1. 概述

虚拟路由转发（VRF, Virtual Routing and Forwarding）是一种在单一物理设备上创建多个逻辑路由表的技术。它广泛应用于 MPLS VPN、多租户环境、防火墙虚拟化等场景，用于实现业务隔离与安全增强。

2. VRF 原理

• 每个 VRF 拥有独立的路由表和转发实例。
• 接口可绑定到特定 VRF，从而实现逻辑隔离。
• 不同 VRF 的路由协议进程相互独立，避免冲突。

3. VRF 功能

• 多路由表虚拟化：一台设备可承载多个逻辑路由器。
• 流量隔离：不同 VRF 的流量完全独立。
• 安全增强：敏感业务可放入专用 VRF，避免数据泄露。
• 简化管理：策略和配置仅影响对应 VRF。
• 测试灵活：可在 VRF 内进行实验，不影响生产网络。

4. VRF 应用场景

• MPLS VPN：运营商为不同客户提供隔离的 VPN 服务。
• 防火墙虚拟化：在一台设备上运行多个虚拟防火墙。
• 多租户数据中心：为不同租户提供独立逻辑网络。
• 企业业务隔离：不同部门或业务单元运行在独立 VRF。
• 解决地址冲突：每个 VRF 拥有独立的地址空间。

5. VRF 配置示例（Huawei）

# 创建 VPN 实例
[Huawei] ip vpn-instance vpn1

# 使能 IPv4 地址族
[Huawei-vpn-instance-vpn1] ipv4-family

# 接口绑定到 VPN 实例
[Huawei-GigabitEthernet0/0/0] ip binding vpn-instance vpn1

# 添加静态路由
[Huawei] ip route-static vpn-instance vpn1 10.1.1.0 24 192.168.1.1

# 创建 OSPF 进程并绑定 VPN 实例
[Huawei] ospf 1 vpn-instance vpn1

# 查看路由表
[Huawei] display ip routing-table vpn-instance vpn1

6. 运维要点

• 接口绑定/解绑 VRF 会清除 IP 配置，需要重新配置。
• 不同 VRF 的路由协议进程号不可重叠。
• Ping/Tracert 默认走全局路由表，需加 -vpn-instance 参数。
• 审计/排错时要明确 VRF 范围，避免误判。

7. 验证与排错

• 验证路由表：display ip routing-table vpn-instance <name>
• 连通性测试：ping -vpn-instance <name> <host>
• 路径跟踪：tracert -vpn-instance <name> <host>

8. 常见问题与回滚

• 问题：接口解绑后 IP 丢失 → 重新配置接口 IP。
• 问题：路由协议进程冲突 → 修改进程号，确保唯一。

• 回滚步骤：

  1. 解绑接口：undo ip binding vpn-instance <name>
  2. 删除静态路由：undo ip route-static vpn-instance <name> ...
  3. 删除 VPN 实例：undo ip vpn-instance <name>

9. 最佳实践

• 为每个 VRF 制定独立的地址规划。
• 在多租户环境中，结合 ACL/策略路由进一步强化隔离。
• 定期审计 VRF 配置，确保安全与合规。
• 在测试环境中先验证配置，再应用到生产网络。

10. 总结

VRF 技术通过逻辑路由表隔离，实现了安全、灵活的网络架构。合理的配置与运维可显著提升网络的可管理性与可靠性。

11. 跨厂商 VRF 配置对比

①. VRF 基本概念

• Huawei/H3C：称为 VPN Instance，每个实例拥有独立的路由表和转发表。
• Juniper：称为 Routing-instance，类型为 vrf，需配置 RD/RT。
• FortiGate：通过 VRF table-id 实现路由表隔离，结合 VDOM 可实现更强的资源隔离。

②. 配置对比表

③. 配置示例

Huawei

[Huawei] ip vpn-instance VRF_APP
[Huawei-vpn-instance-VRF_APP] ipv4-family
[Huawei-GigabitEthernet0/0/1] ip binding vpn-instance VRF_APP
[Huawei-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0
[Huawei] ip route-static vpn-instance VRF_APP 10.20.0.0 24 10.10.10.254

H3C

[H3C] ip vpn-instance VRF_DB
[H3C-vpn-instance-VRF_DB] ipv4-family
[H3C-GigabitEthernet1/0/1] ip binding vpn-instance VRF_DB
[H3C-GigabitEthernet1/0/1] ip address 172.16.10.1 24
[H3C] ip route-static vpn-instance VRF_DB 172.16.20.0 24 172.16.10.254

Juniper

set routing-instances VRF_WEB instance-type vrf
set routing-instances VRF_WEB route-distinguisher 65001:100
set routing-instances VRF_WEB vrf-target target:65001:100
set interfaces ge-0/0/1 unit 100 family inet address 192.168.10.1/24
set interfaces ge-0/0/1 unit 100 family inet vrf VRF_WEB
set routing-instances VRF_WEB routing-options static route 192.168.20.0/24 next-hop 192.168.10.254

FortiGate

config system vrf
    edit 10
        set comment "VRF_APP"
    next
end
config system interface
    edit "port2"
        set vrf 10
        set ip 10.30.10.1 255.255.255.0
    next
end
config router static
    edit 1
        set vrf 10
        set dst 10.30.20.0 255.255.255.0
        set gateway 10.30.10.254
    next
end

④. 运维要点

• 接口绑定/解绑：Huawei/H3C 接口绑定 VRF 会清除 IP 配置，需重新配置。
• 进程号冲突：Huawei/H3C 不同 VRF 的 OSPF/BGP 进程号不可重叠。
• RD/RT 配置：Juniper 必须配置 RD/RT，否则路由无法导入导出。
• 策略范围：FortiGate 防火墙策略需明确引用 VRF 接口，避免误匹配。

⑤. 验证与排错

• Huawei/H3C：display ip routing-table vpn-instance NAME；ping -vpn-instance NAME host
• Juniper：show route table VRF_NAME.inet.0；ping routing-instance NAME host
• FortiGate：get router info routing-table vrf N；execute ping-options vrf N

⑥. 常见问题与回滚

• 接口 IP 丢失：重新配置接口 IP。
• 路由进程冲突：修改进程号，确保唯一。
• RD/RT 缺失：Juniper 补充 RD/RT 配置。
• 策略错误：FortiGate 检查防火墙策略引用的 VRF 接口。