cisco 891 border router met een intranetverbinding voor computers van werknemers en bedrijfsservers en daarnaast moeten we een Wi-Fi-verbinding aanbieden zodat gasten verbinding kunnen maken met het internet.
Het beveiligingsteam van het bedrijf eist dat de Wi-Fi-verbinding volledig gescheiden moet zijn van het lokale intranetnetwerk, zodat gasten geen toegang hebben tot het lokale netwerk. Daarom kunnen we de twee Layer3 netwerken isoleren met VRF Lite. We zullen “VRF Intranet” en “VRF Extranet” aanmaken voor de twee netwerken.
Configuratievoorbeeld op Cisco Router
De gebruikte router is CISCO891-K9 met image c890-universalk9-mz.151-4.M4.bin.
Elke VRF Instance zal twee Layer3 gerouteerde interfaces hebben die ermee geassocieerd zijn, zoals hieronder getoond. Beschouw elke VRF Instance als een virtuele router met twee interfaces.
- VRF Intranet: VLAN10 en Interface Gi0 zullen worden opgenomen in “vrf Intranet”.
- VRF Extranet: VLAN100 en Interface Fa8 worden opgenomen in “vrf Extranet”.
Step 1 : Maak de VRF Lite Instances
ip vrf Extranet
description Extranet
!
ip vrf Intranet
description Intranet
!
Step 2 : Configureer VLANs en interfaces en neem ze op in de VRF instanties
vlan 10
name Intranet
!
vlan 100
naam Extranet
!
interface GigabitEthernet0 <—– wan poort gericht op het internet voor Intranet verkeer
ip vrf forwarding Intranet <—- interface is verbonden met de Intranet VRF
ip adres 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan10 <—— SVI interface voor Intranet verkeer
omschrijving Intranet <—— interface is verbonden aan de Intranet VRF
ip vrf forwarding Intranet
ip adres 10.10.100.1 255.255.255.0
!
interface FastEthernet8 <—— wan poort gericht op het internet voor gastverkeer
ip vrf forwarding Extranet <—— interface is gekoppeld aan de Extranet VRF
ip adres 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan100 <—— SVI interface voor Extranet verkeer
omschrijving Extranet
ip vrf forwarding Extranet <—— interface is verbonden aan de Extranet VRF
ip adres 100.100.100.1 255.255.255.0
!
interface FastEthernet0 <–op deze interface sluit het WiFi Access Point voor gasten aan
omschrijving AP
switchport access vlan 100
no ip address
!
interface FastEthernet1 <–op deze interface worden Intranet hosts aangesloten
description Intranet
switchport access vlan 10
no ip address
!
Step 3 : Voeg default routes naar het internet toe voor beide VRF instances
ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254
ip route vrf Extranet 0.0.0.0.0.0.0.0 192.168.1.254
Step 4 : Verificaties
– het tonen van de vrf configuratie
Networkstraining#sh run vrf Intranet
Huidige configuratie…
Huidige configuratie : 324 bytes
ip vrf Intranet
description Intranet
!
!
interface GigabitEthernet0
ip vrf forwarding Intranet
ip adres 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan10
description Intranet
ip vrf forwarding Intranet
ip address 10.10.100.1 255.255.255.0
!
ip route vrf Intranet 0.0.0.0.0.0.0.0 10.10.10.254
end
Networkstraining#sh run vrf Extranet
Huidige configuratie…
Huidige configuratie : 326 bytes
ip vrf Extranet
description Extranet
!
!
interface FastEthernet8
ip vrf forwarding Extranet
ip adres 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan100
description Extranet
ip vrf forwarding Extranet
ip adres 100.100.100.1 255.255.255.0
!
ip route vrf Extranet 0.0.0.0.0.0.0 192.168.1.254
– controleer beide routing tabellen
Networkstraining#sh ip route vrf Intranet
Routing Tabel: Intranet
Gateway of last resort is 10.10.10.254 naar netwerk 0.0.0.0
S* 0.0.0/0 via 10.10.10.254
10.0.0.0/8 is variabel gesubnetteerd, 2 subnetten, 2 maskers
C 10.10.10.0/24 is direct verbonden, GigabitEthernet0
L 10.10.10.1/32 is direct verbonden, GigabitEthernet0
Networkstraining#sh ip route vrf Extranet
Routing Tabel: Extranet
Gateway of last resort is 192.168.1.254 naar netwerk 0.0.0.0
S* 0.0.0.0/0 via 192.168.1.254
192.168.1.0/24 is variabel gesubnetteerd, 2 subnetten, 2 maskers
C 192.168.1.0/24 is direct verbonden, FastEthernet8
L 192.168.1.1/32 is direct verbonden, FastEthernet8
– controleer ARP entries
Networkstraining#sh ip arp vrf Intranet
Protocol Adres Leeftijd (min) Hardware Addr Type Interface
Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0
Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10
Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10
Networkstraining#sh ip arp vrf Extranet
Protocol Adres Leeftijd (min) Hardware Addr Type Interface
Internet 100.100.100.1 – fc99.4712.9ecb ARPA Vlan100
Internet 100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100
Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8
Final Notes
- Zoals u kunt zien, zijn de routing tabellen totaal gescheiden en zal het verkeer totaal gescheiden zijn.
- Als u het commando “show ip route” uitvoert zonder een VRF naam op te geven, zal het de “Global Routing Table” van het apparaat laten zien (die leeg zal zijn in ons voorbeeld hierboven).
- Wanneer u ping, telnet of andere opdrachten uitvoert die gebruikmaken van de routeringstabellen, moet u altijd de VRF-routeringsinstantienaam opgeven die u wilt gebruiken:
Voorbeeld: ping vrf Intranet 10.10.100.10
- De VRF Lite-functie wordt ook door andere leveranciers aangeboden. In Juniper-omgevingen wordt deze functie bijvoorbeeld “routing instance” genoemd.
Cisco ASA VRF Support
Velen vragen zich af of de Cisco ASA firewall VRF-configuratie ondersteunt. Het antwoord is dat de ASA geen vrf-configuratie ondersteunt, omdat er slechts één enkele routeringstabelinstantie op de ASA is.
Hier volgen de opties die u heeft om een ASA apparaat in een VRF netwerk te gebruiken:
- Configureer VLAN subinterfaces op de ASA en eindig elk VRF netwerk op elke subinterface. Vervolgens kunt u toegangscontrolelijsten en verkeerscontrole van de inter-vrf communicatie via het ASA apparaat toepassen.
- Het gebruik van beveiligingscontexten: Dit betekent het configureren van verschillende beveiligingscontexten (virtuele ASA firewalls) op hetzelfde apparaat en dus het hebben van afzonderlijke routeringstabellen en afzonderlijke beleidscontrole voor elke context. Dit is vergelijkbaar met het hebben van meerdere VRF’s op hetzelfde apparaat, maar het is geen native VRF functionaliteit zoals die je hebt op Routers.