Virtual Routing and Forwarding (VRF),中文通常翻译为虚拟路由转发,是一种IP网络技术。
简单来说,它允许在一台物理路由器中创建多个独立的虚拟路由器。每一个虚拟路由器都有自己独立的路由表和转发表,互不干扰。
为了让你更容易理解,我们可以用一个非常经典的类比:
如果说 VLAN(虚拟局域网)是交换机(二层)层面的虚拟化和隔离,
那么 VRF 就是路由器(三层)层面的虚拟化和隔离。
1. 核心概念与工作原理
在传统的路由器中,只有一张全局路由表(Global Routing Table)。所有的接口都在这张表中,所有的流量都根据这张表进行转发。
而在启用了 VRF 的路由器中:
- 逻辑隔离:路由器被逻辑上划分成多个实例(VRF Instance)。
- 独立的路由表:每个 VRF 实例都有自己独立的路由表(RIB)和转发表(FIB)。VRF A 的流量只能查 VRF A 的表,完全看不到 VRF B 的路由。
- 接口归属:物理接口(或子接口)需要被显式地分配给某个 VRF。一旦分配,该接口接收到的流量就进入该 VRF 的“世界”。
2. VRF 的主要特点和优势
- 地址重叠(IP Overlapping):这是 VRF 最强大的功能之一。因为路由表是隔离的,VRF A和VRF B可以使用完全相同的私有 IP 地址段(例如都使用 192.168.1.0/24),而不会在路由器上产生冲突。
- 安全性与隔离:不同 VRF 之间的流量默认是完全隔离的。即使它们在同一个物理盒子上,处于 VRF A 的黑客无法通过路由直接访问 VRF B 的网络,除非管理员专门配置了路由泄露(Route Leaking)。
- 灵活性:网络管理员可以在不增加物理硬件的情况下,为不同的部门或客户提供独立的网络服务。
3. 应用场景
A. 运营商网络 (ISP / MPLS VPN) - 最常见的场景
这是 VRF 诞生的初衷。
- 场景:一家电信运营商(ISP)同时为“客户可口可乐”和“客户百事可乐”提供专线服务。
- 问题:这两个客户内部可能都使用了 10.0.0.0/8 这种私有地址。
- 解决:ISP 在边缘路由器(PE)上为可口可乐创建一个 VRF,为百事可乐创建另一个 VRF。虽然他们在同一台路由器上,但彼此的流量完全隔离,且可以使用相同的 IP 地址。这就是MPLS L3VPN的基础。
B. 企业网络隔离 (VRF-Lite)
在企业内部,不涉及 MPLS,仅在局域网内使用 VRF,通常被称为VRF-Lite。
- 场景:一家公司希望将财务部门、普通员工和访客 Wi-Fi的网络彻底分开。
- 解决:在核心交换机/路由器上创建三个 VRF。访客的网络流量即使经过核心设备,也无法路由到财务部门的服务器,因为它们在不同的“虚拟路由器”里。
C. 数据中心多租户 (Multi-tenancy)
在云数据中心,物理网络设备需要承载成百上千个不同的租户。VRF 结合 VXLAN 或 EVPN 等技术,确保租户 A 的数据绝不会流向租户 B。
4. 关键术语(进阶理解)
如果你在配置 MPLS VPN 相关的 VRF,还会遇到以下两个重要术语:
- RD (Route Distinguisher):路由区分符。
- 作用是让相同的 IP 地址在全局范围内变得独一无二。例如,客户A的 192.168.1.1 加上 RD 后变成
100:1:192.168.1.1,客户B的变成200:1:192.168.1.1。
- 作用是让相同的 IP 地址在全局范围内变得独一无二。例如,客户A的 192.168.1.1 加上 RD 后变成
- RT (Route Target):路由目标。
- 用于控制路由的导入和导出(Import/Export)。它决定了哪些路由应该进入哪个 VRF 的路由表。
总结
VRF 就是把一台物理路由器“劈”成多台逻辑路由器来用。
- 它解决了什么?网络隔离、IP 地址冲突、硬件成本节约。
- 它像什么?三层的 VLAN。
参考链接
- https://docs.kernel.org/networking/vrf.html
- https://github.com/kamailio/kamailio/issues/4418
- https://sr-users.sip-router.narkive.com/fyUpSK41/having-kamailio-bind-to-a-vrf-device
