VRF, VLAN и подсети: разница

У меня есть базовое понимание VRF, VLAN и подсетей. Я понимаю, что VLAN работают на L2, а подсети и VRF (lite) - на L3. Чего я не понимаю, так это того, почему вы бы предпочли одно другому, когда вас больше всего волнует сегментация.

Представьте, что у меня есть только 2 устройства, и я не хочу, чтобы они могли общаться друг с другом, но я хочу, чтобы они имели доступ к Интернету.

Сети VLAN

Представьте, что в моей сети только один коммутатор и один маршрутизатор. Я мог бы сделать следующее:

• устройство 1 => VLAN 1
• устройство 2 => VLAN 2
• Интернет => VLAN 3

Затем, чтобы они не могли говорить, я мог бы разрешить трафик между vlan 1 и vlan 3, а также трафик между vlan 2 и vlan 3. Однако я бы отбросил весь трафик, проходящий между vlan 1 и vlan 2. => Сегментация в порядке ,

Subnets

Представьте, что у меня есть два коммутатора и один маршрутизатор в моей сети. Я мог бы сделать следующее:

• подсеть 1 => коммутатор 1 => устройство 1
• подсеть 2 => коммутатор 2 => устройство 2

Затем, как я сделал с VLAN, я мог отбросить все пакеты, проходящие между подсетью 1 и подсетью 2. => Сегментация в порядке.

VRFs

Представьте, что у меня есть несколько коммутаторов и один маршрутизатор. Я мог бы сделать следующее:

• VRF 1 => Устройство 1
• VRF 2 => Устройство 2

Я не должен явно ничего предотвращать. По умолчанию два VRF не смогут общаться друг с другом. => Сегментация в порядке.

Есть ли какие-либо другие преимущества для любого из трех? Какой метод предпочтительнее? Зачем мне объединять три? Что еще я пропустил?

редактировать Я действительно искал ответ , который сравнивает три варианта, особенно VLAN (которые могут использовать отдельные подсети) против сегментации VRF.

Каждый выполняет разные цели, и все три могут быть частью общего решения. Начнем с самой старой концепции.

Подсети - это способ определения IP-мира, какие устройства «предполагается подключенными к сети». По умолчанию устройства в одной подсети будут отправлять одноадресный трафик напрямую друг другу, тогда как устройства в разных подсетях будут отправлять одноадресный трафик через маршрутизатор по умолчанию.

Вы можете поместить каждую подсеть в отдельную физическую сеть. Это заставляет трафик проходить через маршрутизатор, который может действовать как межсетевой экран. Это прекрасно работает, если ваши домены изоляции совпадают с вашей физической сетевой схемой, но становится PITA, если они этого не делают.

Вы можете иметь несколько подсетей в одной «ссылке», но это не обеспечивает высокую степень изоляции между устройствами. Одноадресный трафик IPv4 и глобальный одноадресный трафик IPv6 между различными подсетями будут по умолчанию проходить через маршрутизатор, где его можно фильтровать, но широковещательные рассылки, локальный трафик IPv6-ссылки и не-ip-протоколы будут передаваться напрямую между хостами. Кроме того, если кто-то хочет обойти маршрутизатор, он может сделать это, добавив дополнительный IP-адрес к своей сетевой карте.

Сети VLAN берут сеть Ethernet и разделяют ее на несколько отдельных сетей виртуального Ethernet. Это позволяет вам гарантировать, что трафик проходит через маршрутизатор, не ограничивая физическую схему сети.

VRF позволяют создавать несколько виртуальных маршрутизаторов в одной коробке. Они являются относительно недавней идеей и в основном полезны в больших сложных сетях. По сути, в то время как VLAN позволяют вам создавать несколько независимых виртуальных сетей Ethernet на одной и той же инфраструктуре VRF (используется в сочетании с соответствующим уровнем виртуального канала, таким как VLAN или MPLS), позволяют создавать несколько независимых IP-сетей на одной и той же инфраструктуре. Некоторые примеры того, где они могут быть полезны.

• Если вы используете сценарий с несколькими арендаторами центров обработки данных, у каждого клиента может быть свой собственный (возможно, перекрывающийся) набор подсетей, и ему нужны разные правила маршрутизации и фильтрации.
• В большой сети может потребоваться локальная маршрутизация между подсетями / сетями в одном и том же домене безопасности при отправке трафика между доменами безопасности на центральный межсетевой экран.
• Если вы выполняете очистку DDOS, вы можете отделить не очищенный трафик от очищенного.
• Если у вас несколько классов клиентов, вы можете применить различные правила маршрутизации к их трафику. Например, вы можете направить «экономичный» трафик на самый дешевый путь, а «премиальный» трафик - на самый быстрый.

IP-подсети и VLAN не являются взаимоисключающими - вы не выбираете ни одно, ни другое. В большинстве случаев существует взаимно-однозначное соответствие между VLAN и подсетями.

В первом примере, если вы используете IP, вам все равно придется назначать IP-подсети для VLAN. Таким образом, вы должны назначить отдельную IP-подсеть для VLAN 1 и 2. Вам решать, выполнять ли фильтрацию по VLAN или IP-адресу, хотя вы обнаружите, что, поскольку вам приходится маршрутизировать между VLAN, фильтрация по IP проще.

Если пример VRF, у вас есть проблема подключения к Интернету. Когда трафик поступает из Интернета, в какой VRF вы его размещаете? Чтобы все работало так, как вы описали, вам понадобятся два интернет-соединения.

РЕДАКТИРОВАТЬ: «R» в VRF обозначает маршрутизации. VRF дает вам, по сути, отдельные независимые маршрутизаторы, и они могут иметь перекрывающиеся адреса и разные маршруты. Причиной использования VRF является не сегментация как таковая, а возможность отдельных вычислений маршрутизации. Например, в вашем VRF 1 маршрут по умолчанию может указывать на Интернет, но в VRF 2 он может указывать куда-то еще. Вы не можете сделать это (легко) с одним маршрутизатором, а в большой сети это практически невозможно.

• Считается, что сети VLAN изолируют домены широковещания и сбоев.
• Одна подсеть обычно настраивается для каждой VLAN и устанавливает IP-адресацию (layer3).
• VRF разделяет таблицы маршрутов на одном устройстве.