Технология Virtual Routing and Forwarding (VRF) нашла широкое применение в сетях MPLS. В таких сетях метки MPLS применяются для разграничения трафика различных пользователей, а VRF поддерживает таблицу маршрутизации для каждого из них. Для обмена маршрутной информацией в таких сетях применяется MP-BGP.
Но существует возможность использовать технологию VRF без MPLS — VRF Lite.
VRF Lite
Рассмотрим топологию, изображенную на первом рисунке. Предположим, к маршрутизатору R1 подключены четыре сети. Необходимо разграничить взаимодействие между сетями так, чтобы первая имела связь со второй, третья с четвертой, но между первой и третьей, первой и четвертой, второй и третьей, второй и четвертой связи не было. Одним из возможных решений будет применение списков доступа (ACL). Второй путь — разделить сети с помощью VRF. Ниже приведена конфигурация, позволяющая это сделать.
!включаем маршрутизацию ip routing
!включаем Cisco Express Forwarding, необходимый для работы VRF ip cef
!объявляем два VRF с именами ONE и TWO ip vrf ONE !указываем route-distinguisher rd 65000:1
ip vrf TWO rd 65000:2
interface FastEthernet 0/0 !указываем, что интерфейс относится к тому или иному VRF !это необходимо сделать до указания IP адреса !так как команда ip vrf forwarding удаляет адрес с интерфейса ip vrf forwarding ONE ip address 10.0.1.1 255.255.255.0 no shutdown
interface FastEthernet 0/1 ip vrf forwarding ONE ip address 10.0.2.1 255.255.255.0 no shutdown
interface FastEthernet 1/0 ip vrf forwarding TWO ip address 10.0.3.1 255.255.255.0 no shutdown
interface FastEthernet 1/1 ip vrf forwarding TWO ip address 10.0.4.1 255.255.255.0 no shutdown
Теперь можно посмотреть, что у нас получилось:
Интерфейсы маршрутизатора и их сопоставление с VRF.
R1#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.0.1.1 YES manual up up
FastEthernet0/1 10.0.2.1 YES manual up up
FastEthernet1/0 10.0.3.1 YES manual up up
FastEthernet1/1 10.0.4.1 YES manual up up
Name Default RD Interfaces
Таблицы маршрутизации глобальная и для каждого VRF
Gateway of last resort is not set
R1#show ip route vrf ONE
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.2.0 is directly connected, FastEthernet0/1
C 10.0.1.0 is directly connected, FastEthernet0/0
R1#show ip route vrf TWO
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.3.0 is directly connected, FastEthernet1/0
C 10.0.4.0 is directly connected, FastEthernet1/1
Проверим связь между сетями:
R1#ping vrf ONE 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: . Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1#ping vrf ONE 10.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds: . Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
R1#ping vrf ONE 10.0.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.3.1, timeout is 2 seconds: . Success rate is 0 percent (0/5)
R1#ping vrf ONE 10.0.4.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.4.1, timeout is 2 seconds: . Success rate is 0 percent (0/5)
R1#ping vrf TWO 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: . Success rate is 0 percent (0/5)
R1#ping vrf TWO 10.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds: . Success rate is 0 percent (0/5)
R1#ping vrf TWO 10.0.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.3.1, timeout is 2 seconds: . Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
R1#ping vrf TWO 10.0.4.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.4.1, timeout is 2 seconds: . Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Для того, чтобы посмотреть arp таблицу отдельного VRF используйте команду
show ip arp vrf NAME
Кроме того, чтобы установить telnet подключение из определенного VRF необходимо выполнить следующую команду:
telnet HOST /vrf NAME
где HOST — узел, к которому устанавливается подключение, NAME — имя VRF.
Как видно, цель достигнута и сети связаны именно так, как надо.
Динамическая маршрутизация в рамках VRF
Рассмотрим топологию на рисунке 2. Задача сводится к организации динамической маршрутизации в каждом из VRF. Пусть в первом это будет протокол OSPF, во втором — EIGRP. Конфигурация маршрутизатора R1 тогда будет выглядеть следующим образом:
router ospf 1 vrf ONE network 10.0.1.0 0.0.0.255 area 0 network 10.0.2.0 0.0.0.255 area 0
Видно, что достаточно указать, в каком VRF должен работать процесс OSPF, чтобы все заработало.
router eigrp 100 no auto-summary address-family ipv4 vrf TWO network 10.0.3.0 0.0.0.255 network 10.0.4.0 0.0.0.255 no auto-summary autonomous-system 100 exit-address-family
С EIGRP все немного сложнее, но тоже интуитивно понятно.
