You are on page 1of 21


VRFing 101, Understing VRF Basics ­ PacketU

What's on your wire[s]?

VRFing 101, Understing VRF Basics
Posted on July 12, 2012 by Paul Stewart, CCIE 26009 (Security)

When most engineers think about VRF, they think about MPLS. VRF, short for Virtual Routing and Forwarding, is
one of the features that enable designers to create flexible MPLS network designs. However we are going going to
completely  forget  about  MPLS  and  look  at  what  this  does  to  a  single  IOS  based  router.  This  article  is  very
simplified VRF 101.
The first thing that I want to mention is the pronunciation. In plural, some people simply call these “vee­are­effs”.
Other pronounce them as “verf” or “verfs” (rhyming with surf). I catch myself being consistently inconsistent and
pronouncing  them  both  ways.  Unless  you  are  my  eight  grade  grammar  teacher,  what  VRFs  do  for  us  is  more
important than how we pronounce them. So what is a VRF? How does it change the behavior of a router? What
does a basic configuration look like? These are the types of questions that we will answer in this article.
Some people think of VRFs as a way to do virtualization and describe it as VMWare for your router. Each areas of
isolation  is  thought  of  as  a  VMWare  guest  instance.  I  like  to  think  VRFs  as  similar  to  VLANS,  but  at  layer  3.
VLANs are obviously a layer two topic, but they create similar isolation. To go from one VLAN to another, there is
a need to go through a device that has access to both VLANs. VRFs create the same type of isolation at layer 3.
However the way that we jump between areas of isolation is a little different.
So  what  are  we  isolating?  The  answer  to  that  question  is  key  to  understanding  the  effect  of  VRF  instances  in  a­101­understing­vrf­basics/



VRFing 101, Understing VRF Basics ­ PacketU

router.  Let’s  go  back  to  some  routing  fundamentals.  Routers  cannot  typically  share  an  IP  subnet  on  multiple
interfaces. There are some types of serial connections that break this rule, but the general use case is that an IP
subnet is accessible through no more than one locally connected interface. You certainly could not have the same
IP address on multiple interfaces.

R1(config­if)#int loop 1 
R1(config­if)#ip address
//let's try to put the same address on loopback 2
R1(config­if)#int loop 2
R1(config­if)#ip address
R1(config­if)#ip address 
% overlaps with Loopback1

What  if  I  had  a  multi­tenant  environment  and  really  needed  to  configure  two  interfaces  with  “”.  It
would certainly suck to have to by another router. This is where VRFs come into play.
VRF, when used inside a single router, is called VRF­Lite. Each VRF instance is a separate route table. The route
table that we all know and love is shown by doing a “show ip route”. This is called the global route table and does
not show any routes that are specific to a VRF. In a minute, we’ll see a separate command that will show us the
routes  inside  a  VRF  instance.  By  creating  multiple  route  tables,  we  overcome  the  restrictions  of  multiple
overlapping address spaces. We also provide isolation to each tenant or area of the network.

Key Concept–Each VRF instance is a separate route table.
The Challenge–­101­understing­vrf­basics/


com/2012/07/12/vrfing­101­understing­vrf­basics/ 3/21 . R2 and R3 do not need to access one another.5/10/2015 VRFing 101. I hope I’ve written the challenge in a way that VRFs are the only solution. R2 and R3 must be in separate VLANs. Both R2 and R3 must use 192.168. Based on the requirements. Both routers need to be able to reach their respective sub interface and loopback on R1. http://www.1.packetu. I believe we need two VRFs.1 as a default gateway. Understing VRF Basics ­ PacketU The image below contains three routers. We should be able to accomplish this by implementing the diagram below.

com/2012/07/12/vrfing­101­understing­vrf­basics/ 4/21 .packetu. so let’s go ahead and get started.5/10/2015 VRFing 101. Understing VRF Basics ­ PacketU VRF configuration is fairly straightforward. //create the two VRFs http://www.

