I det tidigare inlägget har vi diskuterat hur man isolerar trafik med hjälp av den privata VLAN-funktionen på Layer2-nivå. I den här handledningen kommer vi att diskutera trafikisolering på Layer3-nivå med hjälp av VRF Lite på Cisco-routrar.
Vad är VRF Lite
VVRF:er tillämpar i princip samma koncept som VLAN:er och Trunking, men på Layer 3.
VRF (Virtual Routing and Forwarding) förknippas traditionellt med IP MPLS-teknik, där en internetleverantör skapar Layer3- (eller Layer2-) VPN:er för kunder med hjälp av VRF.
Se en VRF som en separat routinginstans (och separat routingtabell) på samma nätverksenhet med IP-rutter för varje kund som är isolerade från de andra kunderna.
Varje VRF är som en separat virtuell router med en egen routingtabell på samma fysiska router.
Om du inte arbetar i en ISP-miljö kommer du inte att stöta på den här tekniken särskilt ofta. Dessutom, såvitt jag vet, undersöks inte MPLS och VRFs på CCNA- eller CCNP R&S-nivån.
De diskuteras i de kapitel som behövs för din CCIE R&S-certifiering. Om du vill läsa om denna teknik är en bra bok att börja med MPLS Fundamentals
skriven av Luc De Ghein.
Nu, även om VRF och MPLS vanligtvis konfigureras på avancerade ISP-routrar, kan du fortfarande använda denna funktion på vissa mindre Cisco ISR-routrar på ett förenklat sätt som kallas VRF Lite och få samma fördelar.
Med VRF Lite kan du ha separata routningstabeller på samma fysiska routerenhet. Varje routningstabell (VRF-instans) är isolerad från de andra VRF-instanserna.
För att visa hur du använder den här funktionen kan vi se följande förenklade scenario:
Nätverksscenario med Cisco 891 och VRF Lite
Omfattar du scenariot i diagrammet ovan? Vi har en Cisco 891 gränsrouter med en intranätanslutning för de anställdas datorer och företagets servrar och vi måste också erbjuda internetanslutning för en Wi-Fi-anslutning så att gästerna kan ansluta till internet.
Företagets säkerhetsteam krävde att Wi-Fi-anslutningen måste vara helt separerad från det lokala intranätet, så att gästerna inte har tillgång till det lokala nätverket. Därför kan vi isolera de två Layer3-nätverken med hjälp av VRF Lite. Vi kommer att skapa ”VRF Intranet” och ”VRF Extranet” för de två nätverken.
Konfigurationsexempel på Cisco-router
Routern som används är CISCO891-K9 med avbildningen c890-universalk9-mz.151-4.M4.bin installerad.
Varje VRF-instans kommer att ha två Layer3-routerade gränssnitt kopplade till sig som visas nedan. Se varje VRF-instans som en virtuell router med två gränssnitt.
- VRF Intranet: VLAN10 och gränssnitt Gi0 kommer att ingå i ”vrf Intranet”.
- VRF Extranet: VLAN100 och gränssnitt Fa8 kommer att ingå i ”vrf Extranet”.
Steg 1: Skapa VRF Lite-instanserna
ip vrf Extranet
beskrivning Extranet
!
ip vrf Intranet
beskrivning Intranet
!
Steg 2 : Konfigurera VLAN och gränssnitt och inkludera dem i VRF-instanserna
vlan 10
namn Intranet
!
vlan 100
namn Extranet
!
gränssnitt GigabitEthernet0 <—– wan-port som vetter mot internet för intranätstrafik
ip vrf forwarding Intranet <—–gränssnittet är kopplat till VRF för intranätet
ipadress 10.10.10.1 255.255.255.255.0
duplex auto
speed auto
!
gränssnitt Vlan10 <—— SVI-gränssnitt för intranätstrafik
beskrivning Intranet <—— gränssnittet är anslutet till intranät-VRF
ip vrf forwarding Intranet
ipadress 10.10.100.1 255.255.255.0
!
gränssnitt FastEthernet8 <—— wan-port som vetter mot internet för gästtrafik
ip vrf forwarding Extranet <——-gränssnittet är kopplat till Extranet VRF
ipadress 192.168.1.1.1 255.255.255.255.0
duplex auto
speed auto
!
gränssnitt Vlan100 <—— SVI-gränssnitt för Extranet-trafik
beskrivning Extranet
ip vrf forwarding Extranet <——-gränssnittet är anslutet till Extranet VRF
ip-adress 100.100.100.100.1 255.255.255.255.0
!
gränssnitt FastEthernet0 <– på detta gränssnitt ansluts WiFi-åtkomstpunkten för gäster
beskrivning AP
switchport access vlan 100
no ip address
!
gränssnitt FastEthernet1 <– på detta gränssnitt ansluts värdar för intranätet
beskrivning Intranet
switchport access vlan 10
ingen ip-adress
!
