VRF, VLAN и подсети: разница

10

У меня есть базовое понимание VRF, VLAN и подсетей. Я понимаю, что VLAN работают на L2, а подсети и VRF (lite) - на L3. Чего я не понимаю, так это того, почему вы бы предпочли одно другому, когда вас больше всего волнует сегментация.


Представьте, что у меня есть только 2 устройства, и я не хочу, чтобы они могли общаться друг с другом, но я хочу, чтобы они имели доступ к Интернету.

Сети VLAN

Представьте, что в моей сети только один коммутатор и один маршрутизатор. Я мог бы сделать следующее:

  • устройство 1 => VLAN 1
  • устройство 2 => VLAN 2
  • Интернет => VLAN 3

Затем, чтобы они не могли говорить, я мог бы разрешить трафик между vlan 1 и vlan 3, а также трафик между vlan 2 и vlan 3. Однако я бы отбросил весь трафик, проходящий между vlan 1 и vlan 2. => Сегментация в порядке ,

Subnets

Представьте, что у меня есть два коммутатора и один маршрутизатор в моей сети. Я мог бы сделать следующее:

  • подсеть 1 => коммутатор 1 => устройство 1
  • подсеть 2 => коммутатор 2 => устройство 2

Затем, как я сделал с VLAN, я мог отбросить все пакеты, проходящие между подсетью 1 и подсетью 2. => Сегментация в порядке.

VRFs

Представьте, что у меня есть несколько коммутаторов и один маршрутизатор. Я мог бы сделать следующее:

  • VRF 1 => Устройство 1
  • VRF 2 => Устройство 2

Я не должен явно ничего предотвращать. По умолчанию два VRF не смогут общаться друг с другом. => Сегментация в порядке.


Есть ли какие-либо другие преимущества для любого из трех? Какой метод предпочтительнее? Зачем мне объединять три? Что еще я пропустил?

редактировать Я действительно искал ответ , который сравнивает три варианта, особенно VLAN (которые могут использовать отдельные подсети) против сегментации VRF.

Майкл
источник

Ответы:

7

Каждый выполняет разные цели, и все три могут быть частью общего решения. Начнем с самой старой концепции.

Подсети - это способ определения IP-мира, какие устройства «предполагается подключенными к сети». По умолчанию устройства в одной подсети будут отправлять одноадресный трафик напрямую друг другу, тогда как устройства в разных подсетях будут отправлять одноадресный трафик через маршрутизатор по умолчанию.

Вы можете поместить каждую подсеть в отдельную физическую сеть. Это заставляет трафик проходить через маршрутизатор, который может действовать как межсетевой экран. Это прекрасно работает, если ваши домены изоляции совпадают с вашей физической сетевой схемой, но становится PITA, если они этого не делают.

Вы можете иметь несколько подсетей в одной «ссылке», но это не обеспечивает высокую степень изоляции между устройствами. Одноадресный трафик IPv4 и глобальный одноадресный трафик IPv6 между различными подсетями будут по умолчанию проходить через маршрутизатор, где его можно фильтровать, но широковещательные рассылки, локальный трафик IPv6-ссылки и не-ip-протоколы будут передаваться напрямую между хостами. Кроме того, если кто-то хочет обойти маршрутизатор, он может сделать это, добавив дополнительный IP-адрес к своей сетевой карте.

Сети VLAN берут сеть Ethernet и разделяют ее на несколько отдельных сетей виртуального Ethernet. Это позволяет вам гарантировать, что трафик проходит через маршрутизатор, не ограничивая физическую схему сети.

VRF позволяют создавать несколько виртуальных маршрутизаторов в одной коробке. Они являются относительно недавней идеей и в основном полезны в больших сложных сетях. По сути, в то время как VLAN позволяют вам создавать несколько независимых виртуальных сетей Ethernet на одной и той же инфраструктуре VRF (используется в сочетании с соответствующим уровнем виртуального канала, таким как VLAN или MPLS), позволяют создавать несколько независимых IP-сетей на одной и той же инфраструктуре. Некоторые примеры того, где они могут быть полезны.

  • Если вы используете сценарий с несколькими арендаторами центров обработки данных, у каждого клиента может быть свой собственный (возможно, перекрывающийся) набор подсетей, и ему нужны разные правила маршрутизации и фильтрации.
  • В большой сети может потребоваться локальная маршрутизация между подсетями / сетями в одном и том же домене безопасности при отправке трафика между доменами безопасности на центральный межсетевой экран.
  • Если вы выполняете очистку DDOS, вы можете отделить не очищенный трафик от очищенного.
  • Если у вас несколько классов клиентов, вы можете применить различные правила маршрутизации к их трафику. Например, вы можете направить «экономичный» трафик на самый дешевый путь, а «премиальный» трафик - на самый быстрый.
Питер Грин
источник
4

IP-подсети и VLAN не являются взаимоисключающими - вы не выбираете ни одно, ни другое. В большинстве случаев существует взаимно-однозначное соответствие между VLAN и подсетями.

В первом примере, если вы используете IP, вам все равно придется назначать IP-подсети для VLAN. Таким образом, вы должны назначить отдельную IP-подсеть для VLAN 1 и 2. Вам решать, выполнять ли фильтрацию по VLAN или IP-адресу, хотя вы обнаружите, что, поскольку вам приходится маршрутизировать между VLAN, фильтрация по IP проще.

Если пример VRF, у вас есть проблема подключения к Интернету. Когда трафик поступает из Интернета, в какой VRF вы его размещаете? Чтобы все работало так, как вы описали, вам понадобятся два интернет-соединения.

РЕДАКТИРОВАТЬ: «R» в VRF обозначает маршрутизации. VRF дает вам, по сути, отдельные независимые маршрутизаторы, и они могут иметь перекрывающиеся адреса и разные маршруты. Причиной использования VRF является не сегментация как таковая, а возможность отдельных вычислений маршрутизации. Например, в вашем VRF 1 маршрут по умолчанию может указывать на Интернет, но в VRF 2 он может указывать куда-то еще. Вы не можете сделать это (легко) с одним маршрутизатором, а в большой сети это практически невозможно.

Рон Транк
источник
Да, вероятно, было бы сопоставление один к одному с подсетями - vlans, однако теоретически это не требуется. И я понимаю ваш комментарий о VRF, но он действительно не отвечает на мой вопрос: зачем выбирать VRF вместо vlan-подсетей? Я внес изменения, чтобы сделать это более ясным.
Майкл
Расширенный мой ответ.
Рон Трунк
@RonTrunk, возможно, добавьте пример VRF с перекрывающимися IP, например, мультитенантную среду.
Питер
Понимаю. Но что касается сегментации: сегментация подсети имеет те же преимущества, что и сегментация VRF? Когда у меня есть две подсети, мне нужно добавить маршрут в мой маршрутизатор, это правильно? Я вижу, что разница выше в таблицах маршрутизации, которые могут быть отдельными. Спасибо.
Майкл
Сегментация подсети сама по себе не достаточно. Вам также нужен список доступа для контроля трафика.
Рон Магистр
2
  • Считается, что сети VLAN изолируют домены широковещания и сбоев.
  • Одна подсеть обычно настраивается для каждой VLAN и устанавливает IP-адресацию (layer3).
  • VRF разделяет таблицы маршрутов на одном устройстве.
Ронни Ройстон
источник