2 Type escape sequence to abort.168.10 R1(config­subif)#encapsulation dot1Q 10              R1(config­subif)#ip vrf forwarding red               R1(config­subif)#ip address 192.255.1. timeout is 2 seconds: !!!!! http://www.0 //notice that the router accepted the same IP address on both interfaces //this is because they are in separate VRF instances Now let’s test our reachability to R2 and R3.255. Sending 5. //notice we now have to clue R1 into the fact that we want  //to use a VRF as opposed to the global routing table.0 R1(config­subif)#int fa0/0. Understing VRF Basics ­ PacketU R1(config)#ip vrf red R1(config)#ip vrf blue //create each sub interface and place them into the appropriate VRF //notice that we configure the IP address after configuring the VRF //otherwise the router will remove the IP address R1(config­subif)#int fa0/0.1 255.5/10/2015 VRFing­101­understing­vrf­basics/ 5/21 .packetu. //ping R2 R1#ping vrf red 255.20 R1(config­subif)#encapsulation dot1Q 20              R1(config­subif)#ip vrf forwarding blue              R1(config­subif)#ip address 100­byte ICMP Echos to 192.168.

 N2 ­ OSPF NSSA external type 2        E1 ­ OSPF external type 1. “show ip route” shows the global routing table. M ­ mobile. su ­ IS­IS summary. we have to add the “vrf vrfname” parameter. O ­ OSPF. * ­ candidate default.2 Type escape sequence to abort.168. 100­byte ICMP Echos to 192. E2 ­ OSPF external type 2        i ­ IS­IS.168. B ­ BGP        D ­ EIGRP. R ­ RIP.2.1  is  directly  connected  to  Fa0/0. round­trip min/avg/max = 1/2/4 ms //ping R3 R1#ping vrf blue 192. L2 ­ IS­IS level­2        ia ­ IS­IS inter area.  it  does  not  show  up  with  a  “show  ip route”. L1 ­ IS­IS level­1. S ­ static.20. Sending 5.packetu. IA ­ OSPF inter area        N1 ­ OSPF NSSA external type 1. R1#show ip route Codes: C ­­101­understing­vrf­basics/ 6/21 . U ­ per­user static route        o ­ ODR.10  and  Fa0/0.1. Remember. P ­ periodic downloaded static route Gateway of last resort is not set R1# To see the routes associated with a VRF. timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5).1.1. EX ­ EIGRP external.168. Understing VRF Basics ­ PacketU Success rate is 100 percent (5/5). round­trip min/avg/max = 1/1/4 ms R1# Even  though  192. http://www.5/10/2015 VRFing 101.

 L1 ­ IS­IS level­1.168. IA ­ OSPF inter area        N1 ­ OSPF NSSA external type 1. su ­ IS­IS summary. su ­ IS­IS summary. R ­ RIP. U ­ per­user static route        o ­ ODR. O ­ OSPF. L1 ­ IS­IS level­1. P ­ periodic downloaded static route Gateway of last resort is not set C    192.1. Understing VRF Basics ­ PacketU R1#show ip route vrf red Routing Table: red Codes: C ­ connected.5/10/2015 VRFing 101.0/24 is directly connected. S ­ static. B ­ BGP        D ­ EIGRP.10 R1#show ip route vrf blue Routing Table: blue Codes: C ­ connected. EX ­ EIGRP external.0/24 is directly connected. * ­ candidate default. E2 ­ OSPF external type 2        i ­ IS­IS. U ­ per­user static route        o ­ ODR. P ­ periodic downloaded static route Gateway of last resort is not set C    192. FastEthernet0/0. O ­ OSPF.20 R1# Now let’s add our loopback interfaces into the appropriate VRFs.1. M ­ mobile.packetu. N2 ­ OSPF NSSA external type 2        E1 ­ OSPF external type 1. L2 ­ IS­IS level­2        ia ­ IS­IS inter area. * ­ candidate default. FastEthernet0/0. EX ­ EIGRP external. IA ­ OSPF inter area        N1 ­ OSPF NSSA external type 1. M ­ mobile. B ­ BGP        D ­ EIGRP. R ­ RIP.168. http://www. N2 ­ OSPF NSSA external type 2        E1 ­ OSPF external type 1. L2 ­ IS­IS level­2        ia ­ IS­IS inter area. E2 ­ OSPF external type 2        i ­ IS­IS. S ­­101­understing­vrf­basics/ 7/21 .

