VRFs, VLANs und Subnetze: Unterschied

10

Ich habe ein grundlegendes Verständnis von VRFs, VLANs und Subnetzen. Ich verstehe, dass VLANs auf L2 und Subnetze und VRFs (Lite) auf L3 arbeiten. Was ich nicht verstehe, ist, warum Sie eine über die andere wählen würden, wenn Sie sich hauptsächlich um Segmentierung kümmern.

Stellen Sie sich vor, ich habe nur zwei Geräte und möchte nicht, dass sie miteinander kommunizieren können, aber ich möchte, dass sie auf das Internet zugreifen können.

VLANs

Stellen Sie sich vor, ich habe nur einen Switch und einen Router in meinem Netzwerk. Ich könnte Folgendes tun:

  • Gerät 1 => VLAN 1
  • Gerät 2 => VLAN 2
  • Internet => VLAN 3

Um zu verhindern, dass sie sprechen, könnte ich dann Verkehr zwischen VLAN 1 und VLAN 3 sowie Verkehr zwischen VLAN 2 und VLAN 3 zulassen. Ich würde jedoch den gesamten Verkehr zwischen VLAN 1 und VLAN 2 löschen. => Segmentierung OK .

Subnetze

Stellen Sie sich vor, ich habe zwei Switches und einen Router in meinem Netzwerk. Ich könnte Folgendes tun:

  • Subnetz 1 => Switch 1 => Gerät 1
  • Subnetz 2 => Switch 2 => Gerät 2

Dann konnte ich wie bei den VLANs alle Pakete zwischen Subnetz 1 und Subnetz 2 verwerfen. => Segmentierung OK.

VRFs

Stellen Sie sich vor, ich habe mehrere Switches und einen Router. Ich könnte Folgendes tun:

  • VRF 1 => Gerät 1
  • VRF 2 => Gerät 2

Ich muss nichts explizit verhindern. Standardmäßig können die beiden VRFs nicht miteinander kommunizieren. => Segmentierung OK.

Gibt es einen anderen Vorteil für einen der drei? Was ist die bevorzugte Methode? Warum sollte ich die drei kombinieren? Was habe ich noch vermisst?

edit Ich suche wirklich nach einer Antwort, die die drei Optionen vergleicht, insbesondere VLAN (das möglicherweise separate Subnetze verwendet) mit VRF-Segmentierung.

vlan subnet vrf vrf-lite Michael
quelle

Antworten:

7

Jedes erfüllt einen anderen Zweck und alle drei können Teil einer Gesamtlösung sein. Beginnen wir zuerst mit dem ältesten Konzept.

Subnetze sind die Methode der IP-Welt, um zu bestimmen, welche Geräte als "On-Link" angenommen werden. Geräte innerhalb desselben Subnetzes senden standardmäßig Unicast-Verkehr direkt aneinander, während Geräte in verschiedenen Subnetzen standardmäßig Unicast-Verkehr über einen Router senden.

Sie können jedes Subnetz in ein separates physisches Netzwerk stellen. Dadurch wird der Datenverkehr über den Router geleitet, der als Firewall fungieren kann. Das funktioniert gut, wenn Ihre Isolationsdomänen mit Ihrem physischen Netzwerklayout übereinstimmen, wird aber zu einer PITA, wenn dies nicht der Fall ist.

Sie können mehrere Subnetze auf derselben "Verbindung" haben, dies bietet jedoch keinen hohen Grad an Isolation zwischen den Geräten. IPv4-Unicast-Verkehr und globaler IPv6-Unicast-Verkehr zwischen verschiedenen Subnetzen fließen standardmäßig über Ihren Router, wo er gefiltert werden kann. Broadcasts, lokaler IPv6-Verbindungsverkehr und Nicht-IP-Protokolle fließen jedoch direkt zwischen den Hosts. Wenn jemand den Router umgehen möchte, kann er dies trivial tun, indem er seiner Netzwerkkarte eine zusätzliche IP-Adresse hinzufügt.

VLANs nehmen ein Ethernet-Netzwerk und teilen es in mehrere separate virtuelle Ethernet-Netzwerke auf. Auf diese Weise können Sie sicherstellen, dass der Datenverkehr über den Router geleitet wird, ohne das physische Netzwerklayout einzuschränken.