Для маршрутизаторов R1 и R2 конфигурации выглядят следующим образом:
router ospf 1 log-adjacency-changes network 10.0.1.0 0.0.0.255 area 0 network 172.16.1.0 0.0.0.255 area 2 !network 172.16.2.0 0.0.0.255 area 1 для R2
Для маршрутизаторов R3 и R4:
router eigrp 100 network 10.0.3.0 0.0.0.255 network 172.16.3.0 0.0.0.255 !network 172.16.4.0 0.0.0.255 для R4 no auto-summary
Для того, чтобы убедиться, что все работает, достаточно посмотреть на таблицы маршрутизации.
R1#show ip route vrf ONE
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
O IA 172.16.1.0 [110/2] via 10.0.1.2, 00:38:58, FastEthernet0/0
O IA 172.16.2.0 [110/2] via 10.0.2.2, 00:39:00, FastEthernet0/1
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.2.0 is directly connected, FastEthernet0/1
C 10.0.1.0 is directly connected, FastEthernet0/0
R1#show ip route vrf TWO
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
D 172.16.4.0 [90/30720] via 10.0.4.2, 00:17:37, FastEthernet1/1
D 172.16.3.0 [90/30720] via 10.0.3.2, 00:17:50, FastEthernet1/0
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.3.0 is directly connected, FastEthernet1/0
C 10.0.4.0 is directly connected, FastEthernet1/1
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
C 172.16.1.0 is directly connected, FastEthernet0/1
O IA 172.16.2.0 [110/3] via 10.0.1.1, 00:39:37, FastEthernet0/0
10.0.0.0/24 is subnetted, 2 subnets
O 10.0.2.0 [110/2] via 10.0.1.1, 00:39:37, FastEthernet0/0
C 10.0.1.0 is directly connected, FastEthernet0/0
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
D 172.16.4.0 [90/33280] via 10.0.3.1, 00:18:40, FastEthernet0/0
C 172.16.3.0 is directly connected, FastEthernet0/1
10.0.0.0/24 is subnetted, 2 subnets
C 10.0.3.0 is directly connected, FastEthernet0/0
D 10.0.4.0 [90/30720] via 10.0.3.1, 00:18:52, FastEthernet0/0
Заключение
В статье приведены команды, необходимые для функционирования маршрутизатора с несколькими таблицами маршрутизации. Кроме того, описана настройка основных IGP протоколов маршрутизации в рамках одного VRF.
Типы маршрутов, таблицы маршрутизации и PBR в Linux
Прежде чем понять суть происходящего, познакомимся с некоторыми отличительными чертами сетевого стека Linux.
Первый отличительный момент — это специальные типы маршрутов. Когда ip-пакет приходит с какого-нибудь интерфейса, надо определить, адресован ли он этому хосту, или другому. Определяется это довольно элегантно — просто для адреса назначения ищется нужный маршрут в таблицах маршрутизации. Если пакет попадает на маршрут типа «local», значит он адресован непосредственно хосту, если нет, то значит его надо маршрутизировать дальше (при этом дальнейший маршрут уже известен) или сделать что-то ещё, в зависимости от типа маршрутов.
Имена таблиц хранятся в файле /etc/iproute2/rt_tables. Под номер таблицы отдано 32 бита, но максимальное количество таблиц в данный момент жёстко ограничено числом 256. Как добавлять/удалять/редактировать маршруты можно почитать в мане к ip-route.
Таблица, в которой надо искать маршруты, определяется политиками маршрутизации. Эта технология называется Policy Based Routing — маршрутизация на основе политик. Суть её в том, что основываясь на каких-либо критериях сетевого пакета мы либо выбираем таблицу, в которой надо искать маршрут, либо определяем действие, которое надо выполнить над пакетом. Каждая политика имеет номер (он может быть даже не уникальным), он же определяем приоритет. Просмотр политик осуществляется в порядке возрастания их приоритетов. Новые политики добавляются перед существующими.
Запираем маршруты в таблицу
Теперь небольшой практический пример после скучного введения. Для начала, мы реализуем схему с vrf-lite вручную, а затем уже усложним пример динамической маршрутизацией.
