VRF虚拟路由和转发

要创建一个VRF，将其配置在/ IP路由VRF。现在，您可以添加路由，VRF -只需指定路由标记属性。连路由属于一个VRF的接口将自动安装在正确的路由表。

从技术上讲，是基于策略路由的VRF。恰好有一个策略的每个活动VRF路由表。MT RouterOS软路由的路由支持现有的政策没有改变，但在另一方面，它是不可能有一个VRF 内的策略路由。VRF表和简单的策略路由之间的主要区别是：

VRF表中的路由解决默认情况下，在自己的路由表中的下一跳，而策略路由总是使用主路由表。只读路由属性网关表显示信息的表是用于一个特定的路线（默认为主体）。

路由查找是不同的。对于策略路由政策路由表中路由查找完成后，并没有找到路由，路由查找进入到主路由表。VRF中进行查找，并没有发现路由在VRF路由表，查找“网络不可达”的错误而失败。（您仍可以自定义路由查找规则重写此行为，因为他们有优先级）。

您可以使用多协议BGP VPNv4地址族从VRF路由表中的路由分配-不仅向其他路由器，也不同的路由表在路由器本身。首先配置一个VRF路由标识。这是可以做到在/ IP路由VRF。通常会有一到路由识别和VRF之间的对应关系，但是这并不是一项强制性的规定。VRF表中的路由安装在控制BGP扩展团体属性。配置/ IP路由下VRF的导入和导出列表中，import-route命令目标和出口路由的目标。出口路由目标列表应包含至少一个VRF，VRF路由标识。然后配置的VRF为每个BGP实例将参与VRF路由的列表。

已配置的VRF的BGP实例，路由标识及出口路由目标列表后，一些积极的VPNv4地址族路由可能被创建，取决于BGP重新分配设置。它们安装在一个单独的路由表，如果存在的话，下可见/路由BGP的VPNv4路由。这些所谓的VPNv4路由由路由标识和IPv4网络前缀的前缀。这样你就可以有重叠分布在BGP的IPv4前缀。

请注意，如果它有一个有效的MPLS标签，将被分配一个VPNv4路由。您需要安装MPLS测试包和配置有效的标签范围内，这个工作。（默认配置有效的标签范围）。

最简单的MPLS VPN设置

在这个例子中，最基本的MPLS骨干网（包括两个提供商边缘（PE）路由器PE1和PE2）创建并配置为转发客户边缘（CE）路由器CE1和CE2属于卡斯特 VPN 路由器之间的流量。

