网络需求
- 某企业网络内有生产和管理两张网络,这两张网络独占接入和汇聚层交换机,共享核心交换机
- 核心交换机上同时连接了生产网络和管理网络的服务器群,两个网段均为192.168.100.0/24网段
- 需求:实现生产和管理网络内部的数据通信,同时隔离两张网络之间的通信
解决方案1:通过部署ACL实现
在核心交换机部署ACL,禁止生产和管理网络之间的互访流量
缺陷:
- 配置繁琐,拓展性差
- 无法解决两张网络使用重叠网段的问题,需要在部署时规避重叠网段
解决方案2:通过增加核心交换机实现
增加核心交换机,从物理上隔离两张网络
缺陷:
- 增加额外的设备成本投入
上述两种方法都有不同程度的缺陷,那如何完美解决这个需求呢?
通过VRF技术技术来实现
VRF的概念
VRF又称VPN实例(VPN Instance),是一种虚拟化技术。在物理设备上创建多个VPN实例,每个VPN实例拥有独立的接口、路由表和路由协议进程等
VRF的实现过程
VRF是对物理设备的一个逻辑划分,每个逻辑单元称为一个VPN实例,实例之间在路由层面是隔离的。
VRF实现过程:
- 创建实例,并将三层接口(可以是路由器的物理接口或者子接口,也可以是VLANIF接口)绑定到实例
- 配置与实例绑定的路由协议或静态路由
- 基于与实例绑定的接口和路由协议等建立实例路由表并基于实例路由表转发数据,实现实例间隔离
缺省时,一个网络设备的所有接口都属于同一个转发实例 —— 设备的根实例
VRF的举例
部署VRF前:
背景:
PC1、R1及R1所连的1.1.1.0/24网段属于业务网络。
PC2、R2及R2锁链的2.2.2.0/24网段属于管理网络。
核心交换机上所有的直连路由,以及设备所发现的、到达远端网络的路由,均被存储在设备的路由表中(我们将该路由表称为全局路由表),业务及管理网络可以通过核心交换机实现互通
需求:通过配置实现业务与管理网络完全隔离
解决方案:
- 创建VPN实例
- 部署动态路由协议
VRF常见应用场景
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
