Trong bài trước, chúng ta đã thảo luận về việc cách ly lưu lượng bằng cách sử dụng tính năng VLAN riêng(Private VLAN) ở cấp độ Layer2. Trong bài viết này, chúng ta sẽ thảo luận về cách ly lưu lượng ở cấp Layer3 bằng cách sử dụng VRF Lite trên bộ định tuyến Router Cisco. VRF Lite là gì? VRF về cơ bản sử dụng khái niệm tương tự như VLAN và Trunking trên Switch, nhưng ở Lớp 3. VRF (Virtual Routing Forwarding) theo truyền thống được kết hợp với công nghệ IP MPLS, theo đó ISP tạo các VPN Lớp3 (hoặc Lớp2) cho khách hàng sử dụng VRF. Hãy coi VRF như một phiên bản định tuyến riêng biệt (và bảng định tuyến riêng) trên cùng một thiết bị mạng giữ các tuyến IP cho từng khách hàng được cách ly với các khách hàng khác. Mỗi VRF giống như một bộ định tuyến ảo riêng biệt với bảng định tuyến riêng trên cùng một bộ định tuyến vật lý. Nếu bạn không làm việc trong môi trường ISP, bạn sẽ không gặp phải công nghệ này thường xuyên. Ngoài ra, MPLS và VRF không được kiểm tra ở cấp CCNA hoặc CCNP R&S. Mặc dù VRF và MPLS thường được định cấu hình trên bộ định tuyến ISP cao cấp, bạn vẫn có thể sử dụng tính năng này trên một số bộ định tuyến ISR nhỏ hơn của Cisco theo cách đơn giản được gọi là VRF Lite và có cùng ưu điểm. Với VRF Lite, bạn có thể có các bảng định tuyến riêng biệt trên cùng một thiết bị định tuyến vật lý. Mỗi bảng định tuyến (phiên bản VRF) được cách ly với các phiên bản VRF khác. Để trình bày cách sử dụng tính năng này, hãy xem tình huống đơn giản sau: Mô hình mạng sử dụng Cisco 891 và VRF Lite Hãy xem xét kịch bản được mô tả trên sơ đồ trên. Chúng ta có bộ định tuyến biên Cisco 891 với kết nối Intranet cho máy tính của nhân viên và máy chủ của công ty, đồng thời chúng ta cũng cần cung cấp kết nối internet cho kết nối Wi-Fi để cho phép khách kết nối với internet. Công ty yêu cầu rằng kết nối Wi-Fi phải được tách biệt hoàn toàn khỏi mạng nội bộ (LAN), để khách không có quyền truy cập vào mạng cục bộ. Do đó, chúng ta có thể cô lập hai mạng Layer3 bằng VRF Lite. Chúng ta sẽ tạo “VRF Intranet” và “VRF Extranet” cho hai mạng. Cấu hình trên Bộ định tuyến Cisco Bộ định tuyến được sử dụng là CISCO891-K9 với image c890-universalalk9-mz.151-4.M4.bin được cài đặt. Mỗi Phiên bản VRF sẽ có hai giao diện được định tuyến Layer3 được liên kết với nó như dưới đây. Hãy coi mỗi Phiên bản VRF như một bộ định tuyến ảo có hai giao diện. VRF Intranet: VLAN10 và Interface Gi0 sẽ được đưa vào “vrf Intranet”. VRF Extranet: VLAN100 và Giao diện Fa8 sẽ được đưa vào “vrf Extranet”. Step 1 : Tạo phiên bản VRF Lite / Create the VRF Lite Instances ip vrf Extranet description Extranet ! ip vrf Intranet description Intranet ! Step 2 : Cấu hình các VLAN và giao diện và đưa chúng vào các phiên bản VRF vlan 10 name Intranet ! vlan 100 name Extranet ! interface GigabitEthernet0 <-- wan port facing the internet for Intranet traffic (cổng wan kết nối internet cho lưu lượng Intranet) ip vrf forwarding Intranet < -- interface is attached to the Intranet VRF (giao diện được gắn vào Intranet VRF) ip address 10.10.10.1 255.255.255.0 duplex auto speed auto ! interface Vlan10 <-- SVI interface for Intranet traffic (giao diện SVI cho lưu lượng Intranet) description Intranet <-- interface is attached to the Intranet VRF (giao diện được gắn vào Intranet VRF) ip vrf forwarding Intranet ip address 10.10.100.1 255.255.255.0 ! interface FastEthernet8 <-- wan port facing the internet