VRF'ler, VLAN'lar ve alt ağlar: fark

VRF'ler, VLAN'lar ve alt ağlar hakkında temel bir anlayışa sahibim. VLAN'ların L2'de, alt ağların ve VRF'lerin (lite) L3'te çalıştığını anlıyorum. Anlamadığım şey, çoğunlukla segmentasyonu önemsediğinizde neden birini seçeceğinizdir.

Sadece 2 cihazım olduğunu ve onların birbirleriyle konuşmasını istemiyorum, ama internete erişmelerini istiyorum.

VLAN

Ağımda sadece bir anahtar ve bir yönlendiricim olduğunu hayal edin. Aşağıdaki gibi yapabilirim:

• cihaz 1 => VLAN 1
• cihaz 2 => VLAN 2
• İnternet => VLAN 3

Sonra, onların konuşmalarını önlemek için, vlan 1 ve vlan 3 arasındaki trafiğe ve ayrıca vlan 2 ve vlan 3 arasındaki trafiğe izin verebilirim. Ancak, vlan 1 ve vlan 2 arasındaki tüm trafiği düşürürüm. => Segmentasyon Tamam .

Alt ağlar

Ağımda iki anahtar ve bir yönlendiricimin olduğunu hayal edin. Aşağıdaki gibi yapabilirim:

• alt ağ 1 => anahtar 1 => cihaz 1
• alt ağ 2 => anahtar 2 => cihaz 2

Sonra, VLAN'larda yaptığım gibi, alt ağ 1 ve alt ağ 2 arasında akan tüm paketleri bırakabilirim. => Segmentasyon tamam.

VRF

Birden fazla anahtarım ve bir yönlendiricim olduğunu hayal edin. Aşağıdaki gibi yapabilirim:

• VRF 1 => Cihaz 1
• VRF 2 => Cihaz 2

Hiçbir şeyi açıkça önlemek zorunda değilim. Varsayılan olarak, iki VRF birbiriyle konuşamaz. => Segmentasyon tamam.

Bu üçünden herhangi birinin başka bir avantajı var mı? Tercih edilen yöntem nedir? Neden üçünü birleştireyim ki? Başka neleri özledim?

düzenleme Üç seçeneği, özellikle de VLAN (ayrı alt ağlar kullanıyor olabilir) ve VRF segmentasyonunu karşılaştıran bir cevap arıyorum.

Her biri farklı bir amacı doldurur ve üçü de genel bir çözümün parçası olabilir. Önce en eski konsept ile başlayalım.

Alt ağlar, IP dünyalarının hangi aygıtların "bağlantıda olduğu varsayılır" belirlemesinin yoludur. Aynı alt ağdaki cihazlar varsayılan olarak doğrudan tek noktaya yayın trafiği gönderirken, farklı alt ağlardaki cihazlar varsayılan olarak bir yönlendirici üzerinden tek noktaya yayın trafiği gönderir.

Her alt ağı ayrı bir fiziksel ağa koyabilirsiniz. Bu, trafiği bir güvenlik duvarı olarak işlev görebilen yönlendirici üzerinden gitmeye zorlar. Yalıtım etki alanlarınız fiziksel ağ düzeninizle eşleşirse işe yarar, ancak yoksa PITA olur.

Aynı "bağlantı" üzerinde birden fazla alt ağ olabilir, ancak bunu yapmak cihazlar arasında yüksek düzeyde yalıtım sağlamaz. IPv4 tek noktaya yayın trafiği ve farklı alt ağlar arasındaki IPv6 küresel tek noktaya yayın trafiği, varsayılan olarak filtrelendiği yönlendiriciniz üzerinden akacaktır, ancak yayınlar, IPv6 bağlantı yerel trafiği ve ip olmayan protokoller doğrudan ana bilgisayarlar arasında akacaktır. Ayrıca birisi yönlendiriciyi atlamak istiyorsa, NIC'lerine ekstra bir IP adresi ekleyerek bunu önemsiz bir şekilde yapabilir.

VLAN'lar bir Ethernet ağı alır ve onu birden fazla ayrı Sanal Ethernet ağına böler. Bu, trafiğin fiziksel ağ düzeninizi kısıtlamadan yönlendirici üzerinden geçmesini sağlar.

VRF'ler, tek bir kutuda birden fazla sanal yönlendirici oluşturmanıza izin verir. Bunlar nispeten yeni bir fikirdir ve çoğunlukla büyük karmaşık ağlarda yararlıdır. Temel olarak VLAN'lar aynı altyapı üzerinde birden fazla bağımsız sanal Ethernet ağı oluşturmanıza izin verirken VRF'ler (VLAN veya MPLS gibi uygun bir sanal bağlantı katmanıyla birlikte kullanılır) aynı altyapı üzerinde birden çok bağımsız IP ağı oluşturmanıza izin verir. Yararlı olabilecekleri yerlere bazı örnekler.

• Çok kiracılı bir veri merkezi senaryosu çalıştırıyorsanız, her müşterinin kendi (muhtemelen çakışan) alt ağları olabilir ve farklı yönlendirme ve filtreleme kuralları isteyebilir.
• Büyük bir ağda, merkezi bir güvenlik duvarına çapraz güvenlik etki alanı trafiği gönderirken yerel olarak aynı güvenlik etki alanındaki alt ağlar / vlanslar arasında geçiş yapmak isteyebilirsiniz.
• DDOS fırçalaması yapıyorsanız, temizlenmiş trafiği fırçalanmış trafikten ayırmak isteyebilirsiniz.
• Birden fazla müşteri sınıfınız varsa, trafiğine farklı yönlendirme kuralları uygulamak isteyebilirsiniz. Örneğin, "premium" trafiği en hızlı yolda yönlendirirken "ekonomi" trafiğini en ucuz yolda yönlendirebilirsiniz.

IP alt ağları ve VLAN'lar birbirini dışlamaz - birini veya diğerini seçmezsiniz. Çoğu durumda, VLAN'lar ve alt ağlar arasında bire bir yazışma vardır.

İlk örneğinizde, IP kullandığınızı varsayarsak, yine de VLAN'lara IP alt ağları atamanız gerekecektir. VLAN 1 ve 2'ye ayrı bir IP alt ağı atarsınız. VLAN veya IP adresine göre filtrelenip filtrelenmemek size bağlıdır, ancak VLAN'lar arasında geçiş yapmanız gerektiğinden IP'ye göre filtrelemenin daha kolay olduğunu göreceksiniz.

VRF örneği varsa, İnternet bağlantısı sorununuz vardır. İnternetten trafik alındığında, hangi VRF'ye yerleştiriyorsunuz? Açıkladığınız gibi çalışması için iki İnternet bağlantısına ihtiyacınız olacaktır.

EDIT: VRF'deki "R" Yönlendirme anlamına gelir. Bir VRF, aslında, ayrı bağımsız yönlendiriciler sağlar ve çakışan adreslere ve farklı rotalara sahip olabilirler. VRF'lerin nedeni, segmentasyon değil, ayrı rota hesaplamalarına izin vermektir. Örnek olarak, VRF 1'inizde varsayılan rota İnternet'i gösterebilir, ancak VRF 2'de başka bir yeri gösterebilir. Bunu tek bir yönlendirici ile (kolayca) yapamazsınız ve daha büyük bir ağda neredeyse imkansızdır.

• VLAN'ların yayın ve hata alanlarını izole ettiği söylenir.
• VLAN başına genellikle tek bir alt ağ yapılandırılır ve IP (katman3) adreslemesini ayarlar.
• VRF, aynı cihazdaki rota tablolarını ayırır.