Mam podstawową wiedzę na temat VRF, VLAN i podsieci. Rozumiem, że sieci VLAN działają na L2, a podsieci i VRF (lite) na L3. To, czego nie rozumiem, to dlaczego wybrałeś jeden z nich, gdy najbardziej zależy ci na segmentacji.
Wyobraź sobie, że mam tylko 2 urządzenia i nie chcę, aby mogły ze sobą rozmawiać, ale chcę, aby mogły mieć dostęp do Internetu.
Sieci VLAN
Wyobraź sobie, że mam tylko jeden przełącznik i jeden router w mojej sieci. Mógłbym zrobić w następujący sposób:
- urządzenie 1 => VLAN 1
- urządzenie 2 => VLAN 2
- Internet => VLAN 3
Następnie, aby uniemożliwić im rozmowę, mógłbym zezwolić na ruch między vlan 1 a vlan 3, a także ruch między vlan 2 a vlan 3. Zrzuciłbym jednak cały ruch płynący między vlan 1 a vlan 2. => Segmentacja OK .
Podsieci
Wyobraź sobie, że mam dwa przełączniki i jeden router w mojej sieci. Mógłbym zrobić w następujący sposób:
- podsieć 1 => przełącznik 1 => urządzenie 1
- podsieć 2 => przełącznik 2 => urządzenie 2
Następnie, podobnie jak w przypadku sieci VLAN, mogłem upuścić wszystkie pakiety przepływające między podsiecią 1 a podsiecią 2. => Segmentacja OK.
VRF
Wyobraź sobie, że mam wiele przełączników i jeden router. Mógłbym zrobić w następujący sposób:
- VRF 1 => Urządzenie 1
- VRF 2 => Urządzenie 2
Nie muszę wyraźnie niczego zapobiegać. Domyślnie dwa VRF nie będą mogły ze sobą rozmawiać. => Segmentacja OK.
Czy jest jakaś inna zaleta któregoś z tych trzech elementów? Jaka jest preferowana metoda? Dlaczego miałbym łączyć te trzy elementy? Co jeszcze mi brakowało?
edytuj Naprawdę szukam odpowiedzi, która porównuje trzy opcje, zwłaszcza VLAN (która może używać oddzielnych podsieci) w porównaniu z segmentacją VRF.
źródło