Imaginez un immeuble de bureaux où chaque entreprise locataire dispose de ses propres clés, de ses propres portes, et surtout de ses propres couloirs. Personne ne peut entrer chez le voisin, même si tout le monde partage la même structure. C'est exactement ce que fait le routage VRF dans un réseau IP — et comprendre ce mécanisme, c'est franchir un cap décisif dans votre maîtrise des infrastructures réseau.
Que vous soyez en train de préparer votre CCNA, de concevoir l'architecture d'un datacenter ou d'administrer un réseau multi-tenant, cet article vous donne les clés pour comprendre, maîtriser et déployer le VRF concrètement.
Qu'est-ce que le routage VRF ?
VRF est l'acronyme de Virtual Routing and Forwarding (routage et transfert virtuel). Il s'agit d'une technologie réseau qui permet à plusieurs instances de table de routage indépendantes de coexister simultanément sur un seul et même équipement réseau — routeur ou commutateur de niveau 3.
Concrètement, là où un routeur classique maintient une seule table de routage globale dans laquelle transitent tous les flux réseau, un équipement configuré avec le VRF en maintient plusieurs en parallèle. Chaque instance VRF constitue, en quelque sorte, un routeur logique autonome à l'intérieur du même matériel physique.
Dans une architecture VRF, chaque instance dispose de sa propre RIB et de sa propre FIB — deux composants fondamentaux que nous allons maintenant décortiquer, car ils sont au cœur de la compréhension du VRF.
RIB et FIB : les deux piliers du routage VRF
Pour comprendre comment le VRF isole les flux réseau, il est indispensable de bien distinguer ces deux tables qui travaillent en tandem à l'intérieur de chaque instance.
La RIB — Routing Information Base
La RIB (Routing Information Base), aussi appelée table de routage, est la base de données complète de toutes les routes connues par un équipement réseau pour un VRF donné. Elle collecte les informations provenant de toutes les sources disponibles :
- Les routes directement connectées (interfaces avec une adresse IP)
- Les routes statiques configurées manuellement par l'administrateur
- Les routes dynamiques apprises via les protocoles de routage (OSPF, BGP, EIGRP…)
- Les routes redistributées depuis d'autres protocoles
La RIB est donc le registre central : elle sait tout ce qu'il est possible de savoir sur les destinations joignables. Mais elle contient souvent plusieurs routes vers une même destination (par exemple, une route OSPF et une route statique vers le même sous-réseau). Son rôle est alors de sélectionner la meilleure route selon la distance administrative et la métrique, et de la proposer à l'étape suivante.
Exemple de RIB (show ip route vrf ETUDIANTS) :
192.168.10.0/24 [0/0] via vlan10 connected ← route directe
10.0.0.0/8 [110/2] via 192.168.10.254 OSPF ← apprise dynamiquement
0.0.0.0/0 [1/0] via 192.168.10.254 static ← route par défaut manuelle
La FIB — Forwarding Information Base
La FIB (Forwarding Information Base) est la table de commutation optimisée dérivée de la RIB. Là où la RIB est riche en informations mais potentiellement lente à consulter, la FIB est conçue pour être lue en temps réel, à très haute vitesse, pour chaque paquet qui transite.
Concrètement, la FIB :
- Ne contient que les meilleures routes sélectionnées par la RIB (une seule par destination)
- Est structurée pour une consultation ultrarapide, souvent directement dans les ASIC (puces matérielles) des équipements
- Indique précisément pour chaque destination : l'interface de sortie et le prochain saut (next-hop)
- Est mise à jour automatiquement chaque fois que la RIB évolue
Pourquoi cette distinction est-elle cruciale dans le VRF ?
Dans un équipement sans VRF, il n'existe qu'une seule RIB et une seule FIB partagées par toutes les interfaces. Si deux clients utilisent le même préfixe 192.168.1.0/24, il y a immédiatement un conflit.
