VRF, VLAN, dan subnet: perbedaan

10

Saya memiliki pemahaman dasar tentang VRF, VLAN, dan subnet. Saya mengerti bahwa VLAN beroperasi pada L2, dan subnet dan VRF (lite) pada L3. Apa yang saya tidak mengerti, adalah mengapa Anda akan memilih satu dari yang lain ketika Anda lebih peduli tentang segmentasi.


Bayangkan saya hanya memiliki 2 perangkat, dan saya tidak ingin mereka dapat berbicara satu sama lain, tetapi saya ingin mereka dapat mengakses internet.

VLAN

Bayangkan saya hanya memiliki satu saklar dan satu router di jaringan saya. Saya bisa lakukan sebagai berikut:

  • perangkat 1 => VLAN 1
  • perangkat 2 => VLAN 2
  • Internet => VLAN 3

Kemudian, untuk mencegah mereka berbicara, saya dapat mengizinkan lalu lintas antara vlan 1 dan vlan 3, serta lalu lintas antara vlan 2 dan vlan 3. Namun, saya akan menghapus semua lalu lintas yang mengalir antara vlan 1 dan vlan 2. => Segmentasi OK .

Subnet

Bayangkan saya memiliki dua switch dan satu router di jaringan saya. Saya bisa lakukan sebagai berikut:

  • subnet 1 => beralih 1 => perangkat 1
  • subnet 2 => beralih 2 => perangkat 2

Kemudian, seperti yang saya lakukan dengan VLAN, saya bisa menjatuhkan semua paket yang mengalir antara subnet 1 dan subnet 2. => Segmentasi OK.

VRF

Bayangkan saya memiliki beberapa switch dan satu router. Saya bisa lakukan sebagai berikut:

  • VRF 1 => Perangkat 1
  • VRF 2 => Perangkat 2

Saya tidak secara eksplisit harus mencegah apa pun. Secara default, kedua VRF tidak akan dapat berbicara satu sama lain. => Segmentasi OK.


Apakah ada keuntungan lain dari ketiganya? Apa metode yang disukai? Mengapa saya menggabungkan ketiganya? Apa lagi yang saya lewatkan?

sunting Saya sangat mencari jawaban yang membandingkan ketiga opsi, terutama VLAN (yang mungkin menggunakan subnet terpisah) vs segmentasi VRF.

Michael
sumber

Jawaban:

7

Masing-masing memenuhi tujuan yang berbeda dan ketiganya dapat menjadi bagian dari solusi keseluruhan. Mari kita mulai dengan konsep tertua terlebih dahulu.

Subnet adalah cara dunia IP untuk menentukan perangkat apa yang "dianggap terhubung". Perangkat dalam subnet yang sama akan mengirimkan lalu lintas unicast secara langsung satu sama lain secara default sedangkan perangkat dalam subnet yang berbeda akan mengirimkan lalu lintas unicast melalui router secara default.

Anda dapat menempatkan setiap subnet di jaringan fisik yang terpisah. Ini memaksa lalu lintas untuk pergi melalui router, yang dapat bertindak sebagai firewall. Itu berfungsi dengan baik jika domain isolasi Anda cocok dengan tata letak jaringan fisik Anda tetapi menjadi PITA jika tidak.

Anda dapat memiliki beberapa subnet pada "tautan" yang sama, tetapi hal itu tidak memberikan isolasi tingkat tinggi di antara kedua perangkat. IPv4 unicast traffic dan IPv6 global unicast traffic antara subnet yang berbeda secara default akan mengalir melalui router Anda di mana ia dapat disaring tetapi siaran, IPv6 link traffic lokal dan protokol non-ip akan mengalir langsung antara host. Lebih jauh lagi jika seseorang ingin mem-bypass router mereka dapat melakukan hal itu dengan menambahkan alamat IP tambahan ke NIC mereka.

VLAN mengambil jaringan Ethernet dan membaginya menjadi beberapa jaringan Virtual Ethernet yang terpisah. Ini memungkinkan Anda memastikan bahwa lalu lintas berjalan melalui router tanpa membatasi tata letak jaringan fisik Anda.

