Skip to content

Настройка VRF и VRF-Lite

В данной статье рассматривается настройка VRF (Virtual Routing and Forwarding), реализованная на коммутаторах CIT L3200 с использованием механизма ip vpn-instance.

Необходимые условия и предварительные требования

  • Коммутатор CIT L3200 с поддержкой VRF (ip vpn-instance)
  • Наличие VLAN и интерфейсов, которые будут привязаны к VRF
  • Понимание различий между Public VRF и пользовательскими VRF

Общая информация о VRF

На коммутаторах CIT L3200 ip vpn-instance позволяет создавать изолированные таблицы маршрутизации (VRF) внутри одного устройства.

Каждый VPN-Instance:

  • имеет собственную независимую таблицу маршрутизации;
  • содержит собственные L3-интерфейсы;
  • поддерживает статическую и динамическую маршрутизацию (OSPF и др.);
  • изолирован от Public VRF.
  • поддерживает протоколы ipv4 и ipv6
  • использовать одинаковые IP-адреса в разных VRF;
  • запускать отдельные процессы динамической маршрутизации (OSPF) внутри VRF.

Основная информация о применяемых технологиях

Описание функциональности VRF и VRF-Lite

Сравнение VRF и VRF Lite

VRF-Lite чаще используется для обособления маршрутной информации в выделенной области памяти. Полнофункциональный VRF предполагается использовать для обмена маршгрутной информации (route leaking) между VRF, а также публичным (Public) VRF. В большинстве случаев предназначен для работы в L3VPM MPLS сетях.

Критерий VRF VRF Lite
Основное назначение MPLS L3VPN, операторские сети Изоляция маршрутизации без MPLS
Использование RD / RT Обязательно (RD, RT) Не используется
MPLS / MP-BGP Требуются Не требуются
Обмен маршрутами Через MP-BGP с RT Статический / IGP в каждом VRF
Масштабируемость Высокая Ограниченная
Типовые сценарии Провайдер, мультиарендность Enterprise, campus / DC
Изоляция трафика Полная для топологии Локальная: на устройстве

Итог: VRF — операторское решение с MPLS и BGP, VRF Lite — упрощённая изоляция маршрутизации без MPLS.

Созданеи VRF-lite, управление интерфейсами и маршрутной информацией

Информация в данной статье

В статье отражены следующие этапы:

  • создание VRF (vpn-instance) c минимальными настройками
  • настройка парамтеров VRF
  • просмотр состояния VRF
  • удаление VRF

Цель выполнения конфигурации.

Создание выделенной таблицы маршрутизации для одельного VRF.

Настройка VRF-Lite

Создание VRF (vpn-instance)

SW1# configure
SW1(config)# ip vpn-instance A
SW1(config-vpn-instance-A)# description VRF_A

Выбор адресного семейства для VRF/VRF-Lite

SW1(config-vpn-instance-A)# ip?
  ipv4-family   Configure ipv4 family
  ipv6-family   Configure ipv6 family

SW1(config-vpn-instance-A)# ipv4-family 
SW1(config-vpn-instance-af-ipv4)#

  • VRF может содержать:

  • ipv4-family — маршрутизация IPv4

  • ipv6-family — маршрутизация IPv6
  • Настройка семейств выполняется независимо.

Настройка параметнов VRF в режиме IPv4 Family

Ниже приведены основные параметры настройки адресного пространства IPv4; приведены все параметры настройки, включая VRF/VRF-Lite. Выполнение дальнейшей настройки для создания VRF-Lite не является обязательным.

SW1(config-vpn-instance-af-ipv4)# ?

  apply-label           Управление метками MPLS
  import-rib            Импортирование таблицы маршрутизации 
  multicast             Разрешить движение Multicast трафика в VRF
  route-distinguisher   Настройка Route distinguisher для VPN instance
  routing-table         Ограничение размера таблицы маршрутизации для МКА 
  shared-group          Настройка Shared group для Multicast трафика
  vpn-target            Настройка аттбибутов обмена маршрутной информации между VRF

Основные параметры настройки VRF

Основные (обязательные) параметры настройки VRF: - route-distinguisher (RD). - vpn-target

Данные параметры не являются обязательными для VRF-Lite

Форматы и назначение RD

Route-distinguisher предназначен для создания уникальных маршрутов при использовании одних и тех же префиксов в разных VRF

  • уникализация маршрутов VPN;
  • обязательный параметр для MPLS VPN.

При использовании RD общий вид передаваемого маршрута для VPN-Instance принимает вид

<rd>:<prefix>/<mask> 
65001:100:192.168.100.0/24

Формат настройки RD используется в зависимости от технических требований.

Для VRF-Lite может принимать любой вид (например 1:1). Каждый VPN-Instance (VRF/VRFf-Lite) должен иметь уникальный RD.

  • IP:NN<0-65535>
  • AS<0-65535>:NN<0-4294967295>
  • AS<0-65535>.<0-65535>:NN<0-65535>

Настройка RD в данном примере

SW1(config-vpn-instance-af-ipv4)# route-distinguisher 65001:100
SW1(config-vpn-instance-af-ipv4)#

Другие примеры:

  • 1:1 — наиболее распространённый вариант для VRF-Lite
  • 192.0.2.1:10 — привязка к IP-адресу PE-устройства

Формат и назначение VPN-Target (Import / Export)

VPN-Target (также называемый Route Target, RT) используется для построения топологий выделенных L3VPN сетей, например full-mesh или hub-and-spoke и др. VPN-Target — это расширенный BGP-атрибут (Extended Community), который определяет

  • какие маршруты экспортируются из VRF
  • какие маршруты импортируются в VRF

В отличие от RD, RT управляет политикой обмена маршрутами между VRF.