/ IP地址10.1.1.1/24接口地址= = ether1的

＃使用静态路由

/ IP ROUTE ADD DST = 10.3.3.0/24网关地址10.1.1.2

/ IP地址10.3.3.4/24接口地址= = ether1的

/ IP ROUTE ADD DST = 10.1.1.0/24网关地址10.3.3.3

/接口桥接添加名称= lobridge

/ IP地址10.1.1.2/24接口地址= = ether1的

/ IP地址10.2.2.2/24地址=接口ether2

/ IP地址10.5.5.2/32接口地址= = lobridge

/添加禁用IP路由VRF =没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \

    出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111接口= ether1的

/ MPLS LDP设置启用=是传输地址= 10.5.5.2

/ MPLS LDP接口外接接口= ether2

= 65000 /设置默认路由BGP实例

/ BGP路由实例添加实例VRF =默认路由标记=卡斯特一个再分配连接= YES

/路由BGP对等体增加远程地址= 10.5.5.3远程为= 65000地址家庭的VPNv4 \

    更新源= lobridge

 ＃添加路由到远程BGP对等体的环回地址

/ IP ROUTE ADD DST = 10.5.5.3/32网关地址10.2.2.3

IP VRF卡斯特一

 RD 1.1.1.1:111

 路由目标出口1.1.1.1:111

 路由目标导入1.1.1.1:111

 出口

接口Loopback0的

 IP地址为10.5.5.3 255.255.255.255

MPLS LDP路由器ID Loopback0的力量

MPLS标签协议LDP

接口FastEthernet0 / 0

 IP地址为10.2.2.3 255.255.255.0

 MPLS IP

接口FastEthernet1 / 0

 IP VRF转发卡斯特的一

 ip地址10.3.3.3 255.255.255.0

BGP路由器65000

 邻居10.5.5.2远程65000

 邻居10.5.5.2更新源Loopback0接口

 地址family vpnv4，进入

  邻居10.5.5.2激活

  邻居10.5.5.2发送社区都

  退出地址族

 IPV4 VRF地址族卡斯特一

  重新分配连接

  退出地址族

IP路由10.5.5.2 255.255.255.255 10.2.2.2

VPNv4路由再分配工作：

[管理员@ PE1]> /路由BGP的VPNv4路由打印详细

标志：L  - 标签礼物

 0 L = 1.1.1.1:111 DST地址路由区分符= 10.3.3.0/24网关= 10.5.5.3

     接口= ether2标签= 17个标签= 17 BGP本地県= 100 BGP-MED = 0

     BGP-产地=不完整的BGP-EXT社区=“RT：1.1.1.1:111”

 1升路由区分符= 1.1.1.1:111 DST地址10.1.1.0/24接口= ether1的

     标签= 16 BGP-EXT社区=“RT：1.1.1.1:111”

检查10.3.3.0安装IP路由，卡斯特一个路由表：

[管理员@ PE1]> / IP路由打印

标志：X  - 禁用，A  - 活跃，D  - 动态，

C  -  S  - 连接，静态的，R  -  RIP，B  - 邻 -  BGP，OSPF，M  -  MME，

B  - 黑洞，可达，U  -  P  - 禁止

 ＃DST-ADDRESS PREF-SRC网关距离

 0 ADC 10.1.1.0/24 10.1.1.2 ether1的0

 1 ADB 10.3.3.0/24 10.5.5.3 recursi ... 20

 2 ADC 10.2.2.0/24 10.2.2.2 ether2 0

 3 ADC 10.5.5.2/32 10.5.5.2 lobridge 0

 4 10.5.5.3/32 10.2.2.3 reachab ... 1

让我们来仔细看看卡斯特一个VRF的IP路由。10.1.1.0/24的IP前缀是属于一个接口，配置属于卡斯特一个VRF连接的路由。10.3.3.0/24的IP前缀从PE2的VPNv4路由通过BGP广告被导入此VRF路由表，因为我们的import-route命令配置的目标相匹配BGP的扩展团体属性是广告。

[管理员@ PE1] / IP路由>打印详细的路由标记=卡斯特一

标志：X  - 禁用，A  - 活跃，D  - 动态，

C  -  S  - 连接，静态的，R  -  RIP，B  - 邻 -  BGP，OSPF，M  -  MME，

B  - 黑洞，可达，U  -  P  - 禁止

 0 ADC DST地址10.1.1.0/24的偏好src = 10.1.1.2网关= ether1的距离= 0的范围= 10

        路由标记=卡斯特一

 亚行DST = 10.3.3.0/24网关地址为10.5.5.3递归通过10.2.2.3 ether2

        距离= 20范围= 40目标范围= 30路由标记=卡斯特一

        BGP本地県BGP-产地= 100 =不完整

        BGP-分机社区=“RT：1.1.1.1:111”

