Tweet
Việc vận dụng các công nghệ phân tách mạng như VRF hay VPNv4 không chỉ là gõ lệnh cho thông ping, mà còn là tư duy quy hoạch tối ưu, bảo mật và khả năng mở rộng.
Hôm nay, mình xin phép đúc kết lại vài điểm cốt lõi và các "bẫy" cấu hình thực tế về VRF, VRF-Lite và VPNv4. Hy vọng bài viết nhỏ này sẽ giúp mọi người triển khai hệ thống mượt mà hơn và né được những đêm dài troubleshoot nhé! 👇
1. Đừng nhầm lẫn giữa RD (Route Distinguisher) và RT (Route Target)
Khi quy hoạch mạng cho nhiều chi nhánh hoặc nhiều khách hàng trên cùng một thiết bị phần cứng, chúng ta phải dùng cả hai thông số này, nhưng vai trò của chúng hoàn toàn khác nhau:
Một lỗi rất cơ bản nhưng dễ làm chúng ta đổ mồ hôi hột khi cấu hình từ xa (remote): Khi bạn đưa một cổng đang có sẵn mạng vào một VRF bằng lệnh ip vrf forwarding hoặc vrf forwarding, Cisco IOS sẽ tự động gỡ bỏ địa chỉ IP đang cấu hình trên cổng đó.
👉 Kinh nghiệm triển khai: Luôn gán cổng vào VRF trước ➡️ Sau đó mới cấu hình/cấp lại địa chỉ IP.
3. Khách hàng không nhận được Route do Automatic Route Filtering
Mặc định trong môi trường mạng SP (nhà cung cấp dịch vụ) chạy VPNv4, các router PE có tính năng lọc route tự động. Nếu router nhận được bản tin cập nhật MP-BGP chứa Route Target không khớp với bất kỳ lệnh route-target import nào mà bạn đã cấu hình nội bộ, nó sẽ âm thầm drop route này để tiết kiệm bộ nhớ. Nếu hệ thống khách hàng ping không thông, hãy thử bật debug, rất có thể bạn sẽ thấy dòng log quen thuộc: DENIED due to: extended community not supported.
4. Khai báo VRF trên các dòng thiết bị chạy IOS mới (Multi-AF)
Trên các thiết bị đời mới sử dụng cú pháp vrf definition <tên_vrf> thay cho ip vrf kiểu cũ, bạn bắt buộc phải truy cập vào mode VRF và kích hoạt address-family ipv4 (hoặc ipv6) trước. Nếu quên bước kích hoạt họ địa chỉ này, thiết bị sẽ báo lỗi và không cho phép bạn gán IP tĩnh cho bất kỳ cổng nào thuộc VRF đó.
5. Ứng dụng thực tế của VRF-Lite trong Enterprise
Không phải lúc nào cũng cần mạng trục MPLS khổng lồ mới dùng được VRF. Với các hạ tầng mạng doanh nghiệp thông thường (Enterprise), chúng ta dùng VRF-Lite để cô lập logic các mạng (ví dụ: mạng Camera, mạng Guest, mạng Nhân viên nội bộ) ngay trên cùng một con Switch/Router Core mà không cần đến sự phức tạp của MPLS Backbone.
Chúc mọi người trong group lên giải pháp thật chuẩn, gõ lệnh không bị "bug" và dự án nào cũng nghiệm thu thành công!
Hôm nay, mình xin phép đúc kết lại vài điểm cốt lõi và các "bẫy" cấu hình thực tế về VRF, VRF-Lite và VPNv4. Hy vọng bài viết nhỏ này sẽ giúp mọi người triển khai hệ thống mượt mà hơn và né được những đêm dài troubleshoot nhé! 👇
1. Đừng nhầm lẫn giữa RD (Route Distinguisher) và RT (Route Target)
Khi quy hoạch mạng cho nhiều chi nhánh hoặc nhiều khách hàng trên cùng một thiết bị phần cứng, chúng ta phải dùng cả hai thông số này, nhưng vai trò của chúng hoàn toàn khác nhau:
- Route Distinguisher (RD): Giải quyết bài toán trùng lặp dải IP (Overlapping IP). Nó gắn thêm một tiền tố vào IP tĩnh để định danh duy nhất bảng định tuyến của từng khách hàng/phân vùng.
- Route Target (RT): Là "người gác cổng" quyết định luồng định tuyến. Nó kiểm soát chính xác việc import (nhập) và export (xuất) các route giữa các VRF. Ví dụ: Nếu Site A xuất định tuyến với RT 100:1, thì Router PE đầu Site B bắt buộc phải import đúng RT 100:1 thì hai chi nhánh mới thấy mạng của nhau.
Một lỗi rất cơ bản nhưng dễ làm chúng ta đổ mồ hôi hột khi cấu hình từ xa (remote): Khi bạn đưa một cổng đang có sẵn mạng vào một VRF bằng lệnh ip vrf forwarding hoặc vrf forwarding, Cisco IOS sẽ tự động gỡ bỏ địa chỉ IP đang cấu hình trên cổng đó.
👉 Kinh nghiệm triển khai: Luôn gán cổng vào VRF trước ➡️ Sau đó mới cấu hình/cấp lại địa chỉ IP.
3. Khách hàng không nhận được Route do Automatic Route Filtering
Mặc định trong môi trường mạng SP (nhà cung cấp dịch vụ) chạy VPNv4, các router PE có tính năng lọc route tự động. Nếu router nhận được bản tin cập nhật MP-BGP chứa Route Target không khớp với bất kỳ lệnh route-target import nào mà bạn đã cấu hình nội bộ, nó sẽ âm thầm drop route này để tiết kiệm bộ nhớ. Nếu hệ thống khách hàng ping không thông, hãy thử bật debug, rất có thể bạn sẽ thấy dòng log quen thuộc: DENIED due to: extended community not supported.
4. Khai báo VRF trên các dòng thiết bị chạy IOS mới (Multi-AF)
Trên các thiết bị đời mới sử dụng cú pháp vrf definition <tên_vrf> thay cho ip vrf kiểu cũ, bạn bắt buộc phải truy cập vào mode VRF và kích hoạt address-family ipv4 (hoặc ipv6) trước. Nếu quên bước kích hoạt họ địa chỉ này, thiết bị sẽ báo lỗi và không cho phép bạn gán IP tĩnh cho bất kỳ cổng nào thuộc VRF đó.
5. Ứng dụng thực tế của VRF-Lite trong Enterprise
Không phải lúc nào cũng cần mạng trục MPLS khổng lồ mới dùng được VRF. Với các hạ tầng mạng doanh nghiệp thông thường (Enterprise), chúng ta dùng VRF-Lite để cô lập logic các mạng (ví dụ: mạng Camera, mạng Guest, mạng Nhân viên nội bộ) ngay trên cùng một con Switch/Router Core mà không cần đến sự phức tạp của MPLS Backbone.
Chúc mọi người trong group lên giải pháp thật chuẩn, gõ lệnh không bị "bug" và dự án nào cũng nghiệm thu thành công!