Tweet
VRF Lite Route Leaking
Đây là một chủ đề rất hay trong Enterprise/SD-WAN/Fabric vì nó chạm đúng bản chất của route leaking giữa các VRF không dùng MPLS provider core, tức VRF-Lite.
Tài liệu này bao phủ hai kỹ thuật chính:
1. Route Leaking dùng Static Route + Global Routing Table (GRT)
Ví dụ trong tài liệu:
ip route vrf RED 3.3.3.3 255.255.255.255 192.168.23.3 global
ip route vrf BLUE 1.1.1.1 255.255.255.255 192.168.12.1 global
Kèm static route trong global:
ip route 192.168.12.2 255.255.255.255 GigabitEthernet0/1
ip route 192.168.23.3 255.255.255.255 GigabitEthernet0/2
Đây chính là kỹ thuật nhiều người gọi là:
2. Route Leaking dùng MP-BGP (cách scalable hơn)
Đây là phần rất đáng chú ý.
Dù không có MPLS L3VPN, ta vẫn có thể dùng MP-BGP VPNv4 concepts ngay trên một router để trao đổi route giữa các VRF.
Cấu trúc dùng:
Ví dụ:
ip vrf RED
rd 1:1
route-target export 1:1
route-target import 3:3
ip vrf BLUE
rd 3:3
route-target export 3:3
route-target import 1:1
Rồi redistribute route vào BGP:
router bgp 2
bgp router-id 2.2.2.2
address-family ipv4 vrf RED
redistribute static
redistribute connected
address-family ipv4 vrf BLUE
redistribute static
redistribute connected
Đây thực chất là mô phỏng mini MPLS VPN control plane nhưng không có label forwarding.
Ý nghĩa rất quan trọng:
Đúng cơ chế L3VPN thực thụ.
Điểm rất hay trong lab này
Tài liệu chỉ ra một trick quan trọng:
Phải tạo static route trỏ tới loopback customer trong từng VRF trước để có thứ redistribute vào MP-BGP:
ip route vrf RED 1.1.1.1 255.255.255.255 192.168.12.1
ip route vrf BLUE 3.3.3.3 255.255.255.255 192.168.23.3
Nếu không có static/connected route ban đầu thì không có gì để export.
Đây là lỗi lab rất nhiều người gặp.
Verification
Xem BGP VPN routes:
show bgp vpnv4 unicast vrf RED
show bgp vpnv4 unicast vrf BLUE
Xem routes bị leak:
show ip route vrf RED bgp
show ip route vrf BLUE bgp
Ping source loopback:
ping 3.3.3.3 source 1.1.1.1
Static leaking vs MP-BGP leaking
Static leaking:
Ưu điểm
Nhược điểm
MP-BGP leaking:
Ưu điểm
Nhược điểm
Liên hệ thực tế Enterprise
Kỹ thuật này dùng rất nhiều trong:
Ví dụ:
Users VRF cần tới DNS server trong Services VRF
Không cần mở full routing giữa hai VRF — chỉ leak đúng prefix cần thiết.
Đó mới là micro-segmentation đúng nghĩa.
Một lưu ý thực chiến CCIE
Nhiều engineer nhầm:
“VRF-Lite không làm được route leaking nếu không có MPLS.”
Sai.
VRF-Lite hoàn toàn leak được bằng:
Đây là điểm hay bị hỏi trong CCIE Enterprise Infrastructure blueprint.
Đây là một chủ đề rất hay trong Enterprise/SD-WAN/Fabric vì nó chạm đúng bản chất của route leaking giữa các VRF không dùng MPLS provider core, tức VRF-Lite.