Avec le VRF, chaque instance dispose de sa propre paire RIB + FIB :
┌─────────────────────────────────────────────────────────────┐
│ SWITCH ARUBA 8400 │
│ │
│ VRF ETUDIANTS VRF PERSONNEL VRF mgmt │
│ ┌──────────┐ ┌──────────┐ ┌────────┐ │
│ │ RIB │ │ RIB │ │ RIB │ │
│ │ 192.168. │ │ 192.168. │ │ 10.0. │ │
│ │ 10.0/24 │ │ 20.0/24 │ │ 0.0/24 │ │
│ └────┬─────┘ └────┬─────┘ └───┬────┘ │
│ │ │ │ │
│ ┌────▼─────┐ ┌────▼─────┐ ┌───▼────┐ │
│ │ FIB │ │ FIB │ │ FIB │ │
│ │ (ASIC) │ │ (ASIC) │ │ (ASIC) │ │
│ └──────────┘ └──────────┘ └────────┘ │
│ │ │ │ │
│ vlan10 vlan20 mgmt │
└─────────────────────────────────────────────────────────────┘
Un paquet entrant sur vlan10 ne consultera jamais la FIB du VRF PERSONNEL les deux mondes sont hermétiquement séparés au niveau du forwarding. C'est cette architecture qui rend le VRF si robuste pour la segmentation réseau.
Comment fonctionne le VRF en pratique ?
Le cycle de vie d'un paquet dans un environnement VRF
Lorsqu'un paquet arrive sur un équipement VRF, le processus de décision se déroule en plusieurs étapes bien distinctes :
Paquet entrant sur vlan10
│
▼
Identification du VRF associé à vlan10
→ VRF = ETUDIANTS
│
▼
Consultation de la FIB du VRF ETUDIANTS
→ Destination 8.8.8.8 → next-hop 192.168.10.254 via vlan10
│
▼
Forwarding vers 192.168.10.254
(Les FIB de PERSONNEL et mgmt ne sont jamais consultées)
Cette séparation stricte garantit qu'un paquet ne peut jamais "dériver" vers un autre VRF, même en cas de mauvaise configuration d'une route.
Le Route Distinguisher (RD) : anatomie d'un identifiant VRF
Pourquoi le RD existe-t-il ?
Voici le problème concret que le Route Distinguisher résout. Imaginez deux VRF différents — ETUDIANTS et PERSONNEL — qui utilisent tous les deux le préfixe 192.168.10.0/24. Sur un équipement local, aucun problème : chaque VRF a sa propre RIB, et les deux routes coexistent sans conflit.
Mais que se passe-t-il quand ces routes doivent être transportées entre deux routeurs via BGP (dans un contexte MPLS) ? BGP, dans sa version standard, ne connaît que des préfixes IP. S'il reçoit deux fois 192.168.10.0/24, il ne sait pas à quel VRF appartient chacune des deux routes — et l'une d'elles est écrasée.
C'est précisément pour résoudre ce problème que le Route Distinguisher a été introduit.
Qu'est-ce que le RD concrètement ?
Le Route Distinguisher est un identifiant unique de 8 octets (64 bits) qui est concaténé au préfixe IP pour former ce qu'on appelle une VPN-IPv4 address (ou VPNv4). Ce préfixe étendu est ensuite transporté par MP-BGP (Multiprotocol BGP) entre les routeurs PE d'un réseau MPLS.
Sans RD : 192.168.10.0/24 ← BGP ne peut pas différencier deux routes identiques
Avec RD : 100:10 + 192.168.10.0/24 → "100:10:192.168.10.0/24" (VRF ETUDIANTS)
100:20 + 192.168.10.0/24 → "100:20:192.168.10.0/24" (VRF PERSONNEL)
Les deux routes deviennent uniques aux yeux de BGP, même si elles partagent le même préfixe IP.