Допустим, у нас есть вот такая схема:
Задача состоит в том, чтобы изолировать трафик различного «цвета» друг от друга. При этом адресные пространства цветов могут пересекаться, что делает задачу ещё более интересной. Неформально сформулируем цель: сделать так, чтобы пакеты каждого цвета не уходили за пределы своей таблицы маршрутизации и передавались только по интерфейсам своего цвета.
Для этого для каждого цвета создадим свою таблицу маршрутизации, и для удобства дадим им имя. Затем, добавим в таблицы direct-connected маршруты принадлежащих цвету интерфейсов. И в конце, добавим политики маршрутизации, чтобы пакеты использовали только свою таблицу.
Сначала назначаем интерфейсам адреса. При этом подключенные маршруты будут попадать в таблицу main, а локальные и широковещательные — в таблицу local.
Добавляем для удобства имена таблиц маршрутизации.
Добавляем прямые маршруты в соответствующие таблицы. Нужны это для того, чтобы нам были доступны соседние маршрутизаторы.
Добавляем остальные маршруты.
Есть один нюанс: что будет, если пакет одного цвета не находит маршрута в своей таблице? Значит, будет продолжен поиск маршрута в других таблицах, что для нас не очень хорошо. Чтобы «запереть» пакет в пределах своего цвета, мы можем в каждую изолированную таблицу добавить маршрут по-умолчанию (либо юникастовый, либо запрещающий), либо после каждой политики поиска маршрута в пределах цвета добавить запрещающую политику. Сделаем для одного цвета первый вариант, а для другого — второй.
Так же, желательно перенести все маршруты local и broadcast из таблицы local в таблицы соответствующих цветов, чтобы невозможно было обращаться к локальным интерфейсам маршрутизатора из «чужого» цвета. Для этого лучше всего написать какой-нибудь скрипт, чтобы было не так утомительно.
В итоге, наши таблицы маршрутизации и политики будут выглядеть примерно так:
Собранный в GNS3 стенд показал правильность работы схемы. При обращении к чужому цвету, отправитель получает сообщение о недоступности точки назначения, как и было задумано.
На этом пока всё, но продолжение следует. В нём постараюсь рассказать про динамическую маршрутизацию применительно к vrf с помощью демона маршрутизации bird, и обмен маршрутами между таблицами (vrf leaking).
Настройка резервных интернет-провайдеров в луче DMVPN с помощью функции VRF-Lite
Параметры загрузки
Об этом переводе
Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
Содержание
Введение
В этом документе описывается настройка резервного интернет-провайдера в луче Dynamic Multipoint VPN (DMVPN) с помощью функции Virtual Routing and Forwarding-Lite (VRF-Lite).
Предварительные условия
Требования
Перед выполнением описанной в этом документе настройки компания Cisco рекомендует ознакомиться со следующими темами:
Используемые компоненты
Сведения в этом документе основываются на Cisco IOS® Version 15.4 (2) T.
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Общие сведения
VRF — это технология, имеющаяся в маршрутизаторах сетей IP, которая позволяет нескольким экземплярам таблицы маршрутизации сосуществовать в маршрутизаторе и работать одновременно. Это расширяет функциональные возможности, поскольку позволяет сегментировать сетевые пути без использования нескольких устройств.
Использование услуг двух интернет-провайдеров с целью резервирования стало общей практикой. Администраторы используют два канала поставщика услуг Интернета; один из них является основным подключением, а другой — резервным.
Такой же принцип может быть реализован для резервирования DMVPN на конечном маршрутизаторе с использованием двух поставщиков услуг Интернета. Этот документ призван продемонстрировать, как можно разделить таблицу маршрутизации с помощью VRF-Lite, когда конечный маршрутизатор подключен к двум поставщикам услуг Интернета. Для того чтобы обеспечить резервирование пути для трафика, проходящего через туннель DMVPN, используется динамическая маршрутизация. В примерах конфигурации, которые описаны в этом документе, используется следующая схема конфигурации:
Interface
IP-адрес
VRF
Описание
Функция VRF-Lite позволяет реализовать на конечном маршрутизаторе DMVPN несколько экземпляров VPN маршрутизации/перенаправления. Функция VRF-Lite принуждает трафик из нескольких интерфейсов туннеля Multipoint Generic Routing Encapsulation (mGRE) использовать соответствующие им таблицы маршрутизации VRF. Например, если основной поставщик услуг Интернета оканчивается в ISP1 VRF, а дополнительный поставщик услуг Интернета оканчивается в ISP2 VRF, трафик, формируемый в ISP2 VRF, будет использовать таблицу маршрутизации ISP2 VRF, а трафик, формируемый в ISP1 VRF, будет использовать таблицу маршрутизации ISP1 VRF.