Mit VRFs können Sie mehrere virtuelle Router in einer Box erstellen. Sie sind eine relativ junge Idee und eignen sich hauptsächlich für große komplexe Netzwerke. Während Sie mit VLANs mehrere unabhängige virtuelle Ethernet-Netzwerke auf derselben Infrastruktur erstellen können, können Sie mit VRFs (die in Verbindung mit einer geeigneten virtuellen Verbindungsschicht wie VLANs oder MPLS verwendet werden) mehrere unabhängige IP-Netzwerke auf derselben Infrastruktur erstellen. Einige Beispiele, wo sie nützlich sein könnten.

  • Wenn Sie ein Szenario mit mehreren Mandanten ausführen, verfügt jeder Kunde möglicherweise über einen eigenen (möglicherweise überlappenden) Satz von Subnetzen und möchte unterschiedliche Routing- und Filterregeln.
  • In einem großen Netzwerk möchten Sie möglicherweise lokal zwischen Subnetzen / VLANs in derselben Sicherheitsdomäne routen, während Sie den Datenverkehr zwischen Sicherheitsdomänen an eine zentrale Firewall senden.
  • Wenn Sie DDOS-Scrubbing durchführen, möchten Sie möglicherweise nicht bereinigten Datenverkehr vom bereinigten Datenverkehr trennen.
  • Wenn Sie mehrere Kundenklassen haben, möchten Sie möglicherweise unterschiedliche Routing-Regeln auf deren Datenverkehr anwenden. Zum Beispiel könnten Sie "Economy" -Verkehr auf dem billigsten Pfad weiterleiten, während Sie "Premium" -Verkehr auf dem schnellsten Pfad weiterleiten.
Peter Green
quelle
4

IP-Subnetze und VLANs schließen sich nicht gegenseitig aus - Sie wählen nicht das eine oder andere. In den meisten Fällen besteht eine Eins-zu-Eins-Entsprechung zwischen VLANs und Subnetzen.

In Ihrem ersten Beispiel müssen Sie den VLANs weiterhin IP-Subnetze zuweisen, sofern Sie IP verwenden. Sie würden also VLAN 1 und 2 ein separates IP-Subnetz zuweisen. Es liegt an Ihnen, ob Sie nach VLAN oder IP-Adresse filtern möchten. Da Sie jedoch zwischen den VLANs routen müssen, ist das Filtern nach IP einfacher.

Wenn das VRF-Beispiel, haben Sie das Problem der Internetverbindung. In welchen VRF legen Sie Datenverkehr aus dem Internet ab? Damit es wie beschrieben funktioniert, benötigen Sie zwei Internetverbindungen.

EDIT: Das "R" in VRF steht für Routing. Mit einer VRF erhalten Sie praktisch separate unabhängige Router, die überlappende Adressen und unterschiedliche Routen haben können. Der Grund für VRFs ist nicht die Segmentierung an sich, sondern die Ermöglichung separater Routing-Berechnungen. In Ihrem VRF 1 kann die Standardroute beispielsweise auf das Internet verweisen, in VRF 2 jedoch möglicherweise auf eine andere Route. Sie können dies nicht (einfach) mit einem einzelnen Router tun, und es ist in einem größeren Netzwerk nahezu unmöglich.

Ron Trunk
quelle
Ja, es würde wahrscheinlich eine Eins-zu-Eins-Zuordnung mit Subnetzen geben - vlans, aber theoretisch ist dies nicht erforderlich. Und ich verstehe Ihren Kommentar zu VRF, aber er beantwortet meine Frage nicht wirklich: Warum sollten Sie VRFs anstelle von VLAN-Subnetzen wählen? Ich habe eine Bearbeitung vorgenommen, um dies klarer zu machen.
Michael
Erweiterte meine Antwort.
Ron Trunk
@ RonTrunk, fügen Sie möglicherweise das VRF-Beispiel für überlappende IPs hinzu, z. B. eine Umgebung mit mehreren Mandanten.
Pieter
Aha. Aber in Bezug auf die Segmentierung: Die Subnetzsegmentierung hat die gleichen Vorteile wie die VRF-Segmentierung? Wenn ich zwei Subnetze habe, müsste ich meinem Router eine Route hinzufügen. Ist das richtig? Ich sehe, dass der Unterschied in den Routing-Tabellen höher ist, die getrennt werden können. Vielen Dank.
Michael
Die Subnetzsegmentierung allein reicht nicht aus. Sie benötigen auch eine Zugriffsliste, um den Datenverkehr zu steuern.
Ron Trunk
2
  • VLANs sollen Broadcast- und Fehlerdomänen isolieren.
  • Ein einzelnes Subnetz wird normalerweise pro VLAN konfiguriert und legt die IP-Adresse (Layer3) fest.
  • VRF trennt Routentabellen auf demselben Gerät.
Ronnie Royston
quelle