VRFs, VLANs และซับเน็ต: ความแตกต่าง

10

ฉันมีความเข้าใจพื้นฐานเกี่ยวกับ VRFs, VLANs และซับเน็ต ฉันเข้าใจว่า VLAN ทำงานบน L2 และซับเน็ตและ VRF (lite) บน L3 สิ่งที่ฉันไม่เข้าใจคือเหตุผลที่คุณจะเลือกอย่างใดอย่างหนึ่งเมื่อคุณสนใจการแบ่งส่วน

ลองนึกภาพฉันมีเพียง 2 อุปกรณ์และฉันไม่ต้องการให้พวกเขาสามารถพูดคุยกันได้ แต่ฉันต้องการให้พวกเขาสามารถเข้าถึงอินเทอร์เน็ตได้

VLANs

ลองนึกภาพฉันมีเพียงสวิตช์เดียวและเราเตอร์หนึ่งตัวในเครือข่ายของฉัน ฉันสามารถทำดังนี้:

  • อุปกรณ์ 1 => VLAN 1
  • อุปกรณ์ 2 => VLAN 2
  • อินเทอร์เน็ต => VLAN 3

จากนั้นเพื่อป้องกันไม่ให้พูดคุยฉันสามารถอนุญาตการรับส่งข้อมูลระหว่าง vlan 1 และ vlan 3 ได้เช่นเดียวกับการรับส่งข้อมูลระหว่าง vlan 2 และ vlan 3 ฉันจะปล่อยการจราจรทั้งหมดที่ไหลระหว่าง vlan 1 และ vlan 2 => การแบ่งกลุ่มตกลง .

เครือข่ายย่อย

ลองนึกภาพฉันมีสวิตช์สองตัวและเราเตอร์หนึ่งตัวในเครือข่ายของฉัน ฉันสามารถทำดังนี้:

  • subnet 1 => switch 1 => อุปกรณ์ 1
  • subnet 2 => switch 2 => อุปกรณ์ 2

จากนั้นเช่นเดียวกับที่ฉันทำกับ VLAN ฉันสามารถวางแพ็กเก็ตทั้งหมดที่ไหลระหว่างซับเน็ต 1 และซับเน็ต 2 => การแบ่งกลุ่มตกลง

VRFs

ลองนึกภาพฉันมีสวิตช์หลายตัวและเราเตอร์ตัวเดียว ฉันสามารถทำดังนี้:

  • VRF 1 => อุปกรณ์ 1
  • VRF 2 => อุปกรณ์ 2

ฉันไม่ต้องป้องกันอะไรอย่างชัดเจน ตามค่าเริ่มต้น VRF สองตัวจะไม่สามารถพูดคุยกันได้ => การแบ่งส่วนตกลง

มีข้อได้เปรียบอื่นใดในสามข้อนี้หรือไม่? วิธีการที่ต้องการคืออะไร? ทำไมฉันต้องรวมทั้งสาม? ฉันคิดถึงอะไรอีก

แก้ไข ฉันกำลังมองหาคำตอบที่เปรียบเทียบทั้งสามตัวเลือกโดยเฉพาะ VLAN (ซึ่งอาจใช้ซับเน็ตแยก) เทียบกับการแบ่งส่วน VRF

vlan  subnet  vrf  vrf-lite 
ไมเคิล
แหล่งที่มา

คำตอบ:

7

แต่ละจุดเติมมีจุดประสงค์ที่แตกต่างกันและทั้งสามอาจเป็นส่วนหนึ่งของโซลูชันโดยรวม เริ่มต้นด้วยแนวคิดที่เก่าแก่ที่สุดก่อน

ซับเน็ตคือวิธีการทางโลกของ IP ในการพิจารณาว่าอุปกรณ์ใดที่ "ถือว่าเป็นลิงก์" อุปกรณ์ภายในเครือข่ายย่อยเดียวกันจะส่งการรับส่งข้อมูลแบบ unicast โดยตรงไปยังอุปกรณ์อื่น ๆ ตามค่าเริ่มต้นในขณะที่อุปกรณ์ในเครือข่ายย่อยที่แตกต่างกันจะส่งข้อมูลแบบแบบ unicast ผ่านเราเตอร์ตามค่าเริ่มต้น