for guest traffic (cổng wan kết nối internet cho lưu lượng truy cập của khách) ip vrf forwarding Extranet <-- interface is attached to the Extranet VRF (giao diện được gắn vào Intranet VRF) ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Vlan100 <-- SVI interface for Extranet traffic (giao diện SVI cho lưu lượng Extranet) description Extranet ip vrf forwarding Extranet <-- interface is attached to the Extranet VRF (giao diện được gắn vào Extranet VRF) ip address 100.100.100.1 255.255.255.0 ! interface FastEthernet0 <-- interface connect the WiFi Access Point for guests (giao diện này kết nối Điểm truy cập WiFi cho khách) description AP switchport access vlan 100 no ip address ! interface FastEthernet1 <-- interface connect Intranet hosts (giao diện này kết nối các máy chủ Intranet) description Intranet switchport access vlan 10 no ip address ! Step 3 : Thêm các tuyến đường mặc định ra Internet cho cả hai phiên bản VRF ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254 ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.254 Step 4 : Xác minh – showing the vrf configuration (hiển thị cấu hình vrf) Cisco(TGM)#sh run vrf Intranet Building configuration… Current configuration : 324 bytes ip vrf Intranet description Intranet ! ! interface GigabitEthernet0 ip vrf forwarding Intranet ip address 10.10.10.1 255.255.255.0 duplex auto speed auto ! interface Vlan10 description Intranet ip vrf forwarding Intranet ip address 10.10.100.1 255.255.255.0 ! ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254 end Cisco(TGM)#sh run vrf Extranet Building configuration… Current configuration : 326 bytes ip vrf Extranet description Extranet ! ! interface FastEthernet8 ip vrf forwarding Extranet ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Vlan100 description Extranet ip vrf forwarding Extranet ip address 100.100.100.1 255.255.255.0 ! ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.254 – verify both routing tables (xác minh cả hai bảng định tuyến) Cisco(TGM)#sh ip route vrf Intranet Routing Table: Intranet Gateway of last resort is 10.10.10.254 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 10.10.10.254 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.10.10.0/24 is directly connected, GigabitEthernet0 L 10.10.10.1/32 is directly connected, GigabitEthernet0 Cisco(TGM)#sh ip route vrf Extranet Routing Table: Extranet Gateway of last resort is 192.168.1.254 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.1.254 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, FastEthernet8 L 192.168.1.1/32 is directly connected, FastEthernet8 – verify ARP entries (xác minh các ngõ vào ARP) Cisco(TGM)#sh ip arp vrf Intranet Protocol Address Age (min) Hardware Addr Type Interface Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0 Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10 Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10 Cisco(TGM)#sh ip arp vrf Extranet Protocol Address Age (min) Hardware Addr Type Interface Internet 100.100.100.1 – fc99.4712.9ecb ARPA Vlan100 Internet 100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100 Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8 Ghi chú: Như bạn có thể thấy, các bảng định tuyến được tách biệt hoàn toàn và lưu lượng truy cập sẽ được tách biệt hoàn toàn. Nếu bạn chạy lệnh “show ip route” mà không chỉ định tên VRF, nó sẽ hiển thị “Global Routing Table” của thiết bị (sẽ trống trong ví dụ của chúng ta ở trên). Khi bạn đưa ra lệnh ping, telnet hoặc các lệnh khác tạo cho chúng ta các bảng định tuyến, bạn phải luôn chỉ định tên phiên bản định tuyến VRF mà bạn muốn sử dụng: Ví dụ: ping vrf Intranet 10.10.100.10 Tính năng VRF Lite cũng được cung cấp bởi các nhà cung cấp khác. Ví dụ trong môi trường Juniper, nó được gọi là “routing instance”. Firewall Cisco có hỗ trợ VRF ? Tường lửa Cisco có hỗ trợ cấu hình VRF hay không. Câu trả lời là FW Cisco không hỗ trợ cấu hình vrf vì chỉ có một cá thể bảng định tuyến duy nhất trên Firewall. Dưới đây là các tùy chọn mà bạn có để sử dụng thiết bị Firewall trong mạng VRF: Cấu hình các giao diện con VLAN trên Firewall và kết thúc từng mạng VRF trên mỗi giao diện con. Sau đó, bạn có thể áp dụng danh sách kiểm soát truy cập(ACL) và kiểm soát lưu lượng của giao tiếp giữa các vrf thông qua thiết bị Firewall. Sử dụng ngữ cảnh bảo mật: Điều này có nghĩa là cấu hình các ngữ cảnh bảo mật khác nhau (tường lửa ảo) trên cùng một thiết bị, do đó có các bảng định tuyến riêng biệt và kiểm soát chính sách riêng biệt cho từng ngữ cảnh. Điều này tương tự như việc có nhiều VRF trên cùng một thiết bị, tuy nhiên, nó không phải là chức năng VRF nguyên bản như chức năng bạn có trên Bộ định tuyến. Chúc các bạn thành công.
Trong bài viết này chúng ta sẽ cùng tìm hiểu về cách thức tạo ra các VRF trên Router cisco. Các VRF (Virtual Routing Forwarding) là các khổi chức năng được sử dụng để chia một router thành nhiều router ảo khác nhau, mỗi router ảo này sẽ sử dụng một bảng RIB (Routing Information Based) và một bảng FIB (Forwarding Information Based) riêng biệt. Việc chia một router thành nhiều VRF tương tự như việc chia một switch thành nhiều VLAN. Câu lệnh để khai báo một VRF trên một router: R(config)#ip vrf Tên_VRF R(config-vrf)#rd X:Y R(config-vrf)#exit Trong đó: • Tên_VRF: là tên gọi đặt cho VRF được tạo ra. Ví dụ, trong bài lab này, chúng ta tạo ra hai VRF có tên là VRF1 và VRF2 trên hai router (như ví dụ bên dưới). • X:Y: là giá trị có tên gọi là Route Distinguisher (RD) được gán cho VRF. RD là một giá trị 64 bit được gán vào cho mọi route thuộc về VRF tương ứng. Định dạng thường gặp của RD là ASN:NN, trong đó, ASN là giá trị Autonomous System Number và NN là số hiệu VRF bên trong router, hoặc xét trên toàn sơ đồ, là số hiệu VPN bên trong một AS. Một cách đơn giản, ta có thể hiểu giá trị này được dùng để định danh cho VRF trên router và có thể dùng bất kỳ giá trị nào ta muốn khi cấu hình. Giá trị này không bắt buộc phải giống nhau giữa các router mà chỉ có ý nghĩa local trên mỗi router. Sau khi cấu hình các VRF để chia một router thành nhiều router ảo biệt lập với nhau, chúng ta cần phải phân bổ các cổng hiện có trên router vào các router ảo mới tạo này. Điều này tương tự như việc xây dựng xong một router thì cần phải lắp cho router mới này các cổng giao tiếp, và các cổng giao tiếp này được lấy ra từ router gốc cũ. Ta có thể so sánh điều này với việc gán các cổng trên switch vào một VLAN vừa tạo. Câu lệnh để gán một cổng trên router vào một VRF: R(config-if)#ip vrf forwarding Tên_VRF Khi gán một cổng vào một VRF, mọi địa chỉ IP được cấu hình trước đó trên cổng sẽ được gỡ bỏ, ta phải thực hiện cấu hình lại IP cho cổng mới được gán này. Mặc định, trên router luôn tồn tại một VRF tên là “global” và mọi cổng của router ban đầu đều