J'ai une compréhension de base des VRF, des VLAN et des sous-réseaux. Je comprends que les VLAN fonctionnent sur L2, et les sous-réseaux et VRF (lite) sur L3. Ce que je ne comprends pas, c'est pourquoi vous choisiriez l'un plutôt que l'autre lorsque vous vous souciez principalement de la segmentation.
Imaginez que je n'ai que 2 appareils, et je ne veux pas qu'ils puissent se parler, mais je veux qu'ils puissent accéder à Internet.
VLAN
Imaginez que je n'ai qu'un commutateur et un routeur dans mon réseau. Je pourrais faire comme suit:
- périphérique 1 => VLAN 1
- périphérique 2 => VLAN 2
- Internet => VLAN 3
Ensuite, pour les empêcher de parler, je pourrais autoriser le trafic entre vlan 1 et vlan 3, ainsi que le trafic entre vlan 2 et vlan 3. Je supprimerais cependant tout le trafic circulant entre vlan 1 et vlan 2. => Segmentation OK .
Sous-réseaux
Imaginez que j'ai deux commutateurs et un routeur dans mon réseau. Je pourrais faire comme suit:
- sous-réseau 1 => commutateur 1 => périphérique 1
- sous-réseau 2 => commutateur 2 => périphérique 2
Ensuite, comme je l'ai fait avec les VLAN, je pouvais supprimer tous les paquets circulant entre le sous-réseau 1 et le sous-réseau 2. => Segmentation OK.
VRF
Imaginez que j'ai plusieurs commutateurs et un routeur. Je pourrais faire comme suit:
- VRF 1 => Appareil 1
- VRF 2 => Appareil 2
Je n'ai pas explicitement à empêcher quoi que ce soit. Par défaut, les deux VRF ne pourront pas se parler. => Segmentation OK.
Y a-t-il un autre avantage à l'un des trois? Quelle est la méthode préférée? Pourquoi devrais-je combiner les trois? Qu'est-ce que j'ai raté d'autre?
edit Je cherche vraiment une réponse qui compare les trois options, en particulier VLAN (qui pourrait utiliser des sous-réseaux séparés) vs segmentation VRF.
la source