假装网络工程师18——初识VRF

一、背景介绍企业生产环境中，经常处于安全性的考虑会将网络分为：生产网络，备份网络等，这时候就需要对网络进行隔离，而隔离的方法无外乎物理隔离与逻辑隔离。 物理隔离，就是为每一个网络平面准备单独的网元设

.

一、背景介绍

企业生产环境中，经常处于安全性的考虑会将网络分为：生产网络，备份网络等，这时候就需要对网络进行隔离，而隔离的方法无外乎物理隔离与逻辑隔离。
物理隔离，就是为每一个网络平面准备单独的网元设备

二、VRF的介绍

物理隔离尽管能实现网络隔离的要求，但他有个明显的短板：当网络中存在多个平面时为每一个平面分配单独的核心交换机成本太大，此处就需要借助VRF（***-instance）来实现。
VRF实现的方式类似于虚拟化，逻辑上创建出一个空间，该空间有独立的接口、TCP/IP协议栈、路由表，之间互不干扰，可以理解为将一台物理核心交换机逻辑的分为多个核心交换机，每个交换机之间相互隔离

三、实验拓扑

1.基础配置

本次实验拓扑如下图所示，紫色部分是OM网络，要求与黄色部分的网络相互隔离，且同一区域两个终端PC能够正常通信。PC与路由器上的基础配置省略，核心交换机的配置如下：

1. 创建相应的vlan，并为vlanif接口设置IP地址

   [SW1]vlan batch 10 20 100 200[SW1]interface Vlanif 10 [SW1-Vlanif10]ip add 1.1.1.254 24........

2. 此时发现vlanif接口是down状态，原因是此时并没有接口加入到对应的vlan

   Interface                         IP Address/Mask      Physical   Protocol  MEth0/0/1                         unassigned           down       down      NULL0                             unassigned           up         up(s)     Vlanif1                           unassigned           up         down      Vlanif10                          1.1.1.254/24         down       down      Vlanif20                          2.2.2.254/24         down       down      Vlanif100                         11.0.0.1/24          down       down      Vlanif200                         12.0.0.1/24          down       down      

3. 将对应的接口加入到vlan

   [SW1]interface g0/0/11[SW1-GigabitEthernet0/0/11]port link-type access [SW1-GigabitEthernet0/0/11]port default vlan 100.........

4. 再看借口状态，vlanif端口状态变为up

   Interface                         IP Address/Mask      Physical   Protocol  MEth0/0/1                         unassigned           down       down      NULL0                             unassigned           up         up(s)     Vlanif1                           unassigned           down       down      Vlanif10                          1.1.1.254/24         up         up        Vlanif20                          2.2.2.254/24         up         up        Vlanif100                         11.0.0.1/24          up         up        Vlanif200                         12.0.0.1/24          up         up        

   但此时PC1与PC2之间能够正常通信，因为这两个网段是直连到三层交换机上
   
   此时并不满足要求，接下来就要创建VRF。

   2.创建VRF进行网络隔离

5. 创建om的vrf，rd值是在mpls***中做网络区分的，此处不做介绍

   [SW1]ip ***-instance om [SW1-***-instance-om]route-distinguisher 1:1 

6. 将对应接口加入om的vrf，此时会发现接口上的IP地址配置被清空，重新为vlanif添加IP地址

   [SW1]interface Vlanif 20[SW1-Vlanif20]ip binding ***-instance omInfo: All IPv4 related configurations on this interface are removed!Info: All IPv6 related configurations on this interface are removed!......

   再次添加地址后，全局路由表中不再有2.2.2.0/24与12.0.0.0/24网段的信息
   
   这两个网段的信息收录在在om平面的vrf中
   

   3.启动ospf进程，完成配置

7. R1上启动ospf进程

   [R1]ospf 1 router-id 3.3.3.3 [R1-ospf-1]area 0[R1-ospf-1-area-0.0.0.0]network 11.0.0.2 0.0.0.0[R1-ospf-1-area-0.0.0.0]network 3.3.3.254 0.0.0.0

8. R2上启动ospf进程

   [R2]ospf 1 router-id 4.4.4.4[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 12.0.0.2 0.0.0.0[R2-ospf-1-area-0.0.0.0]network 4.4.4.254 0.0.0.0

9. 在SW根实例上启动ospf进程

   SW1]ospf 1 router-id 1.1.1.1 [SW1-ospf-1]area 0[SW1-ospf-1-area-0.0.0.0]network 1.1.1.254 0.0.0.0[SW1-ospf-1-area-0.0.0.0]network 11.0.0.1 0.0.0.0

10. 在SW的OM实例上启动ospf进程，注意此时进程号不能重复

    [SW1]ospf 2 router-id 1.1.1.1 ***-instance om[SW1-ospf-2]area 0[SW1-ospf-2-area-0.0.0.0]network 2.2.2.254 0.0.0.0[SW1-ospf-2-area-0.0.0.0]network 12.0.0.1 0.0.0.0

    此时能看到ospf的连接关系已建立
    
    om平面的路由表并不会显示在全局路由表中，查看时需要指定vrf进行查看
    

.