VRF配置.doc

36 VRF配置36.1 VRF概述Virtual Private Networks (VPNs)为用户提供了一种安全的方式在ISP骨干网上共享带宽。一个VPN即是共享路由的站点集。用户站点通过一到多个接口链接到服务提供商网络，服务提供商为每一个接口关联一个VPN路由表；VPN路由表也叫VPN routing/forwarding (VRF) table。 注意具备VRF-lite特性, RG-38，RG-72系列路由器作为CE设备支持多VPN路由转发实例(VRF-lite也称multi-VRF CE,或者multi-VRF Customer Edge Device).本章包括以下内容：n VRF-lite原理介绍n VRF-lite配置指导n VRF-lite 配置范例 n VRF-lite 调试VRF-lite主要包含如下部分：n CE设备提供多路接入PE供用户访问使用。CE设备向PE设备通告本地路由，从PE设备学习VPN远端路由；n PE设备利用静态路由，动态路由协议（BGP RIP OSPF）向CE设备交互路由信息；n PE设备可能存在多个接口属于一个VPN，PE设备间通过BGP协议交互VPN路由信息；n PE设备本身不依赖于CE设备的功能；n P设备不处理VPN信息，即VPN信息对P设备透明。VRF-lite典型应用模型当在网络上VRF-Lite使能时报文处理流程：n 当CE设备从VPN收到报文时，其通过接收接口信息查询相关的VRF路由转发表，如果成功则按照路由将报文送入PE设备；n 当入口PE设备从CE接收到报文时，将完成VRF查询。如果路由成功，将根据路由加入相关MPLS标签，送入MPLS网络；n 当出口PE设备充MPLS网络接收到MPLS报文，剥去MPLS标签，并找到相关的VPN路由表，其中进行普通路由查找，查找成功，将送给相关邻接；n 当CE从出口PE得到报文，利用报文进入接口信息得到相关VPN路由，进行路由查找，如果成功，则进入VPN。36.2 VRF配置任务n 创建VRFn 接口使能VRF功能n 配置路由协议VRF-Lite使用指导：n CE设备利用VRF-Lite支持多用户，用户在CE拥有自己的路由表；n 因为用户拥有自己的路由表，将可能使用相同的IP地址（暂不支持）；n 在CE和PE之间的物理线路将为多用户公用，其存在多个逻辑接口，可以使用多种方式实现。n VRF-Lite不支持MPLS-VRF相关功能，其主要作用在CE设备端；n 在PE设备上，连接多个CE和使用VRF-Lite没有区别；n 在PE和CE设备之间的路由交互，建议使用EBGP。当然使用OSPF、RIP、静态路由等也可以实现，其复杂度增加；如果使用OSPF进行路由交互，需要小心配置，建议在OSPF协议使用capability vrf-lite功能。36.2.1 创建VRF命令作用Ruijie(config)# ip vrf vrf-name创建VRFRuijie(config)# no ip vrf vrf-name删除VRFvrf-name不要超过31个字符36.2.2 接口使能VRF功能命令作用Ruijie(config-if)# ip vrf forwarding vrf-name接口使能VRFRuijie(config-if)# no ip vrf forwarding vrf-name接口关闭VRF默认情况下，接口不属于任何VRF，即属于全局路由 注意接口使能vrf之后，原接口上的地址配置将失效；通常在接口上先使能vrf，再配置IP地址36.2.3 配置路由协议命令作用Ruijie(config)# ip route vrf vrf-name network mask interface nexthop添加路由Ruijie(config)# no ip route vrf vrf-name network mask删除路由也可以使用路由协议。36.3 VRF配置范例如下图所示，使用RG-38做为CE设备，CISCO72作为PE设备，CE接入两个VPN：vpn1和vpn2。Ruijie# hostname CE-A # 给路由器取个名字CE-A# configure terminal# 进入全局配置模式CE-A(config)# ip vrf vpn1# 创建VRF,vpn1CE-A(config)# ip vrf vpn2# 创建VRF，vpn2CE-A(config)# interface f0/0# 进入接口配置模式CE-A(config-if)#description connecting-to-vpn1# 说明：链接到vpn1CE-A(config-if)# ip vrf forwarding vpn1# 接口使能vrfCE-A(config-if)# ip address 192.168.4.1 255.255.255.0# 配置IP地址CE-A(config)# interface f0/1# 进入接口配置模式CE-A(config-if)# ip vrf forwarding vpn2# 接口使能vrfCE-A(config-if)# ip address 192.168.5.1 255.255.255.0# 配置IP地址CE-A(config-if)#description connecting-to-vpn2# 说明：链接到vpn2CE-A(config)# interface f1/0# 进入接口配置模式CE-A(config-if)# no ip addressCE-A(config)# interface f1/0.10 # 进入子接口CE-A(config-if)# encapsulation dot1Q 10# 封装802.1Q ,VLAN 10CE-A(config-if)# ip vrf forwarding vpn1# 接口使能vrfCE-A(config-if)# ip address 10.10.1.1 255.255.255.0# 配置子接口IP地址CE-A(config)# interface f1/0.20 # 进入子接口CE-A(config-if)# encapsulation dot1Q 20#封装802.1Q ,VLAN 20CE-A(config-if)# ip vrf forwarding vpn2# 接口使能vrfCE-A(config-if)# ip address 10.10.2.1 255.255.255.0# 配置子接口IP地址CE-A(config)# ip