VRF, VLAN et sous-réseaux: différence

10

J'ai une compréhension de base des VRF, des VLAN et des sous-réseaux. Je comprends que les VLAN fonctionnent sur L2, et les sous-réseaux et VRF (lite) sur L3. Ce que je ne comprends pas, c'est pourquoi vous choisiriez l'un plutôt que l'autre lorsque vous vous souciez principalement de la segmentation.


Imaginez que je n'ai que 2 appareils, et je ne veux pas qu'ils puissent se parler, mais je veux qu'ils puissent accéder à Internet.

VLAN

Imaginez que je n'ai qu'un commutateur et un routeur dans mon réseau. Je pourrais faire comme suit:

  • périphérique 1 => VLAN 1
  • périphérique 2 => VLAN 2
  • Internet => VLAN 3

Ensuite, pour les empêcher de parler, je pourrais autoriser le trafic entre vlan 1 et vlan 3, ainsi que le trafic entre vlan 2 et vlan 3. Je supprimerais cependant tout le trafic circulant entre vlan 1 et vlan 2. => Segmentation OK .

Sous-réseaux

Imaginez que j'ai deux commutateurs et un routeur dans mon réseau. Je pourrais faire comme suit:

  • sous-réseau 1 => commutateur 1 => périphérique 1
  • sous-réseau 2 => commutateur 2 => périphérique 2

Ensuite, comme je l'ai fait avec les VLAN, je pouvais supprimer tous les paquets circulant entre le sous-réseau 1 et le sous-réseau 2. => Segmentation OK.

VRF

Imaginez que j'ai plusieurs commutateurs et un routeur. Je pourrais faire comme suit:

  • VRF 1 => Appareil 1
  • VRF 2 => Appareil 2

Je n'ai pas explicitement à empêcher quoi que ce soit. Par défaut, les deux VRF ne pourront pas se parler. => Segmentation OK.


Y a-t-il un autre avantage à l'un des trois? Quelle est la méthode préférée? Pourquoi devrais-je combiner les trois? Qu'est-ce que j'ai raté d'autre?

edit Je cherche vraiment une réponse qui compare les trois options, en particulier VLAN (qui pourrait utiliser des sous-réseaux séparés) vs segmentation VRF.

Michael
la source

Réponses:

7

Chacun remplit un objectif différent et les trois peuvent faire partie d'une solution globale. Commençons par le concept le plus ancien en premier.

Les sous-réseaux sont le moyen utilisé par les mondes IP pour déterminer quels périphériques sont "supposés être en liaison". Les périphériques d'un même sous-réseau s'envoient directement par défaut le trafic unicast tandis que les périphériques des différents sous-réseaux envoient le trafic unicast via un routeur par défaut.

Vous pouvez placer chaque sous-réseau sur un réseau physique distinct. Cela force le trafic à passer par le routeur, qui peut servir de pare-feu. Cela fonctionne bien si vos domaines d'isolement correspondent à la configuration de votre réseau physique, mais deviennent un PITA s'ils ne le font pas.

Vous pouvez avoir plusieurs sous-réseaux sur le même «lien», mais cela n'offre pas un degré élevé d'isolation entre les périphériques. Le trafic monodiffusion IPv4 et le trafic monodiffusion global IPv6 entre différents sous-réseaux seront par défaut acheminés via votre routeur où ils peuvent être filtrés, mais les diffusions, le trafic local de liaison IPv6 et les protocoles non IP circuleront directement entre les hôtes. De plus, si quelqu'un souhaite contourner le routeur, il peut le faire en ajoutant une adresse IP supplémentaire à sa carte réseau.

Les VLAN prennent un réseau Ethernet et le divisent en plusieurs réseaux Ethernet virtuels séparés. Cela vous permet de vous assurer que le trafic passe par le routeur sans limiter la configuration de votre réseau physique.