同为思科：

PE2＃显示IP BGP的VPNv4

BGP表的版本是5，本地路由器ID为10.5.5.3

状态代码：S抑制衰减，D，H的历史，有效的，最好的，我 - 内部，

              ?RIB故障，陈旧

产地代码：I  -  IGP，电子 -  EGP，？ - 不完整

   网络下一跳的公制LocPrf重量路径

路由标识：1.1.1.1:111（VRF卡斯特默认为一）

*> i10.1.1.0/24 10.5.5.2 100 0？

*> 10.3.3.0/24 0.0.0.0 0 32768？

PE2＃显示IP路由VRF，卡斯特一

路由表：卡斯特一

标志：C  - ， - ，R  -  RIP，静态M  - 移动，B  -  BGP

       D  -  EIGRP，EX  -  EIGRP外部，O  -  OSPF，IA  -  OSPF区域间的

       N1  -  OSPF NSSA外部类型1，N2  -  OSPF NSSA外部类型2

       E1  -  OSPF外部类型1，E2  -  OSPF外部类型2

       -  IS-IS，SU  -  IS-IS的摘要，L1  -  IS-IS的Level-1，L2  -  IS-IS的Level-2

       IA  -  IS-IS区域间，*  - 候选默认情况下，U  - 每个用户的静态路由

       邻 -  ODR，P  - 定期下载静态路由

不得已网关没有设置

     10.0.0.0/24子网，子网

乙10.1.1.0 [200/0]通过10.5.5.2，00:05:33

     10.0.0.0/24子网，子网

?10.3.3.0直接相连，FastEthernet1 / 0

你应该能ping从CE1，CE2和反之亦然。

[管理员@ CE1]> /坪10.3.3.4

10.3.3.4 64字节的ping：TTL = 62时间= 18毫秒

10.3.3.4 64字节的ping：TTL = 62时间= 13毫秒

10.3.3.4 64字节的ping：TTL = 62时间= 13毫秒

10.3.3.4 64字节的ping：TTL = 62时间= 14毫秒

4传输的数据包，4包，0％丢包

往返最小/平均/最大= 13??/14.5/18毫秒

而不是最简单的设置，在这个例子中，我们有两个客户：卡斯特 - 酮和cust个。

我们两个VPN配置那么，卡斯特和卡斯特两个分别，并在它们之间交换的所有路由。（这也被称为“路由泄漏”）。

请注意，这可能是最典型的设置，因为路由通常没有不同客户之间交换。相比之下，默认情况下，它不应该有可能获得进入一个VRF网站从不同的VRF网站在另一个VPN。（这是“私人”的VPN方面。）独立路由是一种隐私的方式来提供，它也需要解决的问题重叠的IP网络前缀。路由交换这两个要求直接冲突，但有时可能需要（如温度，当两个客户迁移到单一的网络基础设施解决方案）。