Tài liệu này bao phủ hai kỹ thuật chính:
1. Route Leaking dùng Static Route + Global Routing Table (GRT)
- Dùng ip route vrf ... global để “rò” route từ VRF ra global table
- Dùng static route trong global table để trả đường về next-hop tương ứng
- Cơ chế này hoạt động như:
- VRF RED gửi tới GRT
- GRT chuyển tiếp sang VRF BLUE
- Phù hợp môi trường nhỏ, đơn giản, ít prefix
Ví dụ trong tài liệu:
ip route vrf RED 3.3.3.3 255.255.255.255 192.168.23.3 global
ip route vrf BLUE 1.1.1.1 255.255.255.255 192.168.12.1 global
Kèm static route trong global:
ip route 192.168.12.2 255.255.255.255 GigabitEthernet0/1
ip route 192.168.23.3 255.255.255.255 GigabitEthernet0/2
Đây chính là kỹ thuật nhiều người gọi là:
- GRT route leaking
- Inter-VRF static leaking
- VRF-lite leaking via global routing table
2. Route Leaking dùng MP-BGP (cách scalable hơn)
Đây là phần rất đáng chú ý.
Dù không có MPLS L3VPN, ta vẫn có thể dùng MP-BGP VPNv4 concepts ngay trên một router để trao đổi route giữa các VRF.
Cấu trúc dùng:
- RD (Route Distinguisher)
- Route-Target Export
- Route-Target Import
Ví dụ:
ip vrf RED
rd 1:1
route-target export 1:1
route-target import 3:3
ip vrf BLUE
rd 3:3
route-target export 3:3
route-target import 1:1
Rồi redistribute route vào BGP:
router bgp 2
bgp router-id 2.2.2.2
address-family ipv4 vrf RED
redistribute static
redistribute connected
address-family ipv4 vrf BLUE
redistribute static
redistribute connected
Đây thực chất là mô phỏng mini MPLS VPN control plane nhưng không có label forwarding.
Ý nghĩa rất quan trọng:
- RD làm route unique
- RT export xác định VRF nào publish route
- RT import xác định VRF nào nhận route
Đúng cơ chế L3VPN thực thụ.
Điểm rất hay trong lab này
Tài liệu chỉ ra một trick quan trọng:
Phải tạo static route trỏ tới loopback customer trong từng VRF trước để có thứ redistribute vào MP-BGP:
ip route vrf RED 1.1.1.1 255.255.255.255 192.168.12.1
ip route vrf BLUE 3.3.3.3 255.255.255.255 192.168.23.3
Nếu không có static/connected route ban đầu thì không có gì để export.
Đây là lỗi lab rất nhiều người gặp.
Verification
Xem BGP VPN routes:
show bgp vpnv4 unicast vrf RED
show bgp vpnv4 unicast vrf BLUE
Xem routes bị leak:
show ip route vrf RED bgp
show ip route vrf BLUE bgp
Ping source loopback:
ping 3.3.3.3 source 1.1.1.1
Static leaking vs MP-BGP leaking
Static leaking:
Ưu điểm
- Đơn giản
- Không cần BGP
- Phù hợp vài route shared services
Nhược điểm
- Không scale
- Khó vận hành
- Không policy-driven
MP-BGP leaking:
Ưu điểm
- Scale tốt
- Dựa trên RT policy
- Có thể dùng shared services VRF design
- Giống mô hình MPLS VPN / SD-WAN service VPN
Nhược điểm
- Phức tạp hơn
- Cần hiểu MP-BGP VPN model
Liên hệ thực tế Enterprise
Kỹ thuật này dùng rất nhiều trong:
- Shared Services VRF
- Firewall services VRF
- Management VRF reachability
- SDAccess fusion router route leaking
- Cisco SD-WAN Service VPN route leaking
- Multi-tenant DC segmentation
Ví dụ:
Users VRF cần tới DNS server trong Services VRF
Không cần mở full routing giữa hai VRF — chỉ leak đúng prefix cần thiết.
Đó mới là micro-segmentation đúng nghĩa.
Một lưu ý thực chiến CCIE
Nhiều engineer nhầm:
“VRF-Lite không làm được route leaking nếu không có MPLS.”
Sai.
VRF-Lite hoàn toàn leak được bằng:
- Static + global
- MP-BGP + RT import/export
- Thậm chí policy-based leaking (platform dependent)
Đây là điểm hay bị hỏi trong CCIE Enterprise Infrastructure blueprint.
Attached Files