Décryptage de la syntaxe rd 100:10
Dans nos exemples de configuration Aruba 8400, nous avons utilisé rd 100:10 et rd 100:20. Voici ce que signifient ces valeurs :
100 : 10
│ │
│ └── Numéro attribué librement par l'administrateur
│ (identifie le VRF ou le client au sein du même AS)
│
└── Numéro de Système Autonome (ASN) du réseau local
(ici : AS 100)
Il existe en réalité trois formats de Route Distinguisher définis par les RFC :
| Format | Syntaxe | Exemple | Usage Typique |
|---|---|---|---|
| Type 0 | ASN16:Numéro | 100:10 | ASN sur 16 bits + numéro sur 32 bits |
| Type 1 | IP : Numéro | 10.0.0.1:100 | Adresse IP (loopback du PE) + numéro sur 16 bits |
| Type 2 | ASN32 : Numéro | 65000:10 | ASN sur 32 bits + numéro sur 16 bits |
Le format ASN:Numéro (Type 0) est le plus couramment utilisé en entreprise. La convention recommandée est :
- La partie gauche représente votre ASN local (ou un numéro d'organisation)
- La partie droite est un numéro séquentiel que vous choisissez librement pour identifier chaque VRF
Dans notre exemple :
rd 100:10 → AS 100, VRF numéro 10 (ETUDIANTS)
rd 100:20 → AS 100, VRF numéro 20 (PERSONNEL)
Le VRF Leaking : faire communiquer deux VRF
Par défaut, deux VRF sont hermétiquement isolés. Aucun trafic ne peut traverser la frontière entre eux. Mais dans la pratique, on a souvent besoin de contrôler et autoriser des communications sélectives entre VRF — sans pour autant les fusionner. C'est précisément ce que permet le VRF leaking (ou route leaking).
Quand a-t-on besoin du VRF leaking ?
Voici des cas réels typiques :
- Les VRF ETUDIANTS et PERSONNEL doivent tous deux accéder à un serveur DNS partagé dans un VRF SHARED-SERVICES, sans pouvoir se parler directement
- Un VRF IOT doit accéder à Internet via le VRF DEFAULT qui porte la route par défaut
- Un VRF PRODUCTION doit être supervisé par des outils de monitoring situés dans le VRF MANAGEMENT
Mécanisme du VRF leaking
Le principe consiste à importer dans un VRF des routes appartenant à un autre VRF. Il existe deux grandes approches :
Approche 1 — Route leaking via Route Targets (contexte MPLS/BGP)
C'est la méthode native et recommandée en environnement MPLS. Chaque VRF est configuré avec des Route Targets d'export (ce qu'il annonce) et des Route Targets d'import (ce qu'il accepte de recevoir).
! VRF ETUDIANTS exporte ses routes avec le RT 100:10
! et importe les routes portant le RT 100:99 (services partagés)
switch(config)# vrf ETUDIANTS
switch(config-vrf)# rd 100:10
switch(config-vrf)# address-family ipv4 unicast
switch(config-vrf-af)# route-target export 100:10
switch(config-vrf-af)# route-target import 100:99
switch(config-vrf-af)# exit
! VRF SHARED-SERVICES exporte avec RT 100:99
switch(config)# vrf SHARED-SERVICES
switch(config-vrf)# rd 100:99
switch(config-vrf)# address-family ipv4 unicast
switch(config-vrf-af)# route-target export 100:99
switch(config-vrf-af)# route-target import 100:10
switch(config-vrf-af)# route-target import 100:20
switch(config-vrf-af)# exit
Résultat : ETUDIANTS et PERSONNEL peuvent joindre les serveurs du VRF SHARED-SERVICES, mais ne peuvent toujours pas se parler entre eux.
Approche 2 — Route leaking via routes statiques inter-VRF (VRF Lite)
Sans MPLS, on peut réaliser un leaking simplifié en ajoutant des routes statiques qui pointent explicitement vers une interface appartenant à un autre VRF :
! Depuis le VRF ETUDIANTS, on "fuit" uniquement le réseau du serveur DNS
! vers l'interface vlan99 qui appartient au VRF SHARED-SERVICES
switch(config)# ip route vrf ETUDIANTS 10.99.0.0/24 vrf SHARED-SERVICES
Représentation du leaking sélectif
┌──────────────────────────────────────────────────────────┐
│ │
│ VRF ETUDIANTS ──────────────────┐ │
│ 192.168.10.0/24 │ Leaking autorisé │
│ ▼ │
│ VRF SHARED-SERVICES │
│ 10.99.0.0/24 │
│ (DNS, NTP, AD) │
│ ▲ │
│ VRF PERSONNEL ──────────────────┘ Leaking autorisé │
│ 192.168.20.0/24 │
│ │
│ VRF ETUDIANTS ✗────────────── VRF PERSONNEL │
│ (communication directe bloquée) │
│ │
└──────────────────────────────────────────────────────────┘
VRF vs VLAN : quelle différence ?
