伪装网络工程师18——初识VRF

时间  2020-11-10
标签 安全 网络 ide this 3d code router blog 接口 栏目 系统网络 繁體版
原文   原文链接

1、背景介绍

企业生产环境中,常常处于安全性的考虑会将网络分为:生产网络,备份网络等,这时候就须要对网络进行隔离,而隔离的方法无外乎物理隔离与逻辑隔离。
物理隔离,就是为每个网络平面准备单独的网元设备
伪装网络工程师18——初识VRF 安全

2、VRF的介绍

物理隔离尽管能实现网络隔离的要求,但他有个明显的短板:当网络中存在多个平面时为每个平面分配单独的核心交换机成本太大,此处就须要借助VRF(***-instance)来实现。
VRF实现的方式相似于虚拟化,逻辑上建立出一个空间,该空间有独立的接口、TCP/IP协议栈、路由表,之间互不干扰,能够理解为将一台物理核心交换机逻辑的分为多个核心交换机,每一个交换机之间相互隔离
伪装网络工程师18——初识VRF 网络

3、实验拓扑

1.基础配置

本次实验拓扑以下图所示,紫色部分是OM网络,要求与黄色部分的网络相互隔离,且同一区域两个终端PC可以正常通讯。PC与路由器上的基础配置省略,核心交换机的配置以下:
伪装网络工程师18——初识VRF ide

  1. 建立相应的vlan,并为vlanif接口设置IP地址 
    [SW1]vlan batch 10 20 100 200
[SW1]interface Vlanif 10 
[SW1-Vlanif10]ip add 1.1.1.254 24
........
  2. 此时发现vlanif接口是down状态,缘由是此时并无接口加入到对应的vlan 
    Interface                         IP Address/Mask      Physical   Protocol  
MEth0/0/1                         unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Vlanif1                           unassigned           up         down      
Vlanif10                          1.1.1.254/24         down       down      
Vlanif20                          2.2.2.254/24         down       down      
Vlanif100                         11.0.0.1/24          down       down      
Vlanif200                         12.0.0.1/24          down       down
  3. 将对应的接口加入到vlan 
    [SW1]interface g0/0/11
[SW1-GigabitEthernet0/0/11]port link-type access 
[SW1-GigabitEthernet0/0/11]port default vlan 100
.........
  4. 再看借口状态,vlanif端口状态变为up 
    Interface                         IP Address/Mask      Physical   Protocol  
MEth0/0/1                         unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Vlanif1                           unassigned           down       down      
Vlanif10                          1.1.1.254/24         up         up        
Vlanif20                          2.2.2.254/24         up         up        
Vlanif100                         11.0.0.1/24          up         up        
Vlanif200                         12.0.0.1/24          up         up

    但此时PC1与PC2之间可以正常通讯,由于这两个网段是直连到三层交换机上
    伪装网络工程师18——初识VRF
    此时并不知足要求,接下来就要建立VRF。 ui

    2.建立VRF进行网络隔离

  5. 建立om的vrf,rd值是在mpls***中作网络区分的,此处不作介绍 
    [SW1]ip ***-instance om 
[SW1-***-instance-om]route-distinguisher 1:1
  6. 将对应接口加入om的vrf,此时会发现接口上的IP地址配置被清空,从新为vlanif添加IP地址 
    [SW1]interface Vlanif 20
[SW1-Vlanif20]ip binding ***-instance om
Info: All IPv4 related configurations on this interface are removed!
Info: All IPv6 related configurations on this interface are removed!
......

    再次添加地址后,全局路由表中再也不有2.2.2.0/24与12.0.0.0/24网段的信息
    伪装网络工程师18——初识VRF
    这两个网段的信息收录在在om平面的vrf中
    伪装网络工程师18——初识VRF this

    3.启动ospf进程,完成配置

  7. R1上启动ospf进程 
    [R1]ospf 1 router-id 3.3.3.3 
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 11.0.0.2 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 3.3.3.254 0.0.0.0
  8. R2上启动ospf进程 
    [R2]ospf 1 router-id 4.4.4.4
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 12.0.0.2 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 4.4.4.254 0.0.0.0
  9. 在SW根实例上启动ospf进程 
    SW1]ospf 1 router-id 1.1.1.1 
[SW1-ospf-1]area 0
[SW1-ospf-1-area-0.0.0.0]network 1.1.1.254 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]network 11.0.0.1 0.0.0.0
  10. 在SW的OM实例上启动ospf进程,注意此时进程号不能重复 
    [SW1]ospf 2 router-id 1.1.1.1 ***-instance om
[SW1-ospf-2]area 0
[SW1-ospf-2-area-0.0.0.0]network 2.2.2.254 0.0.0.0
[SW1-ospf-2-area-0.0.0.0]network 12.0.0.1 0.0.0.0

    此时能看到ospf的链接关系已创建
    伪装网络工程师18——初识VRF
    om平面的路由表并不会显示在全局路由表中,查看时须要指定vrf进行查看
    伪装网络工程师18——初识VRF 3d

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程