In modernen Telco- und Enterprise-Netzen werden zentrale Dienste wie DNS, NTP oder AAA (Authentication, Authorization, Accounting) häufig von mehreren VRFs genutzt. Shared Services VRFs ermöglichen es, diese Dienste sicher und effizient mehreren isolierten VRFs zur Verfügung zu stellen, ohne die Isolation zwischen Tenants oder Services zu gefährden. Dieser Artikel zeigt Einsteigern, IT-Studierenden und Junior Network Engineers praxisnah, wie Shared Services VRFs entworfen, adressiert und betrieben werden.
Grundlagen von Shared Services VRFs
Ein Shared Services VRF ist eine spezielle Routing-Instanz, die zentrale Infrastruktur-Dienste für mehrere Tenant- oder Service-VRFs bereitstellt. Dabei bleibt die Isolation der Tenants erhalten, während die Dienste konsistent und skalierbar zur Verfügung stehen.
- Zentrale VRF für Dienste wie DNS, NTP, AAA
- Isolation zwischen Tenant-VRFs und Shared Services VRF
- Integration in BGP, EVPN oder MPLS-Umgebungen möglich
- Reduzierung von Redundanz und Verwaltungsaufwand
Designprinzipien für Shared Services VRFs
Beim Design ist auf Isolation, Skalierbarkeit und Redundanz zu achten:
- Dedizierte IP-Subnetze für Shared Services
- Nur notwendige Schnittstellen zu Tenant-VRFs verbinden
- Route-Targets (RTs) definieren, welche VRFs Zugriff auf die Shared Services erhalten
- QoS und ACLs zur Priorisierung und Absicherung der Dienste
Beispiel VRF-Definition
vrf definition Shared-Services
rd 300:1
route-target export 300:100
route-target import 300:100
Interface- und SVI-Zuordnung
Die Shared Services werden über SVIs oder dedizierte Interfaces bereitgestellt. Tenant-VRFs greifen über RTs oder Routing-Instanzen auf diese Dienste zu.
- SVI pro Dienst oder pro VLAN innerhalb des Shared Services VRF
- IP-Adressen konsistent und dokumentiert
- Trunk- oder Routed-Links zu Core- oder Aggregation-Layern
- Redundanz über mehrere Switches oder POPs
CLI-Beispiel SVI für Shared Services
interface Vlan500
vrf forwarding Shared-Services
ip address 10.255.0.1/24
ipv6 address 2001:db8:500::1/64
Adressierungs- und Routing-Strategien
Shared Services VRFs erfordern konsistente Adressierung, um Konflikte mit Tenant-VRFs zu vermeiden:
- Dedizierte IPv4- und IPv6-Präfixe
- Wiederverwendung von Adressen zwischen Tenants vermeiden
- Route-Targets steuern Import/Export zu Tenant-VRFs
- Integration in IPAM zur Dokumentation und Audit
Beispiel Subnetzzuweisung
# DNS/NTP/AAA Subnetz im Shared Services VRF
10.255.0.0/24 → DNS Server
10.255.1.0/24 → NTP Server
10.255.2.0/24 → AAA Server
Integration mit Tenant-VRFs
Tenant-VRFs greifen über definierte RTs auf die Shared Services VRF zu. Die Isolation bleibt erhalten, während die Dienste zentral bereitgestellt werden.
- Tenant VRF importiert nur die notwendigen Routen aus Shared Services VRF
- Export von Tenant-Routen in Shared Services VRF vermeiden
- Policy-Maps oder Route-Maps zur zusätzlichen Absicherung
- Monitoring des Zugriffs auf Shared Services
CLI-Beispiel Tenant-VRF Import
vrf definition TenantA
rd 100:1
route-target import 300:100
route-target export 100:1
Redundanz und Failover
Shared Services müssen hochverfügbar sein, da viele Tenant-VRFs darauf angewiesen sind:
- Redundante Server pro Dienst (DNS, NTP, AAA)
- Redundante SVIs auf mehreren Switches
- Anycast-IPs optional für L3-Gateway-Dienste
- Monitoring via SNMP, Syslog, IPAM
Best Practices für Shared Services VRFs
- Dedizierte Subnetze pro Dienst
- Route-Targets konsequent dokumentieren
- SVIs redundant und konsistent konfigurieren
- ACLs und Policy-Maps zur Absicherung
- QoS zur Priorisierung kritischer Dienste (VoIP, AAA)
- Integration in IPAM und Monitoring-Systeme
- Regelmäßige Auditierung der Zugriffe und Routen
Praxisbeispiel POP
- Shared Services VRF VLAN500: DNS 10.255.0.1/24, NTP 10.255.1.1/24, AAA 10.255.2.1/24
- TenantA VRF VLAN100 importiert RT 300:100, Zugriff nur auf DNS/NTP/AAA
- TenantB VRF VLAN200 importiert RT 300:100, keine Export-Routen zurück
- Redundante Trunks und SVIs für Ausfallsicherheit
- Monitoring von Shared Services via SNMP/IPAM
Skalierung und Governance
Shared Services VRFs ermöglichen skalierbare Multi-Tenant-Umgebungen, während Governance und Compliance gewährleistet bleiben:
- Neue Tenant-VRFs greifen automatisch über definierte RTs auf zentrale Dienste zu
- Redundanz, Failover und Monitoring sichern hohe Verfügbarkeit
- Dokumentation und IPAM sichern Auditfähigkeit
- Isolation zwischen Tenants bleibt garantiert, Services zentralisiert
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