Преимущество, которое дает использование наружной функции VRF (fVRF), главным образом заключается в возможности образования отдельной таблицы маршрутизации из глобальной таблицы маршрутизации (в которой имеются интерфейсы туннелей).Использование внутренней функции VRF (iVRF) позволяет определить частное пространство для хранения информации о DMVPN и частной сети. Обе эти конфигурации обеспечивают дополнительную защиту от атак на маршрутизатор из Интернета, где сведения о маршрутизации разделяются.
Эти конфигурации VRF можно использовать и на концентраторах, и на конечных маршрутизаторах DMVPN. Это дает большое преимущество по сравнению с вариантом, когда оба поставщика услуг Интернета оканчиваются в глобальной таблице маршрутизации.
Если оба поставщика услуг Интернета оканчиваются в глобальной VRF, они будут использовать одну таблицу маршрутизации, а работа обоих интерфейсов mGRE будет основана на глобальной информации о маршрутизации. В этом варианте в случае отказа основного поставщика услуг Интернета интерфейс основного поставщика услуг Интернета может сохранить работоспособность, если точка отказа находится в магистральной сети поставщика услуг Интернета, а не подключена к этому интерфейсу напрямую. При этом возникает ситуация, когда оба интерфейса туннелей MGRE продолжают использовать маршрут по умолчанию, который указывает на основного поставщика услуг Интернета, из-за чего происходит сбой резервирования DMVPN.
Хотя существуют некоторые обходные пути для устранения этой проблемы без использования VRF-Lite, основанные на скриптах IP Service Level Agreements (IP SLA) или Embedded Event Manager (EEM), они далеко не всегда являются лучшим выбором.
Методы развертывания
В этом разделе приведены краткие обзоры разделенного туннелирования и туннелей между конечными маршрутизаторами.
Раздельное туннелирование
Когда сведения об определенных подсетях или итоговых маршрутах поступают через интерфейс mGRE, это называется разделенным туннелированием.Если сведения о маршруте по умолчанию поступают через интерфейс mGRE, то это называется tunnel-all.
В примере конфигурации, предоставленном в этом документе, показано разделенное туннелирование.
Туннели между конечными маршрутизаторами
Приведенный в этом документе пример конфигурации является хорошим вариантом для метода развертывания (когда информация о маршруте по умолчанию поступает через интерфейс mGRE).
При использовании двух fVRF формируются отдельные таблицы маршрутизации, что обеспечивает перенаправления пакетов, инкапсулированных после GRE, соответствующей fVRF. Это позволяет гарантировать, что туннель между конечными маршрутизаторами будет использовать активного поставщика услуг Интернета.
Настройка
В этом разделе описывается процедура настройки резервирования поставщиков услуг Интернета на конечном маршрутизаторе DMVPN посредством функции VRF-Lite.
Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.
Схема сети
Именно эта топология используется в примерах, приведенных в этом документе:
Настройка концентратора
Вот некоторые замечания о соответствующей конфигурации на концентраторе:
Примечание. В этот пример включены только соответствующие разделы конфигурации.
Настройка конечного маршрутизатора
Вот некоторые замечания о соответствующей конфигурации на конечном маршрутизаторе:
Примечание. В этот пример включены только соответствующие разделы конфигурации.
Проверка
Используя информацию из этого раздела, проверьте правильность работы своей конфигурации.
Основной и дополнительный поставщики услуг Интернета активны
В этом варианте проверки и основной и дополнительный поставщики услуг Интернета активны. Вот некоторые дополнительные примечания об этом варианте:
Далее приведены соответствующие команды show, с помощью которых можно проверить свою конфигурацию в этом варианте:
Основной поставщик услуг Интернета не работает / дополнительный поставщик услуг Интернета активен
В этом варианте время таймеров EIGRP Hold заканчивается для отношений соседства через Tunnel0, когда канал ISP1 выходит из строя, а маршруты к концентратору и другим конечным маршрутизаторам теперь указывают на Tunnel1 (реализованный с помощью Ethernet0/1).
Далее приведены соответствующие команды show, с помощью которых можно проверить свою конфигурацию в этом варианте:
Восстановление канала основного поставщика услуг Интернета
Когда связь через основного поставщика услуг Интернета восстановится, сеанс шифрования Tunnel0 станет активным, а предпочтение будет отдаваться маршрутам, информация о которых получена через интерфейс Tunnel0.
Устранение неполадок
Для поиска и устранения неполадок с конфигурацией включите debug ip eigrp и logging dmvpn.
Описание, настройка и пример использования VRF на cisco
VRF – технология, позволяющая реализовывать на базе одного физического маршрутизатора иметь несколько виртуальных – каждого со своей независимой таблицей маршрутизации.
Преимуществом виртуальной маршрутизации является полная изоляция маршрутов как между двумя виртуальными маршрутизаторами, так и между виртуальным и реальным.
Чтобы было понятнее, приступим сразу к примеру.
Допустим, у нас есть большая сеть, где работает, скажем, EIGRP, и в этой сети есть маршрутизатор R1. Если мы зайдём на R1 и выполним там команду show ip route, то увидим большое количество маршрутов, пришедших со всех концов нашей сети. Теперь, предположим, что появился клиент, для которого надо сделать какие-то специфичные настройки. В первую очередь особую маршрутизацию, например, особый шлюз по умолчанию или ещё что-то, отдельный DHCP или отдельный NAT – тут то нам и приходит на помощь vrf.
Необходимо создать виртуальный маршрутизатор, выделить из всех интерфейсов те, которые будут к нему относиться и задать все необходимые настройки для него. Что характерно: никакие параметры, заданные для виртуального маршрутизатора не отразятся на работе реального.
Давайте перейдём к практике.
Посмотрим таблицу на нашем реальном маршрутизаторе:
Много записей и нам совсем не хочется, чтобы наши действия повлияли на основную маршрутизацию.
Создаём виртуальный маршрутизатор:
Везде где можно написать description лучше его всегда писать.
Далее, выбираем, какие интерфейсы мы хотим отнести к этому vrf. В нашем примере у нас будет стоять задача брать трафик с интерфейса fa0/0.10 (ip 10.0.0.1), натить его и маршрутизировать через интерфейс fa0/0.55 (ip 55.55.55.55) так, чтобы это не влияло на остальные функции маршрутизатора.
Интерфейсы созданы (в данном случае это сабинтерфейсы для работы с VLAN, но это не важно – можно использовать и обычные физические интерфейсы). Для каждого интерфейса мы указали, что трафик должен обрабатываться не по общим правилам а в соответствии с правилами MyRouter. Интерфейсы выходят из сферы влияния основной маршрутизации. Так, например, если мы сейчас напишем команду show ip route, то среди непосредственно подключенных сетей (те что с буковкой «C» в таблице маршрутизации) мы не увидим сетей 10.0.0.0/24 и 55.55.55.0/24. Зато теперь мы можем посмотреть, как выглядит таблица маршрутизации нашего виртуального роутера, для этого набираем команду:
То есть, перед нами простая чистая таблица маршрутизации. Весь трафик, пришедший на fa0/0.10 и fa0/0.55 будет обрабатываться исходя только из одной этой таблицы – то есть общая таблица маршрутизации с кучей маршрутов приниматься во внимание не будет. Теперь вспомним CCNA и добавим статический маршрут по умолчанию, чтобы всё уходило в сеть через fa0/0.55, который у нас в примере будет внешним. При добавлении маршрута нам следует указать, что его надо добавить не в общую таблицу, а в vrf MyRouter:
где 55.55.55.56 – адрес следующего хопа. Подобным образом мы можем добавлять в эту таблицу произвольные статические и динамические маршруты.
Давайте добавим на наш виртуальный маршрутизатор DHCP и NAT. Пусть клиенты из внутренней сети получают адреса по DHCP а на выходе эти адреса транслируются в 55.55.55.55:
На этом настройка завершена. Обратите внимание, что как в DHCP пуле, так и в NAT-е мы указываем, что всё это относится не к основному, а к виртуальному маршрутизатору (vrf MyRouter).
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Виртуальные сети Cisco VRF
Еще в копилку полезная статья, опубликованная на ресурсе:cisco-lab.by Написано понятным и простым языком, поможет разобраться с VRF, для чего он нужен и собственно, на элементарном примере, как настраивается.
