Tweet
VRF là khái niệm quan trọng bậc nhất mà bạn phải hiểu để có thể nắm rõ các kiến trúc mạng phức tạp như DCACI, SDN.
Hãy đọc ngay bài bên dưới để củng cố kiến thức của khái niệm cốt lõi này.
VRF trong EVPN – Nền tảng của Segmentation hiện đại
(Cấu hình thực tế trên Cisco Router
)
Bạn có nghe tới VRF (Virtual Routing and Forwarding) trong EVPN chưa? Đây chính là chìa khóa để xây dựng các mạng phân đoạn (segmentation) mạnh mẽ trong các môi trường Data Center, SD-WAN, và SD-Access. Thi CCNP ENCOR có hỏi nhiều về chủ đề này!
Vậy tóm lại, VRF là gì?
VRF là một công nghệ cho phép tạo ra nhiều bảng định tuyến (routing table) độc lập trên cùng một thiết bị định tuyến (router) hoặc switch. Mỗi VRF hoạt động như một "router ảo" riêng biệt, có bảng định tuyến riêng, giao diện riêng, và không giao thoa với các VRF khác trừ khi được cấu hình rõ ràng (ví dụ: route leaking). Điều này rất hữu ích để phân tách lưu lượng mạng (traffic segmentation) theo khách hàng, phòng ban, hoặc ứng dụng mà không cần triển khai nhiều thiết bị vật lý.
VLAN là ảo hóa L2, VRF là ảo hóa L3.
Trong ngữ cảnh EVPN, VRF được sử dụng để hỗ trợ phân đoạn lưu lượng L3 (Layer 3) trong khi EVPN chính nó cung cấp khả năng kết nối L2 (Layer 2) và L3 qua mạng MPLS hoặc VXLAN.
VRF giúp tạo nhiều bảng định tuyến độc lập trên cùng một thiết bị – giống như có nhiều “router ảo” chạy song song, tách biệt hoàn toàn nhau. Mỗi khách hàng, phòng ban hay ứng dụng có thể có không gian mạng riêng biệt, không va chạm!
Ví dụ: Bạn có thể vừa chạy mạng cho “Tenant_A” và “Tenant_B” trên cùng một router, mỗi bên xài IP riêng, subnet riêng, không ảnh hưởng nhau.
VRF trong EVPN hoạt động ra sao?
Khi kết hợp với EVPN (Ethernet VPN), VRF cho phép:
Phân đoạn lưu lượng cả Layer 2 & Layer 3
Dùng Route Distinguisher (RD) để phân biệt các route giống nhau giữa các VRF
Dùng Route Target (RT) để kiểm soát ai được phép "nhìn thấy" tuyến nào
Chạy trên nền VXLAN (Data Center) hoặc MPLS (WAN)
Cấu hình mẫu VRF trong EVPN trên Cisco Router
Tạo VRF:
vrf definition Tenant_A rd 1:1 route-target export 1:1 route-target import 1:1
Gắn giao diện vào VRF:
interface GigabitEthernet0/0/1 vrf forwarding Tenant_A ip address 10.1.1.1 255.255.255.0
Cấu hình BGP EVPN:
router bgp 65000 address-family l2vpn evpn neighbor 192.168.1.2 activate neighbor 192.168.1.2 send-community extended vrf Tenant_A address-family ipv4 network 10.1.1.0 mask 255.255.255.0
Kiểm tra trạng thái:
show vrf show ip route vrf Tenant_A
Ứng dụng thực tế:
Vì sao VRF là nền tảng segmentation?
Tách biệt hoàn toàn
Bảo mật cao
Linh hoạt & tiết kiệm hạ tầng
Nếu bạn đang làm về mạng hiện đại, VRF + EVPN là combo bạn cần tìm hiểu sâu!
Cần thêm lab mẫu hoặc ví dụ thực chiến? Comment mình gửi nhé!
- Trong Datacenter, VRF là "tenant".
- Trong SDWAN, VRF là "dịch vụ VPN".
- EVPN là control plane quan trọng của tất cả các mạng doanh nghiệp. EVPN dựa trên khái niệm VRF.
