VRF-Lite (Virtual Routing and Forwarding) permet à un seul routeur physique de se comporter comme plusieurs routeurs indépendants, chacun avec sa propre table de routage, ses propres interfaces et son propre plan d'adressage, sans la moindre fuite de l'un vers l'autre. C'est la technique de base de la virtualisation réseau, utilisée aussi bien par les opérateurs pour séparer leurs clients que par les entreprises pour isoler leurs filiales, leurs environnements ou leurs niveaux de sécurité sur une infrastructure mutualisée.

Le laboratoire

La maquette met en scène plusieurs routeurs reliés en chaîne, configurés pour héberger deux clients indépendants, Customer_A et Customer_B, chacun disposant de son propre VRF, de ses propres sous-réseaux IPv4 (10.x.x.0/24, 192.168.x.0/24) et de son adressage IPv6 dédié. Le double étiquetage (un VRF par client, une interface ou sous-interface par VRF) garantit que les deux infrastructures restent totalement étanches l'une de l'autre, bien que physiquement portées par les mêmes équipements.

Topologie du laboratoire VRF Lite : routeurs en chaîne hébergeant les VRF Customer_A et Customer_B avec adressage IPv4 et IPv6 dédié
Topologie du laboratoire : schéma d'ensemble : routeurs, interfaces, VRF Customer_A / Customer_B et plan d'adressage IPv4/IPv6 associé à chacun.

Mise en œuvre, étape par étape

  • 1. Déclarer les instances VRF : chaque client est créé avec ip vrf definition Customer_A (IOS classique) ou son équivalent moderne vrf definition, en activant les familles d'adresses address-family ipv4 et address-family ipv6 nécessaires au double adressage.
  • 2. Activer le routage IPv6 : la commande globale ipv6 unicast-routing est requise sur chaque routeur avant de pouvoir attribuer la moindre adresse IPv6 à une interface membre d'un VRF.
  • 3. Rattacher les interfaces : sur chaque interface ou sous-interface, ip vrf forwarding Customer_A bascule le port dans la table de routage du client, puis reçoit son adressage IPv4 (ip address) et IPv6 (adresse link-local + adresse globale 2001:DB8:...::/64).
  • 4. Router chaque VRF indépendamment : un protocole de routage (statique ou dynamique) est instancié par VRF, de façon à ce que Customer_A et Customer_B disposent chacun de leur propre table de routage, sans jamais se résoudre l'un l'autre.
  • 5. Vérifier l'étanchéité : show ip route vrf Customer_A / show ip route vrf Customer_B et leurs équivalents IPv6 confirment que chaque table ne contient que les réseaux qui lui appartiennent.
Extraits de configuration : ip vrf definition, address-family ipv4/ipv6, ipv6 unicast-routing et ip vrf forwarding sur les interfaces de R1 et R2
Extraits de configuration : déclaration des VRF Customer_A / Customer_B, activation du routage IPv6 et rattachement des interfaces (Loopback, FastEthernet) à leur VRF avec adressage IPv4 et IPv6.

Vérification : deux tables, une seule machine

La preuve que l'isolation fonctionne se lit directement dans les tables de routage : interrogé sur le VRF de Customer_A, le routeur ne connaît que les réseaux 10.1.x.0/24 et 192.168.2.0/24 joignables via ses propres interfaces ; basculé sur le VRF de Customer_B, il répond avec un jeu de routes totalement différent : mêmes plages d'adresses globales, mais portées par d'autres interfaces et d'autres voisins. Du point de vue de chaque client, le routeur se comporte comme s'il lui était entièrement dédié.

Sorties des commandes show ip route vrf Customer_A et show ip route vrf Customer_B sur R1, montrant deux tables de routage totalement indépendantes
Deux tables, deux clients : show ip route vrf Customer_A et show ip route vrf Customer_B exécutées sur le même routeur R1 : deux jeux de routes indépendants, sans aucun recouvrement.

C'est tout l'intérêt de VRF-Lite : obtenir, sur un seul châssis, l'étanchéité logique de plusieurs routeurs physiques distincts, un gain de coût et de simplicité d'exploitation considérable dès qu'il faut héberger plusieurs entités sur une même infrastructure.