目录

一、VRF 特性

二、案例讲解：

   （1）网络拓扑+需求描述

   （2） 相关配置：

实现需求 ①：生产网和办公网的隔离

实现需求②：各个网段实现上网需求 —— 路由泄露技术：

实现需求③:   PC1和PC3之间相互通信

---

一、VRF 特性

• VRF和VRF之间在同一台路由器上面无法通信；VRF和全局路由表（show ip route）在同一台设备也无法通信。
• 在VRF里面定义RD和RT值，其中RT值分为两个方向，这边入方向的RT值和对方的出方向的RT值必须匹配才能接受路由

 ——————————————————————————————————————————————————

二、案例讲解：

   （1）网络拓扑+需求描述

———————————————————————————————————————————————————— 

   （2） 相关配置：

• 实现需求 ①：生产网和办公网的隔离

CE系列交换机配置：
<HUAWEI>system-view  //进入全局模式
------------------------------------------创建vlan
[~HUAWEI]vlan 10
[*HUAWEI-vlan10]vlan 20
[*HUAWEI-vlan20]quit
[*HUAWEI]commit //（commit）CE系列交换机，需要打commit配置才会生效
[~HUAWEI]display vlan   //查看vlan

----------------------------------------接口划vlan
[~HUAWEI]int g1/0/0
[~HUAWEI-GE1/0/0]port link-type access
[~HUAWEI-GE1/0/0]port default vlan 10
[*HUAWEI-GE1/0/0]undo shut
[*HUAWEI-GE1/0/0]quit

-------------------------------------接口封装trunk
[*HUAWEI]int g1/0/2
[~HUAWEI-GE1/0/2]undo shutdown
[*HUAWEI-GE1/0/2]port link-type trunk
[*HUAWEI-GE1/0/2]port trunk allow-pass vlan all //思科trunk允许所有vlan穿越，华为的默认不允许所有vlan穿越，修改一下
[*HUAWEI-GE1/0/2]quit
[*HUAWEI]commit //写入所配置的命令（如果没有打这个命令，默认不会生效）
[*HUAWEI]display current-configuration //相当于sh run
[~HUAWEI]display interface brief //查看接口up情况

-------------------------①接口下关闭：核心交换机关闭接口二层功能（二层变三层）
[~HUAWEI]int g1/0/1
[~HUAWEI-GE1/0/1]undo portswitch
[*HUAWEI-GE1/0/1]q
[*HUAWEI]commit

------------------------------------配置vlan ip
<HUAWEI>save //保存配置，相当于write
[*HUAWEI]int vlan 40
[*HUAWEI-Vlanif40]ip add 192.168.40.254 255.255.255.0
[*HUAWEI-Vlanif40]un sh
[*HUAWEI-Vlanif40]q
[*HUAWEI]commit

-------------------------------vpn实列配置（VRF配置）

①创建
[~HUAWEI]ip vpn-instance A
[*HUAWEI-vpn-instance-A]ipv4-family unicast //开启ipv4地址族，要不然绑定VPN实列后，无法配置ip地址
[*HUAWEI-vpn-instance-A-af-ipv4]q
[*HUAWEI-vpn-instance-A]q
[*HUAWEI]commit
[~HUAWEI]

②绑定VPN实列
[~HUAWEI]int vlan 10
[~HUAWEI-Vlanif10]ip binding vpn-instance A
[*HUAWEI-Vlanif10]ip add 192.168.10.254 255.255.255.0
[*HUAWEI-Vlanif10]q
[*HUAWEI]

[~HUAWEI]display ip routing-table //查看全局路由表
[~HUAWEI]display ip routing-table vpn-instance A //查看VPN实列

 最终各个PC之间相互ping验证，VPN实列（VRF）成功隔离！！！！

—————————————————————————————————————————————————— 

• 实现需求②：各个实现上网需求 —— 路由泄露技术：

-------R1：
[Huawei]ip route-static 0.0.0.0 0.0.0.0 13.1.1.3 //静态路由写入

-------CE3
[~HUAWEI]ip route-static vpn-instance A 13.1.1.0 255.255.255.0 13.1.1.1 public
//因为CE3的VPN-instance A里面的路由没有13.1.1.0的直连路由，
数据包从VPN-instance A里面到达CE3后不知道去往什么地方，所以需要把直连路由宣告进VPN-instance A
[~HUAWEI]ip route-static vpn-instance B 13.1.1.0 255.255.255.0 13.1.1.1 public
[*HUAWEI]commit

• ---此时PC1的流量（ping 13.1.1.1）从 在VRF A里面经过CE3到达了R1（——》去方向）
• ---到达R1之后查询全局路由表转发数据包给CE3，而因为CE3和R1之间接口属于全局路由表，所以R1来的路由实际上是在CE3的全局路由表上进行的。但是此时,CE3的全局路由表里面并没有去往PC的路由，所以需要写一条路由到PC１全局路由表里．（——》回方向）

解决:
[~HUAWEI]ip route-static 192.168.10.0 255.255.255.0 vpn-instance A 192.168.10.1
//去往192.168.10.0 下一跳扔给的192.168.10.1,对应出接口为(VRF A或者是叫vlan 10)
[*HUAWEI]commit
[~HUAWEI]display ip routing-table //查看路由是否配置成功(全局路由表)

 此时PC1 ping 13.1.1.1,可以通,成功实现需求② ! ! !

同理.其他网段也一样. 

—————————————————————————————————————————————————— 

• 实现需求③:PC1和PC3之间相互通信

•  因为(PC1去往PC3)去的时候 , 由于VRF隔离CE3上的VRF A里面并没有去往192.168.30.0的路由,所以,路由会在CE3上丢弃.即需要配置一条去往PC3的路由,之后到达了R1,由于上面配置之中,CE3的全局路由表里面,有了去往PC3的路由(实现上网需求).即数据包能够到达PC3(------>去)
• 同理,回的时候也相同(------回)

CE3:

[~HUAWEI]ip route-static vpn-instance B 192.168.10.0 255.255.255.0 13.1.1.1 public
[~HUAWEI]ip route-static vpn-instance A 192.168.30.0 255.255.255.0 13.1.1.1 public
[*HUAWEI]commit
[~HUAWEI]

PC1ping PC3,最终实现需求 ! ! ! !