- Muốn hiểu sâu về bảo mật trong Cloud, phải hiểu VRF!
Hãy đọc ngay bài bên dưới để củng cố kiến thức của khái niệm cốt lõi này.
VRF trong EVPN – Nền tảng của Segmentation hiện đại(Cấu hình thực tế trên Cisco Router
)Bạn có nghe tới VRF (Virtual Routing and Forwarding) trong EVPN chưa? Đây chính là chìa khóa để xây dựng các mạng phân đoạn (segmentation) mạnh mẽ trong các môi trường Data Center, SD-WAN, và SD-Access. Thi CCNP ENCOR có hỏi nhiều về chủ đề này!
Vậy tóm lại, VRF là gì?VRF là một công nghệ cho phép tạo ra nhiều bảng định tuyến (routing table) độc lập trên cùng một thiết bị định tuyến (router) hoặc switch. Mỗi VRF hoạt động như một "router ảo" riêng biệt, có bảng định tuyến riêng, giao diện riêng, và không giao thoa với các VRF khác trừ khi được cấu hình rõ ràng (ví dụ: route leaking). Điều này rất hữu ích để phân tách lưu lượng mạng (traffic segmentation) theo khách hàng, phòng ban, hoặc ứng dụng mà không cần triển khai nhiều thiết bị vật lý.
VLAN là ảo hóa L2, VRF là ảo hóa L3.
Trong ngữ cảnh EVPN, VRF được sử dụng để hỗ trợ phân đoạn lưu lượng L3 (Layer 3) trong khi EVPN chính nó cung cấp khả năng kết nối L2 (Layer 2) và L3 qua mạng MPLS hoặc VXLAN.
VRF giúp tạo nhiều bảng định tuyến độc lập trên cùng một thiết bị – giống như có nhiều “router ảo” chạy song song, tách biệt hoàn toàn nhau. Mỗi khách hàng, phòng ban hay ứng dụng có thể có không gian mạng riêng biệt, không va chạm!
Ví dụ: Bạn có thể vừa chạy mạng cho “Tenant_A” và “Tenant_B” trên cùng một router, mỗi bên xài IP riêng, subnet riêng, không ảnh hưởng nhau. VRF trong EVPN hoạt động ra sao?Khi kết hợp với EVPN (Ethernet VPN), VRF cho phép:
Phân đoạn lưu lượng cả Layer 2 & Layer 3 Dùng Route Distinguisher (RD) để phân biệt các route giống nhau giữa các VRF Dùng Route Target (RT) để kiểm soát ai được phép "nhìn thấy" tuyến nào Chạy trên nền VXLAN (Data Center) hoặc MPLS (WAN) Cấu hình mẫu VRF trong EVPN trên Cisco Router Tạo VRF:vrf definition Tenant_A rd 1:1 route-target export 1:1 route-target import 1:1
Gắn giao diện vào VRF:interface GigabitEthernet0/0/1 vrf forwarding Tenant_A ip address 10.1.1.1 255.255.255.0
Cấu hình BGP EVPN:router bgp 65000 address-family l2vpn evpn neighbor 192.168.1.2 activate neighbor 192.168.1.2 send-community extended vrf Tenant_A address-family ipv4 network 10.1.1.0 mask 255.255.255.0
Kiểm tra trạng thái:show vrf show ip route vrf Tenant_A
Ứng dụng thực tế:- SD-WAN: Tách riêng lưu lượng theo ứng dụng (Data, Voice, IoT…)
- Data Center (EVPN-VXLAN): Các tenant dùng IP trùng lặp vẫn OK
- SD-Access: Mỗi loại thiết bị/người dùng có thể phân đoạn riêng biệt
Vì sao VRF là nền tảng segmentation? Tách biệt hoàn toàn Bảo mật cao Linh hoạt & tiết kiệm hạ tầng Nếu bạn đang làm về mạng hiện đại, VRF + EVPN là combo bạn cần tìm hiểu sâu! Cần thêm lab mẫu hoặc ví dụ thực chiến? Comment mình gửi nhé!
Attached Files