Steg 3: Lägg till standardrutter som vetter mot internet för båda VRF-instanserna
ip route vrf Intranet 0.0.0.0.0.0 0.0.0.0.0 10.10.10.254
ip route vrf Extranet 0.0.0.0.0 0.0.0.0.0 192.168.1.254
Steg 4 : Verifieringar
– visar vrf-konfigurationen
Networkstraining#sh run vrf Intranet
Byggar upp konfigurationen…
Aktuell konfiguration : 324 bytes
ip vrf Intranet
beskrivning Intranet
!
!
gränssnitt GigabitEthernet0
ip vrf forwarding Intranet
ip address 10.10.10.1 255.255.255.255.0
duplex auto
speed auto
!
gränssnitt Vlan10
beskrivning Intranet
ip vrf forwarding Intranet
ip-adress 10.10.100.1 255.255.255.255.0
!
ip route vrf Intranet 0.0.0.0.0.0.0.0.0.0.0 10.10.10.254
end
Networkstraining#sh run vrf Extranet
Byggnadskonfiguration…
Aktuell konfiguration : 326 bytes
ip vrf Extranet
beskrivning Extranet
!
!
gränssnitt FastEthernet8
ip vrf forwarding Extranet
ip-adress 192.168.1.1 255.255.255.255.0
duplex auto
speed auto
!
gränssnitt Vlan100
beskrivning Extranet
ip vrf forwarding Extranet
ip-adress 100.100.100.1 255.255.255.255.0
!
ip route vrf Extranet 0.0.0.0.0.0 0.0.0.0.0 192.168.1.254
– verifiera båda routningstabellerna
Networkstraining#sh ip route vrf Intranet
Routingtabell: Intranet
Gateway of last resort är 10.10.10.254 till nätverk 0.0.0.0.0
S* 0.0.0.0.0/0 via 10.10.10.10.254
10.0.0.0.0.0/8 har varierande undernät, 2 undernät, 2 masker
C 10.10.10.10.0/24 är direkt ansluten, GigabitEthernet0
L 10.10.10.1/32 är direkt ansluten, GigabitEthernet0
Networkstraining#sh ip route vrf Extranet
Routingtabell: Extranet
Gateway of last resort är 192.168.1.254 till nätverket 0.0.0.0.0
S* 0.0.0.0.0/0 via 192.168.1.254
192.168.1.0/24 är variabelt undernettat, 2 undernät, 2 masker
C 192.168.1.0/24 är direkt ansluten, FastEthernet8
L 192.168.1.1.1/32 är direkt ansluten, FastEthernet8
– verifiera ARP-poster
Networkstraining#sh ip arp vrf Intranet
Protokoll Adress Ålder (min) Hårdvara Addr Typ Gränssnitt
Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0
Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10
Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10
Networkstraining#sh ip arp vrf Extranet
Protokoll Adress Ålder (min) Hårdvara Addr Typ Gränssnitt
Internet 100.100.100.100.1 – fc99.4712.9ecb ARPA Vlan100
Internet 100.100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100
Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8
Slutanmärkningar
- Som du kan se är routningstabellerna helt åtskilda och trafiken kommer att vara helt åtskild.
- Om du kör kommandot ”show ip route” utan att ange ett VRF-namn kommer det att visa enhetens ”Global Routing Table” (som kommer att vara tom i vårt exempel ovan).
- När du utför ping, telnet eller andra kommandon som använder routningstabellerna måste du alltid ange det VRF-routinginstansnamn som du vill använda:
Exempel: ping vrf Intranet 10.10.100.10
- Funktionen VRF Lite erbjuds även av andra leverantörer. I Juniper-miljö kallas den till exempel ”routing instance”.
Cisco ASA VRF-stöd
Många frågar om brandväggen Cisco ASA har stöd för VRF-konfiguration. Svaret är att ASA inte stöder vrf-konfiguration eftersom det bara finns en enda routningstabellinstans på ASA.
Här är de alternativ som du har för att använda en ASA-enhet i ett VRF-nätverk:
- Konfigurera VLAN-subgränssnitt på ASA och avsluta varje VRF-nätverk på varje subgränssnitt. Sedan kan du tillämpa åtkomstkontrollistor och trafikstyrning av inter-vrf-kommunikationen via ASA-enheten.
- Användning av säkerhetskontexter: Detta innebär att man konfigurerar olika säkerhetskontexter (virtuella ASA-brandväggar) på samma enhet och därmed har separata routningstabeller och separat policykontroll för varje kontext. Detta liknar att ha flera VRF:er på samma enhet, men det är inte en inbyggd VRF-funktionalitet som den du har på routrar.