一、VRF介绍
VRF(Virtual Routing Forwarding)虚拟路由转发表。
VRF 技术允许路由表的多个实例在同一路由器中同时存在。 由于路由实例是独立的,因此可以使用重叠的相同或IP地址而不会相互冲突。
VRF可以通过不同的路由表 (称为转发信息库 (FIB))在网络设备中实施,每个路由实例一个VRF路由表。
VPN虚拟路由转发表,也称VPN-instance(VPN实例),是PE为直接相连的site建立并维护的一个专门实体每个site在PE上都有自己的VPN-instance。
Cisco Nexus NX-OS 的交换机上配置路由泄漏条件:
VRF限制
您必须将路由直接从源VRF泄漏到目标VRF。您不能泄漏当前从另一个VRF泄露的路由。
假设通过Nexus上的不同VRF路由时,无法建立从Nexus到对等IP的BGP会话。
VRF配置
VRF 之间的泄漏在 BGP 进程级别执行。因此,必须先将路由添加到 BGP 进程,具体来说是添加到 BGP 表中。
注意: 默认情况下,Cisco IOS® 软件认为静态 VRF 路由已配置。这可能会损害安全性,因为它可能引入不同 VRF 之间的路由泄漏。可以使用 no ip route static inter-vrf 命令防止安装此类静态 VRF 路由。
show ip route vrf V**2 10.1.2.4 — 显示指定的 IP 地址 VRF 路由条目。
二、VRF配置示例
根据以下拓扑配置通过VRF对设备的Telnet或SSH访问
配置命令
远程设备端的配置:
!
interface GigabitEthernet0/0
description LINK TO END USER
ip vrf forwarding MGMT
ip address 192.168.100.1 255.255.255.252
duplex auto
speed auto
!!
interface Loopback1
description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
ip vrf forwarding MGMT
ip address 10.0.0.1 255.255.255.255
!!
line vty 0 4
access-class 8 in
password cisco
login
transport input all
line vty 5 15
access-class 8 in
password cisco
login
transport input all
!在最终用户设备上:
!
interface GigabitEthernet0/0
description LINK TO REMOTE SITE
ip vrf forwarding MGMT
ip address 192.168.100.2 255.255.255.252
duplex auto
speed auto
!验证
使用本部分可确认配置能否正常运行。
在 vrf-also 在远程设备的line vty 0 15的access-class配置中使用关键字:
EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 msEndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host随着相应 ACE 计数的增加,远程设备上的数据包命中数也随之上升。
RemoteSite#show ip access-lists 8
Standard IP access list 8
10 permit 192.168.100.2 log (3 matches)但是,在 vrf-also 在vty 0 15线路的access-class中添加关键字,允许telnet访问。
根据定义的行为,默认情况下Cisco IOS设备接受所有VTY连接。但是,如果使用 access-class,则意味着只能允许来自全局 IP 实例的连接。但是,如果存在允许来自VRF实例连接的要求和期望,请使用 vrf-also 关键字,以及相应的access-class语句。
!
line vty 0 4
access-class 8 in vrf-also
password cisco
login
transport input all
line vty 5 15
access-class 8 in vrf-also
password cisco
login
transport input all
!EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 msEndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open
User Access Verification
Password:
RemoteSite>故障排除
有时可能需要进行基于VRF的故障排除。确保连接接口都位于同一 VRF 中并且在该 VRF 中可达。
此外,可能还需要进行与SSH和Telnet相关的故障排除。
