Eu tenho um entendimento básico de VRFs, VLANs e sub-redes. Entendo que as VLANs operam em L2, e sub-redes e VRFs (lite) em L3. O que eu não entendo é por que você escolheria um sobre o outro quando se preocupa principalmente com a segmentação.
Imagine que eu tenho apenas dois dispositivos e não quero que eles possam conversar, mas quero que eles possam acessar a Internet.
VLANs
Imagine que eu tenho apenas um switch e um roteador na minha rede. Eu poderia fazer o seguinte:
- dispositivo 1 => VLAN 1
- dispositivo 2 => VLAN 2
- Internet => VLAN 3
Então, para impedi-los de falar, eu poderia permitir o tráfego entre as vlan 1 e vlan 3, bem como o tráfego entre as vlan 2 e vlan 3. No entanto, eliminaria todo o tráfego que fluía entre as vlan 1 e vlan 2. => Segmentação OK .
Sub-redes
Imagine que eu tenho dois comutadores e um roteador na minha rede. Eu poderia fazer o seguinte:
- sub-rede 1 => comutador 1 => dispositivo 1
- sub-rede 2 => comutador 2 => dispositivo 2
Então, como fiz com as VLANs, pude eliminar todos os pacotes que fluem entre a sub-rede 1 e a sub-rede 2. => Segmentação OK.
VRFs
Imagine que tenho vários switches e um roteador. Eu poderia fazer o seguinte:
- VRF 1 => Dispositivo 1
- VRF 2 => Dispositivo 2
Eu não tenho que impedir explicitamente nada. Por padrão, os dois VRFs não poderão se comunicar. => Segmentação OK.
Existe alguma outra vantagem em qualquer um dos três? Qual é o método preferido? Por que eu combinaria os três? Do que mais eu sentia falta?
edit Estou realmente procurando uma resposta que compare as três opções, especialmente a VLAN (que pode estar usando sub-redes separadas) vs a segmentação VRF.