Что такое виртуальная машина знают все. Каждый из нас, кто работает в сфере ИТ, как минимум слышал такое слово, большинство же, безусловно, работало или работает с ними. Кто-то использует их для тестирования приложений, кто-то для хостинга, кто-то для учебы и так далее, так как вариантов для использования масса.
Вот мы и задались вопросом: есть ли такие возможности в сети, и если есть, то как их использовать. То есть основный смысл заключается в том, возможно ли используя один комплект оборудования создать несколько независимых виртуальных сетей.
Зачем это нужно? По ряду причин:
— можно не изменять физическую связность, при этом создавать какую угодно логическую топологию;
— в каждой виртуальной сети можно настроить свой протокол и делать с ним лабораторные работы или проводить исследования;
— существенно увеличить количество логических маршрутизаторов, а соответственно и расширить возможности для построения сложных топологий;
— возможно создать для определенных приложений выделенную топологию, где это необходимо;
— при использовании виртуальной сети вместе с виртуальными машинами можно получить законченное полноценно виртуальное пространство;
— впишите свою причину, друзья 🙂
На самом деле можно перечислять очень долго, зачем это нужно. И у Вас, друзья, тоже найдется собственный список, как можно использовать виртуальную сеть. Потому мы перейдем к вопросу как создать виртуальную сеть.
Для того, чтобы создать сеть, необходимы каналы связи и активное сетевое оборудования, в частности маршрутизаторы. Для виртуальных сетей необходимы виртуальные каналы связи и виртуальные маршрутизаторы. Если с виртуальными каналами связи все более менее понятно: мы можем организовать их используя VLAN, чем мы активно пользовались в наших лабораторных работах. С виртуальными маршрутизаторами все не так очевидно, однако механизм тоже существует. Называется он VRF (Virtual Routing and Forwarding). Cisco активно позиционируют его как инструмент MPLS VPN, однако возможности его гораздо шире и не особо известны. Мы провели большую работу по изучению того, что может работать в виртуальной сети, какие протоколы и технологии. Далее последует серия статей об известных или не очень известных сетевых технологиях и протоколах в контексте виртуальных сетей. Пока же мы только объясним, что такое VRF и с чем его едят.
Виртуальный маршрутизатор, созданный при помощи VRF, обладает своей собственной таблицей маршрутизации, а также интерфейсами. Рассмотрим процесс создания и функционирования виртуальной сети на простеньком примере. Физическая топология сети:
Желаемая логическая топология:
Настроим маршрутизатор R1. R2 настраивается аналогичным образом, потому приводить его настройку мы не будем:
R1>ena R1#conf t R1(config)#ip vrf V1 R1(config-vrf)#descr Virtual Router 1 R1(config-vrf)#descr Virtual Router 1 R1(config-vrf)#ip vrf V3 R1(config-vrf)#descr Virtual Router 3 R1(config-vrf)#int fa 0/0.10 R1(config-subif)#enc dot 10 R1(config-subif)#ip vrf forwarding V1 R1(config-subif)#ip address 10.0.0.1 255.255.255.252 R1(config-subif)#int fa 0/0.11 R1(config-subif)#enc dot 11 R1(config-subif)#ip vrf forwarding V3 R1(config-subif)#ip address 10.0.0.6 255.255.255.252 R1(config-subif)#int fa 0/0.12 R1(config-subif)#enc dot 12 R1(config-subif)#ip vrf forwarding V3 R1(config-subif)#ip address 10.0.0.9 255.255.255.252 R1(config-subif)#int fa 0/0 R1(config-if)#no shut R1(config-if)#int lo 0 R1(config-if)#ip vrf forwarding V1 R1(config-if)#ip address 10.0.1.1 255.255.255.0 Немного поясним настройку. Собственно создание виртуального маршрутизатора осуществляется командой «ip vrf ». Описание давать ему не обязательно, однако для упрощения понимания работы виртуальной сети лучше все-таки это сделать. Далее необходимо виртуальному маршрутизатору присвоить какие-нибудь интерфейсы. Это осуществляется командой «ip vrf forwarding ». Отметим, что привязывать интерфейс к виртуальному маршрутизатору необходимо до того, как настраивается IP-адрес. В противном случае адрес удалиться, о чем будет свидетельствовать характерное сообщение в консоли.
