Definition

VRF (Virtual Routing and Forwarding)

Katie Terrell Hanna
von
Zuletzt aktualisiert:Aug. 24, 2025

Was ist Virtual Routing and Forwarding (VRF)?

Virtual Routing and Forwarding (VRF) ist eine Technologie, die in Routern für IP-Netzwerke (Internet Protocol) enthalten ist und es ermöglicht, dass mehrere Instanzen einer Routing-Tabelle in einem virtuellen Router existieren und gleichzeitig arbeiten.

Diese Funktionalität erhöht die Konnektivität, da Netzwerkpfade ohne den Einsatz mehrerer Geräte segmentiert werden können. Da der Datenverkehr automatisch getrennt wird, erhöht VRF auch die Netzwerksicherheit und kann die Notwendigkeit von Verschlüsselung und Authentifizierung überflüssig machen.

Internet Service Provider (ISP) nutzen VRF häufig, um separate virtuelle private Netzwerke (VPN) für Kunden zu erstellen. In diesem Fall spricht man von VPN-Routing and -Forwarding.

Wie konfiguriert man VRF?

VRF fungiert als logischer Router. Während ein logischer Router jedoch viele Routing-Tabellen enthalten kann, verwendet eine VRF-Instanz nur eine einzige VRF-Tabelle.

Darüber hinaus benötigt VRF eine Weiterleitungstabelle, die den nächsten Hop für jedes Datenpaket festlegt, eine Liste der Geräte, die zur Weiterleitung des Pakets herangezogen werden können, sowie eine Reihe von Regeln und Routing-Protokollen, die die Weiterleitung des Pakets regeln.

Diese Tabellen verhindern, dass Datenverkehr außerhalb eines bestimmten VRF-Pfads weitergeleitet wird, und halten auch Datenverkehr fern, der außerhalb des VRF-Pfads bleiben soll.

Abbildung 1: Um zu verhindern, dass die Kunden A und B miteinander in Kontakt kommen, ordnet der Dienstanbieter jeden von ihnen einem VRF zu.
Abbildung 1: Um zu verhindern, dass die Kunden A und B miteinander in Kontakt kommen, ordnet der Dienstanbieter jeden von ihnen einem VRF zu.

Wo wird VRF verwendet?

Mit Virtual Routing and Forwarding ist es möglich, mehrere Routing-Instanzen auf einem Router oder einem Layer-3-Switch zu konfigurieren. Dadurch können Kundenverkehr und Routing getrennt gehalten, aber über dieselbe Hardware geleitet werden.

Wenn VRF nicht verwendet werden kann, wird der Kundenverkehr über physische Schnittstellen oder Subschnittstellen mit einer auf Zugriffskontrolllisten basierenden Filterung geleitet, die den Datenverkehr aufteilt. Aus diesem Grund hat VRF in lokalen Unternehmensnetzwerken (LAN), Rechenzentren und bei Dienstanbietern, die Multiprotocol Label Switching (MPLS) und Multiprotocol Border Gateway Protocol (MP-BGP) verwenden, an Beliebtheit gewonnen.

Häufig gestellte Fragen zu VRF

Im Folgenden finden Sie einige der am häufigsten gestellten Fragen zu VRF.

Was ist der Unterschied zwischen VRF und VLAN?

Im Wesentlichen verwendet VRF dieselben Virtualisierungsmethoden wie virtuelle LANs (VLAN). Es entspricht der Layer-3-Version einer TCP/IP-Schicht eines VLAN. Jede VRF stellt eine eigene, isolierte Routing-Instanz mit separater Tabelle und Nachbarschaften bereit. Dadurch können in unterschiedlichen VRFs identische IP-Netze genutzt werden, ohne Konflikte. Eine Kopplung zwischen VRFs erfolgt nur gezielt, etwa per Route Leaking oder NAT. VRF lässt einen physischen Router wie mehrere logisch getrennte Router erscheinen. VLAN teilt einen Switch in mehrere isolierte Layer-2-Segmente. Dadurch gelingt Pfad- und Mandantensegmentierung ohne zusätzliche Hardware.

Was ist Multi-VRF?

Multi-VRF ist eine Funktion, mit der Dienstanbieter mehrere VPNs unterstützen können, selbst wenn sich deren IP-Adressen überschneiden. Dazu werden Eingabeschnittstellen verwendet, um Routen für die verschiedenen VPNs festzulegen und virtuelle Paketweiterleitungstabellen zu erstellen. Dabei wird jeder VRF eine Layer-3-Schnittstelle zugewiesen.

Mit der Multi-VRF-Funktion kann ein Dienstanbieter auch mehrere Routing-Domänen auf einem einzigen Customer-Edge-Router unterstützen. Dabei verfügt jede Routing-Domäne über eine eigene Schnittstelle, ein eigenes Routing und eine eigene Weiterleitungstabelle.

Was ist BGP VRF?

BGP VRF bietet zusätzliche Kontrolle über die Verkehrswege und unterstützt BGP-VRF-fähige bedingte Ankündigungen für die folgenden IP-Adressprotokollfamilien:

  • IPv4 Unicast
  • IPv4 Unicast VRF
  • IPv6 Unicast
  • IPv6 Unicast VRF

Durch die Zuweisung einer BGP-Router-ID wird die VRF-zu-VRF-BGP-Kommunikation auf demselben Router ermöglicht. Sie kann für jede einzelne VRF manuell konfiguriert oder über den Modus zur Konfiguration von Adressfamilien automatisch zugewiesen werden.

Was ist der RD-Wert in VRF?

VRF-Namen ermöglichen es Unternehmen, den IP-Adressraum innerhalb isolierter Routing-Domänen mehrfach zu nutzen. Jeder Kunde verfügt über eine eigene IP-VRF, sodass sich überlappende Subnetze voneinander isoliert bleiben. Mit einem Routenunterscheidungsmerkmal, kurz RD-Wert, wird jede Standardroute von den anderen unterschieden.

Was ist der Unterschied zwischen VRF und VRF Lite?

Bei herkömmlichen VRFs wird der Kundenverkehr isoliert, wenn er über das MPLS-VPN und die MP-BGP-Cloud-Umgebung eines Dienstanbieters vom Quell- zum Zielnetzwerk übertragen wird. IP-Routendifferenzierer und Routenziele werden zur Trennung überlappender Routen verwendet.

VRF Lite ist dagegen ein VRF ohne MPLS und MP-BGP. Unternehmen verwenden dies manchmal, wenn sie über mehrere Netzwerke mit denselben IP-Adressen oder bestimmte Segmente verfügen, die eine Firewall passieren müssen.

In diesem Fall ist kein Routenziel erforderlich, da die Bereitstellung durch eine dynamische oder statische Route unter einer VRF-Instanz erfolgt.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb