Tweet
Một router – nhiều “thế giới mạng”: VRF Lite hoạt động như thế nào? 
Trong thực tế triển khai mạng (đặc biệt ở ISP hoặc doanh nghiệp lớn), có một bài toán rất “kinh điển”:
Làm sao để một router có thể phục vụ nhiều hệ thống mạng khác nhau mà các hệ thống này không nhìn thấy nhau?
Nếu bạn chỉ dùng routing truyền thống → gần như không thể làm sạch sẽ và an toàn.
Đây chính là lúc VRF Lite xuất hiện. Vấn đề của routing truyền thống
Mặc định, router hoạt động với 1 global routing table duy nhất. Chứa:
ISP#show ip route connected
C 192.168.1.0/24 is directly connected
C 192.168.2.0/24 is directly connected
C 192.168.3.0/24 is directly connected
C 192.168.4.0/24 is directly connected
Tất cả network nằm chung một bảng định tuyến
Không có sự tách biệt → rủi ro về security và design VRF Lite là gì?
Bạn có thể hiểu rất nhanh:
VRF = VLAN nhưng dành cho Layer 3
1. Tạo VRF
ISP(config)#ip vrf Red
ISP(config-vrf)#exit
ISP(config)#ip vrf Blue
ISP(config-vrf)#exit
Lúc này mới chỉ tạo “container routing”, chưa có gì bên trong 2. Gán interface vào VRF
ISP(config)#interface FastEthernet0/0
ISP(config-if)#ip vrf forwarding Blue
Điểm rất quan trọng:
Khi gán VRF → IP trên interface sẽ bị xóa
Phải cấu hình lại:
ISP(config-if)#ip address 192.168.1.254 255.255.255.0 Kiểm tra routing table
Sau khi gán toàn bộ interface vào VRF: Global routing table gần như trống Routing table của từng VRF
VRF Blue:
ISP#show ip route vrf Blue connected
C 192.168.1.0/24
C 192.168.3.0/24
VRF Red:
ISP#show ip route vrf Red connected
C 192.168.2.0/24
C 192.168.4.0/24
Mỗi VRF có “thế giới riêng” Lỗi phổ biến (rất nhiều người gặp)
Bạn thử ping: Không được → tưởng sai config
Nhưng thực tế:
Router mặc định ping bằng global routing table Cách ping đúng trong VRF
ISP#ping vrf Blue 192.168.1.1 thì Chỉ định rõ VRF cần sử dụng
VRF và Dynamic Routing
VRF không chỉ dùng static. Bạn hoàn toàn có thể chạy:
Blue1(config)#router ospf 1
network 192.168.1.0 0.0.0.255 area 0
network 1.1.1.1 0.0.0.0 area 0
Blue2(config)#router ospf 1
network 192.168.3.0 0.0.0.255 area 0 OSPF trên ISP cho VRF Red
ISP(config)#router ospf 2 vrf Red
network 192.168.2.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
Mỗi VRF cần process OSPF riêng Routing table sau khi chạy OSPF
VRF Blue:
ISP#show ip route vrf Blue ospf
O 1.1.1.1 via 192.168.1.1
O 3.3.3.3 via 192.168.3.3
VRF Red:
ISP#show ip route vrf Red ospf
O 2.2.2.2 via 192.168.2.2
O 4.4.4.4 via 192.168.4.4
Hai bảng định tuyến hoàn toàn độc lập Không bị leak route Góc nhìn Security (điều quan trọng)
VRF không chỉ là kỹ thuật routing.
Nó là một cơ chế segmentation Layer 3
Ứng dụng thực tế:
VRF Lite là một trong những nền tảng quan trọng:
Nếu bạn đang học:
Trong thực tế triển khai mạng (đặc biệt ở ISP hoặc doanh nghiệp lớn), có một bài toán rất “kinh điển”:
Làm sao để một router có thể phục vụ nhiều hệ thống mạng khác nhau mà các hệ thống này không nhìn thấy nhau?
Nếu bạn chỉ dùng routing truyền thống → gần như không thể làm sạch sẽ và an toàn.
