VRF (Virtual Routing & Forwarding)

1. ¿Qué es VRF?

Virtual Routing and Forwarding (VRF) es una tecnología que permite crear múltiples tablas de enrutamiento dentro de un mismo router o dispositivo de red. Esencialmente, VRF divide un router físico en varios routers virtuales e independientes. Cada instancia de VRF tiene su propia tabla de enrutamiento, su propio conjunto de interfaces, y su propia tabla de reenvío (forwarding table).

1.1 ¿Por qué usar VRF?

  1. Aislamiento y Seguridad: VRF proporciona aislamiento total entre las diferentes redes de clientes o departamentos dentro de una organización. Los paquetes de un VRF no pueden pasar a otro VRF a menos que se configure explícitamente una ruta entre ellos. Esto es crucial en entornos donde diferentes clientes comparten la misma infraestructura de red pero requieren un aislamiento completo de sus datos.
  2. Solución para Superposición de Direcciones IP: Permite el uso de direcciones IP que se superponen entre diferentes VRF. Esto significa que dos clientes pueden usar la misma subred (ej. 192.168.1.0/24) sin conflictos, ya que cada uno opera en su propia instancia de enrutamiento.
  3. Simplificación de la Red: Reduce la necesidad de tener múltiples routers físicos, consolidando la infraestructura en un solo dispositivo. Esto ahorra costos y simplifica la gestión.
  4. Escalabilidad: Facilita la expansión de la red al permitir añadir nuevos VRF sin afectar los existentes.

1.2 Componentes Clave de VRF

  • Tabla de Enrutamiento (Routing Table): Cada VRF tiene su propia tabla de enrutamiento independiente, que contiene las rutas para las redes asociadas con ese VRF.
  • Tabla de Reenvío (Forwarding Table): También conocida como FIB (Forwarding Information Base), contiene la información necesaria para reenviar paquetes basándose en las rutas de su VRF.
  • Conjunto de Interfaces: Las interfaces se asignan a un VRF específico. Una interfaz solo puede pertenecer a un VRF a la vez. Los paquetes que entran por una interfaz asignada a un VRF solo pueden ser enrutados utilizando la tabla de enrutamiento de ese VRF.

2. VRF-Lite vs. MPLS VPNs

Existen dos implementaciones principales de VRF:

  1. VRF-Lite: Es una versión más sencilla y ligera de VRF, diseñada para entornos más pequeños o para la segmentación de redes dentro de un único sitio. No requiere MPLS (Multiprotocol Label Switching) y es ideal para situaciones donde no se necesita la complejidad y escalabilidad de una VPN MPLS completa. En VRF-Lite, los router adyacentes a un router con VRF-Lite deben tener una interface para cada VRF o VLAN para comunicarse.

    • Ventajas de VRF-Lite:
      • Fácil de configurar.
      • No requiere MPLS.
      • Ideal para segmentación LAN o WAN en un solo router o en routers de borde.
    • Limitaciones de VRF-Lite:
      • No es tan escalable como MPLS VPNs para grandes redes de proveedores de servicios.
      • Cada VRF requiere una interfaz física o lógica (subinterfaz) dedicada en el router o en el router adyacente para la conectividad WAN o LAN, lo que puede consumir muchos recursos en un router si hay muchos VRF.

  2. MPLS VPNs (Virtual Private Networks): Utilizan VRF en conjunto con MPLS para crear VPNs escalables y robustas a través de una red de proveedor de servicios. Cada cliente tiene su propio VRF en los routers de borde del proveedor, y MPLS se utiliza para transportar el tráfico de cada VRF de forma segura y aislada a través de la red central.

    • Ventajas de MPLS VPNs:
      • Altamente escalables para grandes redes de proveedores de servicios.
      • Permite que los clientes utilicen direcciones IP superpuestas.
      • Soporta diferentes tipos de VPNs (Layer 2 y Layer 3).
    • Limitaciones de MPLS VPNs:
      • Mayor complejidad de configuración.
      • Requiere MPLS en la red del proveedor.

3. Restricciones Importantes de VRF

  • Aislamiento de Tráfico: El tráfico en un VRF no se reenvía fuera de su propia tabla de enrutamiento. Si dos VRF necesitan comunicarse, se debe configurar una ruta explícita entre ellos, generalmente a través de una interfaz común o un router de servicio compartido.
  • Interfaces Dedicadas: Una interfaz puede pertenecer solo a un VRF. Esto significa que si tienes dos VRF que necesitan conectarse a la misma red física (ej. un mismo switch VLAN), necesitarás dos interfaces lógicas (subinterfaces) o físicas, cada una asignada a un VRF diferente.
  • Superposición de Direcciones IP: VRF permite el uso de direcciones IP superpuestas sin problemas, ya que cada VRF las trata como si fueran un espacio de direcciones independiente.
  • Problemas de Conectividad con IPs Superpuestas: Si dos interfaces asignadas a VRF diferentes usan la misma dirección IP, no habrá problemas de conectividad dentro de sus respectivos VRF. Sin embargo, si estas interfaces intentaran comunicarse con el mismo dispositivo externo que no sabe de VRF, podría haber conflictos de enrutamiento si ese dispositivo no puede distinguir entre los dos VRF.

