VRF, VLAN i podsieci: różnica

10

Mam podstawową wiedzę na temat VRF, VLAN i podsieci. Rozumiem, że sieci VLAN działają na L2, a podsieci i VRF (lite) na L3. To, czego nie rozumiem, to dlaczego wybrałeś jeden z nich, gdy najbardziej zależy ci na segmentacji.


Wyobraź sobie, że mam tylko 2 urządzenia i nie chcę, aby mogły ze sobą rozmawiać, ale chcę, aby mogły mieć dostęp do Internetu.

Sieci VLAN

Wyobraź sobie, że mam tylko jeden przełącznik i jeden router w mojej sieci. Mógłbym zrobić w następujący sposób:

  • urządzenie 1 => VLAN 1
  • urządzenie 2 => VLAN 2
  • Internet => VLAN 3

Następnie, aby uniemożliwić im rozmowę, mógłbym zezwolić na ruch między vlan 1 a vlan 3, a także ruch między vlan 2 a vlan 3. Zrzuciłbym jednak cały ruch płynący między vlan 1 a vlan 2. => Segmentacja OK .

Podsieci

Wyobraź sobie, że mam dwa przełączniki i jeden router w mojej sieci. Mógłbym zrobić w następujący sposób:

  • podsieć 1 => przełącznik 1 => urządzenie 1
  • podsieć 2 => przełącznik 2 => urządzenie 2

Następnie, podobnie jak w przypadku sieci VLAN, mogłem upuścić wszystkie pakiety przepływające między podsiecią 1 a podsiecią 2. => Segmentacja OK.

VRF

Wyobraź sobie, że mam wiele przełączników i jeden router. Mógłbym zrobić w następujący sposób:

  • VRF 1 => Urządzenie 1
  • VRF 2 => Urządzenie 2

Nie muszę wyraźnie niczego zapobiegać. Domyślnie dwa VRF nie będą mogły ze sobą rozmawiać. => Segmentacja OK.


Czy jest jakaś inna zaleta któregoś z tych trzech elementów? Jaka jest preferowana metoda? Dlaczego miałbym łączyć te trzy elementy? Co jeszcze mi brakowało?

edytuj Naprawdę szukam odpowiedzi, która porównuje trzy opcje, zwłaszcza VLAN (która może używać oddzielnych podsieci) w porównaniu z segmentacją VRF.

Michał
źródło

Odpowiedzi:

7

Każda z nich spełnia inny cel i wszystkie trzy mogą stanowić część ogólnego rozwiązania. Zacznijmy od najstarszej koncepcji.

Podsieci to światowy sposób określania, które urządzenia są „zakładane jako podłączone”. Urządzenia w tej samej podsieci domyślnie wysyłają ruch emisji pojedynczej bezpośrednio do siebie, podczas gdy urządzenia w różnych podsieciach domyślnie wysyłają ruch emisji pojedynczej przez router.

Możesz umieścić każdą podsieć w osobnej sieci fizycznej. To zmusza ruch do przejścia przez router, który może działać jako zapora ogniowa. Działa to dobrze, jeśli domeny izolacji pasują do fizycznego układu sieci, ale jeśli nie, stają się PITA.

Możesz mieć wiele podsieci w tym samym „łączu”, ale nie zapewnia to wysokiego stopnia izolacji między urządzeniami. Ruch emisji pojedynczej IPv4 i globalny ruch emisji pojedynczej IPv6 między różnymi podsieciami będą domyślnie przepływać przez router, gdzie można je filtrować, ale rozgłaszają, lokalny ruch łącza IPv6 i protokoły inne niż ip będą przepływać bezpośrednio między hostami. Ponadto, jeśli ktoś chce ominąć router, może to zrobić w trywialny sposób, dodając dodatkowy adres IP do swojej karty sieciowej.

Sieci VLAN zajmują sieć Ethernet i dzielą ją na wiele oddzielnych wirtualnych sieci Ethernet. Pozwala to upewnić się, że ruch przechodzi przez router bez ograniczania fizycznego układu sieci.

