March 5, 2026

VRF Lite für Segmentierung: Getrenntes Routing ohne MPLS

Die Segmentierung von Netzwerken ist eine häufige Anforderung in modernen Netzwerkinfrastrukturen, um verschiedene Dienste, Sicherheitsrichtlinien oder Abteilungen zu trennen. Während MPLS (Multiprotocol Label Switching) eine gängige Lösung für die Implementierung von Virtual Routing und Forwarding (VRF) ist, bietet VRF Lite eine kostengünstigere Möglichkeit, Routing-Tabellen in einem Netzwerk zu segmentieren, ohne MPLS einsetzen zu müssen. In diesem Artikel erfahren Sie, wie VRF Lite funktioniert, wie es konfiguriert wird und wie es zur Trennung des Routing ohne MPLS genutzt werden kann.

Was ist VRF Lite?

VRF (Virtual Routing and Forwarding) ist eine Technologie, die es einem Router ermöglicht, mehrere Routing-Tabellen zu führen. VRF Lite ist eine vereinfachte Version von VRF, die vor allem in Netzwerken verwendet wird, bei denen keine MPLS-Infrastruktur vorhanden ist. Sie ermöglicht die Segmentierung des Datenverkehrs und die Isolierung von Routing-Tabellen auf Layer 3, ohne dass komplexe MPLS-Konfigurationen erforderlich sind.

1. VRF Lite vs. VRF mit MPLS

Während VRF mit MPLS auf einer Provider-Seite verwendet wird, um mehrere VPNs zu trennen, ermöglicht VRF Lite eine vergleichbare Funktion innerhalb eines Unternehmensnetzwerks, ohne dass MPLS benötigt wird. VRF Lite kann auf jedem Router eingesetzt werden, um verschiedene Kunden- oder Service-Routing-Tabellen zu verwalten und den Datenverkehr zwischen diesen zu isolieren.

Wie funktioniert VRF Lite?

VRF Lite funktioniert, indem es separate Routing-Instanzen für unterschiedliche Netzwerke innerhalb eines einzelnen Routers ermöglicht. Diese Instanzen haben jeweils ihre eigene Routing-Tabelle und ihre eigenen IP-Adressen, was eine Trennung des Verkehrs zwischen verschiedenen Instanzen ermöglicht. Auf diese Weise können mehrere Netzwerke unabhängig voneinander betrieben werden, obwohl sie dieselben physischen Geräte verwenden.

1. Routing-Isolierung

Mit VRF Lite können unterschiedliche IP-Adressräume innerhalb eines Routers existieren, ohne dass der Datenverkehr zwischen den unterschiedlichen Instanzen miteinander vermischt wird. Dies bedeutet, dass jedes VRF seine eigene Routing-Tabelle verwalten kann, was zu einer vollständigen Trennung des Verkehrs führt. Es ist auch möglich, verschiedene Instanzen von OSPF, EIGRP oder BGP für jedes VRF zu konfigurieren.

2. Virtuelle Schnittstellen (VLANs)

VRF Lite nutzt virtuelle Schnittstellen, die als „Subinterfaces“ bezeichnet werden. Diese Subinterfaces können für verschiedene VRFs konfiguriert werden und ermöglichen es, dass verschiedene Netzwerke über dasselbe physische Interface kommunizieren, ohne sich gegenseitig zu beeinflussen.

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip vrf forwarding Red_VRF
 ip address 192.168.10.1 255.255.255.0

Im obigen Beispiel wird das Subinterface „GigabitEthernet0/0.10“ für das VRF „Red_VRF“ konfiguriert. Dieses Subinterface hat seine eigene IP-Adresse und Routing-Instanz, die vom „Main_Router“ isoliert ist.

Vorteile von VRF Lite

VRF Lite bietet mehrere Vorteile für Netzwerkinfrastrukturen, insbesondere für kleinere Netzwerke oder solche ohne MPLS. Hier sind die wichtigsten Vorteile:

1. Kostengünstige Segmentierung

Ein großer Vorteil von VRF Lite ist die Möglichkeit, Netzwerksegmentierungen ohne die Kosten und die Komplexität von MPLS zu erreichen. In großen Unternehmensnetzwerken kann dies die Implementierung von Sicherheitszonen oder die Trennung von Abteilungsnetzwerken erleichtern, ohne dass teure MPLS-Infrastrukturen erforderlich sind.

2. Flexibilität und einfache Implementierung

Die Konfiguration von VRF Lite ist einfach und schnell durchzuführen. Es sind keine Änderungen an der zugrunde liegenden Infrastruktur erforderlich, was es zu einer flexiblen Lösung für die Trennung von Netzwerken und deren Verwaltung macht. Das ermöglicht es Netzwerkadministratoren, Ressourcen effizienter zu nutzen.