คุณสามารถวางแต่ละเครือข่ายย่อยในเครือข่ายทางกายภาพที่แยกจากกัน สิ่งนี้บังคับให้ทราฟฟิกผ่านเราเตอร์ซึ่งสามารถทำหน้าที่เป็นไฟร์วอลล์ได้ ใช้งานได้ดีหากโดเมนการแยกของคุณตรงกับโครงร่างเครือข่ายทางกายภาพของคุณ แต่จะกลายเป็น PITA หากไม่ตรง

คุณสามารถมีเครือข่ายย่อยหลายรายการใน "ลิงก์" เดียวกัน แต่การทำเช่นนั้นไม่ได้มีการแยกระดับสูงระหว่างอุปกรณ์ IPv4 unicast traffic และ IPv6 global unicast traffic ระหว่างเครือข่ายย่อยต่าง ๆ จะเริ่มต้นจากเราเตอร์ของคุณซึ่งสามารถกรองได้ แต่ออกอากาศการเชื่อมต่อในเครือข่ายท้องถิ่นและโปรโตคอลที่ไม่ใช่ IP จะไหลโดยตรงระหว่างโฮสต์ นอกจากนี้หากมีคนต้องการข้ามเราเตอร์พวกเขาสามารถทำได้โดยการเพิ่มที่อยู่ IP เพิ่มเติมใน NIC ของพวกเขา

VLANs ใช้เครือข่ายอีเธอร์เน็ตและแบ่งออกเป็นเครือข่ายอีเธอร์เน็ตเสมือนที่แยกหลาย ๆ วิธีนี้ช่วยให้คุณมั่นใจได้ว่าทราฟฟิกผ่านเราเตอร์โดยไม่ จำกัด โครงสร้างเครือข่ายทางกายภาพของคุณ

VRF ให้คุณสร้างเราเตอร์เสมือนหลายตัวในหนึ่งกล่อง เป็นแนวคิดที่ค่อนข้างใหม่และมีประโยชน์ส่วนใหญ่ในเครือข่ายที่ซับซ้อนขนาดใหญ่ โดยพื้นฐานแล้วในขณะที่ VLAN ให้คุณสร้างเครือข่ายอีเธอร์เน็ตเสมือนอิสระหลายตัวบนโครงสร้างพื้นฐาน VRFs เดียวกัน (ใช้ร่วมกับเลเยอร์ลิงค์เสมือนที่เหมาะสมเช่น VLANs หรือ MPLS) ให้คุณสร้างเครือข่าย IP อิสระหลายตัวบนโครงสร้างพื้นฐานเดียวกัน ตัวอย่างบางส่วนของสถานที่ที่อาจเป็นประโยชน์

  • หากคุณใช้สถานการณ์ดาต้าเซ็นเตอร์หลายผู้เช่าลูกค้าแต่ละรายอาจมีชุดย่อยของตัวเอง (อาจทับซ้อนกัน) และต้องการกฎการกำหนดเส้นทางและการกรองที่แตกต่างกัน
  • ในเครือข่ายขนาดใหญ่คุณอาจต้องการเส้นทางระหว่างซับเน็ต / vlans ในโดเมนความปลอดภัยเดียวกันภายในเครื่องในขณะที่ส่งทราฟฟิกของโดเมนความปลอดภัยข้ามไปยังไฟร์วอลล์กลาง
  • หากคุณกำลังทำการขัดถู DDOS คุณอาจต้องการแยกทราฟฟิกแบบ unscrubbed ออกจากทราฟฟิกแบบสครับ
  • หากคุณมีลูกค้าหลายคลาสคุณอาจต้องการใช้กฎการจัดเส้นทางที่แตกต่างกับปริมาณการใช้งานของพวกเขา ตัวอย่างเช่นคุณสามารถกำหนดเส้นทางการจราจร "เศรษฐกิจ" บนเส้นทางที่ถูกที่สุดในขณะที่กำหนดเส้นทางการจราจร "พรีเมียม" บนเส้นทางที่เร็วที่สุด
ปีเตอร์กรีน
แหล่งที่มา
4