C'est la question que se posent naturellement tous les ingénieurs qui découvrent le VRF. Les deux technologies permettent de segmenter un réseau, mais elles n'interviennent pas au même niveau du modèle OSI et ne répondent pas aux mêmes besoins.
| Critère | VLAN | VRF |
|---|---|---|
| Couche OSI | Couche 2 | Couche 3 |
| Séparation | Domaine de broadcast | Table de routage complète (RIB + FIB) |
| Isolation IP | Non (des IP peuvent se croiser via le routage) | Oui (isolation complète des plans de routage) |
| Adresses IP dupliquées | Non possible sur le même routeur | Possible dans deux VRF distincts |
| Cas d'usage principal | Segmentation LAN, isolation de trafic L2 | Multi-tenant, séparation de domaines de routage L3 |
| Complexité | Faible à modérée | Modérée à élevée |
| Support protocoles de routage | Via SVI inter-VLAN | Oui, chaque VRF peut exécuter OSPF, BGP, etc. |
| Communication inter-segments | Via routage inter-VLAN (SVI) | Via VRF leaking (contrôlé et explicite) |
| Utilisé avec MPLS | Non | Oui (MPLS L3VPN) |
Complémentarité VLAN et VRF
Ces deux technologies ne sont pas concurrentes, elles sont complémentaires. Un VLAN segmente le trafic au niveau 2 ; le VRF étend cette segmentation jusqu'au niveau 3 avec sa propre RIB et FIB. Dans une architecture typique d'entreprise :
- Les VLAN isolent les domaines de broadcast (IoT, Voix, Données, Invités…)
- Les VRF garantissent que les politiques de routage restent étanches entre entités logiques (filiales, clients, départements)
On peut parfaitement attacher plusieurs VLAN (via leurs SVI) au même VRF, ou avoir un VLAN par VRF selon les besoins.
Cas d'usage réels du VRF
1. Fournisseurs de services (ISP / MPLS VPN)
C'est l'usage historique et le plus répandu du VRF. Un opérateur télécom offrant des services MPLS L3VPN attribue un VRF distinct à chaque client, avec son propre RD. Les données du Client A et du Client B peuvent coexister sur les mêmes équipements physiques sans jamais se mélanger — même s'ils utilisent les mêmes plages d'adresses RFC1918.
2. Multi-tenant dans les datacenters
Les hébergeurs cloud et les datacenters partagés utilisent le VRF pour garantir l'isolation des tenants. Chaque client dispose de son propre espace de routage (RIB + FIB dédiés), avec ses propres politiques, ses propres routes par défaut, ses propres annonces BGP.
3. Segmentation interne d'entreprise
Une grande entreprise peut utiliser le VRF pour séparer ses flux réseau par département ou par niveau de sécurité :
- VRF PRODUCTION : flux applicatifs critiques
- VRF MANAGEMENT : accès aux équipements réseau (out-of-band management)
- VRF INVITES : accès Internet sans accès au LAN interne
- VRF IOT : objets connectés isolés du reste du SI
Un éventuel VRF leaking vers un VRF SHARED-SERVICES permet de partager DNS, NTP et annuaire LDAP sans ouvrir les VRF entre eux.
4. Séparation du plan de management
Sur les équipements modernes (Aruba, Cisco, Juniper…), le port de management est souvent affecté à un VRF dédié appelé mgmt. Cela garantit que le trafic d'administration ne transite jamais sur le plan de données — une bonne pratique de sécurité fondamentale.
Exemple de configuration VRF sur un switch Aruba 8400
Le switch Aruba 8400 (sous ArubaOS-CX) est une plateforme de cœur de réseau campus de référence. Sa prise en charge native des VRF en fait un excellent support pour illustrer une configuration concrète.
Scénario
Imaginons une école supérieure qui souhaite séparer sur le même switch le trafic des étudiants, du personnel administratif et des services partagés (DNS, NTP). Nous allons créer trois VRF distincts avec un leaking sélectif vers les services partagés.