route vrf vpn1 192.168.44.0 255.255.255.0 10.10.1.2# 配置vpn1的静态路由CE-A(config)# ip route vrf vpn1 192.168.55.0 255.255.255.0 10.10.2.2# 配置vpn2的静态路由Ruijie# hostname CE-B # 给路由器取个名字CE-B# configure terminal# 进入全局配置模式CE-B(config)# ip vrf vpn1# 创建VRF,vpn1CE-B(config)# ip vrf vpn2# 创建VRF，vpn2CE-B(config)# interface f0/0# 进入接口配置模式CE-Bconfig-if)# ip vrf forwarding vpn1# 接口使能vrfCE-B(config-if)# ip address 192.168.44.1 255.255.255.0# 配置IP地址CE-B(config-if)# description connecting-to-vpn1# 说明：链接到vpn1CE-B(config)# interface f0/1# 进入接口配置模式CE-B(config-if)# ip vrf forwarding vpn2# 接口使能vrfCE-B(config-if)# ip address 192.168.55.1 255.255.255.0# 配置IP地址CE-Bconfig-if)# description connecting-to-vpn2# 说明：链接到vpn2CE-B(config)# interface f1/0# 进入接口配置模式CE-B(config-if)# no ip addressCE-B(config)# interface f1/0.10 # 进入子接口CE-B(config-if)# encapsulation dot1Q 100#封装802.1Q ,VLAN 100CE-B(config-if)# ip vrf forwarding vpn1# 接口使能vrfCE-B(config-if)# ip address 172.10.1.1 255.255.255.0# 配置子接口IP地址CE-B(config)# interface f1/0.20 # 进入子接口CE-B(config-if)# encapsulation dot1Q 200# 封装802.1Q ,VLAN 200CE-B(config-if)# ip vrf forwarding vpn2# 接口使能vrfCE-B(config-if)# ip address 172.10.2.1 255.255.255.0# 配置子接口IP地址CE-B(config)# ip route vrf vpn1 192.168.4.0 255.255.255.0 172.10.1.2# 配置vpn1静态路由CE-B(config)# ip route vrf vpn1 192.168.5.0 255.255.255.0 172.10.2.2# 配置vpn2静态路由# 接下来配置PE设备Router# configure terminalRouter(config)# ip vrf v1Router(config-vrf)# rd 100:1Router(config-vrf)# route-target export 100:1Router(config-vrf)# route-target import 100:1Router(config-vrf)# exitRouter(config)# ip vrf v2Router(config-vrf)# rd 100:2Router(config-vrf)# route-target export 100:2Router(config-vrf)# route-target import 100:2Router(config-vrf)# exitRouter(config)# ip cefRouter(config)# interface Fast Ethernet0/0.10Router(config-if)# encapsulation dot1q 10Router(config-if)# ip vrf forwarding v1Router(config-if)# ip address 10.10.1.2 255.255.255.0Router(config-if)# exitRouter(config)# interface Fast Ethernet0/0.100Router(config-if)# encapsulation dot1q 100Router(config-if)# ip vrf forwarding v1Router(config-if)# ip address 172.10.1.2 255.255.255.0Router(config-if)# exitRouter(config)# interface Fast Ethernet0/0.20Router(config-if)# encapsulation dot1q 20Router(config-if)# ip vrf forwarding v2Router(config-if)# ip address 10.10.2.2 255.255.255.0Router(config-if)# exitRouter(config)# interface Fast Ethernet0/0.200Router(config-if)# encapsulation dot1q 200Router(config-if)# ip vrf forwarding v2Router(config-if)# ip address 172.10.2.2 255.255.255.0Router(config-if)# exitRouter(config)# ip route vrf v1 192.168.4.0 255.255.255.0 10.10.1.1Router(config)# ip route vrf v1 192.168.44.0 255.255.255.0 172.10.1.1Router(config)# ip route vrf v2 192.168.5.0 255.255.255.0 10.10.2.1Router(c