Cách ly lưu lượng Layer3 bằng cách sử dụng VRF Lite trên Router Cisco

Trong bài trước, chúng ta đã thảo luận về việc cách ly lưu lượng bằng cách sử dụng tính năng VLAN riêng(Private VLAN) ở cấp độ Layer2. Trong bài viết này, chúng ta sẽ thảo luận về cách ly lưu lượng ở cấp Layer3 bằng cách sử dụng VRF Lite trên bộ định tuyến Cisco.

VRF Lite là gì ?

VRF về cơ bản sử dụng khái niệm tương tự như VLAN và Trunking trên Switch, nhưng ở Lớp 3.

VRF (Virtual Routing Forwarding) được kết hợp với công nghệ IP MPLS, theo đó ISP tạo các VPN Lớp3 (hoặc Lớp2) cho khách hàng sử dụng VRF.

Hãy coi VRF như một phiên bản định tuyến riêng biệt (và bảng định tuyến riêng) trên cùng một thiết bị mạng giữ các tuyến IP cho từng khách hàng được cách ly với các khách hàng khác.

Mỗi VRF giống như một bộ định tuyến ảo riêng biệt với bảng định tuyến riêng trên cùng một bộ định tuyến vật lý.

Nếu bạn không làm việc trong môi trường ISP, bạn sẽ không gặp phải công nghệ này thường xuyên. Ngoài ra, MPLS và VRF không được kiểm tra ở cấp CCNA hoặc CCNP R&S.

Mặc dù VRF và MPLS thường được định cấu hình trên bộ định tuyến ISP cao cấp, bạn vẫn có thể sử dụng tính năng này trên một số bộ định tuyến ISR nhỏ hơn của Cisco theo cách đơn giản được gọi là VRF Lite và có cùng ưu điểm.

Với VRF Lite, bạn có thể có các bảng định tuyến riêng biệt trên cùng một thiết bị định tuyến vật lý. Mỗi bảng định tuyến (phiên bản VRF) được cách ly với các phiên bản VRF khác.

Để trình bày cách sử dụng tính năng này, hãy xem tình huống đơn giản sau:

Mô hình mạng sử dụng Cisco 891 và VRF Lite

​

Hãy xem xét kịch bản được mô tả trên sơ đồ trên. Chúng ta có bộ định tuyến biên Cisco 891 với kết nối Intranet cho máy tính của nhân viên và máy chủ của công ty, đồng thời chúng ta cũng cần cung cấp kết nối internet cho kết nối Wi-Fi để cho phép khách kết nối với internet.

Công ty yêu cầu rằng kết nối Wi-Fi phải được tách biệt hoàn toàn khỏi mạng nội bộ (LAN), để khách không có quyền truy cập vào mạng cục bộ. Do đó, chúng ta có thể cô lập hai mạng Layer3 bằng VRF Lite. Chúng ta sẽ tạo “VRF Intranet” và “VRF Extranet” cho hai mạng.

Cấu hình trên Bộ định tuyến Cisco

Bộ định tuyến được sử dụng là CISCO891-K9 với image c890-universalalk9-mz.151-4.M4.bin được cài đặt.

Mỗi Phiên bản VRF sẽ có hai giao diện được định tuyến Layer3 được liên kết với nó như dưới đây. Hãy coi mỗi Phiên bản VRF như một bộ định tuyến ảo có hai giao diện.

• VRF Intranet: VLAN10 và Interface Gi0 sẽ được đưa vào “vrf Intranet”.

• VRF Extranet: VLAN100 và Giao diện Fa8 sẽ được đưa vào “vrf Extranet”.

Step 1 : Tạo phiên bản VRF Lite / Create the VRF Lite Instances

ip vrf Extranet
description Extranet
!
ip vrf Intranet
description Intranet
!

Step 2 : Cấu hình các VLAN và giao diện và đưa chúng vào các phiên bản VRF

vlan 10
name Intranet
!
vlan 100
name Extranet
!
interface GigabitEthernet0 <-- wan port facing the internet for Intranet traffic (cổng wan kết nối internet cho lưu lượng Intranet)
ip vrf forwarding Intranet < -- interface is attached to the Intranet VRF (giao diện được gắn vào Intranet VRF)
ip address 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan10 <-- SVI interface for Intranet traffic (giao diện SVI cho lưu lượng Intranet)
description Intranet <-- interface is attached to the Intranet VRF (giao diện được gắn vào Intranet VRF)
ip vrf forwarding Intranet
ip address 10.10.100.1 255.255.255.0
!
interface FastEthernet8 <-- wan port facing the internet for guest traffic (cổng wan kết nối internet cho lưu lượng truy cập của khách)
ip vrf forwarding Extranet <-- interface is attached to the Extranet VRF (giao diện được gắn vào Intranet VRF)

ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan100 <-- SVI interface for Extranet traffic (giao diện SVI cho lưu lượng Extranet)
description Extranet
ip vrf forwarding Extranet <-- interface is attached to the Extranet VRF (giao diện được gắn vào Extranet VRF)
ip address 100.100.100.1 255.255.255.0
!
interface FastEthernet0 <-- interface connect the WiFi Access Point for guests (giao diện này kết nối Điểm truy cập WiFi cho khách)
description AP
switchport access vlan 100
no ip address
!
interface FastEthernet1 <-- interface connect Intranet hosts (giao diện này kết nối các máy chủ Intranet)
description Intranet
switchport access vlan 10
no ip address
!

