March 3, 2026

Multi-Tenant Campus: Segmentierung mit VRF-Lite auf Catalyst

Die Segmentierung eines Campusnetzwerks für mehrere Mandanten stellt eine der größten Herausforderungen in großen Unternehmensnetzwerken dar. Eine effiziente Möglichkeit, diese Aufgabe zu bewältigen, ist die Verwendung von VRF-Lite auf Cisco Catalyst Switches. Diese Technologie ermöglicht es, mehrere logische Routing-Domänen auf einem einzigen physischen Gerät zu erstellen, ohne die Komplexität und die Kosten einer vollständigen Virtualisierungslösung. In diesem Artikel erfahren Sie, wie Sie VRF-Lite auf Catalyst-Switches implementieren und konfigurieren, um eine sichere und isolierte Netzwerkumgebung für verschiedene Mandanten zu schaffen.

1. Was ist VRF-Lite?

VRF-Lite (Virtual Routing and Forwarding Lite) ist eine vereinfachte Version der traditionellen VRF-Technologie, die auf Cisco-Routern verwendet wird. VRF-Lite ermöglicht es, mehrere virtuelle Routing-Domänen auf einem einzigen Gerät zu erstellen, sodass mehrere Netzwerke oder Mandanten ihre eigenen unabhängigen Routing-Tabellen haben. Im Vergleich zur traditionellen VRF erfordert VRF-Lite keine zusätzliche Hardware wie Router mit mehreren Routing-Instanzen und ist daher kostengünstiger und einfacher in Campusnetzwerken einzusetzen.

2. Vorteile von VRF-Lite für Multi-Tenant-Umgebungen

  • Isolation: VRF-Lite bietet vollständige Isolation zwischen verschiedenen Mandanten, indem jede Routing-Domäne ihre eigene Routing-Tabelle hat.
  • Skalierbarkeit: Mit VRF-Lite können Sie mehrere Mandanten über das gleiche physische Netzwerkgerät skalieren, ohne dass zusätzliche Geräte oder komplexe Infrastruktur erforderlich sind.
  • Kostenersparnis: VRF-Lite reduziert den Bedarf an dedizierten physischen Geräten für jeden Mandanten und spart so Kosten.
  • Einfache Konfiguration: Im Vergleich zu traditionellen VRF-Lösungen ist VRF-Lite einfacher zu implementieren und zu verwalten, insbesondere auf Cisco Catalyst Switches.

3. VRF-Lite auf Cisco Catalyst konfigurieren

Die Implementierung von VRF-Lite auf einem Cisco Catalyst Switch erfordert die Konfiguration von virtuellen Routing-Instanzen und die Zuweisung von Interfaces zu den jeweiligen VRF-Domänen. Im folgenden Abschnitt erklären wir die grundlegenden Schritte zur Konfiguration von VRF-Lite auf einem Catalyst Switch.

3.1. Erstellen von VRF-Instanzen

Zu Beginn müssen Sie die VRF-Instanzen erstellen, die als logische Routing-Domänen für Ihre Mandanten fungieren. Jede VRF-Instanz ist eine separate Routing-Tabelle, die ihre eigenen Netzwerke und Routen enthält.

switch(config)# ip vrf Tenant1
switch(config-vrf)# rd 1:1
switch(config-vrf)# route-target export 1:1
switch(config-vrf)# route-target import 1:1

In diesem Beispiel haben wir die VRF-Instanz „Tenant1“ erstellt. Der Befehl „rd“ gibt die Routing-Instanz-ID an, während „route-target“ die BGP- oder OSPF-Routenimport- und Export-Ziele definiert.

3.2. Zuordnung von Interfaces zu VRF-Instanzen

Nachdem Sie die VRF-Instanzen erstellt haben, müssen Sie die entsprechenden physischen oder logischen Interfaces zu diesen Instanzen zuweisen. Dies ermöglicht es, den Datenverkehr für die verschiedenen Mandanten korrekt zu routen.

switch(config)# interface gigabitEthernet 1/0/1
switch(config-if)# ip vrf forwarding Tenant1
switch(config-if)# ip address 192.168.1.1 255.255.255.0

In diesem Beispiel haben wir das Interface „GigabitEthernet 1/0/1“ der VRF-Instanz „Tenant1“ zugewiesen und eine IP-Adresse konfiguriert.

3.3. Routing- und Weiterleitungsprotokolle für VRF-Lite konfigurieren

Für jede VRF-Instanz müssen Sie auch Routing-Protokolle wie OSPF oder EIGRP konfigurieren, um sicherzustellen, dass der Datenverkehr innerhalb der VRF-Domänen korrekt weitergeleitet wird.

switch(config)# router ospf 1 vrf Tenant1
switch(config-router)# network 192.168.1.0 0.0.0.255 area 0

In diesem Beispiel wird OSPF für die VRF-Instanz „Tenant1“ aktiviert, um sicherzustellen, dass die Routing-Informationen korrekt ausgetauscht werden.

4. Best Practices für VRF-Lite im Multi-Tenant-Campus

  • Trennen Sie Mandanten klar: Achten Sie darauf, dass jede VRF-Instanz nur die relevanten Interfaces und Subnetze für den jeweiligen Mandanten enthält. Dadurch wird die Isolation und Sicherheit gewährleistet.
  • Verwenden Sie Route-Targets: Nutzen Sie Route-Targets, um Routen zwischen den verschiedenen VRF-Instanzen bei Bedarf auszutauschen. Achten Sie darauf, dass die Route-Target-Werte korrekt konfiguriert sind, um Routing-Schleifen oder falsche Routen zu vermeiden.
  • Monitoren Sie den Ressourcenverbrauch: VRF-Lite kann zusätzliche Systemressourcen beanspruchen. Überwachen Sie die Auslastung von CPU und RAM, um sicherzustellen, dass die Performance nicht beeinträchtigt wird.
  • Optimieren Sie das Routing: Verwenden Sie effiziente Routing-Protokolle und -Techniken, um die Skalierbarkeit des Netzwerks zu gewährleisten. OSPF und EIGRP eignen sich gut für die VRF-Lite-Konfiguration, da sie schnelle Konvergenz und einfache Konfiguration bieten.

5. Fehlerbehebung in VRF-Lite-Umgebungen

Die Fehlerbehebung in VRF-Lite-Umgebungen erfordert eine gründliche Analyse der Routing-Tabellen und der Verbindungen zwischen den VRF-Instanzen. Hier einige häufige Probleme und Lösungen:

5.1. Fehlende Routen zwischen VRF-Domänen

Stellen Sie sicher, dass die Route-Targets korrekt konfiguriert sind und dass die Routing-Protokolle wie OSPF oder EIGRP für jede VRF-Instanz korrekt arbeiten.

switch# show ip route vrf Tenant1

5.2. Keine Kommunikation zwischen Mandanten

Überprüfen Sie, ob die richtigen Interfaces den VRF-Instanzen zugeordnet sind und ob Routing-Protokolle ordnungsgemäß konfiguriert sind. Achten Sie darauf, dass keine IP-Adressenkonflikte oder fehlerhafte Netzwerkkonfigurationen vorliegen.

5.3. Ressourcenüberlastung

VRF-Lite kann bei einer großen Anzahl von Instanzen zu hoher CPU- und RAM-Nutzung führen. Überwachen Sie regelmäßig die Systemressourcen und passen Sie die Konfiguration gegebenenfalls an, um die Last zu verteilen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer