本文档介绍使用Cisco IOS XE中的路由复制功能配置路由泄漏的过程。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
网络分段是指将网络划分为更小的隔离部分,以提高安全性、可管理性和运营效率的做法。可以在网络的不同层实施分段,例如VLAN提供第2层分离,而虚拟路由和转发(VRF)通过允许单个物理设备同时维护多个独立的路由表来提供第3层隔离。每个VRF都作为一个独立路由实例运行,具有自己的接口、路由协议和转发决策集,从而确保来自一个网段的流量不会与来自另一个网段的流量混合。
组织出于各种原因采用细分,包括分隔业务部门、将访客用户与企业资源隔离、满足合规性要求、提供对业务合作伙伴的受控访问或缩小潜在安全事件的范围。默认情况下,VRF不共享路由信息,这样可以保留网段之间的边界,并确保一个VRF中包含的前缀从另一个保持不可达。
虽然基于VRF的分段提供了强大的流量隔离,但实际部署通常需要在这些分段之间进行选择性连接。例如,当多个VRF需要访问公共资源(如DNS、DHCP、应用服务器或其他共享服务)时,情况尤其如此。路由复制通过将路由从一个VRF复制到另一个VRF来满足此需求,从而在不拆除底层分段模型的情况下实现受控的VRF间可达性。
静态路由、EIGRP路由和OSPF路由支持路由复制,并且使用route-replicate命令直接在VRF地址系列下配置。可选的路由映射可用于过滤复制的前缀,从而提供精细控制并帮助防止路由环路。复制的路由将继承原始路由的管理距离和源协议,并通过标准内部网关协议(IGP)重分发在虚拟网络中传播。
在VRF和/或全局路由表(GRT)之间执行路由泄漏的技术不同,使用路由复制功能的主要区别在于不再需要额外的BGP进程来实现泄漏,并且在某些情况下,路由复制可以被视为一种更简单的方法,因为只需要几个命令。
注意:尽管路由复制有时在部署中不太常用,但它并不是一项新功能。route-replicate命令是在Cisco IOS XE版本3.2S中引入的,它仍然是在VRF和GRT之间启用受控路由泄漏的有效选项。
注意:另请注意,Cisco IOS XE版本17.6.1中引入了BGP路由的路由复制和重分发,有关详细信息,请参阅Cisco IOS XE 17.x的IP路由配置指南。
此场景演示了路由复制功能如何通过一台设备在两个隔离的路由域之间实现选择性连接。
网络分为两个网段,由中央Catalyst 8500系列路由器(复制路由器)分隔:
VRF_A(左侧 — OSPF):Catalyst 9500系列交换机连接终端网段(10.10.100.0/24)。 C9K和复制路由器之间的链路使用子网10.10.10.0/24,其中接口为FortyGigabitEthernet0/2/4.10(10.10.10.1)。
VRF_B(右侧 — EIGRP):Catalyst 8500系列路由器连接服务器网段(10.20.200.0/24)。 此C8K与复制路由器之间的链路使用子网10.20.20.0/24,其中复制路由器接口为TenGigabitEthernet0/0/2.20(10.20.20.1)。
路由复制拓扑 — 场景1(VRF到VRF)
首先定义VRF。此步骤创建独立的路由表,使网段保持隔离。通过创建VRF_A和VRF_B,您可以为单独的环境奠定基础。您可以将其视为创建两个不同的“通道”,供数据通过。
| 复制路由器 |
|
接下来,将接口分配到各自的VRF。此步骤非常重要,因为它会告诉路由器哪些物理或逻辑端口属于哪个路由表。如果没有此映射,路由器将无法将流量定向到正确的数据段。它确保数据进入您在第一步中创建的特定通道。
| 复制路由器 |
|
在此场景中,OSPF和EIGRP协议用于在连接终端的C9K与提供服务器可达性的C8K之间共享路由信息。此步骤允许路由器形成OSPF和EIGRP邻居关系并动态学习和通告路由。
配置重分发可使路由器在不同域之间共享路由信息。此步骤至关重要,因为它提供了通告复制路由所需的可视性。例如,从VRF_A中的OSPF邻居获知的前缀可以复制到VRF_B。一旦该路由存在于VRF_B路由表中,重分发即允许路由器将该前缀通告到EIGRP进程中。
| 复制路由器 |
|
最后,在每个VRF的地址系列中应用route-replicate命令。这是功能的核心。它允许您直接将路由从一个VRF导入另一个VRF。此方法可简化配置,因为它无需额外的BGP进程。这是实现网段之间受控连通性的一种简单而有效的方法。
| 复制路由器(将来自VRF_A的OSPF路由拉入VRF_B) |
|
| 复制路由器(将来自VRF_B的EIGRP路由拉入VRF_A) |
|
路由复制路由器和邻居的输出确认泄漏成功:
路由表重要的标志/代码
注意:没有+标志的路由是该VRF的本征(直接连接,或者由同一VRF内的OSPF/EIGRP正常获取)。
| 复制路由器 |
|
| 终端Catalyst 9K | 服务器Catalyst 8K |
|
|
在此场景中,复制路由器通过GRT中的OSPF获取终端网络192.168.100.0/24,并将该路由复制到VRF_B。复制后,该路由在VRF_B路由表中显示为OSPF获取的已复制路由,然后在正确重分发后可用于服务器端的EIGRP域。同样,复制路由器通过VRF_B中的EIGRP获取服务器网络10.20.200.0/24,然后将该路由复制到GRT:
路由复制拓扑 — 场景2(GRT到VRF)
此过程与上一个场景类似。在这种情况下,必须定义VRF,在GRT中建立OSPF邻接关系,在VRF中建立EIGRP邻接关系;因此,此配置不在本节中介绍。
主要区别在于GRT和VRF之间启用此功能所需的配置命令集:
| 复制路由器(将来自GRT的OSPF路由拉入VRF_B) |
|
| 复制路由器(将来自VRF_B的EIGRP路由拉入GRT) |
|
确保配置了相互重分发,以便复制路由器将复制的路由通告给相应的邻居:
| 复制路由器 |
|
使用下一个验证命令确认路由复制是否按预期工作,以及GRT和VRF_B之间的端到端连接是否可用。验证复制的路由存在于相应的路由表中,已建立OSPF和EIGRP邻接关系,并且流量可以使用ping成功到达远程网络。
验证包括:
| 复制路由器 |
|
| 终端Catalyst 9K | 服务器Catalyst 8K |
|
|
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
02-Jul-2026
|
初始版本 |