交换路由CCIE之路 - vrf业务隔离

实验 VRF业务隔离

一实验拓扑图

图中RT4,SW5未用。

二实验需求

生产访问生产，办公访问办公

三实验分析

由于生产业务，办公业务最终都是通过一台路由器转发数据，因此在这里可以用OSPF多进程做，但要考虑到OSPF进程只是在本路由器有效，因此要利用子接口，让不同进程隔离开来，做到一台设备上不同接口读不同进程从而分隔路由。

以上面的思想为基础，这里可以采用VRF，也就是虚拟路由器；把一个路由器分出几个虚拟的，各自跑各自的动态协议，有自己的路由表，并且和全局路由表分开。

首先在各个设备上建两个VRF,再通过将各自的子接口加入到VRF，配置路由协议，从而实现通信。注意中间广域网区用帧中继点对点子接口。

四 基本配置

给出RT1配置分析，其它类似

ip vrf bangong //创建办公VRF rd 65000:17 !

ip vrf shengchan //生产VRF rd 65000:16

interface Serial0/1 no ip address

encapsulation frame-relay //串口用帧中继建子接口 shutdown

serial restart-delay 0

frame-relay lmi-type q933a !

interface Serial0/1.16 point-to-point frame-relay interface-dlci 36 !

interface Serial0/1.17 point-to-point frame-relay interface-dlci 37 !

interface Serial0/2 no ip address

encapsulation frame-relay serial restart-delay 0

frame-relay lmi-type q933a !

interface Serial0/2.16 point-to-point

ip vrf forwarding shengchan //把接口加入到VRF ip address 172.16.23.1 255.255.255.252 frame-relay interface-dlci 27 !

interface Serial0/2.17 point-to-point ip vrf forwarding bangong

ip address 172.17.23.1 255.255.255.252 frame-relay interface-dlci 26 !

interface Ethernet1/0.900 encapsulation dot1Q 900 ip vrf forwarding shengchan

ip address 172.16.22.1 255.255.255.252 !

interface Ethernet1/0.901 encapsulation dot1Q 901 ip vrf forwarding bangong

ip address 172.17.22.1 255.255.255.252

HSRP使用 interface Vlan16

ip vrf forwarding shengchan

ip address 172.16.3.2 255.255.255.0 standby 16 ip 172.16.3.1 standby 16 priority 120 standby 16 preempt

standby 16 track Vlan900 30 !

interface Vlan17

ip vrf forwarding bangong

ip address 172.17.3.2 255.255.255.0 standby 17 ip 172.17.3.1 standby 17 preempt

S口子接口利用帧中继启用 interface Serial0/0 no ip address

encapsulation frame-relay serial restart-delay 0

frame-relay lmi-type q933a frame-relay intf-type dce !

interface Serial0/0.16 point-to-point ip vrf forwarding shengchan

ip address 172.16.13.2 255.255.255.252 frame-relay interface-dlci 16 !

interface Serial0/0.17 point-to-point ip vrf forwarding bangong

ip address 172.17.13.2 255.255.255.252 frame-relay interface-dlci 17 !

用静态路由和OSPF使链路连通

r1(config)#ip route vrf shengchan 172.16.4.0 255.255.255.0 172.16.13.2 r1(config)#ip route vrf bangong 172.17.4.0 255.255.255.0 172.17.13.2 r2(config)#ip route vrf shengchan 172.16.4.0 255.255.255.0 172.16.23.2 r2(config)#ip route vrf bangong 172.17.4.0 255.255.255.0 172.17.23.2 r3(config)#ip route vrf shengchan 172.16.3.0 255.255.255.0 172.16.13.1 r3(config)#ip route vrf bangong 172.17.3.0 255.255.255.0 172.17.13.1 50 r3(config)#ip route vrf shengchan 172.16.3.0 255.255.255.0 172.16.23.1 50 r3(config)#ip route vrf bangong 172.17.3.0 255.255.255.0 172.17.23.1 使用浮动静态路由做备份，查路由表

r3#show ip route vrf shengchan

172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks C 172.16.23.0/30 is directly connected, Serial0/2.16 C 172.16.13.0/30 is directly connected, Serial0/0.16 C 172.16.4.0/24 is directly connected, Ethernet1/0.16 S 172.16.3.0/24 [1/0] via 172.16.13.1 r3#show ip route vrf bangong

