华为ensp：VRF-育师

一、核心概念与作用

二、工作原理

三、拓扑及配置

总结

VRF（Virtual Routing and Forwarding，虚拟路由转发）是网络虚拟化核心技术，能在一台物理路由器 / 三层交换机上创建多个逻辑隔离的路由实例，每个实例拥有独立的路由表、转发表与接口，实现流量隔离转发、地址重叠兼容，是 MPLS VPN 与多租户网络的基础。下面从基础概念、核心原理、配置步骤、常见问题与应用场景逐步讲解，全程适配小白理解。

一、核心概念与作用

1. 核心定义

VRF 把一台物理设备 “切成” 多台虚拟路由器，每个 VRF 实例独立运行，接口专属、路由隔离、转发独立，不同实例的流量默认无法互通，如同多台独立硬件。

2. 解决的核心问题

问题	传统方案	VRF 方案
网络隔离	多台物理路由器，成本高、管理复杂	单设备划分多 VRF，逻辑隔离，降本提效
地址重叠	强制规划不重叠地址，灵活性差	不同 VRF 可复用同一 IP，通过 RD 区分路由
多租户隔离	物理网段隔离，扩展难	租户专属 VRF，路由与流量互不干扰
路由资源复用	路由表混杂，易出错	各 VRF 独立路由表，策略独立配置

3. 关键术语

VRF 实例：虚拟路由器的完整逻辑单元，含独立路由表、接口与协议进程。
RD（Route Distinguisher，路由区分符）：8 字节标识，给 IPv4 路由加前缀生成唯一 VPNv4 路由，解决地址重叠，仅用于 PE 间路由传递，客户端不可见。
RT（Route Target，路由目标）：BGP 扩展团体属性，控制路由导入 / 导出，决定哪些 VRF 能接收某路由，实现路由分发控制。
CE/PE：MPLS VPN 中，CE 是客户边缘设备，PE 是运营商边缘设备，PE 负责维护 VRF 并与 CE 交互。
VRF Lite：无 MPLS 的轻量 VRF，仅依赖静态路由或普通 BGP 实现隔离，适合中小型网络。

二、工作原理

实例创建与接口绑定：先创建 VRF 实例，再将物理口 / 子接口 / VLANIF 绑定到实例，该接口仅处理此 VRF 的流量。
路由隔离与扩展：
- 每个 VRF 维护独立路由表，静态路由或动态路由（OSPF、BGP 等）仅对当前 VRF 生效。
- 若需跨 VRF 通信，必须通过路由泄漏（Route Leaking）配置明确放行规则。
- MPLS 场景中，PE 接收 CE 的 IPv4 路由后加 RD 生成 VPNv4 路由，通过 MP - BGP 在 PE 间传递，再用 RT 控制路由导入到目标 VRF。
流量转发流程：数据包进入绑定 VRF 的接口→匹配该 VRF 路由表→按表转发到目标接口，全程不与其他 VRF 的路由 / 流量交互。

三、拓扑及配置

LSW1:

<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname LSW1

[LSW1]vlan batch 10 20
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type acces
[LSW1-GigabitEthernet0/0/2]port default vlan 10
[LSW1-GigabitEthernet0/0/2]

[LSW1]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 20
[LSW1-GigabitEthernet0/0/3]q

[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[LSW1-GigabitEthernet0/0/1]q

AR1:

<Huawei>sys
[Huawei]undo info-center enable
[Huawei]sysname AR1

在路由器创建VPN实例
[AR1]ip vpn-instance 1 //创建实例
[AR1-vpn-instance-1]ipv4-family //开启ipv4地址族
[AR1-vpn-instance-1-af-ipv4]q
[AR1-vpn-instance-1]q

[AR1]ip vpn-instance 2 //创建实例
[AR1-vpn-instance-2]ipv4-family //开启ipv4地址族
[AR1-vpn-instance-2-af-ipv4]q
[AR1-vpn-instance2]q

将接口绑定到实例
[AR1]int g0/0/1.10
[AR1-GigabitEthernet0/0/1.10]ip binding vpn-instance 1 //将接口加入实例1
[AR1-GigabitEthernet0/0/1.10]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/1.10]dot1q termination vid 10 //配置dot1q终结vlan10，并打上vlan10的标签
[AR1-GigabitEthernet0/0/1.10]arp broadcast enable //开启ARP广播功能
[AR1-GigabitEthernet0/0/1.10]q

[AR1]int g0/0/1.20
[AR1-GigabitEthernet0/0/1.20]ip binding vpn-instance 2
[AR1-GigabitEthernet0/0/1.20]ip add 192.168.2.254 2
[AR1-GigabitEthernet0/0/1.20]dot1q termination vid 20
[AR1-GigabitEthernet0/0/1.20]arp broadcast enable
[AR1-GigabitEthernet0/0/1.20]q

往实例中添加静态路由
[AR1]ip route-static vpn-instance 1 192.168.100.0 24 192.168.101.254
[AR1]ip route-static vpn-instance 2 192.168.200.0 24 192.168.102.254

<AR1>dis ip routing-table vpn-instance 1 //查看实例1
<AR1>dis ip routing-table vpn-instance 2 //查看实例2

AR2:

在路由器创建VPN实例
[AR2]ip vpn-instance 1
[AR2-vpn-instance-1]ipv4-family
[AR2-vpn-instance-1-af-ipv4]q
[AR2-vpn-instance-1]q

[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip binding vpn-instance
[AR2-GigabitEthernet0/0/0]ip add 192.168.101.254 24
[AR2-GigabitEthernet0/0/0]q

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.100.2 24
[AR2-GigabitEthernet0/0/1]ip binding vpn-instance 1
[AR2-GigabitEthernet0/0/1]ip add 192.168.100.2 24
[AR2-GigabitEthernet0/0/1]q

往实例中添加静态路由
[AR2]ip route-static vpn-instance 1 192.168.1.0 24 192.168.101.1

<AR2>dis ip routing-table vpn-instance 1 //查看实例1

AR3:

在路由器创建VPN实例
[AR3]ip vpn-instance 2
[AR3-vpn-instance-2]ipv4-family
[AR3-vpn-instance-2-af-ipv4]q
[AR3-vpn-instance-2]q

[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip binding vpn-instance 1
[AR3-GigabitEthernet0/0/1]ip binding vpn-instance
[AR3-GigabitEthernet0/0/1]ip add 192.168.102.254 24
[AR3-GigabitEthernet0/0/1]q

[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip binding vpn-instance 2
[AR3-GigabitEthernet0/0/0]ip add 192.168.200.2 24
[AR3-GigabitEthernet0/0/0]q

往实例中添加静态路由
[AR3]ip route-static vpn-instance 2 192.168.2.0 24 192.168.102.1