Enrutamiento virtual

Definición de VRF

Las siglas VRF provienen del término de enrutamiento virtual en inglés (Virtual Routing and Forwarding), las cuales aluden a un tipo de tecnología que permite a múltiples instancias de una tabla de enrutamiento existir en el mismo router y trabajar de manera simultánea. Este tipo de tecnología se aplica en routers de red IP con el objetivo de obtener una segmentación lógica para diferentes clientes, aumentando al mismo tiempo el nivel de seguridad. Como cada VRF es independiente, la misma subred IP puede existir en dos VRFs distintas.

La segmentación se realiza a través de la virtualización de las tablas de enrutamiento, o lo que es lo mismo, el router asigna a cada interfaz su propia tabla, diferente a la tabla global. Así, cada interfaz es capaz de hacer uso de la dirección IP sin que esto produzca un conflicto entre ellos.

Un ejemplo común serían los ISPs con clientes múltiples, en los que no se desea que unos clientes tengan acceso a otros clientes determinados.

Las tablas de enrutamiento

Recordemos que a través de la tecnología VRF, el router asocia su propia tabla a cada interfaz, distinguiéndola de la tabla global. De este modo diferenciaríamos entre dos tipos de tablas:

  • La tabla de enrutamiento global, dentro de la cual permanecen las rutas propias a su infraestructura. Puede consultarse a través del comando: Router#show ip route.
  • La tabla de enrutamiento independiente por cada VRF, con las rutas de la red virtual a las que pertenece dicha VRF. Su estructura se define mediante el intercambio de información de enrutamiento con otras VRFs de la red. Puede consultarse mediante el comando: Router#show ip route vrf Prueba1

Elementos que definen una VRF

  • El nombre: sirve como identificación dentro del dispositivo y posibilita el acceso al modo de configuración de dicha VRF.
  • El Route Distinguiser: sirve como identificación dentro de la red virtual para las propias VRF que la componen e intercambian información entre sí.
  • El Imported Route Target: sirve para identificar de qué otra VRF dentro de la misma red se extrae la información para el enrutamiento de esa.
  • El Exported Route Target: en este caso, identifica la VRF dentro de la misma red virtual a la que se envía la información de enrutamiento de la VRF.
  • El conjunto de interfaces que vayan asociadas a la propia VRF.

Cómo implementar VRF

A la hora de realizar una implementación de VRF existen cuatro pasos fundamentales:

  1. Definición de las distintas VRF.
  2. Asignación de un identificador diferente para cada VRF con el fin de indicar al router cómo realizar la separación de las rutas.
  3. Asociación de las distintas interfaces VRF y asignación de las direcciones IP.
  4. Configuración de un protocolo de enrutamiento para la VRF.

Principales ventajas de implementar VRF

La implementación de VRF conlleva una serie de beneficios estructurales a tener en cuenta:

  • A través de un mismo hardware se puede separar el tráfico y desarrollar un enrutamiento de diferentes clientes.
  • Optimización de las funcionalidades de la red mediante una segmentación de rutas y sin necesidad de utilizar más de un router.
  • Mejora en la seguridad de la red con una segregación del tráfico de manera automática.

Resumidamente, hablamos de una tecnología más eficiente, que permite aumentar la seguridad al tiempo que se ahorra en infraestructura física.

VRF Lite

VRF Lite es el modo más sencillo de implementación de VRF. En este caso, cada router de la red toma parte dentro del entorno de enrutamiento virtual a través de un modo de conexión con vecinos.
VRF Lite es la modalidad de implementación de VRF que utilizan los proveedores de servicios para implementar diferentes VPN en las que las direcciones IP pueden superponerse. Las VRF contienen las rutas accesibles en la VPN para los sitios de los clientes. Con el fin de prevenir que no entre ni salga tráfico fuera de la VPN, la VRF posee información de reenvío de paquetes en las tablas IP y CEF.

Este tipo de implementación está especialmente recomendada para pequeñas y medianas empresas, así como para centros de datos compartidos. En algunas empresas de hecho, se utiliza directamente para separar el tráfico de distintos servicios de las aplicaciones que sean más importantes para el negocio a modo de protección.