VRF memungkinkan Anda membangun beberapa router virtual dalam satu kotak. Mereka adalah ide yang relatif baru dan sebagian besar berguna dalam jaringan besar yang kompleks. Pada dasarnya sementara VLAN memungkinkan Anda membangun beberapa jaringan Ethernet virtual independen pada infrastruktur VRFs yang sama (digunakan bersama dengan lapisan tautan virtual yang sesuai seperti VLAN atau MPLS) memungkinkan Anda membangun beberapa jaringan IP independen pada infrastruktur yang sama. Beberapa contoh di mana mereka mungkin berguna.

  • Jika Anda menjalankan skenario pusat data multi-tenant, setiap pelanggan mungkin memiliki sendiri subnet (mungkin tumpang tindih) dan menginginkan aturan perutean dan penyaringan yang berbeda.
  • Dalam jaringan besar Anda mungkin ingin merutekan antara subnet / vlan dalam domain keamanan yang sama secara lokal saat mengirim lalu lintas domain keamanan lintas ke firewall pusat.
  • Jika Anda melakukan penggosokan DDOS, Anda mungkin ingin memisahkan lalu lintas yang tidak di-scrub dari lalu lintas yang di-scrub.
  • Jika Anda memiliki beberapa kelas pelanggan, Anda mungkin ingin menerapkan aturan perutean yang berbeda untuk lalu lintas mereka. Misalnya, Anda dapat merutekan lalu lintas "hemat" di jalur termurah sambil merutekan lalu lintas "premium" di jalur tercepat.
Peter Green
sumber
4

Subnet dan VLAN IP tidak saling eksklusif - Anda tidak memilih satu atau yang lain. Biasanya, ada korespondensi satu-ke-satu antara VLAN dan subnet.

Dalam contoh pertama Anda, dengan asumsi Anda menggunakan IP, Anda masih harus menetapkan subnet IP ke VLAN. Jadi Anda akan menetapkan subnet IP terpisah ke VLAN 1 dan 2. Terserah Anda apakah akan memfilter berdasarkan VLAN atau alamat IP, meskipun Anda akan menemukan bahwa karena Anda harus merutekan antara VLAN, memfilter dengan IP lebih mudah.

Jika contoh VRF, Anda memiliki masalah koneksi Internet. Ketika lalu lintas diterima dari Internet, di mana Anda menempatkan VRF? Untuk membuatnya berfungsi seperti yang telah Anda jelaskan, Anda membutuhkan dua koneksi Internet.

EDIT: "R" di VRF adalah singkatan dari Routing. VRF memberi Anda, pada dasarnya, router independen yang terpisah, dan mereka dapat memiliki alamat yang tumpang tindih dan rute yang berbeda. Alasan untuk VRF bukan karena segmentasi, tetapi untuk memungkinkan perhitungan rute yang terpisah. Sebagai contoh, di VRF 1 Anda, rute default mungkin mengarah ke Internet, tetapi dalam VRF 2, rute itu mungkin menunjuk ke tempat lain. Anda tidak dapat melakukan itu (dengan mudah) dengan satu router, dan itu hampir mustahil di jaringan yang lebih besar.

Ron Trunk
sumber
Ya, mungkin akan ada pemetaan satu-ke-satu dengan subnet - vlan, namun secara teoritis tidak diperlukan. Dan saya mengerti komentar Anda tentang VRF, tetapi tidak benar-benar menjawab pertanyaan saya: mengapa memilih VRF daripada vlan-subnet? Saya mengedit agar lebih jelas.
Michael
Perluas jawaban saya.
Ron Trunk
@RonTrunk, mungkin tambahkan contoh VRF tentang IP yang tumpang tindih, misalnya lingkungan multi-tenant.
Pieter
Saya melihat. Tetapi sehubungan dengan segmentasi: segmentasi subnet memiliki keunggulan yang sama dengan segmentasi VRF? Ketika saya memiliki dua subnet, saya perlu menambahkan rute di router saya, apakah itu benar? Saya melihat perbedaannya lebih tinggi di tabel routing yang dapat dipisahkan. Terima kasih.
Michael
Segmentasi subnet oleh Itself tidak cukup. Anda juga memerlukan daftar akses untuk mengontrol lalu lintas.
Ron Trunk
2
  • VLAN dikatakan untuk mengisolasi domain broadcast dan kegagalan.
  • Subnet tunggal biasanya dikonfigurasikan per VLAN dan menetapkan pengalamatan IP (layer3).
  • VRF memisahkan tabel rute pada perangkat yang sama.
Ronnie Royston
sumber