Les VRF vous permettent de créer plusieurs routeurs virtuels dans une seule boîte. Ils sont une idée relativement récente et sont surtout utiles dans les grands réseaux complexes. Essentiellement, alors que les VLAN vous permettent de créer plusieurs réseaux Ethernet virtuels indépendants sur la même infrastructure, les VRF (utilisés en conjonction avec une couche de liaison virtuelle appropriée comme les VLAN ou MPLS) vous permettent de créer plusieurs réseaux IP indépendants sur la même infrastructure. Quelques exemples où ils pourraient être utiles.

  • Si vous exécutez un scénario de centre de données à locataires multiples, chaque client peut avoir son propre ensemble (éventuellement chevauchant) de sous-réseaux et souhaiter des règles de routage et de filtrage différentes.
  • Dans un grand réseau, vous souhaiterez peut-être router localement entre les sous-réseaux / réseaux locaux virtuels du même domaine de sécurité tout en envoyant le trafic du domaine de sécurité croisée à un pare-feu central.
  • Si vous effectuez un nettoyage DDOS, vous souhaiterez peut-être séparer le trafic non nettoyé du trafic nettoyé.
  • Si vous avez plusieurs classes de clients, vous souhaiterez peut-être appliquer différentes règles de routage à leur trafic. Par exemple, vous pouvez acheminer le trafic "économique" sur le chemin le moins cher tout en acheminant le trafic "premium" sur le chemin le plus rapide.
Peter Green
la source
4

Les sous-réseaux IP et les VLAN ne s'excluent pas mutuellement - vous ne choisissez pas l'un ou l'autre. Dans la plupart des cas, il existe une correspondance biunivoque entre les VLAN et les sous-réseaux.

Dans votre premier exemple, en supposant que vous utilisez IP, vous devrez toujours attribuer des sous-réseaux IP aux VLAN. Vous affecteriez donc un sous-réseau IP distinct aux VLAN 1 et 2. À vous de décider si vous souhaitez filtrer par VLAN ou par adresse IP, bien que vous constaterez que puisque vous devez router entre les VLAN, le filtrage par IP est plus facile.

Si l'exemple VRF, vous avez le problème de la connexion Internet. Lorsque du trafic est reçu d'Internet, dans quel VRF le placez-vous? Pour le faire fonctionner comme vous l'avez décrit, vous auriez besoin de deux connexions Internet.

EDIT: Le "R" dans VRF signifie Routing. Un VRF vous donne, en effet, des routeurs indépendants distincts, et ils peuvent avoir des adresses qui se chevauchent et des itinéraires différents. La raison des VRF n'est pas la segmentation en soi, mais pour permettre des calculs de routage séparés. Par exemple, dans votre VRF 1, la route par défaut peut pointer vers Internet, mais dans VRF 2, elle peut pointer ailleurs. Vous ne pouvez pas faire cela (facilement) avec un seul routeur, et c'est presque impossible dans un réseau plus grand.

Ron Trunk
la source
Oui, il y aurait probablement un mappage un à un avec des sous-réseaux - vlans, mais théoriquement ce n'est pas nécessaire. Et je comprends votre commentaire sur VRF, mais cela ne répond pas vraiment à ma question: pourquoi choisir les VRF au lieu des sous-réseaux vlan? J'ai fait un montage pour le rendre plus clair.
Michael
Développé ma réponse.
Ron Trunk
@RonTrunk, peut-être ajouter l'exemple VRF d'IP qui se chevauchent, par exemple un environnement multi-locataire.
Pieter
Je vois. Mais en ce qui concerne la segmentation: la segmentation de sous-réseau a les mêmes avantages que la segmentation VRF? Lorsque j'ai deux sous-réseaux, j'aurais besoin d'ajouter un itinéraire dans mon routeur, est-ce correct? Je vois que la différence est plus élevée dans les tables de routage qui peuvent être séparées. Merci.
Michael
La segmentation du sous-réseau par elle-même ne suffit pas. Vous avez également besoin d'une liste d'accès pour contrôler le trafic.
Ron Trunk
2
  • Les VLAN isoleraient les domaines de diffusion et d'échec.
  • Un seul sous-réseau est généralement configuré par VLAN et définit l'adressage IP (couche3).
  • VRF sépare les tables de routage sur le même appareil.
Ronnie Royston
la source