3. Geringe Latenz und hohe Leistung

Da VRF Lite in einem einzelnen Router arbeitet, entstehen keine zusätzlichen Latenzen, wie sie bei der Verwendung von MPLS auftreten können. Die Konfiguration ist daher schnell und mit minimaler Leistungseinbuße möglich.

4. Verbesserte Sicherheit

Durch die Trennung der Routing-Tabellen und IP-Adressräume kann VRF Lite dazu beitragen, die Sicherheit zu verbessern. Beispielsweise können sensible Daten in einem separaten VRF gehalten werden, sodass der Datenverkehr zwischen verschiedenen VRF-Instanzen vollständig isoliert bleibt.

VRF Lite konfigurieren

Die Konfiguration von VRF Lite umfasst die Erstellung und Zuweisung von VRF-Instanzen sowie die Zuordnung von Schnittstellen und Routing-Protokollen zu diesen Instanzen. Hier wird gezeigt, wie VRF Lite auf einem Cisco-Router konfiguriert wird.

1. Erstellen einer VRF-Instanz

Um eine neue VRF-Instanz zu erstellen, verwenden Sie den folgenden Befehl:

ip vrf Blue_VRF
 rd 65000:100
 route-target export 65000:100
 route-target import 65000:100

In diesem Beispiel wird die VRF-Instanz „Blue_VRF“ erstellt. Die Route-Targets werden verwendet, um das Exportieren und Importieren von Routen zu konfigurieren.

2. Zuweisen von Schnittstellen zu einem VRF

Nachdem die VRF-Instanz erstellt wurde, müssen Sie Schnittstellen zuweisen, die zu dieser Instanz gehören sollen. Dies wird mit dem folgenden Befehl durchgeführt:

interface GigabitEthernet0/1
 ip vrf forwarding Blue_VRF
 ip address 192.168.20.1 255.255.255.0

Hier wird das Interface „GigabitEthernet0/1“ der VRF „Blue_VRF“ zugewiesen und eine IP-Adresse konfiguriert.

3. Konfigurieren von Routing-Protokollen für VRF

Jedes VRF kann mit einem eigenen Routing-Protokoll wie OSPF oder BGP konfiguriert werden. Hier ist ein Beispiel, wie OSPF für ein bestimmtes VRF konfiguriert wird:

router ospf 1 vrf Blue_VRF
 network 192.168.20.0 0.0.0.255 area 0

Dieser Befehl konfiguriert OSPF für das VRF „Blue_VRF“ und definiert die OSPF-Netzwerkadresse sowie das zugehörige OSPF-Gebiet.

Typische Einsatzszenarien für VRF Lite

VRF Lite eignet sich besonders gut für Netzwerke, in denen eine einfache Segmentierung des Datenverkehrs erforderlich ist. Hier sind einige typische Szenarien:

1. Trennung von Abteilungen oder Services

VRF Lite eignet sich hervorragend für die Trennung von verschiedenen Abteilungen oder Services innerhalb eines Unternehmens. Zum Beispiel könnte ein Netzwerk für die Finanzabteilung mit einem anderen für die Personalabteilung getrennt werden, um die Sicherheit und Verwaltung zu verbessern.

2. Multi-Homing mit Dual ISPs

In Szenarien mit mehreren Internetanbietern (ISPs) kann VRF Lite verwendet werden, um den Datenverkehr zwischen den verschiedenen ISPs zu isolieren. Dies verhindert, dass der Datenverkehr von einem ISP über den anderen fließt und sorgt für eine bessere Verwaltung der Internetverbindung.

3. Service Provider Netzwerke

VRF Lite wird auch in kleinen Service-Provider-Netzwerken verwendet, um mehrere Kunden zu bedienen, ohne dass MPLS erforderlich ist. Es ermöglicht jedem Kunden eine isolierte Routing-Tabelle, während derselbe Router verwendet wird.

Fehlerbehebung und Best Practices

Bei der Implementierung von VRF Lite ist es wichtig, regelmäßig den Status der Routing-Tabellen zu überprüfen und sicherzustellen, dass keine Konflikte zwischen den VRF-Instanzen auftreten. Einige Best Practices zur Fehlerbehebung sind:

  • Verwenden Sie „show ip vrf“ und „show ip route vrf“ Befehle zur Überprüfung der VRF-Konfiguration und Routing-Tabellen.
  • Vergewissern Sie sich, dass Schnittstellen korrekt zugewiesen und keine Adresskonflikte vorhanden sind.
  • Testen Sie die Konnektivität zwischen den VRF-Instanzen, um sicherzustellen, dass der Datenverkehr korrekt isoliert wird.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind