VRF虚拟路由器使用
VPN-INSTANCE又叫VRF虚拟路由器,概念出现在MPLS-VPN中。但是在许多有安全要求的场景中也可以单独的使用vpn-instance。
route add命令实例
    vpn-instance的原理是将一台物理设备虚拟成多个虚拟设备,并将相应的物理接口分配至虚拟设备中使用,从而实现每个虚拟设备之间及和根物理设备之间完全隔离。并且每一个逻辑设备之间都是相互独立的,使用自己独立的路由表、独立进程、独立进出接口(用于区分全局路由表、进程个转发接口)
    在某些有安全需求的场景中广泛应用,相比之使用ACL隔离数据流量增加了强大的可扩展性,相比之纯物理设备隔离减少了成本,比如如下场景中:
    公司内有生产网络和实验网络,要求生产网络和实验网络进行隔离,但是又不能增加物理设备还要求后续加入新的网络有良好的扩展性,这样显然ACL和物理设备隔离就不能成为方案的首选,此种场景下使用VPN-instance作为首选方案非常合适,如下拓扑结构:
    要求shengch只能和外部的shengch相互连接,和shiy实现安全隔离
在这个案例中,因为核心交换机是一台三层设备,所以在默认情况下直连路由之间是可以相互通信的(vlan1、2、3、4之间都是可以相互通信的),这样就造成了生产网的PC和实验网的PC可以相互通信,现在需要将shengch和shiy隔离开来,可以
    使用vpn-instance,在核心交换机LSW1上创建2个虚拟路由器VFR分别用于shengch和shiy,每一个VRF都有自己单独的路由表,在物理设备中不会有相应的全局路由表,实现了shengch和shiy的完全隔离
配置思路及配置如下:
在核心交换机上配置VPN-INSTANCE
vlan batch 1 2 3 4
ip vpn-instance shengchan                      创建vpn实例,名称为shengchan
router-distinguisher 1:1                          路由的RD值为1:1
quit
ip vpn-instance shiyan
router-distinguisher 2:2
quit
interface vlanif 1
ip binding vpn-instance shengchan              将vlanif1接口绑定到vlan-instance shengchan中
ip address 192.168.1.254 24
interface vlanif 3
ip binding vpn-instance shengchan
ip add 172.16.1.254 24
interface vlanif 2
ip binding vpn-instance shiyan
ip add 192.168.2.254 24
interface vlanif 4
ip binding vpn-instance shiyan
ip add 172.16.2.254 24
ospf 13 route-id 192.168.1.254 vpn-instace shengchan         
//创建ospf13,并只在vp-instance实例shengchan中使用
area 0
network 192.168.1.0 0.0.0.255
network 172.16.1.0 0.0.0.255
ospf 24 route-id 192.168.2.254 vpn-instace shiyan
area 0
network 192.168.2.0 0.0.0.255
network 172.16.2.0 0.0.0.255
查看vpn-instance是否完成display vpn-instance
配置完成后,可以看到在全局路由表中并没有路由存在,必须在vpn-instance路由表中才可以看向对应的路由表象display router-static vpn-instance shengchan/shiyan
在AR1上配置接口ip和ospf
ospf 13
area 0
network 172.16.1.0 0.0.0.255
network 3.3.3.0 0.0.0.255
在AR2上配置接口ip和ospf
ospf 24
area 0
network 172.16.2.0 0.0.0.255
network 4.4.4.0 0.0.0.255
配置完成后,就实现了PC1只能与PC3互访,而PC2只能与PC4互访。
由于电脑运行不了ensp,这里就只能手写命令了
PS:如果把OSPF换成静态路由,那么在核心交换机分别为shengchan/shiyan两个vpn-instance(VRF)配置:ip route-static vpn-instance shengchan 3.3.3.0 255.255.255.0 172.16.2.253 到达3.3.3.0和4.4.4.0网络的静态路由,在AR1和AR2也配置去往192.168.1.0/24和192.168.2.0/24的路由即可

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。