VRF — Virtual Routing and Forwarding, bitta router yoki Layer 3 qurilmada bir nechta mustaqil routing jadvali va forwarding kontekstini saqlash texnologiyasi. Bir xil IP prefiks turli VRFda takrorlanishi mumkin, chunki har kontekst o‘z interfeyslari, route’lari va next hoplariga ega. VRF trafikni mantiqiy ajratadi, lekin o‘z-o‘zidan shifrlash mexanizmi emas.
Interfeys va routing jadvali
Layer 3 interfeys VRFga biriktirilganda, undan kelgan paket aynan shu VRF routing jadvalida qidiriladi. Global jadvaldagi route avtomatik ko‘rinmaydi. Static route va routing protokoli instance’i ham VRF kontekstida ishlaydi. Bir VLAN SVI bir VRFda, boshqa SVI boshqa VRFda bo‘lishi mumkin.
Quyidagi mantiqiy ko‘rinishda bir xil 10.0.0.0/24 ikki mijozga tegishli:
VRF A: 10.0.0.0/24 -> interface A
VRF B: 10.0.0.0/24 -> interface B
Paketning kirish VRFi uning qaysi route bilan uzatilishini belgilaydi. Faqat destination IPga qarab kontekstni aniqlash yetarli emas.
MPLS L3VPNda VRF
Provider Edge router har mijoz yoki VPN uchun VRF saqlaydi. Customer Edge’dan o‘rganilgan IPv4/IPv6 route VRFga kiradi. MP-BGP route distinguisher yordamida takrorlanuvchi prefixlarni VPNv4/VPNv6 address familyda noyob qiladi. Route target esa qaysi VRF route’ni import yoki export qilishini boshqaradi.
Ingress PE mijoz paketiga VPN service label va transport label qo‘yadi. Egress PE VPN label orqali paketni tegishli VRFga joylashtiradi. Provider core mijoz prefixlarini bilmay, faqat transport LSP bo‘yicha uzatishi mumkin.
VRF-Lite
VRF-Lite MPLS backbone va MP-BGPsiz bitta yoki bir nechta qurilmada routing jadvallarini ajratadi. Enterprise tarmog‘ida management, guest, production yoki turli tenant trafiklari shu yo‘l bilan bo‘linadi. Qurilmalar orasida har VRF uchun alohida subinterface, VLAN yoki tunnel kerak bo‘lishi mumkin.
VRF-Lite control plane masshtabi har VRF uchun routing adjacency va route soni oshishi bilan kattalashadi. MPLS VPN esa provider backbone orqali ko‘p saytni service label bilan bog‘laydi.
Route leaking
VRFlar odatda izolyatsiyalangan. DNS, monitoring yoki shared firewall kabi umumiy xizmatga ulanish uchun tanlangan route’lar VRFlar orasida leak qilinadi. Bu static route, route target import/export, policy yoki firewall orqali bajarilishi mumkin.
Ikki tomonlama reachability zarur: A dan shared servicega route bo‘lishi bilan javobning A ga qaytish yo‘li ham mavjud bo‘ladi. Keng 0.0.0.0/0 leak izolyatsiyani kutilmaganda buzishi mumkin. Route policy aniq prefix va yo‘nalish bilan chegaralanadi.
Xavfsizlik va diagnostika
VRF forwarding jadvalini ajratadi, ammo bir qurilmadagi control-plane zaifligi yoki noto‘g‘ri leak barcha kontekstga ta’sir qilishi mumkin. Firewall policy va autentifikatsiya alohida qatlamdir. Management xizmatining qaysi VRFda tinglashi ham sozlanadi.
Diagnostika buyruqlari VRF nomini ko‘rsatishi kerak. Global ping noto‘g‘ri source yoki jadvaldan chiqishi mumkin; VRF-aware ping va traceroute ishlatiladi. Interfeys a’zoligi, VRF route table, import/export policy va egress label ketma-ket tekshiriladi.
DNS va xizmat bindingi
VRF-aware dastur socketni ma’lum VRF yoki uning interfeysiga bog‘lashi mumkin. Aks holda DNS so‘rovi va javob trafik global jadvaldan chiqib, data trafik boshqa VRFda qolishi ehtimol. Management agent, NTP, syslog va TACACS source interfeysi aniq ko‘rsatiladi. Bu control-plane xizmatlarining qaytish marshrutini izchil qiladi.