Skip to main content

VRF (Virtual Routing and Forwarding)

Les VRF nous permettent permettent de séraper virtuellement deux clien ayant la même ip d'atteindre un serveur. On ne veut pas que ces deux clients là se connaissent.

Sur ce shcéma imaginons cette configuration.

Sur R1
  • e0/0 13.0.0.1/24
  • loopback1 1.1.1.1/32
Sur R2
  • e0/0 23.0.0.2/24
  • loopback1 1.1.1.1/32
Sur R4
  • e0/0 34.0.0.4

Nous ne mettons aucune adresses sur R3 car elle vont dispraître avec l'activation des vrf, nous allons les activer d'abord.
Imaginons la configuration suivante

Sur R3

ip vrf ROUGE
rd 13:34

Ensuite

ip vrf BLEU
rd 23:23

Vous pouvez vérifier la configuration avec show ip vrf

Pour affecter les interfaces au différentes vrf. En mode configuration terminale on fait :

int range e0/1,e0/3
ip vrf forwarding ROUGE

Et

int e0/2
ip vrf forwarding ROUGE

Refaire un show ip vrfpour voir que les interfaces ont bien été affectées.

Après cela, vous pouvez affecter les addresses ip aux interfaces de R3.

Ensuite faudra configurer les routes statiques pour que la loopback de R1 puisse accéder à la loopback de R4, et inversement, tout cela via les vrf soit :

Sur R1 en mode configuration, on fait ip route 4.4.4.4 255.255.255.255 13.0.0.3
Sur R4 en mode conf, on fait ìp route 1.1.1.1 255.255.255.255 34.0.0.3

Ensuite il faudra apprendre à R3 d'aller au réseau 4.4.4.4 et aux deux réseaux 1.1.1.1 via la VRF.

Sur R3

conf t
ip route vrf ROUGE 1.1.1.1 255.255.255.255 13.0.0.1
ip route vrf ROUGE 4.4.4.4 255.255.255.255 34.0.0.4
ip route vrf BLEU 1.1.1.1 255.255.255.255 23.0.0.2

Pour vérifier les route vrf on utilise show ip route vrf ROUGE ou show ip route vrf BLEU

Pour tester on ping depuis R4 1.1.1.1 ping 1.1.1.1 source 4.4.4.4 et on voit que le ping répond.
Si on ne précise pas la source le ping ne passe pas, parce qu'on a pas appris à R4 à joindre le 13.0.0.0, mais juste 4.4.4.4

En activant le debug icmp debug ip icmp sur R1 et R2 on voit bien que c'est R1 qui réponds au ping dont la source est 4.4.4.4 parce que R1 et R4 sont la même vrf.

De R3 si on fait ping vrf ROUGE 1.1.1.1 il n'y a que R1 qui répond lorsqu'on monitor le debug icmp. Et avec ping vrf BLEU 1.1.1.1 c'est R2 qui réponds.

Le but était qu'avec deux client R1 et R2 ayant un même réseau, simuler ici avec les loopback, puissent exister et accéder au serveur R4 sans conflits avec R1 et R4 qui communiquent et sans que R4 connaissent l'existance de R2 même si c'est la même adresse ip que R1.

Dans le cas ou il y'a besoin de faire des sous interface sur le routeur:

int g0/0.100
encapsulation dot1q 100
ip vrf forwarding Red
ip address 10.0.0.1

Back to top