10.10 255. timeout is 2 seconds: U. we can test from R2 and R3.0 R1(config­if)#int loop 20 R1(config­if)$ip vrf forwarding blue R1(config­if)#ip address 20.10.5/10/2015 VRFing 101.20.10. Sending 5.20 255.20. round­trip min/avg/max = 1/2/4 ms R2(config)#do ping Understing VRF Basics ­ PacketU R1(config)#int loop 10 R1(config­if)$ip vrf forwarding red R1(config­if)#ip address 10. timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5). Sending 5.20.20. However in this lab we do and can therefor use them to confirm the functionality.10 Type escape sequence to abort.0 R1(config­if)#exit Finally. you might not have access to these. but should have access to 20.255. 100­byte ICMP Echos to 20.20.10.U.10.U Success rate is 0 percent (0/5) R3 (should not be able to reach http://www. but not 100­byte ICMP Echos to­101­understing­vrf­basics/ 8/21 . In a multi tenant environment.20 Type escape sequence to abort. R2 (should be able to reach 10.20) R2(config)#do ping

10. Understing VRF Basics ­ PacketU R3(config)#do ping 10. In future articles. timeout is 2 seconds: U.U. Providing Internet Access With Dynamic PAT 2. Sending 5.20. 100­byte ICMP Echos to timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5). round­trip min/avg/max = 1/2/4 ms R3(config)# While solving our challenge.5/10/2015 VRFing 101. Using NAT Virtual Interfaces for Global Reachability 3.  The Operation of Proxy Arp­101­understing­vrf­basics/ 9/21 .U Success rate is 0 percent (0/5) R3(config)#do ping 20.  VRFing 102.packetu.  VRFing 103. this article has demonstrated the simplest form of VRFs on a single router.  Multiple Protocols over IPSec http://www. 100­byte ICMP Echos to 10.10.10 Type escape sequence to abort.20 Type escape sequence to abort. VRFs are a foundational building block that has given network designers great flexibility when designing MPLS networks. we will build on this example and demonstrate methods for jumping between VRFs and utilizing NAT in a multi tenant environment.10. Migrating Servers? Plan Data or Full Server Migrations With Our Near­Zero Downtime Guide Readers of this article may also enjoy: 1.20. Sending 5.20.

 2012 at 3:25 AM http://www. View all posts by Paul Stewart.5/10/2015 VRFing 101. Understing VRF Basics Roger Stewart says: July 12. Paul has helped many organizations build. 34 Responses to VRFing 101.  Combining GRE and IPSec with a Front Side VRF pcktu. CCIE 26009 (Security) → This entry was posted in Network. Technology and tagged mpls. maintain and secure their networks and systems. With over 15 years of experience in the technology industry. Trainer and Blogger who enjoys understanding how things really work. Understing VRF Basics ­ PacketU COPY Spread the Word:  Pocket  Twitter 4  Facebook  LinkedIn 7  Google  More About Paul Stewart. CCIE 26009 (Security) Paul is a Network and Security Engineer.­101­understing­vrf­basics/ 10/21 . Bookmark the permalink.packetu. network. 2012 at 11:19 AM This looks interesting. Reply Bashir says: July 14.

 in this example. The reason that R2 can reach one network and not another is because of the isolation created by the vrf instances.20. i am a beginner. Understing VRF Basics ­ PacketU Great post for newbie. These could represent IP networks somewhere else on the­101­understing­vrf­basics/ 11/21 . 2012 at 8:42 AM The loopback interfaces. Reply Paul Stewart says: November 4. but not 20. are used as a demonstration.5/10/2015 VRFing 101. The point is to give some points to test against. This is not only a claim.20)” ?? pls help. thanks Reply Elvin Arias says: July 15.. Thanks for the question. and how does the author make this claim “R2 (should be able to reach 10.10. 2012 at 5:51 AM what is the purpose of loopback interfaces.10. but evidenced by the testing performed in the article. Elvin Reply Abhishek Sagar says: November 4. 2012 at 6:31 PM Thanks for the article. Reply http://www.20.

 2013 at 4:37 PM In the next coming weeks I have to set up a VRF instance in one of our new locations in Chicago.packetu. Thanks for the info!! Reply Pingback: Cisco VRF/MP­BGP Router­on­a­Stick with NAT | The Network Hobo Santosh says: February 24.” why this VLAN is needed here??? Reply Sensie says: December 25. Understing VRF Basics ­ PacketU Kuleaze says: March 6. VRF is very important and this is just the basic but it’s Excellent Description. why the author talks about VLAN­101­understing­vrf­basics/ 12/21 . 2014 at 6:56 AM HI. this has helped lay a good foundation for what is actually occuring; I’ll be reading your other blogs about VRF shortly. say “R2 and R3 must be in separate VLANs. 2014 at 4:53 PM Hi the VLANs is Separates the traffic on layer 2 on the switch.5/10/2015 VRFing 101. otherwise the routers will be able to talk to each other on layer 2 based and this example will not work correctly. Reply Rahul says: http://www. I am confused.