Étape 1 — Vérifier les VRF existants
Avant toute chose, on vérifie ce qui est déjà configuré :
switch# show vrf
VRF Configuration:
------------------
VRF Name : default
Interfaces Status
-----------------------------
vlan1 up
VRF Name : mgmt
Interfaces Status
-----------------------------
mgmt up
Le VRF default et le VRF mgmt sont présents nativement sur ArubaOS-CX.
Étape 2 — Créer les VRF avec leur Route Distinguisher
switch# configure terminal
! VRF pour les étudiants
! rd 100:10 = AS 100, VRF numéro 10
switch(config)# vrf ETUDIANTS
switch(config-vrf)# rd 100:10
switch(config-vrf)# exit
! VRF pour le personnel
! rd 100:20 = AS 100, VRF numéro 20
switch(config)# vrf PERSONNEL
switch(config-vrf)# rd 100:20
switch(config-vrf)# exit
! VRF pour les services partagés (DNS, NTP, AD)
! rd 100:99 = AS 100, VRF numéro 99
switch(config)# vrf SHARED-SERVICES
switch(config-vrf)# rd 100:99
switch(config-vrf)# exit
rd 100:10 signifie "AS 100, identifiant de VRF 10". Les numéros après le deux-points sont librement choisis par l'administrateur. Ils doivent simplement être uniques par VRF au sein de votre infrastructure.Étape 3 — Créer les VLAN associés
switch(config)# vlan 10
switch(config-vlan-10)# name ETUDIANTS_DATA
switch(config-vlan-10)# exit
switch(config)# vlan 20
switch(config-vlan-20)# name PERSONNEL_DATA
switch(config-vlan-20)# exit
switch(config)# vlan 99
switch(config-vlan-99)# name SHARED_SERVICES
switch(config-vlan-99)# exit
Étape 4 — Créer les SVI et les attacher aux VRF
! Interface VLAN 10 → VRF ETUDIANTS
switch(config)# interface vlan 10
switch(config-if-vlan)# vrf attach ETUDIANTS
switch(config-if-vlan)# ip address 192.168.10.1/24
switch(config-if-vlan)# no shutdown
switch(config-if-vlan)# exit
! Interface VLAN 20 → VRF PERSONNEL
switch(config)# interface vlan 20
switch(config-if-vlan)# vrf attach PERSONNEL
switch(config-if-vlan)# ip address 192.168.20.1/24
switch(config-if-vlan)# no shutdown
switch(config-if-vlan)# exit
! Interface VLAN 99 → VRF SHARED-SERVICES
switch(config)# interface vlan 99
switch(config-if-vlan)# vrf attach SHARED-SERVICES
switch(config-if-vlan)# ip address 10.99.0.1/24
switch(config-if-vlan)# no shutdown
switch(config-if-vlan)# exit
vrf attach doit être passée avant d'assigner l'adresse IP. Toute reconfiguration de VRF sur une interface efface les paramètres L3 existants.Étape 5 — Routes par défaut par VRF
! Chaque VRF pointe vers son propre firewall
switch(config)# ip route vrf ETUDIANTS 0.0.0.0/0 192.168.10.254
switch(config)# ip route vrf PERSONNEL 0.0.0.0/0 192.168.20.254
switch(config)# ip route vrf SHARED-SERVICES 0.0.0.0/0 10.99.0.254
Étape 6 — VRF Leaking vers les services partagés
On autorise ETUDIANTS et PERSONNEL à atteindre le réseau 10.99.0.0/24 (DNS, NTP) — mais pas à se parler entre eux :
! Depuis ETUDIANTS : autoriser l'accès au VRF SHARED-SERVICES
switch(config)# ip route vrf ETUDIANTS 10.99.0.0/24 vrf SHARED-SERVICES
! Depuis PERSONNEL : autoriser l'accès au VRF SHARED-SERVICES
switch(config)# ip route vrf PERSONNEL 10.99.0.0/24 vrf SHARED-SERVICES
Étape 7 — Vérification complète
switch# show vrf
VRF Name : ETUDIANTS
Interfaces Status
-----------------------------
vlan10 up
VRF Name : PERSONNEL
Interfaces Status
-----------------------------
vlan20 up
VRF Name : SHARED-SERVICES
Interfaces Status
-----------------------------
vlan99 up
Vérification de la RIB du VRF ETUDIANTS :
switch# show ip route vrf ETUDIANTS
Displaying ipv4 routes selected for forwarding
'[x/y]' denotes [distance/metric]
192.168.10.0/24 [0/0] via vlan10 connected
10.99.0.0/24 [1/0] via vrf SHARED-SERVICES static (leaking)
0.0.0.0/0 [1/0] via 192.168.10.254 static
Commandes de diagnostic VRF-aware :
switch# ping 10.99.0.10 vrf ETUDIANTS ← ping vers le DNS depuis le VRF ETUDIANTS
switch# traceroute 8.8.8.8 vrf PERSONNEL ← traceroute Internet depuis PERSONNEL
switch# show arp vrf SHARED-SERVICES ← table ARP du VRF SHARED-SERVICES
switch# show ip route vrf PERSONNEL ← RIB complète du VRF PERSONNEL
VRF Lite vs MPLS VPN
VRF Lite
VRF Lite est la forme la plus simple et la plus accessible du VRF. Chaque routeur ou switch du réseau maintient ses propres instances VRF de manière indépendante, sans mécanisme de signalisation automatique entre équipements. La RIB et la FIB de chaque VRF sont gérées localement ; la configuration doit être reproduite manuellement sur chaque nœud impliqué.