172.17.0.0/16 is variably subnetted, 4 subnets, 2 masks C 172.17.23.0/30 is directly connected, Serial0/2.17 C 172.17.13.0/30 is directly connected, Serial0/0.17 C 172.17.4.0/24 is directly connected, Ethernet1/0.17 S 172.17.3.0/24 [1/0] via 172.17.23.1

sw1(config)#router ospf 16 vrf shengchan //生产VRF中OSPF sw1(config-router)#route

sw1(config-router)#router-id 172.16.0.1

sw1(config-router)#net 172.16.0.0 0.0.255.255 area 0 sw1(config-router)#exit

sw1(config)#router ospf 17 vrf bangong sw1(config-router)#route

sw1(config-router)#router-id 172.17.0.1

sw1(config-router)#net 172.17.0.0 255.255.0.0 area 0 sw1(config-router)#exit

sw2(config)#router ospf 16 vrf shengchan sw2(config-router)#router-id 172.16.0.2

sw2(config-router)#net 172.16.0.0 0.0.255.255 area 0 sw2(config-router)#exit

sw2(config)#router ospf 17 vrf bangong sw2(config-router)#router-id 172.17.0.2

sw2(config-router)#net 172.17.0.0 255.255.0.0 area 0 sw2(config-router)#exit

这时候我进行数据测试发现不通，查路由表发现SW1 SW2没有到对端网段路由。再加入两条静态路由就行了

sw1(config)#ip route vrf shengchan 172.16.4.0 255.255.255.0 172.16.11.1 sw1(config)#ip route vrf bangong 172.17.4.0 255.255.255.0 172.17.11.1 sw2(config)#ip route vrf shengchan 172.16.4.0 255.255.255.0 172.16.22.1 sw2(config)#ip route vrf bangong 172.17.4.0 255.255.255.0 172.17.22.1

再次测试发现能通了

VPCS 3 >ping 172.16.3.100

172.16.3.100 icmp_seq=1 time=156.000 ms 172.16.3.100 icmp_seq=2 time=141.000 ms 172.16.3.100 icmp_seq=3 time=125.000 ms

172.16.3.100 icmp_seq=4 time=187.000 ms 172.16.3.100 icmp_seq=5 time=141.000 ms

VPCS 4 >ping 172.17.3.100

172.17.3.100 icmp_seq=1 time=250.000 ms 172.17.3.100 icmp_seq=2 time=141.000 ms 172.17.3.100 icmp_seq=3 time=141.000 ms 172.17.3.100 icmp_seq=4 time=141.000 ms 172.17.3.100 icmp_seq=5 time=140.000 ms

注意事项：

（1） 这里还可以直接用OSPF单区域做，但多区域的话会出现R3收到了3类LSA但不

能进全局路由表。

（2） HSRP跟踪问题，这里跟踪上连接口会发现上面用的是SVI接口，那么就要想办法

让物理接口down掉时，逻辑接口也down掉。这个时候可以通过使只有这个接口才有这个VLAN ,其它接口都没有，就能满足了。具体实验如下：

使除去F1/0外，所有接口都不能用vlan900 901，如下 Port Vlans allowed on trunk Fa1/0 1-1005

Fa1/1 1-899,902-1005 Fa1/14 1-899,902-1005

Port Vlans allowed and active in management domain Fa1/0 1,16-17,900-901 Fa1/1 1,16-17 Fa1/14 1,16-17

Port Vlans in spanning tree forwarding state and not pruned Fa1/0 1,16-17,900-901 Fa1/1 1,16-17 Fa1/14 1,16-17 这时候down掉F1/0 sw1(config)#int f1/0 sw1(config-if)#shu

发现vlan900 901 都down掉了

Vlan900 172.16.11.2 YES manual up down Vlan901 172.17.11.2 YES manual up down 若这时候允许F1/14有vlan 900 901 则vlan900 901又能up sw1(config)#int f1/14

sw1(config-if)#sw trunk allowed vlan all

Vlan900 172.16.11.2 YES manual up up Vlan901 172.17.11.2 YES manual up up

（3） 2台三层交换机之间OSPF邻居建立问题，实际中可以通过多创建几个SVI来解决

问题，不过要记住每个VRF都由自己的SVI来间邻居。在实验中也可以直接用两个业务网段来建邻居。如下:

sw1(config)#router ospf 17 vrf bangong

sw1(config-router)#net 172.17.4.0 0.0.0.255 area 0 sw2(config)#router ospf 17 vrf bangong

sw2(config-router)#net 172.17.4.0 0.0.0.255 area 0

后面没有配被动接口，所以就相当于直接用业务网段间邻居了

（3） 2台三层交换机之间OSPF邻居建立问题，实际中可以通过多创建几个SVI来解决

问题，不过要记住每个VRF都由自己的SVI来间邻居。在实验中也可以直接用两个业务网段来建邻居。如下:

sw1(config)#router ospf 17 vrf bangong

sw1(config-router)#net 172.17.4.0 0.0.0.255 area 0 sw2(config)#router ospf 17 vrf bangong

sw2(config-router)#net 172.17.4.0 0.0.0.255 area 0

后面没有配被动接口，所以就相当于直接用业务网段间邻居了

本文来源：https://www.bwwdw.com/article/cx3r.html