VRF Lite

Posted by – September 10, 2013

Il existe plusieurs manière de faire des VRFs, la plus complexe étant celle qu’on couple au MPLS, très utilisée par les opérateurs.

Ici on va simplement parler des VRF Lite, super simples à mettre en place. D’abord sur une topologie simple de 2 routeurs connectés via une interface. Puis j’ajouterai un 3 ème routeur pour permettre la communication inter VRF via un routage OSPF.

J’utilise GNS3 pour toutes mes topologies.

On va créer 3 liaisons, via des sous interfaces

1 dans le vlan natif 1

1 dans un vlan 10

1 dans un vlan 20

 

On affectera ensuite au vlan 10 et 20 une VRF.

vrf-lite

 

1. Configuration des interfaces.

On vérifie la connectivité de base:

 

2. Création des VRFs

On commence par créer la VRF

Route Distinguisher:

Le rd est une valeur unique au sein d’une VRF qui va permettre au routeur d’identifier cette même VRF.
Les rd des VRFs Lite sont donc locales au routeur (pas la peine d’avoir la même valeur sur le routeur en face).
2 formats sont possibles:
ASN:nn ou IP-address:nn. Dans cette topologie pas de BGP (j’aime bien utiliser l’ASN pour déterminer cette valeur) je choisis donc une adresse IP arbitraire suivi du numéro du VLAN.

 

3. Application des VRFs aux interfaces

 

Un message d’alerte apparait, en activant VRF sur la sous interface, l’adresse IP a été supprimée, de la configuration, il faut donc l’appliquer à nouveau

Tout simplement parce que comme je l’ai expliqué plus haut, chaque VRF possède sa propre table de routage, en supprimant l’adresse IP comme ici, on supprime cette entrée dans la table de routage globale, c’est aussi simple que ca.

On peut maintenant a nouveau afficher la table de routage de R1

Les réseaux correspondants aux VRFs ROUGE et BLEUE ont disparu de la table.
Ils sont en fait chacun dans une table de routage “hermétique” aux autres interfaces.
Pour l’afficher on va ajouter le mot clé “vrf” suivi du nom:

 

 

On fait de meme sur R2

 

On peut maintenant a nouveau tenter un ping:

Le premier ping (commande usuelle) fonctionne, la destination fait partie de la table de routage globale, on n’a donc aucun problème pour le joindre.

Par contre du fait que via un show ip route on s’aperçoit que le routeur ne connait plus (dans la table de routage globale) la destination 10.0.10.0 /30 ou 10.0.20.0 /30 on ne peut plus le joindre.

Il faut donc faire un ping a l’intérieur de l’une ou l’autre des VRFs

Encore une fois la VRF BLEUE ne voit QUE ce qui appartient a la VRF BLEUE.

Un point intéressant est que les VRFs sont locales aux routeurs, ce qui signifie qu’il serait tout a fait possible d’avoir dans nos 3 VRFs les memes plan IP (par exemple pour la mise en place de PODs pour des formations).
Ce qui veut dire que si je connecte mes 2 routeurs à un 3 eme routeur via des interfaces que je placerai toutes dans une autre VRF (ou dans aucune VRF), je pourrai éventuellement effectuer du routage.

Il existe d’autres moyens via des imports/exports de faire communiquer des VRFs, mais je n’en parlerai pas ici aujourd’hui !

 

4. Ajout d’un 3eme routeur

Voila donc le nouveau schéma réseau apres l’ajout d’un 3eme routeur

vrf-lite-verte

 

On crée donc 1 seule VRF sur R3, et toutes les sous interfaces appartiendront a cette VRF

On voit bien qu’il n’y a rien dans la table de routage globale, regardont pour la table de la VRF VERTE

Il nous reste a terminer la configuration des interfaces de R1 et R2 puis nous passeront au protocole de routage.

C’est possible car les VRFs sont locales, donc peu importe le nom de la VRF en face (il pourrait meme ne pas y avoir de VRF d’ailleurs.).
Si on regarde la table de routage de la VRF VERTE sur R3:

 5. Configuration d’OSPF

On va maintenant configurer ospf sur tous nos routeurs, avec pour les routeurs 1 et 2 1 instance par VRF

A noter qu’encore une fois il s’agit simplement d’ajouter vrf ROUGE|BLEUE derrière chaque commande.

Et enfin R3

 

Si on regarde la table de routage de la VRF VERTE de R3

 

 

On peut donc maintenant depuis R1 avec comme adresse ip source 10.0.10.1 (VRF BLEUE), pinguer l’adresse 10.0.20.2 (VRF ROUGE) qui appartient a R2, mais on passera par R3

On voit bien que pour joindre une interface de R2, R1 est obligé de passer par un équipement de routage, ici R3.

7 Comments on VRF Lite

  1. Phil says:

    Hi,

    I will try this out with GNS3.. I hope I make it work.. I am studying MPLS L3 VPN, thank you for this tutorial!

  2. Florent says:

    Let me know if you struggle with it.

  3. Roni says:

    Hi Florent,

    Well done.

    Since you have explained VRF lite routing in that detail, why don’t you include Virtual Network Trunking (VNet Trunk) in this lab ? I am looking forward to see it here.

    Best regards,
    Ronie

  4. Florent says:

    Hi,

    I honestly don’t know what you are talking about.
    Do you have an example? maybe i know it with a different name.

  5. naj says:

    good good and thank you for top!!!

  6. najib el abed says:

    merci beaucoup pour cet explication!!!
    topologie faite et test de fonctionnement OK

    big thank you !!

  7. Florent says:

    Mais de rien 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *