本文檔介紹使用Cisco IOS XE中的路由複製功能配置路由洩漏的過程。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路分段是將網路劃分為更小的隔離部分,以提高安全性、可管理性和運營效率的做法。分段可以在網路的不同層實施,例如VLAN提供第2層分離,而虛擬路由和轉發(VRF)通過允許單個物理裝置同時維護多個獨立的路由表來提供第3層隔離。每個VRF都作為一個獨立路由例項運行,具有自己的介面集、路由協定和轉發決策,確保一個網段的流量不會與另一個網段的流量混合。
組織因各種原因而採用分段,包括分隔業務線、將訪客使用者與公司資源隔離、滿足合規性要求、提供對業務合作夥伴的受控訪問或減少潛在安全事件的範圍。預設情況下,VRF不共用路由資訊,這樣可保留網段之間的邊界,並確保一個VRF中包含的字首始終無法到達另一個VRF。
雖然基於VRF的分段提供了強大的流量隔離,但實際部署通常需要在這些分段之間進行選擇性連線。例如,當多個VRF需要訪問公共資源(如DNS、DHCP、應用伺服器或其他共用服務)時,尤其需要這樣做。路由複製通過將路由從一個VRF複製到另一個VRF來滿足此需求,從而在不拆分基礎分段模型的情況下實現受控的VRF間可達性。
靜態、EIGRP和OSPF路由支援路由複製,並且使用route-replicate命令直接在VRF地址系列下配置。可以應用可選的路由對映來過濾複製的字首,從而提供精細控制並幫助防止路由環路。複製的路由將繼承原始路由的管理距離和源協定,並通過標準內部網關協定(IGP)重分發在虛擬網路中傳播。
在VRF和/或全域性路由表(GRT)之間執行路由洩漏的技術不同,使用路由複製功能的主要區別在於不再需要使用額外的BGP進程來實現洩漏,並且在某些情況下,路由複製可以被視為一種更簡單的方法,因為只需要幾個命令。
附註:儘管路由複製有時在部署中不太常用,但它並不是一項新功能。route-replicate命令是在Cisco IOS XE 3.2S版中引入的,它仍是啟用VRF和GRT之間受控路由洩漏的有效選項。
附註:另請注意,Cisco IOS XE 17.6.1版引入了BGP路由的路由複製和重分發,有關詳細資訊,請參閱Cisco IOS XE 17.x的IP路由配置指南。
此案例演示了路由複製功能如何通過一台裝置實現兩個隔離路由域之間的選擇性連線。
網路分為兩個網段,由中央Catalyst 8500系列路由器(複製路由器)分隔:
VRF_A(左側 — OSPF):Catalyst 9500系列交換機連線端段(10.10.100.0/24)。 C9K和複製路由器之間的鏈路使用子網10.10.10.0/24,其中介面為FortyGigabitEthernet0/2/4.10(10.10.10.1)。
VRF_B(右側 — EIGRP):Catalyst 8500系列路由器連線服務器段(10.20.200.0/24)。 此C8K與複製路由器之間的鏈路使用子網10.20.20.0/24,其中複製路由器介面為TenGigabitEthernet0/0/2.20(10.20.20.1)。
路由複製拓撲 — 場景1(VRF到VRF)
首先定義VRF。此步驟建立獨立的路由表,使網段保持隔離。通過建立VRF_A和VRF_B,您可以為單獨的環境奠定基礎。您可以將其視為建立兩個不同的「通道」,供資料通過。
| 複製路由器 |
|
接下來,將您的介面分配給各自的VRF。此步驟非常重要,因為它會告訴路由器哪些物理或邏輯埠屬於哪個路由表。如果沒有此對映,路由器就不能將流量定向到正確的網段。它確保資料進入您在第一步中建立的特定通道。
| 複製路由器 |
|
在此場景中,使用OSPF和EIGRP協定在連線終端的C9K與提供伺服器可達性的C8K之間共用路由資訊。此步驟允許路由器建立OSPF和EIGRP鄰居關係並動態學習和通告路由。
配置重分發可使路由器在不同域之間共用路由資訊。此步驟至關重要,因為它提供了通告複製路由所需的可視性。例如,從VRF_A中的OSPF鄰居學習的字首可以複製到VRF_B中。一旦該路由存在於VRF_B路由表中,重分發即允許路由器將該字首通告到EIGRP進程。
| 複製路由器 |
|
最後,請在每個VRF的地址系列中應用route-replicate命令。這是功能的核心。它允許您直接將路由從一個VRF匯入到另一個VRF中。此方法簡化了您的配置,因為它不再需要額外的BGP進程。這是實現資料段之間受控可達性的一種簡單而有效的方式。
| 複製路由器(將OSPF路由從VRF_A拉入VRF_B) |
|
| 複製路由器(將來自VRF_B的EIGRP路由拉入VRF_A) |
|
路由複製路由器和鄰居的輸出確認洩漏成功:
路由表重要的標誌/代碼
附註:不帶+標籤的路由是該VRF的本機(直接連線或通過同一VRF中的OSPF/EIGRP正常獲取)。
| 複製路由器 |
|
| 終端Catalyst 9K | 伺服器Catalyst 8K |
|
|
在此場景中,複製路由器通過GRT中的OSPF學習終端網路192.168.100.0/24,並將該路由複製到VRF_B。複製後,該路由在VRF_B路由表中顯示為OSPF獲取的已複製路由,然後在正確重分發後,可供Servers端的EIGRP域使用。同樣,複製路由器通過VRF_B中的EIGRP學習伺服器網路10.20.200.0/24,然後將該路由複製到GRT中:
路由複製拓撲 — 場景2(GRT到VRF)
此過程與先前的場景類似。在這種情況下,必須定義VRF,在GRT中建立OSPF鄰接關係,在VRF中建立EIGRP鄰接關係;因此,此配置不在本節中介紹。
主要區別在於在GRT和VRF之間啟用此功能所需的配置命令集:
| 複製路由器(將OSPF路由從GRT拉入VRF_B) |
|
| 複製路由器(將來自VRF_B的EIGRP路由拉入GRT) |
|
確保配置了相互重分發,以便複製路由器將複製的路由通告給相應的鄰居:
| 複製路由器 |
|
使用下一個驗證命令來確認路由複製是否按預期工作,以及GRT和VRF_B之間的端到端連線是否可用。驗證複製的路由存在於相應的路由表中,已建立OSPF和EIGRP鄰接關係,並且流量能夠使用ping成功到達遠端網路。
驗證包括:
| 複製路由器 |
|
| 終端Catalyst 9K | 伺服器Catalyst 8K |
|
|
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
02-Jul-2026
|
初始版本 |