 2014 at 5:37 AM This is how my topology will apear one vrf per one sub interface two customers are using the same CE with one subinterface per customer­101­understing­vrf­basics/ 13/21 . that is sort of an underlying technology that could impact the results but not change the concepts being demonstrated here.5/10/2015 VRFing 101.I even see remote entries in my vrf. 2014 at 4:08 AM I’m not sure I understand why your configuration isn’t working. Because I was not able to ping directly connected Interface but I was able to see them in routing table . 2014 at 7:59 AM very nice article……thanks…. CCIE 26009 (Security) says: May 16. I used vrf name while entering ping everything works except reachablility. 2014 at 3:45 AM If I create Sub interface in Serial should I change the encapsulation type to PPP from HDLC. However. Reply Gowtham Balachandhiran says: May 16. Understing VRF Basics ­ PacketU March 6. I Customer’s network in my vrf routing table but for some unusual reason I am not able to ping them Reply http://www.packetu. Reply Paul Stewart. The typical place to use serial sub interfaces is when frame relay is used. Reply Gowtham Balachandhiran says: May 16.

 However. http://www.­101­understing­vrf­basics/ 14/21 . My initial reaction is that it probably wouldn’t work with a single IP address. but I think I should. 2014 at 1:36 PM I would expect you should be able to send traffic to anything in the vrf you see in the routing table. 2014 at 3:07 PM HI paul. CCIE 26009 (Security) says: May 16. Thank you very much for this information. I wonder if the traffic is being blocked by an ACL (that is possibly not under your control)? Reply vadanmehta says: June 26.packetu. it is using a pool per vrf. CCIE 26009 (Security) says: June 26. I have one basic question: Does One VRF points to one Public IP address !! and Multi VRF capability means One Public IP address shared by many VRF instances ?? regds Vadan Reply Paul Stewart. Understing VRF Basics ­ PacketU Paul Stewart. An example of NAT NVI is at the url below. 2014 at 6:18 PM I’ve not tried that. you need to tell the ping command to use the vrf.5/10/2015 VRFing 101.

 Understing VRF Basics ­ PacketU http://www. Hope the below is clear::) (i can not post a diagram so hope this is sufficent:) Host A ———>| | |A LAYER 2 ACcESS sW |trunk passing VLAN A + VLAN B to DIST SWTICH Host B———­>| | the DIST SWitch will have a VRF for VLAN A only Host A should not ping Host B Host A should ping the default gateway. I have no real hardware to test this unfortunatley. Fantasci post and i see your name also on the Cisco­101­understing­vrf­basics/ 15/21 .5/10/2015 VRFing 101. 2014 at 6:09 PM Hello Paul. A layer 3 SVI placed in a VRF of the laye 3 swtich Host A has a dedicated vlan A in the access swtich and layer 3 dist swtich Vlan data base http://www.packetu.packetu. I was wondering if you could assit me establishing­103­using­nat­virtual­interfaces­for­global­reachability/ Reply madim2013 says: August 5.

5/10/2015 VRFing 101. Understing VRF Basics ­ PacketU Host B should not ping Host A Host B should ping the default gateway. Host B is part of the corporate network and requires to access far more network then Host A need to do .packetu. 2014 at 6:11 PM Sorry the above (attemtped) diagram did not come out that well. host A and host B are attached to the same layer 2 access switch each acces port is configured with the basic swtich port mode / access vlan etc… many thanks again Best wishes http://www.tag of VLAN A (the VRF one) and place it into the VRF­A which is part of the SVI for VLAN A? Many thanks in advance Best Wishes Markus Reply madim2013 says: August 5. Basically.(Think of host A being a 3rd Party or Guest LAN) I was wondering if the trunk between layer 2 access swtich and the dist pops of the vlan. A layer 3 SVI not in any VRF of the laye 3 swtich Host B has a dedicated vlan B in the access swtich and layer 3 dist swtich Vlan data base­101­understing­vrf­basics/ 16/21 .