Đây chính là lúc VRF Lite xuất hiện. Vấn đề của routing truyền thống
Mặc định, router hoạt động với 1 global routing table duy nhất. Chứa:
- Các mạng directly connected
- Static routes
- Dynamic routes (OSPF, EIGRP, BGP)
ISP#show ip route connected
C 192.168.1.0/24 is directly connected
C 192.168.2.0/24 is directly connected
C 192.168.3.0/24 is directly connected
C 192.168.4.0/24 is directly connected
Tất cả network nằm chung một bảng định tuyến
Không có sự tách biệt → rủi ro về security và design VRF Lite là gì?
Bạn có thể hiểu rất nhanh:
VRF = VLAN nhưng dành cho Layer 3
- Mỗi VRF = 1 routing table riêng biệt
- Interface nào thuộc VRF nào → chỉ dùng routing table đó
- Các VRF không nhìn thấy nhau
- Blue1 + Blue2 → thuộc VRF Blue
- Red1 + Red2 → thuộc VRF Red
- ISP → router trung tâm
- Blue chỉ communicate với Blue
- Red chỉ communicate với Red
- Hai bên isolate hoàn toàn
1. Tạo VRF
ISP(config)#ip vrf Red
ISP(config-vrf)#exit
ISP(config)#ip vrf Blue
ISP(config-vrf)#exit
Lúc này mới chỉ tạo “container routing”, chưa có gì bên trong 2. Gán interface vào VRF
ISP(config)#interface FastEthernet0/0
ISP(config-if)#ip vrf forwarding Blue
Điểm rất quan trọng:
Khi gán VRF → IP trên interface sẽ bị xóa
Phải cấu hình lại:
ISP(config-if)#ip address 192.168.1.254 255.255.255.0 Kiểm tra routing table
Sau khi gán toàn bộ interface vào VRF: Global routing table gần như trống Routing table của từng VRF
VRF Blue:
ISP#show ip route vrf Blue connected
C 192.168.1.0/24
C 192.168.3.0/24
VRF Red:
ISP#show ip route vrf Red connected
C 192.168.2.0/24
C 192.168.4.0/24
Mỗi VRF có “thế giới riêng” Lỗi phổ biến (rất nhiều người gặp)
Bạn thử ping: Không được → tưởng sai config
Nhưng thực tế:
Router mặc định ping bằng global routing table Cách ping đúng trong VRF
ISP#ping vrf Blue 192.168.1.1 thì Chỉ định rõ VRF cần sử dụng
VRF và Dynamic RoutingVRF không chỉ dùng static. Bạn hoàn toàn có thể chạy:
- OSPF
- EIGRP
- BGP
Blue1(config)#router ospf 1
network 192.168.1.0 0.0.0.255 area 0
network 1.1.1.1 0.0.0.0 area 0
Blue2(config)#router ospf 1
network 192.168.3.0 0.0.0.255 area 0 OSPF trên ISP cho VRF Red
ISP(config)#router ospf 2 vrf Red
network 192.168.2.0 0.0.0.255 area 0
network 192.168.4.0 0.0.0.255 area 0
Mỗi VRF cần process OSPF riêng Routing table sau khi chạy OSPF
VRF Blue:
ISP#show ip route vrf Blue ospf
O 1.1.1.1 via 192.168.1.1
O 3.3.3.3 via 192.168.3.3
VRF Red:
ISP#show ip route vrf Red ospf
O 2.2.2.2 via 192.168.2.2
O 4.4.4.4 via 192.168.4.4
Hai bảng định tuyến hoàn toàn độc lập Không bị leak route Góc nhìn Security (điều quan trọng)
VRF không chỉ là kỹ thuật routing.
Nó là một cơ chế segmentation Layer 3
Ứng dụng thực tế:
- Tách khách hàng trong ISP
- Tách môi trường (Production / Lab)
- Tách hệ thống nội bộ (HR / IT / Finance)
- Giảm blast radius khi có sự cố
- Router = tòa nhà
- VRF = từng căn hộ
VRF Lite là một trong những nền tảng quan trọng:
- Thiết kế mạng multi-tenant
- Network segmentation (Security)
- Bước đệm để học MPLS VPN
Nếu bạn đang học:
- CCNA → nên biết khái niệm
- CCNP → phải lab thành thạo
- CCIE → dùng VRF như một công cụ thiết kế