除了虚拟系统之外,FW还支持VPN实例(VPN Instance),两者都有隔离的作用,
- 虚拟系统的主要作用是业务隔离和路由隔离(静态路由),
- VPN实例的主要作用是路由隔离。
- 没有实现虚拟化的功能需要使用VPN实例来配置多实例功能,如动态路由、组播等。
FW上的VPN实例包括如下两种形态:
- 创建虚拟系统时自动生成的VPN实例
- 创建虚拟系统时,会自动生成相同名字的VPN实例。
- 管理员手动创建的VPN实例
- 管理员使用ip vpn-instance命令手动创建的VPN实例,该VPN实例主要用于MPLS场景中,作用是路由隔离。我们所说的用来进行路由隔离的VPN实例,指的就是管理员手动创建的VPN实例。
目前FW上这两种形态的VPN实例并存,配置时请根据实际场景来确定具体使用哪种形态的VPN实例。
在防火墙上创建虚拟系统时会自动生成一个与虚拟系统同名的VPN实例,与该虚拟系统绑定,不能单独删除,实例ID与VSYS ID一致。此外,管理员可以在设备上手动创建VPN实例,此类VPN实例与虚拟系统无关,主要用来做路由隔离,VPN实例的命名不能与已存在的虚拟系统名称相同。
VRF(Virtual Routing Forwarding)是一种在计算机网络中广泛使用的技术,它通过隔离路由表将一台物理路由器虚拟成多台相互独立的逻辑路由器,这些逻辑路由器也称作VPN实例(VPN Instance),相同或重叠的IP地址可以在不同的VPN实例下不冲突地使用,以达到转发业务的隔离和网络资源的最大化利用。
在华为防火墙上缩小了VPN实例的应用范畴,实现各个虚拟系统之间路由隔离的底层转发业务依然依赖于VPN实例的RD值来实现;而资源、配置及业务的隔离则依赖于VSYS ID来实现。两者的逻辑关系如下图所示。
