http://mikrotik.moscow Новое в теме Что на самом деле делает команда /ip route vrf? форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sat, 04 Apr 2026 14:10:31 +0300 Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
Привлекательность заключается в возможности использовать пересекающиеся адресные пространства, управляемые одним маршрутизатором, и/или настраивать индивидуальную маршрутизацию для разных клиентов проще, чем использовать весь набор настроек policy routing. Ограничим пример маршрутизацией внутри пересекающихся адресных пространств. Представьте четыре сети — A, B, C и D. A и B используют одинаковые подсети, как и C и D. На вашем маршрутизаторе для подключения каждой из четырёх сетей используется по одному интерфейсу, которому назначен IP из соответствующей подсети. Таким образом, система динамически создаёт маршруты к этим подключённым подсетям и выбирает между ними непредсказуемым образом (это не случайно, просто непредсказуемо — всегда будет выбран один из идентичных маршрутов в каждой паре, но заранее узнать какой — нельзя).

Ваша задача — сделать так, чтобы пакет из сети A с адресом назначения, совпадающим и с C, и с D, всегда шел в сеть C, а пакет из сети B по тому же адресу назначения — всегда в D. При «ручной» policy routing вам нужно создать правила mangle, чтобы назначить пометку маршрутизации «AC» пакетам, приходящим через интерфейсы, подключённые к сетям A и C, и пометку «BD» — пакетам с интерфейсов сетей B и D. Далее приходится вручную создавать маршруты в подсети A и C с меткой AC и маршруты в подсети B и D с меткой BD, чтобы переопределить динамически создаваемые маршруты, как описано выше.

В итоге, когда пакет к адресу «C или D» приходит через интерфейс A, ему присваивается метка маршрутизации AC, и становится действительным только маршрут к C, хотя динамически сгенерированный маршрут к D с тем же адресом существует. Аналогично, пакет к «C или D» через интерфейс B получает метку BD, и становится применим только маршрут с меткой BD к D. Если же один из интерфейсов откажет, соответствующий тематический маршрут становится недоступен, и маршрутизация падает на динамически созданный маршрут без метки, из-за чего пакет может попасть не в ту сеть.

Чтобы этого избежать, надо использовать два правила маршрутизации /ip route с параметром routing-mark=X action=lookup-only-in-table table=X (одно с X=AC, другое с X=BD).

Всего получается:
- два правила mangle, ссылающихся на два списка интерфейсов по два интерфейса в каждом,
- четыре маршрута с метками,
- два правила маршрутизации.

Используя настройку vrf, достаточно двух конфигурационных записей для определения двух виртуальных маршрутизирующих экземпляров:
/ip route vrf add interfaces=A,C routing-mark=AC  
/ip route vrf add interfaces=B,D routing-mark=BD

Это гарантирует, что:
- динамически создаваемые маршруты к подключённым подсетям A,B,C,D будут (пере)создаваться с метками маршрутизации AC и BD соответственно, а не в основной таблице маршрутизации (то есть не нужно вручную создавать маршруты и использовать правила маршрутизации, чтобы предотвратить возврат к одинаковым маршрутам из основной таблицы при отказе интерфейса);
- пакеты, входящие через интерфейсы A, B, C, D, автоматически получают соответствующую метку маршрутизации, без создания правил mangle.

Таким образом, настройка становится намного проще и аккуратнее, если использовать vrf в некоторых сценариях. Но есть ограничения — те же таблицы маршрутизации и метки используются и для vrf, и для обычного policy routing, так что если вы захотите одновременно применять обычный policy routing с настройкой vrf, можете быстро запутаться в их взаимозависимостях.

