VRF, Vlan và mạng con: sự khác biệt

Tôi có một sự hiểu biết cơ bản về VRF, Vlan và mạng con. Tôi hiểu rằng Vlan hoạt động trên L2, và mạng con và VRF (lite) trên L3. Điều tôi không hiểu, là tại sao bạn lại chọn cái khác khi bạn chủ yếu quan tâm đến phân khúc.

Hãy tưởng tượng tôi chỉ có 2 thiết bị và tôi không muốn chúng có thể nói chuyện với nhau, nhưng tôi muốn chúng có thể truy cập internet.

Vlan

Hãy tưởng tượng tôi chỉ có một công tắc và một bộ định tuyến trong mạng của mình. Tôi có thể làm như sau:

• thiết bị 1 => Vlan 1
• thiết bị 2 => Vlan 2
• Internet => Vlan 3

Sau đó, để ngăn họ nói chuyện, tôi có thể cho phép lưu lượng giữa vlan 1 và vlan 3, cũng như lưu lượng giữa vlan 2 và vlan 3. Tuy nhiên, tôi sẽ thả tất cả lưu lượng giao thông giữa vlan 1 và vlan 2. => Phân đoạn OK .

Mạng con

Hãy tưởng tượng tôi có hai thiết bị chuyển mạch và một bộ định tuyến trong mạng của mình. Tôi có thể làm như sau:

• mạng con 1 => chuyển 1 => thiết bị 1
• mạng con 2 => chuyển 2 => thiết bị 2

Sau đó, giống như tôi đã làm với các Vlan, tôi có thể thả tất cả các gói chảy giữa mạng con 1 và mạng con 2. => Phân đoạn OK.

VRF

Hãy tưởng tượng tôi có nhiều thiết bị chuyển mạch và một bộ định tuyến. Tôi có thể làm như sau:

• VRF 1 => Thiết bị 1
• VRF 2 => Thiết bị 2

Tôi không rõ ràng phải ngăn chặn bất cứ điều gì. Theo mặc định, hai VRF sẽ không thể nói chuyện với nhau. => Phân đoạn OK.

Có bất kỳ lợi thế khác cho bất kỳ trong ba? Phương pháp ưa thích là gì? Tại sao tôi lại kết hợp cả ba? Tôi đã bỏ lỡ những gì khác?

chỉnh sửa Tôi thực sự đang tìm kiếm một câu trả lời so sánh ba tùy chọn, đặc biệt là Vlan (có thể đang sử dụng các mạng con riêng biệt) so với phân đoạn VRF.

Mỗi mục đích điền vào một mục đích khác nhau và cả ba có thể là một phần của giải pháp tổng thể. Hãy bắt đầu với khái niệm lâu đời nhất trước tiên.

Mạng con là cách thế giới IP để xác định thiết bị nào được "giả sử là liên kết". Các thiết bị trong cùng một mạng con sẽ gửi lưu lượng unicast trực tiếp cho nhau theo mặc định trong khi các thiết bị trong các mạng con khác nhau sẽ gửi lưu lượng unicast qua bộ định tuyến theo mặc định.

Bạn có thể đặt mỗi mạng con trên một mạng vật lý riêng biệt. Điều này buộc lưu lượng truy cập phải đi qua bộ định tuyến, có thể hoạt động như một tường lửa. Điều đó hoạt động tốt nếu các miền cô lập của bạn khớp với bố cục mạng vật lý của bạn nhưng sẽ trở thành PITA nếu chúng không hoạt động.

Bạn có thể có nhiều mạng con trên cùng một "liên kết", nhưng làm như vậy không mang lại mức độ cô lập cao giữa các thiết bị. Lưu lượng unicast IPv4 và lưu lượng unicast toàn cầu IPv6 giữa các mạng con khác nhau sẽ theo luồng mặc định thông qua bộ định tuyến của bạn, nơi nó có thể được lọc nhưng phát sóng, lưu lượng truy cập cục bộ IPv6 và giao thức không ip sẽ truyền trực tiếp giữa các máy chủ. Hơn nữa, nếu ai đó muốn bỏ qua bộ định tuyến, họ có thể làm điều đó một cách tầm thường bằng cách thêm một địa chỉ IP bổ sung vào NIC của họ.

