华为VRF技术基于三层交换机的应用实例

VRF全称是虚拟路由转发(Virtual Routing Forwarding) ,通过在路由器或交换机上创建多个虚拟的路由表和转发平面,将不同的用户、业务或部门的网络流量隔离开来。每个 VRF 实例都有自己独立的路由信息、接口集合和转发规则,就好像是一台独立的路由器一样。不同 VRF 之间的流量默认是相互隔离的,只有通过特定的配置才能实现有限的互通。

优点

  • 实现网络隔离:可以将不同用户、不同部门或不同业务的网络流量进行隔离,提高网络的安全性和可靠性,防止相互之间的干扰和非法访问。
  • 支持多租户网络:在运营商网络或企业园区网络中,方便为多个租户提供独立的网络服务,每个租户可以有自己的 IP 地址空间和路由策略,互不影响。
  • 灵活的路由策略:每个 VRF 可以根据自身的需求配置不同的路由协议、路由策略和访问控制列表(ACL),实现对流量的精细控制和管理。

应用场景

  • 多租户网络隔离‌:云服务商为不同租户提供独立网络空间,即使租户使用相同IP地址段也不会冲突。
  • 企业内网分段‌:隔离生产环境与测试环境,或不同部门的网络流量。‌
  • VPN实现 ‌:结合 MPLS 技术构建虚拟专用网络,通过标签交换优化跨VRF的流量转发。

本次模拟的应用场景为:企业内网隔离(生产和管理网络分离)。

实验拓扑:

核心交换机作为网关,创建VLAN 10 20 30 40,其中VLAN 10 20 属于production(生产部),VLAN 30 40属于management(管理部),现需实现:

①生产部内可以访问、管理部内可以访问

②生产部与管理部之间不可访问(隔离)

配置命令如下:

一、先配置接入层(配置VLAN、接口类型)

复制代码
sys
sys XIAN_ACCESS_SW_01
vlan 10
int g0/0/2
p l t
p t a v 10
port-group 1
group-member e0/0/1 e0/0/2
p l a
p d v 10

sys
sys XIAN_ACCESS_SW_02
vlan 20
int g0/0/2
p l t
p t a v 20
port-group 1
group-member e0/0/1 e0/0/2
p l a
p d v 20

sys
sys XIAN_ACCESS_SW_03
vlan 30
int g0/0/2
p l t
p t a v 30
port-group 1
group-member e0/0/1 e0/0/2
p l a
p d v 30

sys
sys XIAN_ACCESS_SW_04
vlan 40
int g0/0/2
p l t
p t a v 40
port-group 1
group-member e0/0/1 e0/0/2
p l a
p d v 40

二、配置汇聚层(配置VLAN、接口类型)

复制代码
sys 
sys XIAN_CONVERGENCE_SW_01
vlan batch 10 20
port-group 1
group-member g0/0/1 g0/0/2 g0/0/24
p l t
p t a v 10 20

sys 
sys XIAN_CONVERGENCE_SW_02
vlan batch 30 40
port-group 1
group-member g0/0/1 g0/0/2 g0/0/24
p l t
p t a v 30 40

三、配置核心交换机(配置VLAN、接口类型、VRF)

复制代码
sys
sys XIAN_CORE_SW_01
stp enable
stp mode mstp
dhcp enable
dhcp snooping enable
vlan batch 10 20 30 40 99
int g0/0/1
p l t
p t a v 10 20 
int g0/0/2
p l t
p t a v 30 40
q
int g0/0/24
p l a
p d v 99
为生产部门配置独立的VRF
ip vpn-instance production
ipv4-family
q
为管理部门配置独立的VRF
ip vpn-instance management
ipv4-family
q
创建VRF地址池
ip pool 10
vpn-instance production
network 192.168.10.0 mask 24
gateway 192.168.10.1
dns-list 218.30.19.50 61.134.1.5
ip pool 20
vpn-instance production
network 192.168.20.0 mask 24
gateway 192.168.20.1
dns-list 218.30.19.50 61.134.1.5
ip pool 30
vpn-instance management
network 192.168.30.0 mask 24
gateway 192.168.30.1
dns-list 218.30.19.50 61.134.1.5
ip pool 40
vpn-instance management
network 192.168.40.0 mask 24
gateway 192.168.40.1
dns-list 218.30.19.50 61.134.1.5

int vlanif 99
ip add 10.10.10.2 30

int vlanif 10
将VLAN接口绑定到VRF
ip binding vpn-instance production
ip address 192.168.10.1 255.255.255.0
dhcp select global
q
int vlanif 20
ip binding vpn-instance production
ip address 192.168.20.1 255.255.255.0
dhcp select global
q
int vlanif 30
ip binding vpn-instance management
ip address 192.168.30.1 255.255.255.0
dhcp select global
q
int vlanif 40
ip binding vpn-instance management
ip address 192.168.40.1 255.255.255.0
dhcp select global
q

验证:

打开PC的DHCP功能

①PC1 ping PC3 可通(生产部门内可访问)

②PC5 ping PC7 可通(管理部门内可访问)

③PC1 ping PC 不通 (生产部门与管理部门之间不可访问)

④PC1 ping PC7 不通(生产部门与管理部门之间不可访问)

⑤PC3 ping PC5 不通(生产部门与管理部门之间不可访问)

⑥PC3 ping PC7 不通(生产部门与管理部门之间不可访问)

相关推荐
独行soc2 小时前
2025年渗透测试面试题总结-97(题目+回答)
网络·安全·web安全·adb·面试·渗透测试·安全狮
Elastic 中国社区官方博客3 小时前
Elasticsearch MCP 服务器:与你的 Index 聊天
大数据·服务器·人工智能·elasticsearch·搜索引擎·ai·全文检索
cpsvps_net3 小时前
VPS服务器锁等待超时处理,如何有效解决数据库性能瓶颈
服务器·数据库·oracle
H3C-Navigator5 小时前
HRPC在Polaris存储系统中的应用
网络·人工智能·ai-native
无敌最俊朗@6 小时前
一条数据的 TCP 完整生命周期 (附报文详解)
网络
桃花猿7 小时前
网络IO基础知识
网络
王伯爵7 小时前
终端NCI
网络·5g
dog2507 小时前
TCP 的韧性:端网关系对传输协议的影响
网络·网络协议·tcp/ip
apple_ttt7 小时前
为 CPU 减负:数据中心网络卸载技术的演进
网络·dpdk·数据平面·数据中心网络·toe
TTGGGFF8 小时前
云端服务器使用指南:利用Python操作mysql数据库
服务器·数据库·python