thuộc VRF này. Điều này tương tự như trên switch luôn tồn tại VLAN 1 và ban đầu mọi cổng của switch đều thuộc về VLAN 1. Khi chúng ta thực hiện đấu nối giữa các VRF tương ứng của các router, ta đã thực hiện xây dựng nhiều mạng lớp 3 khác nhau từ một sơ đồ đấu nối lớp 3 duy nhất trước đó. Để nắm được rõ vấn đề, chúng ta sẽ cùng trao đổi thông qua một bài lab ví dụ bên dưới: Sơ đồ Bước 1: Cấu hình ban đầu • Thực hiện đặt địa chỉ IP trên các cổng của các router theo quy hoạch IP được chỉ ra trên hình. • Kiểm tra rằng các địa chỉ kết nối trực tiếp đã đi đến được nhau. Cấu hình Trên R1: R1(config)#interface f0/0 R1(config-if)#no shutdown R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#exit R1(config)#interface f0/1 R1(config-if)#no shutdown R1(config-if)#ip address 192.168.21.1 255.255.255.0 R1(config-if)#exit R1(config)#interface loopback 0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit R1(config)#interface loopback 1 R1(config-if)#ip address 192.168.11.1 255.255.255.0 R1(config-if)#exit Trên R2: R2(config)#interface f0/0 R2(config-if)#no shutdown R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#exit R2(config)#interface f0/1 R2(config-if)#no shutdown R2(config-if)#ip address 192.168.21.2 255.255.255.0 R2(config-if)#exit R2(config)#interface loopback 0 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit R2(config)#interface loopback 1 R2(config-if)#ip address 192.168.22.1 255.255.255.0 R2(config-if)#exit Kiểm tra Ta kiểm tra rằng các địa chỉ kết nối trực tiếp đã đi đến được nhau : R1#ping 192.168.12.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/41/80 ms R1#ping 192.168.21.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.21.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/43/84 ms Bước 2: Cấu hình VRF trên các Cisco Router • Trên R1 và R2 thực hiện cấu hình một VRF có tên là VRF1. Thực hiện gán các cổng F0/0 và các loopback 0 của hai router này vào VRF1 vừa tạo. • Trên R1 và R2 thực hiện cấu hình một VRF khác có tên là VRF2. Thực hiện gán các cổng F0/1 và các loopback 1 của hai router này vào VRF2 vừa tạo. • Kiểm tra rằng các địa chỉ kết nối trực tiếp đã đi đến được nhau. Cấu hình Trên R1: R1(config)#ip vrf VRF1 R1(config-vrf)#rd 1:1 R1(config-vrf)#exit R1(config)#interface f0/0 R1(config-if)#ip vrf forwarding VRF1 % Interface FastEthernet0/0 IP address 192.168.12.1 removed due to enabling VRF VRF1 R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#exit R1(config)#interface loopback 0 R1(config-if)#ip vrf forwarding VRF1 % Interface Loopback0 IP address 192.168.1.1 removed due to enabling VRF VRF1 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit R1(config)#ip vrf VRF2 R1(config-vrf)#rd 2:2 R1(config-vrf)#exit R1(config)#interface f0/1 R1(config-if)#ip vrf forwarding VRF2 % Interface FastEthernet0/1 IP address 192.168.21.1 removed due to enabling VRF VRF2 R1(config-if)#ip address 192.168.21.1 255.255.255.0 R1(config-if)#exit R1(config)#interface loopback 1 R1(config-if)#ip vrf forwarding VRF2 % Interface Loopback1 IP address 192.168.11.1 removed due to enabling VRF VRF2 R1(config-if)#ip address 192.168.11.1 255.255.255.0 R1(config-if)#exit Trên R2: R2(config)#ip vrf VRF1 R2(config-vrf)#rd 1:1 R2(config-vrf)#exit R2(config)#interface f0/0 R2(config-if)#ip vrf forwarding VRF1 % Interface FastEthernet0/0 IP address 192.168.12.2 removed due to enabling VRF VRF1 