公司新上了AI训练集群,结果财务系统的数据库突然响应变慢,查了一圈发现是训练任务占满了核心交换机的带宽。这种事儿在数据中心里真不少见——不同业务跑在同一张物理网上,就像让快递车、救护车和校车挤在一条老城区单行道上,不出事才怪。
别只盯着防火墙,路由才是隔离的‘分道线’
很多人一说网络隔离,第一反应就是加防火墙策略。但防火墙拦的是‘已建立连接后的流量’,而路由隔离干的是更底层的事:从源头决定‘这条路压根不让你走’。比如把研发测试网段(10.20.0.0/16)和生产数据库网段(10.10.0.0/16)之间不发布任何路由,连ping都通不了,比ACL更干净利落。
静态路由+路由过滤,小而准的隔离法
在核心路由器上,可以明确禁止某些网段互通:
ip prefix-list NO-DB-TO-DEV seq 5 deny 10.10.0.0/16
ip prefix-list NO-DB-TO-DEV seq 10 permit any
!
route-map FILTER-OUT deny 10
match ip address prefix-list NO-DB-TO-DEV
route-map FILTER-OUT permit 20
!
router ospf 1
distribute-list route-map FILTER-OUT out这段配置的意思很直白:往外发OSPF路由时,直接把数据库网段(10.10.0.0/16)的路由条目掐掉,下游设备根本‘看不见’它,自然没法建连接。
VRF:给路由器装上‘多副眼镜’
真正想做到彻底隔离,VRF(Virtual Routing and Forwarding)是绕不开的。它不是虚拟机那种‘软隔离’,而是让一台物理路由器同时维护多套独立的路由表。比如:
• VRF ‘FINANCE’ 里只有 172.16.100.0/24(财务系统)
• VRF ‘HR’ 里只有 172.16.200.0/24(HR系统)
• 两个VRF之间默认完全不通,哪怕IP地址重叠也不打架
关键操作就两步:
① 创建VRF并绑定接口:
vrf definition FINANCE
rd 100:1
!
interface GigabitEthernet0/1
vrf forwarding FINANCE
ip address 172.16.100.1 255.255.255.0② 在VRF里起动态路由(如BGP或OSPF),它只会学习和通告本VRF内的路由。
别忘了:隔离≠断网,要留好‘维修通道’
某次运维同学把管理网段(192.168.10.0/24)也划进了VRF,结果监控平台连不上所有交换机——因为SNMP和SSH流量没走对应VRF。后来加了全局路由表里的静态路由指向管理口,并用PBR(策略路由)强制管理流量走默认路由表,才恢复正常。隔离的前提是‘可控’,不是‘不可达’。
实际调优中,建议先用静态路由+前缀列表做快速隔离,验证业务影响;稳定后再逐步迁移到VRF方案。毕竟,能让财务系统稳稳跑着发工资的隔离,才是好隔离。