VRF, VLAN e sottoreti: differenza

Ho una conoscenza di base di VRF, VLAN e sottoreti. Comprendo che le VLAN funzionano su L2 e le sottoreti e i VRF (lite) su L3. Quello che non capisco è il motivo per cui sceglieresti l'uno sull'altro quando ti preoccupi maggiormente della segmentazione.

Immagina di avere solo 2 dispositivi e non voglio che possano parlare tra loro, ma voglio che siano in grado di accedere a Internet.

VLAN

Immagina di avere un solo switch e un router nella mia rete. Potrei fare come segue:

• dispositivo 1 => VLAN 1
• dispositivo 2 => VLAN 2
• Internet => VLAN 3

Quindi, per impedire loro di parlare, potrei consentire il traffico tra vlan 1 e vlan 3, così come il traffico tra vlan 2 e vlan 3. Vorrei, tuttavia, eliminare tutto il traffico che scorre tra vlan 1 e vlan 2. => Segmentazione OK .

sottoreti

Immagina di avere due switch e un router nella mia rete. Potrei fare come segue:

• sottorete 1 => switch 1 => dispositivo 1
• sottorete 2 => switch 2 => dispositivo 2

Quindi, come ho fatto con le VLAN, ho potuto eliminare tutti i pacchetti che scorrevano tra la sottorete 1 e la sottorete 2. => Segmentazione OK.

VRFs

Immagina di avere più switch e un router. Potrei fare come segue:

• VRF 1 => Dispositivo 1
• VRF 2 => Dispositivo 2

Non devo esplicitamente impedire nulla. Per impostazione predefinita, i due VRF non saranno in grado di parlare tra loro. => Segmentazione OK.

C'è qualche altro vantaggio in uno dei tre? Qual è il metodo preferito? Perché dovrei unire i tre? Cos'altro mi sono perso?

modifica Sto davvero cercando una risposta che mette a confronto le tre opzioni, in particolare VLAN (che potrebbe utilizzare sottoreti separate) rispetto alla segmentazione VRF.

Ognuno riempie uno scopo diverso e tutti e tre possono far parte di una soluzione globale. Iniziamo con il concetto più vecchio per primo.

Le sottoreti sono il modo dei mondi IP di determinare quali dispositivi "si presume siano collegati". I dispositivi all'interno della stessa sottorete invieranno il traffico unicast direttamente tra loro per impostazione predefinita, mentre i dispositivi nelle diverse sottoreti invieranno il traffico unicast tramite un router per impostazione predefinita.

È possibile posizionare ciascuna sottorete su una rete fisica separata. Ciò costringe il traffico a passare attraverso il router, che può fungere da firewall. Funziona bene se i tuoi domini di isolamento corrispondono al layout della tua rete fisica, ma in caso contrario diventa PITA.

È possibile avere più subnet sullo stesso "collegamento", ma ciò non garantisce un elevato grado di isolamento tra i dispositivi. Il traffico unicast IPv4 e il traffico unicast globale IPv6 tra diverse sottoreti fluiranno per impostazione predefinita tramite il router in cui può essere filtrato ma le trasmissioni, il traffico locale di collegamento IPv6 e i protocolli non IP scorreranno direttamente tra gli host. Inoltre, se qualcuno vuole bypassare il router, può semplicemente farlo aggiungendo un indirizzo IP aggiuntivo alla sua scheda NIC.

Le VLAN prendono una rete Ethernet e la dividono in più reti Ethernet virtuali separate. Ciò consente di garantire che il traffico passi attraverso il router senza vincolare il layout di rete fisica.

I VRF ti consentono di costruire più router virtuali in un'unica scatola. Sono un'idea relativamente recente e sono per lo più utili in grandi reti complesse. In sostanza, mentre le VLAN consentono di costruire più reti Ethernet virtuali indipendenti sulla stessa infrastruttura VRF (utilizzate insieme a un livello di collegamento virtuale appropriato come VLAN o MPLS) consentono di costruire più reti IP indipendenti sulla stessa infrastruttura. Alcuni esempi di dove potrebbero essere utili.

• Se si esegue uno scenario di datacenter multi-tenant, ciascun cliente può avere il proprio set di sottoreti (possibilmente sovrapposto) e richiedere regole di routing e filtro diverse.
• In una rete di grandi dimensioni è possibile che si desideri instradare localmente sottoreti / vlan nello stesso dominio di sicurezza mentre si invia il traffico del dominio di sicurezza incrociato a un firewall centrale.
• Se stai eseguendo lo scrubbing DDOS, potresti voler separare il traffico non scrub dal traffico scrubbing.
• Se hai più classi di clienti, potresti voler applicare regole di routing diverse al loro traffico. Ad esempio, è possibile instradare il traffico "economico" sul percorso più economico mentre instradare il traffico "premium" sul percorso più veloce.

Le sottoreti IP e le VLAN non si escludono a vicenda: non si sceglie l'una o l'altra. Nella maggior parte dei casi, esiste una corrispondenza uno a uno tra VLAN e sottoreti.

Nel tuo primo esempio, supponendo che tu stia utilizzando l'IP, dovrai comunque assegnare le sottoreti IP alle VLAN. Quindi assegnereste una sottorete IP separata alla VLAN 1 e 2. Sta a voi decidere se filtrare per VLAN o indirizzo IP, anche se scoprirete che, poiché è necessario instradare tra le VLAN, filtrare per IP è più semplice.

Se l'esempio VRF, hai il problema della connessione Internet. Quando il traffico viene ricevuto da Internet, in quale VRF lo collochi? Per farlo funzionare come descritto, sono necessarie due connessioni Internet.

EDIT: La "R" in VRF sta per Routing. Un VRF offre, in effetti, router indipendenti separati e possono avere indirizzi sovrapposti e percorsi diversi. Il motivo dei VRF non è di per sé la segmentazione, ma per consentire calcoli di routing separati. Ad esempio, nel tuo VRF 1, il percorso predefinito potrebbe puntare a Internet, ma in VRF 2, potrebbe puntare altrove. Non puoi farlo (facilmente) con un singolo router ed è quasi impossibile in una rete più grande.

• Si dice che le VLAN isolino i domini di trasmissione e di errore.
• Una singola subnet è in genere configurata per VLAN e imposta l'indirizzamento IP (layer3).
• VRF separa le tabelle di route sullo stesso dispositivo.