R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#exit R2(config)#interface loopback 0 R2(config-if)#ip vrf forwarding VRF1 % Interface Loopback0 IP address 192.168.2.1 removed due to enabling VRF VRF1 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit R2(config)#ip vrf VRF2 R2(config-vrf)#rd 2:2 R2(config-vrf)#exit R2(config)#interface f0/1 R2(config-if)#ip vrf forwarding VRF2 % Interface FastEthernet0/1 IP address 192.168.21.2 removed due to enabling VRF VRF2 R2(config-if)#ip address 192.168.21.2 255.255.255.0 R2(config-if)#exit R2(config)#interface loopback 1 R2(config-if)#ip vrf forwarding VRF2 % Interface Loopback1 IP address 192.168.22.1 removed due to enabling VRF VRF2 R2(config-if)#ip address 192.168.22.1 255.255.255.0 R2(config-if)#exit Kiểm tra Ta kiểm tra rằng, trong từng VRF, các địa chỉ đấu nối trực tiếp trên hai router đã đi đến được nhau: R1#ping vrf VRF1 192.168.12.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/44/72 ms R1#ping vrf VRF2 192.168.21.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.21.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/45/120 ms Bước 3: Định tuyến trên VRF • Cấu hình định tuyến OSPF trên VRF1 đảm bảo mọi địa chỉ trên VRF1 thấy nhau. • Cấu hình định tuyến EIGRP trên VRF2 đảm bảo mọi địa chỉ trên VRF2 thấy nhau. Cấu hình Trên R1: R1(config)#router ospf 1 vrf VRF1 R1(config-router)#network 192.168.1.1 0.0.0.0 area 0 R1(config-router)#network 192.168.12.1 0.0.0.0 area 0 R1(config-router)#exit R1(config)#router eigrp 100 R1(config-router)#address-family ipv4 vrf VRF2 R1(config-router-af)#autonomous-system 100 R1(config-router-af)#network 192.168.11.0 R1(config-router-af)#network 192.168.21.0 R1(config-router-af)#exit R1(config-router)#exit Trên R2: R2(config)#router ospf 1 vrf VRF1 R2(config-router)#network 192.168.2.1 0.0.0.0 area 0 R2(config-router)#network 192.168.12.2 0.0.0.0 area 0 R2(config-router)#exit R2(config)#router eigrp 100 R2(config-router)#address-family ipv4 vrf VRF2 R2(config-router-af)#autonomous-system 100 R2(config-router-af)#network 192.168.22.0 R2(config-router-af)#network 192.168.21.0 R2(config-router-af)#exit Kiểm tra Ta kiểm tra bảng định tuyến của từng VRF trên các router để xác nhận rằng các giao thức định tuyến đều đã hội tụ. Trên VRF1: R1#show ip route vrf VRF1 ospf Routing Table: VRF1 192.168.2.0/32 is subnetted, 1 subnets O 192.168.2.1 [110/2] via 192.168.12.2, 00:07:43, FastEthernet0/0 R2#show ip route vrf VRF1 ospf Routing Table: VRF1 192.168.1.0/32 is subnetted, 1 subnets O 192.168.1.1 [110/2] via 192.168.12.1, 00:07:57, FastEthernet0/0[/b] Trên VRF2: R1#show ip route vrf VRF2 eigrp D 192.168.22.0/24 [90/156160] via 192.168.21.2, 00:08:13, FastEthernet0/1 R2#show ip route vrf VRF2 eigrp D 192.168.11.0/24 [90/156160] via 192.168.21.1, 00:08:22, FastEthernet0/1 Kiểm tra các địa chỉ loopback trên các VRF đã đi đến được nhau: R1#ping vrf VRF1 192.168.2.1 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/34/44 ms R1#ping vrf VRF2 192.168.22.1 source 192.168.11.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.22.1, timeout is 2 seconds: Packet sent with a source address of 192.168.11.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/37/64 ms Bài viết về VRF và cấu hình VRF trên bộ định tuyến Router Cisco đến đây hoàn tất. Chúc các bạn thành công. Bài viết liên quan: Tìm hiểu và cấu hình MPLS VPN với Static Route và Rip
