VRF, VLAN та підмережі: різниця

Я маю базове розуміння VRF, VLAN та підмереж. Я розумію, що VLAN працюють на L2, а підмережі та VRF (lite) на L3. Що я не розумію, це те, чому ви обираєте одне над іншим, коли ви в основному дбаєте про сегментацію.

Уявіть, що у мене є лише два пристрої, і я не хочу, щоб вони могли спілкуватися один з одним, але я хочу, щоб вони мали доступ до Інтернету.

VLAN

Уявіть, у мене в мережі лише один комутатор і один маршрутизатор. Я міг би зробити так:

• пристрій 1 => VLAN 1
• пристрій 2 => VLAN 2
• Інтернет => VLAN 3

Тоді, щоб не допустити їх розмови, я міг би дозволити трафік між vlan 1 та vlan 3, а також трафік між vlan 2 та vlan 3. Я, однак, відмовив би весь трафік, що протікає між vlan 1 та vlan 2. => Сегментація OK .

Підмережі

Уявіть, у мене в мережі два комутатори та один маршрутизатор. Я міг би зробити так:

• підмережа 1 => комутатор 1 => пристрій 1
• підмережа 2 => комутатор 2 => пристрій 2

Тоді, як і з VLAN, я міг скинути всі пакети, що протікають між підмережею 1 та підмережею 2. => Сегментація ОК.

VRF

Уявіть, у мене є кілька комутаторів і один маршрутизатор. Я міг би зробити так:

• VRF 1 => Пристрій 1
• VRF 2 => Пристрій 2

Мені прямо нічого не потрібно заважати. За замовчуванням два VRF не зможуть спілкуватися один з одним. => Сегментація ОК.

Чи є якась інша перевага для будь-якого з цих трьох? Що є кращим методом? Навіщо мені поєднувати три? Що ще я пропустив?

редагувати Я дійсно шукаю відповідь, яка порівнює три варіанти, особливо VLAN (яка може використовувати окремі підмережі) та сегментацію VRF.

Кожен відповідає різній меті, і всі три можуть бути частиною загального рішення. Почнемо спочатку з найдавнішої концепції.

Підмережі - це спосіб визначення світових IP-адрес, які пристрої "передбачаються на зв'язку". Пристрої в одній підмережі за замовчуванням передаватимуть одноадресний трафік безпосередньо один одному, тоді як пристрої в різних підмережах за замовчуванням надсилатимуть одноадресний трафік через маршрутизатор.

Ви можете розмістити кожну підмережу в окремій фізичній мережі. Це змушує трафік проходити через маршрутизатор, який може діяти як брандмауер. Це чудово працює, якщо ваші домени ізоляції відповідають вашому розташуванню у фізичній мережі, але якщо вони цього не стають, це буде PITA.

Ви можете мати кілька підмереж на одному "посиланні", але це не забезпечує високу ступінь ізоляції між пристроями. IPv4 одноадресний трафік та глобальний одноадресний IPv6 трафік між різними підмережами за замовчуванням буде протікати через ваш маршрутизатор, де він може бути відфільтрований, але трансляція, IPv6 пов'язують локальний трафік та протоколи, які не є ip, будуть надходити безпосередньо між хостами. Крім того, якщо хтось хоче обходити маршрутизатор, він може тривіально зробити це, додавши додаткову IP-адресу до свого NIC.

VLAN приймають мережу Ethernet і розбивають її на кілька відокремлених мереж Virtual Ethernet. Це дозволяє вам переконатися, що трафік проходить через маршрутизатор, не обмежуючи ваш фізичний макет мережі.

VRF дозволяють створювати кілька віртуальних маршрутизаторів в одному вікні. Вони є відносно недавньою ідеєю і в основному корисні для великих складних мереж. По суті, хоча VLAN дозволяють будувати декілька незалежних віртуальних мереж Ethernet на одній і тій же інфраструктурі VRF (використовується спільно з відповідним віртуальним рівнем зв'язку, таким як VLAN або MPLS), дозволяють будувати кілька незалежних IP-мереж на одній інфраструктурі. Деякі приклади, де вони можуть бути корисними.

• Якщо у вас працює сценарій центру обробки даних для багатьох орендарів, кожен клієнт може мати власний набір підмереж (можливо, що перекриваються) та вимагати різних правил маршрутизації та фільтрації.
• У великій мережі ви, можливо, захочете здійснювати маршрутизацію між підмережами / vlans в одному домені безпеки локально, надсилаючи перехресний домен безпеки на центральний брандмауер.
• Якщо ви займаєтеся очищенням DDOS, можливо, ви хочете відокремити необроблений трафік від трафікованого трафіку.
• Якщо у вас є кілька класів клієнтів, ви можете застосувати різні правила маршрутизації до їх трафіку. Наприклад, ви можете спрямовувати трафік "економного" на найдешевший шлях, перенаправляючи "преміальний" трафік на найшвидший шлях.

IP-підмережі та VLAN не є взаємовиключними - ви не вибираєте те чи інше. У більшості випадків існує відповідність між собою VLAN та підмережами.

У вашому першому прикладі, припускаючи, що ви використовуєте IP, вам все одно доведеться призначати IP-підмережі для VLAN. Таким чином, ви б призначили окрему підмережу IP VLAN 1 і 2. Ви вирішуєте, чи потрібно фільтрувати за VLAN чи IP-адресою, хоча ви побачите, що оскільки вам доведеться прокладати маршрути між VLAN, фільтрування за IP-адресою простіше.

Якщо приклад VRF, у вас є проблема з підключенням до Інтернету. Коли трафік надходить з Інтернету, у який VRF ви його розміщуєте? Щоб він працював так, як ви описали, вам знадобляться два підключення до Інтернету.

EDIT: "R" у VRF означає "Маршрутизація". Фактично, VRF дає вам окремі незалежні маршрутизатори, і вони можуть мати адреси, що перекриваються, та різні маршрути. Причина VRF полягає не в сегментації, як такої, а в тому, щоб дозволити окремі обчислення маршрутизації. Наприклад, у VRF 1 маршрут за замовчуванням може вказувати на Інтернет, але у VRF 2 він може вказувати десь ще. Ви не можете це зробити (легко) за допомогою одного маршрутизатора, і це майже неможливо в більшій мережі.

• Кажуть, що VLAN ізолюють широкомовні та відмовні домени.
• Єдина підмережа, як правило, налаштована на VLAN та встановлює IP-адресу (рівень 3).
• VRF розділяє таблиці маршрутів на одному пристрої.