После того как мы создали виртуальные маршрутизаторы, мы можем посмотреть их список и их таблицы маршрутизации:
Согласитесь, друзья, никаких отличий в таблице маршрутизации виртуального маршрутизатора нет. Все нам привычно и знакомо.
Так как мы рассматриваем пока сам принцип функционирования виртуальной сети, то для создания полной связности мы настроим самое простое: статические маршруты. Пример их настройки для R1 (виртуальные маршрутизаторы V1 и V3):
R1(config)#ip route vrf V1 10.0.4.0 255.255.255.0 10.0.0.2 R1(config)#ip route vrf V1 10.0.0.4 255.255.255.252 10.0.0.2 R1(config)#ip route vrf V1 10.0.0.8 255.255.255.252 10.0.0.2 R1(config)#ip route vrf V3 10.0.1.0 255.255.255.0 10.0.0.5 R1(config)#ip route vrf V3 10.0.0.0 255.255.255.252 10.0.0.5 R1(config)#ip route vrf V3 10.0.4.0 255.255.255.0 10.0.0.10 Отличие в создание статических маршрутов заключается в указании виртуального маршрутизатора, которому принадлежит маршрут. Все остальное также, как и при настройке без виртуализации. Для R2 процесс настройки аналогичный, потому приводить его не будем. Проведем стандартные проверки: ping и traceroute:
Опять же, никаких особых отличий нет. Вся разница снова заключается в указании виртуального маршрутизатора, с которого мы будем осуществлять проверку доступности.
В следующей статье мы рассмотрим саму идеологию VRF.
Конфиги сетевого оборудования:
R1#sh run Building configuration. Current configuration : 1727 bytes ! version 12.4 ! hostame R1 ! ip vrf V1 description Virtual Router 1 ! ip vrf V3 description Virtual Router 3 ! interface Loopback0 ip vrf forwarding V1 ip address 10.0.1.1 255.255.255.0 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip vrf forwarding V1 ip address 10.0.0.1 255.255.255.252 ! interface FastEthernet0/0.11 encapsulation dot1Q 11 ip vrf forwarding V3 ip address 10.0.0.6 255.255.255.252 ! interface FastEthernet0/0.12 encapsulation dot1Q 12 ip vrf forwarding V3 ip address 10.0.0.9 255.255.255.252 ! ip route vrf V1 10.0.0.4 255.255.255.252 10.0.0.2 ip route vrf V1 10.0.0.8 255.255.255.252 10.0.0.2 ip route vrf V1 10.0.4.0 255.255.255.0 10.0.0.2 ip route vrf V3 10.0.0.0 255.255.255.252 10.0.0.5 ip route vrf V3 10.0.1.0 255.255.255.0 10.0.0.5 ip route vrf V3 10.0.4.0 255.255.255.0 10.0.0.10 ! end R2#sh run Building configuration. Current configuration : 1717 bytes ! version 12.4 ! hostname R2 ! ip vrf V2 ! ip vrf V4 ! interface Loopback0 ip vrf forwarding V4 ip address 10.0.4.1 255.255.255.0 ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip vrf forwarding V2 ip address 10.0.0.2 255.255.255.252 ! interface FastEthernet0/0.11 encapsulation dot1Q 11 ip vrf forwarding V2 ip address 10.0.0.5 255.255.255.252 ! interface FastEthernet0/0.12 encapsulation dot1Q 12 ip vrf forwarding V4 ip address 10.0.0.10 255.255.255.252 ! ip route vrf V2 10.0.0.8 255.255.255.252 10.0.0.6 ip route vrf V2 10.0.1.0 255.255.255.0 10.0.0.1 ip route vrf V2 10.0.4.0 255.255.255.0 10.0.0.6 ip route vrf V4 10.0.0.0 255.255.255.252 10.0.0.9 ip route vrf V4 10.0.0.4 255.255.255.252 10.0.0.9 ip route vrf V4 10.0.1.0 255.255.255.0 10.0.0.9 ! end Sw1#sh run Building configuration. Current configuration : 1179 bytes ! version 12.1 ! hostname Sw1 ! interface FastEthernet0/1 switchport trunk allowed vlan 10-12 switchport mode trunk spanning-tree portfast trunk ! interface FastEthernet0/2 switchport trunk allowed vlan 10-12 switchport mode trunk spanning-tree portfast trunk ! end