4. Configuración Básica de VRF en Cisco IOS

VRF

Vamos a configurar dos VRF, USER1 (VRF-1 en la figura) y USER2 (VRF-2 en la figura), y asignaremos interfaces a cada uno.

Requerimientos del Escenario:

  • VRF USER1:
    • Interfaz Gi0/0/0 (conectada a la red 192.168.1.0/24)
    • Dirección IP 192.168.1.254
  • VRF USER2:
    • Interfaz Gi0/0/1 (conectada a la red 192.168.1.0/24) - ¡Nota la superposición de la subred!
    • Dirección IP 192.168.1.254

Pasos de Configuración:

  1. Crear las instancias de VRF:

    Router(config)# ip vrf USER1
Router(config-vrf)# exit
Router(config)# ip vrf USER2
Router(config-vrf)# exit

    🧐 En versiones más recientes de IOS-XE, la sintaxis puede ser vrf definition USER1. En las imágenes, se utiliza la sintaxis más antigua ip vrf USER1.

  2. Asignar interfaces a los VRF y configurar sus direcciones IP:

    Para USER1:

    Router(config)# interface G0/0/0
Router(config-if)# ip vrf forwarding USER1
Router(config-if)# ip address 192.168.1.254 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit

    Para USER2:

    Router(config)# interface G0/0/1
Router(config-if)# ip vrf forwarding USER2
Router(config-if)# ip address 192.168.1.254 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit

    De manera similar configurar G0/0/2 y G0/0/3.

    • 🧐 Cuando se asigna una interfaz a un VRF usando ip vrf forwarding <vrf-name>, la dirección IP configurada previamente en esa interfaz se remueve automáticamente. Es necesario volver a configurar la dirección IP después de asignar la interfaz al VRF.

4.1 Verificación de la Configuración de VRF

  1. Mostrar las instancias de VRF:

    Router# show ip vrf

    Este comando lista los VRF configurados y las interfaces asociadas a cada uno.

  2. Mostrar la configuración de una interfaz con VRF:

    Router# show ip interface Gi0/0/0
GigabitEthernet0/0/0 is up, line protocol is up
  IP information verified for VRF USER1
  IP address is 192.168.1.254/24

    Aquí podemos ver que la interfaz Gi0/0/0 está asociada con VRF USER1 y su dirección IP.

  3. Mostrar la tabla de enrutamiento para un VRF específico:

    Router# show ip route vrf USER1

    Este comando muestra la tabla de enrutamiento para USER1. Esta tabla de ruta solo contiene las rutas directamente conectadas a la interfaces Gi0/0/0 y Gi0/0/2; y su dirección local. De manera similar, para USER2, este comando mostraría su propia tabla de enrutamiento que refleja la conexión a Gi0/0/1 y Gi0/0/3. A pesar de que ambos VRF utilizan la misma subred (192.168.1.0/24) y la misma dirección IP (.254) en las interfaces Gi0/0/0 y Gi0/0/1, sus tablas de enrutamiento son completamente separadas e independientes, lo que demuestra el aislamiento de VRF.

  4. Mostrar la tabla de enrutamiento global (si aplica):

    Router# show ip route

    Este comando mostraría la tabla de enrutamiento global del router, que no incluye las rutas de los VRF a menos que se hayan importado o exportado explícitamente, o que existan rutas para interfaces no asociadas a ningún VRF.

4.2 Pruebas de Conectividad con VRF

Para probar la conectividad de los dispositivos dentro de un VRF, debemos especificar el VRF al usar comandos como ping o traceroute.

  1. Ping desde un VRF:

    Router# ping vrf USER1 192.168.1.1

    Aquí estamos haciendo ping a la dirección 192.168.1.1 dentro del contexto del VRF USER1. Esto significa que el router utilizará la tabla de enrutamiento de USER1 para encontrar la ruta hacia 192.168.1.1 a través de Gi0/0/0.

    🧐 ¿Qué pasaría si intentamos hacer ping sin especificar el VRF?

    Router# ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

    Si intentamos hacer ping a 192.168.1.1 sin el comando vrf, el router intentará usar la tabla de enrutamiento global. Dado que 192.168.1.0/24 está directamente conectada a interfaces que están en VRF, y no hay una instancia de 192.168.1.0/24 en la tabla global, el ping fallará porque no hay una ruta en la tabla de enrutamiento global para ese destino.

👉 VRF es una herramienta poderosa para la segmentación de red y la consolidación de infraestructura. Al entender cómo funciona y cómo configurarlo, puedes diseñar redes más robustas, seguras y escalables. Recuerda que el aislamiento es la característica clave, y cualquier comunicación entre VRF debe ser explícitamente configurada.