VRF pozwalają budować wiele wirtualnych routerów w jednym urządzeniu. Są stosunkowo nowym pomysłem i są najbardziej przydatne w dużych złożonych sieciach. Zasadniczo, podczas gdy sieci VLAN pozwalają budować wiele niezależnych wirtualnych sieci Ethernet na tej samej infrastrukturze VRF (stosowane w połączeniu z odpowiednią warstwą wirtualnych łączy, takich jak VLAN lub MPLS), pozwalają budować wiele niezależnych sieci IP na tej samej infrastrukturze. Kilka przykładów ich przydatności.

  • Jeśli prowadzisz scenariusz dotyczący centrum danych z wieloma dzierżawcami, każdy klient może mieć swój własny (prawdopodobnie nakładający się) zestaw podsieci i żądać różnych reguł routingu i filtrowania.
  • W dużej sieci możesz chcieć lokalnie kierować między podsieciami / sieciami w tej samej domenie zabezpieczeń, jednocześnie wysyłając ruch z domeny zabezpieczeń do centralnej zapory.
  • Jeśli wykonujesz czyszczenie DDOS, możesz oddzielić nieoczyszczony ruch od ruchu oczyszczonego.
  • Jeśli masz wiele klas klientów, możesz chcieć zastosować inne reguły routingu do ich ruchu. Na przykład możesz kierować ruchem „ekonomicznym” na najtańszej ścieżce, kierując ruch „premium” na najszybszej ścieżce.
Peter Green
źródło
4

Podsieci IP i sieci VLAN nie wykluczają się wzajemnie - nie wybierasz żadnej z nich. W większości przypadków istnieje zgodność jeden na jeden między sieciami VLAN i podsieciami.

W pierwszym przykładzie, zakładając, że używasz adresu IP, nadal będziesz musiał przypisać podsieci IP do sieci VLAN. Dlatego do VLAN 1 i 2. przypisujesz oddzielną podsieć IP. Od Ciebie zależy, czy filtrować według VLAN, czy adresu IP, chociaż przekonasz się, że ponieważ musisz trasować między VLAN, filtrowanie według IP jest łatwiejsze.

Jeśli na przykład VRF, masz problem z połączeniem internetowym. W którym ruchu VR jest odbierany z Internetu? Aby działało zgodnie z opisem, potrzebujesz dwóch połączeń internetowych.

EDYCJA: „R” w VRF oznacza Routing. VRF daje w efekcie oddzielne niezależne routery i mogą mieć nakładające się adresy i różne trasy. Przyczyną VRF nie jest segmentacja per se, ale umożliwienie oddzielnych obliczeń routingu. Na przykład w VRF 1 domyślna trasa może wskazywać na Internet, ale w VRF 2 może wskazywać gdzie indziej. Nie możesz tego zrobić (z łatwością) za pomocą jednego routera, a w większej sieci jest to prawie niemożliwe.

Ron Trunk
źródło
Tak, prawdopodobnie byłoby mapowanie jeden na jeden z podsieciami - sieciami vlans, jednak teoretycznie nie jest to wymagane. Rozumiem twój komentarz na temat VRF, ale tak naprawdę nie odpowiada na moje pytanie: dlaczego wybrać VRF zamiast podsieci vlan? Dokonałem edycji, aby to wyjaśnić.
Michael
Rozszerzyłem moją odpowiedź.
Ron Trunk,
@RonTrunk, może dodać przykład VRF nakładających się adresów IP, np. Środowisko wielu dzierżawców.
Pieter
Widzę. Ale jeśli chodzi o segmentację: segmentacja podsieci ma takie same zalety jak segmentacja VRF? Gdy mam dwie podsieci, muszę dodać trasę do routera, czy to prawda? Widzę, że różnica jest większa w tabelach routingu, które mogą być oddzielne. Dzięki.
Michael
Sama segmentacja podsieci nie wystarczy. Potrzebujesz także listy dostępu, aby kontrolować ruch.
Ron Trunk
2
  • Mówi się, że sieci VLAN izolują domeny rozgłoszeniowe i domeny awarii.
  • Pojedyncza podsieć jest zazwyczaj konfigurowana dla każdej sieci VLAN i ustawia adresowanie IP (warstwa 3).
  • VRF oddziela tabele tras na tym samym urządzeniu.
Ronnie Royston
źródło