 CCIE 26009 (Security) says: August 5. The vlans would be handled normally as per the trunk configuration (native untagged and all other tagged).packetu. very simple explanation. 2014 at 9:03 PM The vrf would be a layer 3 concept. Each layer 3 SVI can exist in a vrf or globally. 2014 at 5:37 AM Great Post . properly configured. Reply Clayton Meyer says: November 24. Understing VRF Basics ­ PacketU markus Reply Paul Stewart. 2015 at 11:06 AM http://www. Thanks! Reply Shane Taylor says: January 28. Reply Nyan Lin Soe says: November 24. 2014 at 12:51 PM This is a­101­understing­vrf­basics/ 17/21 . So your scenario. can give isolation between host A and host B even though they are connected to the access switch. Each SVI would also be associated with a VLAN.Thanks a lot.5/10/2015 VRFing 101.

 I tripped myself up when pinging the loopbacks.5/10/2015 VRFing 101.packetu. Unless basic is clear moving further is trouble. You made it very well. Understing VRF Basics ­ PacketU Great basic 101 explanation Paul. David FIG says: March 23. Very helpful. Reply Sushim G. 2015 at 10:47 AM Hey Paul. thanks again. says: March 14. I forgot that R2/R3 do not know about the 10 or 20 subnets so I either had to just add a static route on both or run a routing protocol. 2015 at 4:46 PM Excellent intro to VRF’s and more important…why we use them!! Reply Pingback: VRF – Virtual Routing and Forwarding | Sushanta Mishra says: May 15. 2015 at 6:48 AM http://www. Best Regards Sushim Reply J. nice and precise post It made basic understand very­101­understing­vrf­basics/ 18/21 .

1 ?) Or because they are in the same VRF instance they see each others ? Regards.packetu.20. 2015 at 2:10 PM That is a good observation–there would be a need for a rout on R3 to reach the Loopback on R1. Great explanation  I have a small question. A static route would look like– http://www. 2015 at 2:59 AM Hi Paul.20 via next­hop 192. Understing VRF Basics ­ PacketU This is indeed an excellent post to understand VRF.168.1.5/10/2015 VRFing 101. how the ping is working? ( is there any static route on R3 for 20. This could be static or dynamic. CCIE 26009 (Security) says: September­101­understing­vrf­basics/ 19/21 . Reply Paul Stewart. at the end you are pinging from R3 –>R1’s loopback 20. why MPLS is supported in the local vrf only? Reply khan says: August 24. I have a doubt.20. 2015 at 5:30 AM Great eplanation Reply Bernard says: September 2.

 Understing VRF Basics ­ PacketU ip route x.x y. do they communicate state.5/10/2015 VRFing 101. 2015 at 7:08 AM Hi Paul. Reply Devnarayan says: October 1. if possible can you please help me in this case… Reply Paul Stewart.y. 2015 at 7:39 AM I’m not sure if your scenario requires vrf.x. I have 2 nos of Cisco 3560X switch with 2 different ISP connected on it. can IGPs and/or BGP terminate on the FW or go through it). The mentioned switches are connected below to Check­point. Suggest how to configure vrf here to make the auto failover between 2 ISP. what is positioned upstream and what had the memory to take BGP table if required? There is a lot in this question.150­­101­understing­vrf­basics/ 20/21 .y vrf Sorry for the confusion. but VRF wouldn’t typically be a http://www. NAT (where does that terminate). CCIE 26009 (Security) says: October 5. It seems to me that there needs to be some planning around IP addressing (do you have your own address space and ASN). Checkpoint capabilities (are they A/S or clustered. 2015 at 12:57 AM Hi Paul. please help.packetu.SE8.bin” Reply Devnarayan says: October 5.y. Both the switches are upgraded with IP service license as well the switches are updated with IOS “c3560e­universalk9­mz. VRFs will create two areas of isolation.x.

Reply PacketU Proudly powered by WordPress. I’d like to do some more stuff on FirePOWER.packetu. Understing VRF Basics ­ PacketU requirement. 2015 at 10:28 AM My current challenge is lack of time. As I find time. ISE and VRF’s (and how they work with Nexus VDC’s and ASA contexts). AMP. I really wish I had time to post weekly or more. I’ll try to post some more of what you are requesting. 2015 at 12:46 PM More stuff vrf please Reply Paul Stewart. Kevynjr says: October­101­understing­vrf­basics/ 21/21 . http://www.5/10/2015 VRFing 101. CCIE 26009 (Security) says: October 4.