认识
VRF(Virtual Routing and Rorwarding,虚拟路由转发)技术,华为 VRF 又称 VPN Instance(VPN 实例),是种虚拟化技术。简单理解是,将整个设备分割成“多个小设备”,并将接口分配给各个小设备。
VPN 实例:VRF 虚拟路由器使用
将一台物理设备虚拟成多个虚拟设备,并将相应的物理接口分配至虚拟设备中使用,从而实现每个虚拟设备之间及和根物理设备之间完全隔离;
组成
在物理设备上:
- 创建多个 VRF-Instance(VRF 实例),
- 然后,将物理接口划入不同的 VRP-Instance 中;
性质
每个 VPN Instance 拥有独立的 接口、路由表、路由协议进程、路由转发表项 等;
应用
常用于 MPLS VPN、Firewall 等一些需要实现隔离的应用场景。VRF 能够实现网络层的隔离;
实现隔离
某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机;
但是,核心交换机上同时连接了生产网络和管理网络的服务器群,两个网段均为 192.168.100.0/24 网段;
需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信;
通过 ACL 实现:在核心交换机部署 ACL 策略,禁止生产和管理网络之间的互访流量。缺陷:(1)配置繁琐,拓展性差。(2)无法解决两张网络使用重叠网段的问题,需要在部署时规避重叠网段。
通过增加核心交换机实现:增加核心交换机,从物理上隔离两张网络。缺陷:(1)增加额外的设备成本投入;
Firewall
防火墙虚拟系统,虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备,其中路由虚拟化依靠创建 VPN Instance 来实现;
虚拟系统主要具有以下特点:
1)资源虚拟化:每个虚拟系统都有独享的资源,包括 接口、VLAN、策略、会话 等等;
2)路由虚拟化:每个虚拟系统都拥有各自的路由表,相互独立隔离;
BGP/MPLS IP VPN
BGP/MPLS IP VPN 是种基于 PE 的 L3VPN 技术。它使用 BGP 在服务提供商骨干网上发布 VPN 路由,使用 MPLS 在服务提供商骨干网上转发 VPN 报文;
通过创建 VPN Instance 的方式在 PE 上区别不同 VPN 的路由;