/ IP ROUTE ADD DST = 10.4.4.0/24网关地址10.1.1.2

/ IP ROUTE ADD DST = 10.4.4.0/24网关地址10.3.3.3

/ IP地址添加地址= 10.4.4.5接口= ether1的

/ IP ROUTE ADD DST = 10.1.1.0/24网关地址10.3.3.3

/ IP ROUTE ADD DST = 10.3.3.0/24网关地址10.3.3.3

＃替换旧的VRF：

/添加禁用IP路由VRF =没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \

    出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111,2.2.2.2:222接口= ether1的

IP VRF卡斯特一

 RD 1.1.1.1:111

 路由目标出口1.1.1.1:111

 路由目标导入1.1.1.1:111

 路由目标导入2.2.2.2:222

 出口

IP VRF卡斯特两

 RD 2.2.2.2:222

 路由目标出口2.2.2.2:222

 路由目标导入1.1.1.1:111

 路由目标导入2.2.2.2:222

 出口

接口FastEthernet2 / 0

 IP VRF转发卡斯特的两

 ip地址10.4.4.3 255.255.255.0

BGP路由器65000

 IPV4 VRF地址族卡斯特两

  重新分配连接

  退出地址族

PE2 MikroTik的配置

/接口桥接添加名称= lobridge

/ IP地址

 新增地址= 10.2.2.3/24接口= ether1的

 新增地址= 10.3.3.3/24接口= ether2

 新增地址= 10.4.4.3/24接口= ether3

 新增地址= 10.5.5.3/32接口= lobridge

/ IP路由VRF

 添加禁用=没有路由标记=卡斯特一个路由区分符= 1.1.1.1:111 \

     出口路由目标= 1.1.1.1:111 import-route命令目标= 1.1.1.1:111,2.2.2.2:222 \

     接口= ether2

 添加禁用=没有路由标记=卡斯特两个路由区分符= 2.2.2.2:222 \

    出口路由目标= 2.2.2.2:222 import-route命令目标= 1.1.1.1:111,2.2.2.2:222 \

    接口= ether3

/ MPLS LDP设置启用=是传输地址= 10.5.5.3

/ MPLS LDP接口外接接口= ether1的

= 65000 /设置默认路由BGP实例

/ BGP路由实例添加实例VRF =默认路由标记=卡斯特一个再分配连接= YES

/ BGP路由实例添加实例VRF =默认路由标记=卡斯特两再分配连接= YES

/路由BGP对等体增加远程地址= 10.5.5.2远程为= 65000地址家庭的VPNv4 \

    更新源= lobridge

 ＃添加路由到远程BGP对等体的环回地址

/ IP ROUTE ADD DST = 10.5.5.2/32网关地址10.2.2.2

/ IP路由打印输出是足够有趣，值得细致的观察。

[管理员@ PE2] / IP路由>打印

标志：X  - 禁用，A  - 活跃，D  - 动态，

C  -  S  - 连接，静态的，R  -  RIP，B  - 邻 -  BGP，OSPF，M  -  MME，

B  - 黑洞，可达，U  -  P  - 禁止

 ＃DST-ADDRESS PREF-SRC网关距离

 0 ADB 10.1.1.0/24 10.5.5.2复发... 20

 1 ADC 10.3.3.0/24 10.3.3.3 ether2 0

 2 ADB 10.4.4.0/24 20

 3 ADB 10.1.1.0/24 10.5.5.2复发... 20

 4 ADB 10.3.3.0/24 20

 5 ADC 10.4.4.0/24 10.4.4.3 ether3 0率

 6 ADC 10.2.2.0/24 10.2.2.3 ether1的0

 7 AS 10.5.5.2/32 10.2.2.2 reacha ... 1

 8 ADC 10.5.5.3/32 10.5.5.3 lobridge 0

10.1.1.0/24的路由被接收来自远程BGP对等体，并安装在两个VRF路由表。

还安装了两个VRF路由表中的路由10.3.3.0/24，10.4.4.0/24。每个连接的表和另一个表中的BGP路由路线。这有做他们通过BGP广告无关。他们只是被“广告”本地VPNv4路由表和本地后，重新导入。导入和导出路由的目标确定在哪个表，他们将结束。

可以推导出它的属性 - 它们不具有通常的BGP属性。（10.4.4.0/24干线）。

[管理员@ PE2] / IP路由>打印详细的路由标记=卡斯特一

标志：X  - 禁用，A  - 活跃，D  - 动态，

C  -  S  - 连接，静态的，R  -  RIP，B  - 邻 -  BGP，OSPF，M  -  MME，

B  - 黑洞，可达，U  -  P  - 禁止

 0 ADB = 10.1.1.0/24网关为10.5.5.2递归通过10.2.2.2 ether1的DST地址

        距离= 20范围= 40目标范围= 30路由标记=卡斯特一

        BGP本地県BGP-产地= 100 =不完整

        BGP-分机社区=“RT：1.1.1.1:111”

 1 ADC DST地址10.3.3.0/24的偏好src = 10.3.3.3网关= ether2距离= 0的范围= 10

        路由标记=卡斯特一

 2亚行DST地址10.4.4.0/24范围= 40距= 20目标范围= 10

        路由标记=卡斯特一BGP-EXT社区=“RT：2.2.2.2:222”

一般来说，建议使用BGP本地导入和导出功能，所有VRF之间的航线应交换。如果这是不够的，静态路由可以用来实现这个所谓的路线泄漏。

有两种方法来安装具有不同的路由表中的路由和本身的网关的路由。

第一种方式是明确指定路由表的网关字段中添加的路由时。这是唯一可能的“主”的路由表。例如：

＃添加VRF1的路由表中的路由5.5.5.0/24网关在主路由表

添加DST = 5.5.5.0/24网关地址10.3.0.1 @主路由标记= VRF1

第二种方式是明确指定接口的网关字段中。指定的接口只能属于一个VRF实例。例如：

主路由表中添加路由5.5.5.0/24 ether2 VRF接口网关

添加DST地址= 5.5.5.0/24网关= 10.3.0.1％ether2路由标记=主

＃添加在主路由表与路由5.5.5.0/24 PTP链接1'VRF接口作为网关

添加DST地址= 5.5.5.0/24网关= PTP-LINK-1路由标记=主

如可以观察到的，有两个可能的变化-指定网关IP地址％的接口，或简单地指定接口。首先应该在大多数情况下，用于广播接口。应使用第二点至点接口，还为广播接口，如果该路由在某些VRF连接的路由。例如，如果你有地址1.2.3.4/24被放在一个VRF 接口ether2，将连接的路由1.2.3.0/24，VRF路由表。这是可以接受的唯一接口的网关不同的路由表添加静态路由 1.2.3.0/24 ether2，即使是一个广播接口：

添加DST地址= 1.2.3.0/24网关= ether2路由标记=主