Формат настройки VPN-Target используется в зависимости от технических требований.

В конфигурации VRF-Lite настрока VPN-Target не является обязательной. Каждый VPN-Instance (VRF) может иметь уникальные или одинаковые VPN-Target.

  • IP:NN<0-65535>
  • AS<0-65535>:NN<0-4294967295>
  • AS<0-65535>.<0-65535>:NN<0-65535>

Настройка VPN-Target в данном примере

SW1(config-vpn-instance-af-ipv4)#vpn-target 1:1 ?

  both                  Set Export VT and Import VT
  export-extcommunity   Set Export VT
  import-extcommunity   Set Import VT

SW1(config-vpn-instance-af-ipv4)#vpn-target 1:1 both
SW1(config-vpn-instance-af-ipv4)# exit
SW1(config-vpn-instance-A)#exit

RT добавляется к исходящим маршрутам (export-extcommunity) Маршруты с указанным RT принимаются и устанавливаются в таблицу VRF (import-extcommunity)

Парметр VPN-target может быть одинаковым для экспорта/импорта. VRF может содержать несколько параметров RT.

Дополнительные параметры настройки VRF

Передача Multicast трафика в VRF

Для разрешения передачи многоадресной рассылки внутри VPN-Instance выполните следующие настройки

SW1(config-vpn-instance-af-ipv4)#multicast enable 
SW1(config-vpn-instance-af-ipv4)#end

Ограничение таблиц маршрутизации VRF для VPN-Instance

Для ограничения таблиц маршрутизации отдельного VRF настройте максимальное количесто маршрутов (по умолчанию 12288 - максимальное для VRF)

SW1(config-vpn-instance-af-ipv4)# routing-table limit <1-12288> Limit number default Default value is 12288 SW1(config-vpn-instance-af-ipv4)# routing-table limit 400
SW1(config-vpn-instance-af-ipv4)#end

Просмотр конфигурации и состояния VRF

Просмотр конфигурации

SW1# show ip vpn-instance config 
!
ip vpn-instance A
 description VRF_A
 ipv4-family
  route-distinguisher 65001:100
  vpn-target 1:1 import-extcommunity
  vpn-target 1:1 export-extcommunity

Просмотр состояния VRF

Команда просмотра состояния может выполнена для отдельного VPN-Instance или для всех VRF, включая VRF по-умолчанию (Public).

SW1# show ip vpn-instance verbose

VPN-Instance Name and ID: A, 1         <--- указан индекс VRF
  Creation Time: 2026-01-15 17:19:16
  Description: VRF_A
  IPv4 Family:
    Route Distinguisher: 65001:100
    Apply Label Per Instance: Disable
    Vpn Target : 1:1 import-extcommunity
                 1:1 export-extcommunity
    Multicast: Enable
  IPv6 Family:
    Route Distinguisher: 
    Apply Label Per Instance: Disable

VPN-Instance Name and ID: public, 0
  Creation Time: 2025-09-15 11:10:29
  Description: --
  IPv4 Family:
    Route Distinguisher: 
    Apply Label Per Instance: Disable
    Multicast: Disable
  IPv6 Family:
    Route Distinguisher: 
    Apply Label Per Instance: Disable
SW1#

Удаление VRF

При удалении VRF удаляются следующие параметры:

  • все настройки VPN-Instance на интерфейсах, принадлежащих данному VRF
  • IP адресацция на данных интерфейсах (интерфейсы баз IP адресов переходят в VRF Public)
  • все таблицы маршрутизации удаляемого VPN-Instance
  • настройки всех протоколов динамической маршрутизации для удаляемых VRF

Для удаления VRF выполните следующую команду в режиме глобальной конфигурации

SW1(config)# no ip vpn-instance <VRF_name>

Проверка состояния VRF

SW1#show ip vpn-instance 
 Total VPN-Instances configured : 0
SW1#

Полный вывод выполненных конфигураций

Вывод представлен в виде команды show running-config для каждого настраиваемого устройства, в формате для удобного последующего copy-paste.

configure
!
ip vpn-instance A
 ipv4-family
  route-distinguisher 65001:100
  vpn-target 1:1 import-extcommunity
  vpn-target 1:1 export-extcommunity
  routing-table limit 400
!
end

Рекомендации выполнения команд/настроек

  • Для целей обособления трафика без передачи маршрутов между VPN-Instance (включая Public VRF)
  • Контролируйте количество передаваемой маршрутной информации и объем таблиц в VPN-Instance
  • При создании нескольких VRF (в том числе VRF-Lite) настройте параметр RD.
  • После создания VPN-Instance настройте интерфейсы и маршрутизацию для данного VRF.

История возникновения команды

Команды в данной главе применимы для

  • аппаратных плаформ CIT серии L3200, с уставленной версией ПО v1.0.2.
  • являются актуальными с версии ПО v.1.0.2

Ссылка на внешнюю документацию

Информацию о примерении и функциональности VRF-Lte можно найти в RFC 8151 Описание функциональности VRF можно найти в различных RFC посвязенных сетям MPLS