H3C防火墙基于VRF和路由复制实现AWS DX多租户隔离配置手册

一、背景说明

在当前数据中心网络架构中:

机房内部所有 node 节点位于统一的内部网络,通过默认 VRF 访问公网。而由于 AWS 上存在多个租户,租户之间的地址可能重叠,因此防火墙使用了 VRF 隔离 BGP 连接。为了简化 node 节点的配置,并避免将它们划入多个 VRF,防火墙通过 route-replicate 功能将全局路由表中的静态路由导入到指定租户的 VRF 中,实现租户对机房 node 节点的访问,而无需更改 node 本身的网关配置。


二、网络拓扑图

HCL模拟器图示:


三、配置目标

  • 为每个 AWS 租户配置一个独立 VRF,通过 BGP 与 AWS 建立邻居关系。

  • 启用 route-replicate,将全局路由表中需要分配给各租户的node节点路由复制到各个VRF中。

  • 内网节点统一默认网关,无需复杂配置即可让 AWS 多租户和内网节点互访。


四、配置步骤

步骤1:创建 VRF 实例
复制代码
#
ip vpn-instance vlan103
 route-distinguisher 103:103
 vpn-target 103:103 import-extcommunity
 vpn-target 103:103 export-extcommunity
  #
 address-family ipv4
  route-replicate from public protocol static route-policy Replicate_10.10.100.2

可根据实际添加多个租户 VRF 实例。


步骤2:配置对外接口绑定 VRF
复制代码
#
interface Vlan-interface103
 ip binding vpn-instance vlan103
 ip address 100.1.103.2 255.255.255.252

步骤3:配置 BGP 多实例及策略
复制代码
#
bgp 65000
 #
 ip vpn-instance vlan103
  peer 100.1.103.1 as-number 65103
  peer 100.1.103.1 password cipher $c$3$gyWCVMorqYfc7rv27atfXdPJ+olP4APTKu9HQokmxQ==
  #
  address-family ipv4 unicast
   network 10.10.100.2 255.255.255.255
   peer 100.1.103.1 enable
#              
route-policy Replicate_10.10.100.2 permit node 10
 if-match ip address prefix-list IP_10.10.100.2
#
 ip prefix-list IP_10.10.100.2 index 10 permit 10.10.100.2 32
#

步骤4:配置路由复制

将租户 VRF 中的路由复制到全局路由表

复制代码
route-replicate from public protocol static route-policy Replicate_10.10.100.2

public 表示复制到默认的全局路由表。


步骤5:验证路由复制效果
复制代码
<FW>display ip routing-table 

Destinations : 22       Routes : 22

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/0          Static  60  0           100.1.101.1     Vlan101
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
10.10.100.0/24     Static  60  0           10.10.255.2     GE1/0/2
10.10.100.2/32     Static  60  0           10.10.255.2     GE1/0/2
10.10.255.0/30     Direct  0   0           10.10.255.1     GE1/0/2
10.10.255.1/32     Direct  0   0           127.0.0.1       InLoop0
10.10.255.3/32     Direct  0   0           10.10.255.1     GE1/0/2
100.1.101.0/30     Direct  0   0           100.1.101.2     Vlan101
100.1.101.2/32     Direct  0   0           127.0.0.1       InLoop0
100.1.101.3/32     Direct  0   0           100.1.101.2     Vlan101
100.1.102.0/30     Direct  0   0           100.1.102.2     Vlan102
100.1.102.2/32     Direct  0   0           127.0.0.1       InLoop0
100.1.102.3/32     Direct  0   0           100.1.102.2     Vlan102
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
192.168.56.0/24    Direct  0   0           192.168.56.101  GE1/0/1
192.168.56.101/32  Direct  0   0           127.0.0.1       InLoop0
192.168.56.255/32  Direct  0   0           192.168.56.101  GE1/0/1
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
<FW>dis
<FW>display vp
<FW>display ip routing-table vp
<FW>display ip routing-table vpn-instance v
<FW>display ip routing-table vpn-instance vlan103 

Destinations : 12       Routes : 12

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
10.10.100.2/32     Static  60  0           10.10.255.2     GE1/0/2
100.1.103.0/30     Direct  0   0           100.1.103.2     Vlan103
100.1.103.2/32     Direct  0   0           127.0.0.1       InLoop0
100.1.103.3/32     Direct  0   0           100.1.103.2     Vlan103
127.0.0.0/8        Direct  0   0           127.0.0.1       InLoop0
127.0.0.1/32       Direct  0   0           127.0.0.1       InLoop0
127.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
172.29.2.0/24      BGP     255 0           100.1.103.1     Vlan103
224.0.0.0/4        Direct  0   0           0.0.0.0         NULL0
224.0.0.0/24       Direct  0   0           0.0.0.0         NULL0
255.255.255.255/32 Direct  0   0           127.0.0.1       InLoop0
<FW>dis
<FW>display bgp
<FW>display bgp rou
<FW>display bgp routing-table vp
<FW>display bgp routing-table iv
<FW>display bgp routing-table ip
<FW>display bgp routing-table ipv4 vp
<FW>display bgp routing-table ipv4 vpn-instance v
<FW>display bgp routing-table ipv4 vpn-instance vlan103 

 Total number of routes: 2

 BGP local router ID is 192.168.56.101 
 Status codes: * - valid, > - best, d - dampened, h - history,
               s - suppressed, S - stale, i - internal, e - external
               Origin: i - IGP, e - EGP, ? - incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >  10.10.100.2/32     10.10.255.2     0                     32768   i
* >e 172.29.2.0/24      100.1.103.1     0                     0       65103i

确认路由从全局已复制到 VRF 中。


五、 配置完成后的效果

|----------------------|------|-----------------|
| 功能 | 是否达成 | 说明 |
| 默认 VRF 公网出口不变 | ✅ | 无需绑定 VRF 到公网接口 |
| 租户 VRF vlan103 可访问公网 | ✅ | 通过路由复制学习公网静态路由 |
| 多租户隔离保持 | ✅ | 各 VRF 独立路由表 |
| BGP 可继续分发路由 | ✅ | 可用于 VPN 对接、ECMP |


六、总结

该方案通过 H3C 防火墙的 VRF + BGP + route-replicate 机制,实现:

  • 多租户 AWS 网络互联;

  • VRF 隔离避免租户 IP 冲突;

  • 内网节点统一配置,简化大规模部署和运维。

相关推荐
Johnstons10 分钟前
游戏网络测试怎么做?从延迟到丢包,一套完整的游戏弱网测试方案
网络·游戏·php
Rocket-Luo32 分钟前
谈谈企业中的网络安全
网络·安全·web安全
byte_conn32 分钟前
船舶机舱监控频频瘫痪?CAN转光纤与中继器重塑海事通信底座
网络
威联通网络存储1 小时前
基于TS-h3087XU-RP的大型成套空分设备DCS历史趋势数据治理
aws
技术不好的崎鸣同学1 小时前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
normanhere2 小时前
浪潮云国产化超融合规划和部署案例
服务器·网络
AFinalStone4 小时前
Android 7系统网络(一)全景图与调用链路概览
android·网络·frameworks
yxl874646464 小时前
PCTG-1015型Profinet转Ethernet/IP协议转换器
服务器·网络·物联网·网络协议·自动化·信息与通信
你觉得脆皮鸡好吃吗4 小时前
【THM】JWT Security & Protocols and Servers(AI)
运维·服务器·网络
rcms152702692185 小时前
YASKAWA SGD7S-180AA0A伺服驱动器
网络