Ещё одна возможность, не входящая в пример выше, как упоминалось в предыдущих сообщениях — обновление каждой таблицы маршрутизации, созданной vrf, независимо, с помощью отдельного экземпляра динамического протокола маршрутизации.
21.12.2018 11:25:00, sindy.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390117 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390117 Fri, 21 Dec 2018 11:25:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
pe1chl Какое применение VRF в домашней сети? Если нужно: а) функциональное разделение, б) разделение по устройствам/использованию, в) любой другой тип разделения или выделения в отдельную сеть, то обычно потребуется использование управляемых коммутаторов. Тогда VLAN — это логичный первый выбор из доступных стратегий. Что же дают VRF, в чем их привлекательность?
13.11.2018 18:29:00, anav.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390116 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390116 Tue, 13 Nov 2018 18:29:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
В конфигурации без VRF: да. Я использую списки интерфейсов там, где нужно, чтобы применять правила файрвола только к одной сети.
04.05.2018 07:40:00, pe1chl.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390115 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390115 Fri, 04 May 2018 07:40:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
@pe1chl Так правила фильтрации брандмауэра по умолчанию применяются ко всем таблицам маршрутизации?
04.05.2018 00:00:00, jspool.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390114 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390114 Fri, 04 May 2018 00:00:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
Нет, я просто продолжил использовать свою существующую настройку с несколькими маршрутными таблицами и «/ip route rule», которую полностью понимаю. Похоже, что я хочу слишком много маршрутизировать в рамках VRF и из него, чтобы использовать этот механизм. Кажется, он больше подходит для случаев, когда у разных клиентов есть свои IP-пространства, даже пересекающиеся, а я хочу использовать его, чтобы маршрутизировать отдельное IP-пространство (hamnet) с другой политикой маршрутизации, отличной от остального IP-пространства (интернет), при этом иметь возможность туннелировать одно через другое или использовать одно как резервное для другого. Скорее всего, VRF для этого не очень подходит, а «ip route rule» (и «route marking») отлично справляется с моей задачей.
02.05.2018 08:04:00, pe1chl.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390113 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390113 Wed, 02 May 2018 08:04:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
@pe1chl Я тоже об этом думал. Ты случайно не получил больше разъяснений по этому поводу?
01.05.2018 20:21:00, jspool.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390112 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390112 Tue, 01 May 2018 20:21:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
Как уже сказали другие, назначение интерфейса VRF не должно требовать записей в iptables или правил маршрутизации IP. Создание правил маршрутизации IP приводит к появлению записей «ip rule». Несколько примеров реализации: вы помещаете определённые интерфейсы в VRF, чтобы отделить маршрутизацию от собственных задач маршрутизатора (пример с VPN выше), но хотите проверить доступность различных устройств в VRF с помощью системы мониторинга сети (NMS), у которой есть соединение с маршрутизатором по интерфейсу, не входящему в VRF:

ip route rule add src-address=<nms_ip> dst-address=10.0.0.0/24 table=vpn  
ip route rule add src-address=10.0.0.0/24 dst-address=<nms_ip> table=main

Альтернативно можно добиться похожего результата, используя стандартные маршруты, хотя они не ограничивают маршрутизацию по исходному IP/подсети:

ip route add dst-address=10.0.0.0/24 gateway=ether2  
ip route add dst-address=<nms_ip> gateway=41.243.52.1%ether1 routing-mark=vpn
14.04.2017 05:25:00, bbs2web.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390111 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390111 Fri, 14 Apr 2017 05:25:00 +0300 RouterOS Что на самом деле делает команда /ip route vrf? RouterOS в форуме RouterOS.
Я использую отдельную таблицу маршрутизации для сети (hamnet) и позволяю BGP добавлять маршруты в эту таблицу. С помощью пары правил ip route я выбираю нужную таблицу маршрутизации. Для локальных интерфейсов у меня есть фиксированный маршрут во второй таблице. Всё работает отлично. Насколько я понимаю, «/ip route vrf» — это дополнительный уровень поверх этого, который может упростить управление такой средой. Однако практически нет информации о том, что на самом деле делают параметры. Есть ли описание того, что происходит с системой при создании VRF и настройке некоторых параметров — в плане записей в таблице маршрутизации (меток), правил и так далее? Это бы значительно упростило миграцию (и помогло бы решить, стоит ли вообще переходить).
29.03.2017 09:40:00, pe1chl.]]> http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390110 http://mikrotik.moscow/forum/forum57/84794-chto-na-samom-dele-delaet-komanda-_ip-route-vrf/message390110 Wed, 29 Mar 2017 09:40:00 +0300 RouterOS