Podkast 22T43 Zabezpieczanie MGMT – Dedykowane VRF

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to VRR dla interfejsów management. Dziś opowiem o pięciu punktach. Kolejno: co to jest VRF, dlaczego warto stosować VRF’y, jak można zastosować VRF dla menagement’u, inne przypadki użycia, troszkę szerzej jakie są możliwości zastosowania VRF’ów w innych scenariuszach. Na końcu powiem kilka słów dotyczących konfiguracji.

Zacznijmy więc od tego co to jest VRF. VRF czyli wirtualna tablica routingu. Jest to twór, który pozwala nam wirtualizować funkcje routera dla różnych interfejsów. Tak jak dla przełącznika możemy jeden fizyczny przełącznik podzielić na ileś VLAN’ów i konkretne porty przypisać do konkretnych VLAN’ów, tak w przypadku wirtualnych tablic routingu możemy router potraktować jako kilka osobnych, wydzielonych zupełnie, odizolowanych od siebie routerów, które działają na jednym urządzeniu.

Po co się to stosuje? Przede wszystkim jak już wspomniałem ponieważ główną cechą jest separacja, to po to, żeby oddzielić różne typy usług. Jeżeli chodzi o taką największą zaletę w kontekście sieci firmowych, nie operatorskich to jest przede wszystkim możliwość użycia takiego osobnego VRF’u dla interfejsu zarządzania. Czyli jeśli mamy proste urządzenie, nie uruchamiamy na nim żadnego routingu tylko mamy po prostu default gateway to mając takie rozróżnienie różnych VRF’ów możemy powiedzieć, że domyślny gateway dla jakiejś grupy dotyczącej jednego jednego VRF’u czy jednej tablicy routingu ma iść w tym kierunku. Jednak dla naszego interfejsu zarządzania będziemy używać zupełnie osobnego VRF’u, osobnej tablicy routingu i będziemy na innego gateway’a kierować ten ruch.

W niektórych przypadkach w takich urządzeniach bardziej zaawansowanych, trochę droższych stosuje się osobne fizyczne porty menagement’owe, które pozwalają nam oddzielić ten ruch menagement’owy od całej reszty. Tutaj może nie jest to pełne rozumienie VRF’u dla zarządzania ale taki interfejs najczęściej jest porostu odrębnym bytem dla którego konfiguruje się osobnego gateway’a. To jest warunek spełniony jeżeli chodzi o koncept izolacji systemu zarządzania. Natomiast na niektórych urządzeniach nie ma dedykowanego interfejsu zarządzania, możemy jednak wyodrębnić sobie taki interfejs tworząc osobny VRF. Np. na MikroTiku można zrobić w ten sposób, że tworzymy jeden VRF dodatkowy, taki menagement i przypisujemy mu jakiś konkretny interfejs do którego będzie powiązany ten VRF. Dzięki temu mam pełną separację tych tablic routingu i możemy ustawić różne parametry dotyczące next-hop’a, czyli następnego urządzenia, do którego pakiet będzie wysyłany.

Jakie mogą być inne przypadki użycia? Generalnie koncepcja VRF’ów wywodzi się bardziej ze środowiska operatorskiego. Typowy scenariusz: mamy nasze środowisko szkieletowe jako operator, gdzie jest uruchomiony po prostu jakiś nasz protokół routingu ale nasze usługi są sprzedane do różnych klientów, czyli każdy z tych klientów jest odrębnym bytem, który chce przenosić pakiety przez naszą sieć. W takiej sieci, przynajmniej dziś, najczęściej stosuje się MPLS’a czyli technologię, która pozwala nam odznaczyć pakiety i dzięki temu też odseparować poszczególnych klientów od siebie. Załóżmy, że jest klient, który ma różne lokalizacje w Polsce i my jako operator byśmy chcieli sprzedać mu taką usługę jego sieci wirtualnej, prywatnej. Tutaj oczywiście nie mówimy o żadnym szyfrowaniu tylko o pewnej wydzielonej logice, to wtedy możemy właśnie stosować osobną tablicę routingu dla każdego z tych VRF’ów. Tu oczywiście jest trochę inny kontekst urządzenia brzegowego, trochę inny konktekst urządzeń szkietelowych ale tu nie będziemy dzisiaj wnikać jakoś bardzo szczegółowo w koncepcje operatorskie. W każdym razie warto zauważyć, że jeżeli łączymy na urządzeniu tzw. PE czyli brzegowym operatora, różnych klientów to tam właśnie stosujemy różne VRF’y które są powiązane z różnymi instancjami MPLS’owymi. Dzięki temu możemy w jednej takiej strukturze obsługiwać i separować od siebie różnych klientów zapewniając im odpowiednią komunikację a jednocześnie separację pomiędzy klientami.

Skąd się w ogóle wywodzi VRF i jego koncepcja? Jeżeli chodzi o sieć firmową, korporacyjną to oczywiście w jej kontekście zarządzania można to wykorzystać, zwłaszcza jeżeli masz taką rozbudowaną możliwość konfiguracji na urządzeniu L3, jakimś routerze, firewallu, który umożliwia konfigurację VRF’ów to dostajesz narzędzie bardzo elastyczne w wirtualizacji tej funkcjonalności L3 na urządzeniu typu router.

Na koniec typowe kroki, jakie należy wykonać do tego, żeby skonfigurować taki VRF. Pierwszy typowy krok to jest oczywiście dodanie nowego VRF’u czyli nowej instancji na danym urządzeniu. Kolejnym krokiem w konfiguracji takiej koncepcji będzie dodanie interfejsów do danego VRF’u aby było wiadomo jaka tablica routingu obsługuje które interfejsy. Następny krok to adresacja w danym VRF’ie, to już klasycznie tak jak w każdym innym przypadku nowego podłączenia. Trzeba po prostu odpowiednio zaadresować interfejsy. Na końcu, jeśli chcesz używać np. do managementu takiego dedykowanego VRF’a to trzeba przypisać oczywiście konkretne usługi które będą działały w tym VRF’ie.

Tak to mniej więcej właśnie wygląda jeżeli chodzi o koncepcję implementacji VRF’a na MikroTiku. Czyli gdy chcemy się podłączyć do MikroTika po SSH i chcemy to robić w wydzielonym VRF’ie to usługę SSH podłączamy do VRF’u management. Tego, który stworzyliśmy wcześniej. Tutaj oczywiście szacunek, jeśli chodzi o zakres funkcjonalny, który MikroTik oferuje ponieważ przy tej cenie i funkcjonalności to jest faktycznie wyjątkowe w dostępnych urządzeniach. Większość urządzeń dla takiej klasy cenowej nie ma takiej funkcjonalności a urządzenia, które to mają kosztują najczęściej dużo więcej. Więc jeśli chciałbyś nauczyć się lub zarządzasz już jakąś siecią i chciałbyś podłączyć sobie taki VRF to zachęcam Cię do mojego odcinka na yt, który pokazuje jak skonfigurować krok po kroku taką instancje VRF management’u na urządzeniu typu MikroTik.

Na dziś to tyle, jeśli masz jakieś uwagi, sugestie czy pytania to oczywiście pisz w komentarzu. Dziękuję Ci za uwagę i do zobaczenia już za tydzień.