Avantages : simple à comprendre, ne requiert pas MPLS, adapté aux petites et moyennes entreprises.
Inconvénients : ne scale pas bien sur de grands réseaux (chaque instance VRF doit être configurée sur chaque routeur intermédiaire).
MPLS L3VPN (VRF + MPLS)
C'est la déclinaison "opérateur" du VRF. Le MPLS (Multiprotocol Label Switching) permet de propager automatiquement les informations de routage VRF entre les PE (Provider Edge) via MP-BGP (Multiprotocol BGP). Les routes de chaque VRF sont distinguées grâce aux RD, et leur distribution est contrôlée par les Route Targets. Les routeurs intermédiaires (P routers) n'ont pas conscience des VRF — ils commutent uniquement sur des labels MPLS.
Avantages : scalabilité, automatisation via RT import/export, adapté aux milliers de VRF dans les réseaux d'opérateurs.
Inconvénients : complexité élevée, nécessite une infrastructure MPLS et une maîtrise approfondie de BGP.
Avantages et limites du VRF
Avantages
Isolation et sécurité renforcées : chaque VRF dispose de sa propre RIB et FIB. Sans configuration explicite de route leaking, deux VRF ne peuvent pas communiquer — ce qui constitue une barrière de sécurité forte contre les mouvements latéraux.
Optimisation des ressources : une seule infrastructure physique supporte plusieurs réseaux logiques indépendants, réduisant le nombre d'équipements nécessaires et donc les coûts.
Chevauchement d'adresses IP : deux filiales utilisant le même plan d'adressage RFC1918 peuvent coexister sur la même infrastructure sans conflit, grâce aux RD qui rendent les routes uniques.
Flexibilité des protocoles de routage : chaque VRF peut exécuter ses propres instances OSPF, BGP, EIGRP de manière totalement indépendante.
Partage sélectif via leaking : il est possible d'autoriser des communications ciblées entre VRF (accès à un DNS ou NTP commun) sans fusionner les espaces de routage.
Limites
Complexité accrue : la multiplication des RIB et FIB complique le dépannage. Les outils classiques (ping, traceroute) doivent être adaptés pour cibler un VRF précis.
VRF Lite ne scale pas : sur de grands réseaux avec de nombreux équipements intermédiaires, la configuration manuelle de chaque VRF sur chaque nœud devient fastidieuse.
Le leaking doit être rigoureusement documenté : chaque route importée d'un VRF vers un autre crée une exception à l'isolation. Sans documentation claire, les architectures complexes deviennent très difficiles à auditer.
Interopérabilité : si les grands constructeurs (Cisco, Aruba/HPE, Juniper, Nokia) supportent tous le VRF, les subtilités de syntaxe CLI et les comportements par défaut varient d'un OS à l'autre.
FAQ
Q : Le VRF est-il disponible sur tous les équipements réseau ?