IP subnets และ VLAN ไม่ได้เกิดขึ้นพร้อมกัน - คุณไม่ได้เลือกอย่างใดอย่างหนึ่ง มันเป็นกรณีส่วนใหญ่มีการติดต่อแบบหนึ่งต่อหนึ่งระหว่าง VLANs และเครือข่ายย่อย

ในตัวอย่างแรกของคุณสมมติว่าคุณกำลังใช้ IP คุณยังคงต้องกำหนดเครือข่ายย่อย IP ให้กับ VLAN ดังนั้นคุณจะกำหนด IP subnet แยกต่างหากให้กับ VLAN 1 และ 2 มันขึ้นอยู่กับคุณว่าจะกรองด้วย VLAN หรือที่อยู่ IP แม้ว่าคุณจะพบว่าเมื่อคุณต้องกำหนดเส้นทางระหว่าง VLANs การกรองโดย IP นั้นง่ายกว่า

หากตัวอย่าง VRF แสดงว่าคุณมีปัญหาการเชื่อมต่ออินเทอร์เน็ต เมื่อได้รับปริมาณการใช้งานจากอินเทอร์เน็ตคุณใส่ VRF ตัวไหนลงไป เพื่อให้ทำงานได้ตามที่คุณอธิบายไว้คุณจะต้องใช้การเชื่อมต่ออินเทอร์เน็ตสองครั้ง

แก้ไข: "R" ใน VRF ย่อมาจาก Routing VRF ช่วยให้คุณแยกเราเตอร์แยกต่างหากจากกันและพวกเขาสามารถมีที่อยู่ที่ทับซ้อนกันและเส้นทางที่แตกต่างกัน เหตุผลสำหรับ VRF ไม่ใช่การแบ่งส่วนตาม แต่จะอนุญาตการคำนวณเส้นทางที่แยกต่างหาก ตัวอย่างเช่นใน VRF 1 เส้นทางเริ่มต้นอาจชี้ไปที่อินเทอร์เน็ต แต่ใน VRF 2 อาจเป็นเส้นทางอื่น คุณไม่สามารถทำเช่นนั้นได้ (อย่างง่ายดาย) ด้วยเราเตอร์ตัวเดียวและใกล้จะเป็นไปไม่ได้ในเครือข่ายขนาดใหญ่

ลำต้นของรอน
แหล่งที่มา
ใช่อาจจะมีการแมปแบบหนึ่งต่อหนึ่งกับ subnets - vlans อย่างไรก็ตามในทางทฤษฎีมันไม่จำเป็น และฉันเข้าใจความคิดเห็นของคุณเกี่ยวกับ VRF แต่มันไม่ได้ตอบคำถามของฉัน: ทำไมต้องเลือก VRF แทน vlan-subnets? ฉันแก้ไขเพื่อให้ชัดเจนยิ่งขึ้น
Michael
ขยายคำตอบของฉัน
Ron Trunk
@RonTrunk อาจเพิ่มตัวอย่าง VRF ของ IP ที่ทับซ้อนกันเช่นสภาพแวดล้อมหลายผู้เช่า
Pieter
ฉันเห็น. แต่ในเรื่องของการแบ่งกลุ่ม: การแบ่งส่วนย่อยมีข้อดีเหมือนกับการแบ่งส่วน VRF หรือไม่? เมื่อฉันมีเครือข่ายย่อยสองเครือข่ายฉันต้องเพิ่มเส้นทางในเราเตอร์ของฉันถูกต้องหรือไม่ ฉันเห็นว่าความแตกต่างนั้นสูงขึ้นในตารางเส้นทางที่สามารถแยกออกได้ ขอบคุณ
ไมเคิล
การแบ่งส่วน Subnet ด้วยตัวเองไม่เพียงพอ คุณต้องมีรายการเข้าถึงเพื่อควบคุมปริมาณการใช้งาน
Trunk รอน
2
  • VLAN's ถูกกล่าวเพื่อแยกโดเมนการออกอากาศและความล้มเหลว
  • โดยทั่วไปซับเน็ตเดียวจะถูกกำหนดค่าต่อ VLAN และตั้งค่าการกำหนดที่อยู่ IP (layer3)
  • VRF แยกตารางเส้นทางบนอุปกรณ์เดียวกัน
รอนนี่รอยสตัน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.