Cada VRF tiene su control y data plane propios. Y como son tablas individuales, pueden tener el mismo direccionamiento.
Dentro de cada VRF podemos aplicar un tipo de enrutamiento, ya sea con rutas estáticas o protocolos de enrutamiento. Podemos crear políticas de enrutamiento solo para esa VRF.
Los usos típicos de esta tecnología son para accesos fuera de banda (OOB) para la gestión y en los ISP para separar tráfico de sus clientes, por ejemplo.
A nivel local, tenemos que darlas un nombre:
- ip vrf [nombre] -> para IPv4. Diferencia entre mayúsculas/minúsucuas
- vrf definition [nombre] -> para IPv4 e IPv6
Lo siguiente es especificar el "Route Distinguisher" (en detalle en MP-BGP):
- rd [AS:nn | IP-address:nn] -> n es cualquier número
Después hay que aplicar las VRF sobre una interface:
- ip vrf forwarding [nombre]
Recordad que al aplicarla en el interface, se eliminan las direcciones ip de la interface. Configurad primero la vrf y luego la dirección IP.
La mínima configuración al implementar VRF es lo que se llama VRF Lite, que básicamente nos permite usar VRF sin tener una MPLS para transportar. No se usan los RD. Pero claro, al no beneficiarse de las características de MPLS, todos los equipos en tránsito deberán tener todas las rutas de todas las VRF. En MPLS, solo los PE tienen todoas las rutas de todos las VRF.
Los comandos para verificar son muy parecidos:
show ip route vrf nombre
ping vrf nombre
traceroute vrf nombre
Un ejemplo de VRF LITE
Configuraciones
R1
ip vrf ADSL
!
ip vrf FO
!
interface Ethernet0/0
ip vrf forwarding FO
ip address 93.93.93.2 255.255.255.252
!
interface Ethernet0/1
ip vrf forwarding ADSL
ip address 166.166.166.2 255.255.255.252
!
interface Ethernet0/3
no ip address
!
interface Ethernet0/3.99
encapsulation dot1Q 99
ip vrf forwarding ADSL
ip address 192.168.0.254 255.255.255.0
!
interface Ethernet0/3.192
encapsulation dot1Q 192
ip vrf forwarding FO
ip address 192.168.0.254 255.255.255.0
!
ip route vrf ADSL 0.0.0.0 0.0.0.0 93.93.93.2
ip route vrf FO 0.0.0.0 0.0.0.0 10.0.0.2
!
Bueno, pues esta configuración hace que el PC del cliente estén otra red diferente a la corporativa. En esta simple configuración el resultado es prácticamente igual que con VLAN. La diferencia está en que no comparten tabla de rutas, cada VRF tiene la suya y, por lo tanto, si no hacemos que se enruten, que en este caso no queremos, el PC cliente no será capaz de llegar a PC1/2, solo tiene salida a Internet.
Como es una configuración muy simple, vemos que la tabla de rutas global no tiene nada. Sin embargo, en la tabla de rutas de cada VRF vemos las entradas.
Con ARP nos sucede lo mismo |
No hay comentarios:
Publicar un comentario