Non. Le VRF est une fonctionnalité qui requiert un équipement de niveau 3 (routeur ou switch L3). Les équipements d'entrée de gamme ne le supportent pas toujours. Sur les plateformes modernes (Cisco IOS-XE, Junos, ArubaOS-CX, Nokia SR OS), le VRF est une fonction standard. Vérifiez toujours la documentation de votre OS et les licences associées.
Q : Quelle est la différence entre RIB et FIB dans le contexte VRF ?
La RIB est la base de données complète de toutes les routes connues (connectées, statiques, dynamiques), qui sélectionne la meilleure route par destination. La FIB est une table dérivée, optimisée pour le forwarding matériel à très haute vitesse : elle ne contient que les meilleures routes et indique directement l'interface de sortie et le next-hop pour chaque paquet. Dans un environnement VRF, chaque instance possède sa propre paire RIB + FIB — c'est ce qui rend l'isolation complète et performante.
Q : Le Route Distinguisher (RD) est-il obligatoire ?
En VRF Lite (sans MPLS), le RD est techniquement facultatif sur certaines plateformes comme ArubaOS-CX. Toutefois, il est fortement recommandé de toujours le configurer, pour deux raisons : il prépare une éventuelle migration vers MPLS, et il constitue une bonne pratique de documentation en identifiant clairement chaque VRF dans la configuration.
Q : Peut-on réutiliser le même RD sur deux VRF différents ?
Non — le RD doit être globalement unique dans l'infrastructure. Deux VRF partageant le même RD rendraient impossibles la différenciation des routes dans BGP, ce qui causerait des problèmes d'acheminement imprévisibles dans un environnement MPLS.
Q : Le VRF leaking est-il sécurisé ?
Le VRF leaking est sécurisé à condition d'être maîtrisé. Chaque route importée entre deux VRF doit être explicitement configurée et documentée. Pour aller plus loin, il est recommandé de combiner le leaking avec des ACL ou des route policies pour n'autoriser que le trafic strictement nécessaire (ex : autoriser uniquement le port 53/UDP vers le serveur DNS partagé).
Q : Quelle est la différence entre VRF et VPN ?
Le VRF est une technologie de segmentation réseau ; le VPN est un service ou un usage. Le VRF est souvent l'un des composants techniques qui permettent de construire un VPN L3 (comme dans MPLS L3VPN). Mais on peut utiliser le VRF sans VPN (pour la segmentation interne), et il existe des VPN qui n'utilisent pas le VRF (comme les tunnels IPsec point à point).
Q : Le VRF impacte-t-il les performances de l'équipement ?
Dans la grande majorité des cas, non de manière significative. Sur les équipements modernes avec ASIC, la FIB de chaque VRF est implémentée directement dans le hardware — le forwarding reste donc matériel quelle que soit la VRF. La surcharge se situe davantage au niveau de la gestion des protocoles de routage (CPU) si de nombreuses instances tournent simultanément.
Q : Combien de VRF peut-on créer sur un switch Aruba 8400 ?
L'Aruba 8400 sous ArubaOS-CX supporte jusqu'à 256 VRF par défaut selon la documentation HPE Aruba. Cette limite peut évoluer selon la version logicielle et la configuration matérielle. Pour les environnements à très haute densité, consultez les notes de version et les limites d'échelle de votre OS.
Conclusion
Le routage VRF est l'une de ces technologies qui paraissent complexes en surface mais dont la logique, une fois saisie, révèle une élégance certaine : un seul équipement, plusieurs réalités réseau parfaitement étanches.
Derrière cette étanchéité se cachent des mécanismes précis — la RIB qui collecte et sélectionne les routes, la FIB qui les traduit en décisions de forwarding ultrarapides, le Route Distinguisher qui rend chaque VRF identifiable de manière unique sur le réseau, et le VRF leaking qui permet, quand nécessaire, d'ouvrir des passerelles chirurgicales entre espaces isolés.
De la segmentation interne d'une PME jusqu'aux infrastructures MPLS des opérateurs télécom, le VRF est partout là où la séparation des plans de routage est une exigence. Que vous visiez la certification CCNP Enterprise, que vous conceviez une architecture multi-tenant ou que vous administriez un parc Aruba AOS-CX, maîtriser le VRF dans toutes ses dimensions vous donnera un avantage concret dans la conception de réseaux sécurisés, scalables et maintenables.