Step 3 : Thêm các tuyến đường mặc định ra Internet cho cả hai phiên bản VRF

ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254
ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.254

Step 4 : Xác minh

– showing the vrf configuration (hiển thị cấu hình vrf)

Cisco(TGM)#sh run vrf Intranet
Building configuration…

Current configuration : 324 bytes
ip vrf Intranet
description Intranet
!
!
interface GigabitEthernet0
ip vrf forwarding Intranet
ip address 10.10.10.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan10
description Intranet
ip vrf forwarding Intranet
ip address 10.10.100.1 255.255.255.0
!
ip route vrf Intranet 0.0.0.0 0.0.0.0 10.10.10.254
end

Cisco(TGM)#sh run vrf Extranet
Building configuration…

Current configuration : 326 bytes
ip vrf Extranet
description Extranet
!
!
interface FastEthernet8
ip vrf forwarding Extranet
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Vlan100
description Extranet
ip vrf forwarding Extranet
ip address 100.100.100.1 255.255.255.0
!
ip route vrf Extranet 0.0.0.0 0.0.0.0 192.168.1.254

– verify both routing tables (xác minh cả hai bảng định tuyến)

Cisco(TGM)#sh ip route vrf Intranet

Routing Table: Intranet

Gateway of last resort is 10.10.10.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 10.10.10.254
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.10.10.0/24 is directly connected, GigabitEthernet0
L 10.10.10.1/32 is directly connected, GigabitEthernet0

Cisco(TGM)#sh ip route vrf Extranet

Routing Table: Extranet

Gateway of last resort is 192.168.1.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.1.254
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, FastEthernet8
L 192.168.1.1/32 is directly connected, FastEthernet8

– verify ARP entries (xác minh các ngõ vào ARP)

Cisco(TGM)#sh ip arp vrf Intranet

Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.10.10.1 – fc99.4712.9ee3 ARPA GigabitEthernet0
Internet 10.10.100.1 – fc99.4712.9ecb ARPA Vlan10
Internet 10.10.100.10 5 cce1.7f79.48f2 ARPA Vlan10

Cisco(TGM)#sh ip arp vrf Extranet

Protocol Address Age (min) Hardware Addr Type Interface
Internet 100.100.100.1 – fc99.4712.9ecb ARPA Vlan100
Internet 100.100.100.100 5 001c.0fdc.de41 ARPA Vlan100
Internet 192.168.1.1 – fc99.4712.9ed3 ARPA FastEthernet8

Ghi chú :

• Như bạn có thể thấy, các bảng định tuyến được tách biệt hoàn toàn và lưu lượng truy cập sẽ được tách biệt hoàn toàn.

• Nếu bạn chạy lệnh “show ip route” mà không chỉ định tên VRF, nó sẽ hiển thị “Global Routing Table” của thiết bị (sẽ trống trong ví dụ của chúng ta ở trên).

• Khi bạn đưa ra lệnh ping, telnet hoặc các lệnh khác tạo cho chúng ta các bảng định tuyến, bạn phải luôn chỉ định tên phiên bản định tuyến VRF mà bạn muốn sử dụng:

Ví dụ: ping vrf Intranet 10.10.100.10

• Tính năng VRF Lite cũng được cung cấp bởi các nhà cung cấp khác. Ví dụ trong môi trường Juniper, nó được gọi là “routing instance”.

Firewall Cisco có hỗ trợ VRF ?

Tường lửa Cisco có hỗ trợ cấu hình VRF hay không. Câu trả lời là FW Cisco không hỗ trợ cấu hình vrf vì chỉ có một cá thể bảng định tuyến duy nhất trên Firewall.

Dưới đây là các tùy chọn mà bạn có để sử dụng thiết bị Firewall trong mạng VRF:

• Cấu hình các giao diện con VLAN trên Firewall và kết thúc từng mạng VRF trên mỗi giao diện con. Sau đó, bạn có thể áp dụng danh sách kiểm soát truy cập(ACL) và kiểm soát lưu lượng của giao tiếp giữa các vrf thông qua thiết bị Firewall.

• Sử dụng ngữ cảnh bảo mật: Điều này có nghĩa là cấu hình các ngữ cảnh bảo mật khác nhau (tường lửa ảo) trên cùng một thiết bị, do đó có các bảng định tuyến riêng biệt và kiểm soát chính sách riêng biệt cho từng ngữ cảnh. Điều này tương tự như việc có nhiều VRF trên cùng một thiết bị, tuy nhiên, nó không phải là chức năng VRF nguyên bản như chức năng bạn có trên Bộ định tuyến.

Chúc các bạn thành công!

Chi tiết xem tại: Tìm hiểu VRF (Virtual Routing Forwarding) - Hướng dẫn cấu hình Cisco VRF Lite Step by step

 

rất hay và hữu ích, thanks.