Các Vlan lấy một mạng Ethernet và chia nó thành nhiều mạng Ethernet ảo riêng biệt. Điều này cho phép bạn đảm bảo lưu lượng đi qua bộ định tuyến mà không làm hạn chế bố cục mạng vật lý của bạn.

VRF cho phép bạn xây dựng nhiều bộ định tuyến ảo trong một hộp. Chúng là một ý tưởng tương đối gần đây và chủ yếu hữu ích trong các mạng lớn phức tạp. Về cơ bản, trong khi các Vlan cho phép bạn xây dựng nhiều mạng Ethernet ảo độc lập trên cùng các VRF cơ sở hạ tầng (được sử dụng cùng với một lớp liên kết ảo thích hợp như Vlan hoặc MPLS) cho phép bạn xây dựng nhiều mạng IP độc lập trên cùng một cơ sở hạ tầng. Một số ví dụ về nơi chúng có thể hữu ích.

• Nếu bạn đang chạy một kịch bản trung tâm dữ liệu nhiều bên thuê, mỗi khách hàng có thể có bộ mạng con (có thể chồng chéo) của riêng họ và muốn các quy tắc lọc và định tuyến khác nhau.
• Trong một mạng lớn, bạn có thể muốn định tuyến giữa các mạng con / vlans trong cùng một miền bảo mật cục bộ trong khi gửi lưu lượng miền bảo mật chéo tới tường lửa trung tâm.
• Nếu bạn đang thực hiện DDOS chà, bạn có thể muốn tách lưu lượng truy cập không bị chặn khỏi lưu lượng đã được lọc.
• Nếu bạn có nhiều lớp khách hàng, bạn có thể muốn áp dụng các quy tắc định tuyến khác nhau cho lưu lượng truy cập của họ. Ví dụ: bạn có thể định tuyến lưu lượng truy cập "nền kinh tế" trên đường dẫn rẻ nhất trong khi định tuyến lưu lượng truy cập "cao cấp" trên đường dẫn nhanh nhất.

Mạng con IP và Vlan không loại trừ lẫn nhau - bạn không chọn cái này hay cái kia. Hầu hết các trường hợp, có một sự tương ứng một-một giữa Vlan và mạng con.

Trong ví dụ đầu tiên của bạn, giả sử bạn đang sử dụng IP, bạn vẫn sẽ phải gán các mạng con IP cho Vlan. Vì vậy, bạn sẽ chỉ định một mạng con IP riêng cho Vlan 1 và 2. Tùy thuộc vào việc bạn có lọc theo địa chỉ Vlan hay IP hay không, mặc dù bạn sẽ thấy rằng vì bạn phải định tuyến giữa các Vlan, việc lọc theo IP sẽ dễ dàng hơn.

Nếu ví dụ VRF, bạn có vấn đề về kết nối Internet. Khi lưu lượng truy cập được nhận từ Internet, bạn đặt nó vào VRF nào? Để làm cho nó hoạt động như bạn đã mô tả, bạn sẽ cần hai kết nối Internet.

EDIT: "R" trong VRF là viết tắt của Routing. VRF cung cấp cho bạn, trên thực tế, các bộ định tuyến độc lập riêng biệt và chúng có thể có các địa chỉ chồng chéo và các tuyến khác nhau. Lý do cho VRF không phải là phân khúc, mỗi lần, mà là để cho phép các tính toán định tuyến riêng biệt. Ví dụ, trong VRF 1 của bạn, tuyến mặc định có thể trỏ đến Internet, nhưng trong VRF 2, nó có thể chỉ ra một nơi khác. Bạn không thể làm điều đó (một cách dễ dàng) với một bộ định tuyến duy nhất và gần như không thể trong một mạng lớn hơn.

• Các Vlan được cho là cô lập các miền phát sóng và thất bại.
• Một mạng con duy nhất thường được cấu hình cho mỗi Vlan và đặt địa chỉ IP (lớp 3).
• VRF tách các bảng lộ trình trên cùng một thiết bị.