VRFs, VLANs e sub-redes: diferença

Eu tenho um entendimento básico de VRFs, VLANs e sub-redes. Entendo que as VLANs operam em L2, e sub-redes e VRFs (lite) em L3. O que eu não entendo é por que você escolheria um sobre o outro quando se preocupa principalmente com a segmentação.

Imagine que eu tenho apenas dois dispositivos e não quero que eles possam conversar, mas quero que eles possam acessar a Internet.

VLANs

Imagine que eu tenho apenas um switch e um roteador na minha rede. Eu poderia fazer o seguinte:

• dispositivo 1 => VLAN 1
• dispositivo 2 => VLAN 2
• Internet => VLAN 3

Então, para impedi-los de falar, eu poderia permitir o tráfego entre as vlan 1 e vlan 3, bem como o tráfego entre as vlan 2 e vlan 3. No entanto, eliminaria todo o tráfego que fluía entre as vlan 1 e vlan 2. => Segmentação OK .

Sub-redes

Imagine que eu tenho dois comutadores e um roteador na minha rede. Eu poderia fazer o seguinte:

• sub-rede 1 => comutador 1 => dispositivo 1
• sub-rede 2 => comutador 2 => dispositivo 2

Então, como fiz com as VLANs, pude eliminar todos os pacotes que fluem entre a sub-rede 1 e a sub-rede 2. => Segmentação OK.

VRFs

Imagine que tenho vários switches e um roteador. Eu poderia fazer o seguinte:

• VRF 1 => Dispositivo 1
• VRF 2 => Dispositivo 2

Eu não tenho que impedir explicitamente nada. Por padrão, os dois VRFs não poderão se comunicar. => Segmentação OK.

Existe alguma outra vantagem em qualquer um dos três? Qual é o método preferido? Por que eu combinaria os três? Do que mais eu sentia falta?

edit Estou realmente procurando uma resposta que compare as três opções, especialmente a VLAN (que pode estar usando sub-redes separadas) vs a segmentação VRF.

Cada um deles cumpre uma finalidade diferente e os três podem fazer parte de uma solução geral. Vamos começar com o conceito mais antigo primeiro.

As sub-redes são a maneira do mundo de IP determinar quais dispositivos "supõe-se que estejam no link". Dispositivos na mesma sub-rede enviarão tráfego unicast diretamente um ao outro por padrão, enquanto dispositivos em sub-redes diferentes enviarão tráfego unicast por padrão por um roteador.

Você pode colocar cada sub-rede em uma rede física separada. Isso força o tráfego a passar pelo roteador, que pode atuar como um firewall. Isso funciona bem se os domínios de isolamento corresponderem ao seu layout de rede físico, mas se tornar um PITA, se não houver.

Você pode ter várias sub-redes no mesmo "link", mas isso não fornece um alto grau de isolamento entre os dispositivos. O tráfego unicast IPv4 e o tráfego unicast global IPv6 entre diferentes sub-redes fluirão por padrão através do seu roteador, onde pode ser filtrado, mas transmite, o tráfego local de link IPv6 e os protocolos não-IP fluirão diretamente entre os hosts. Além disso, se alguém quiser ignorar o roteador, poderá fazê-lo trivialmente adicionando um endereço IP extra à sua NIC.

As VLANs pegam uma rede Ethernet e a dividem em várias redes Ethernet virtuais separadas. Isso permite garantir que o tráfego passe pelo roteador sem restringir seu layout de rede físico.

Os VRFs permitem criar vários roteadores virtuais em uma caixa. Eles são uma ideia relativamente recente e são úteis principalmente em grandes redes complexas. Essencialmente, enquanto as VLANs permitem criar várias redes Ethernet virtuais independentes na mesma infraestrutura, os VRFs (usados ​​em conjunto com uma camada de link virtual apropriada, como VLANs ou MPLS), permitem criar várias redes IP independentes na mesma infraestrutura. Alguns exemplos de onde eles podem ser úteis.

• Se você estiver executando um cenário de datacenter com vários inquilinos, cada cliente poderá ter seu próprio conjunto de sub-redes (possivelmente sobrepostas) e desejar regras de roteamento e filtragem diferentes.
• Em uma rede grande, convém rotear entre sub-redes / vlans no mesmo domínio de segurança localmente enquanto envia tráfego de domínio de segurança cruzada para um firewall central.
• Se você estiver limpando o DDOS, poderá separar o tráfego não limpo do tráfego limpo.
• Se você tiver várias classes de clientes, poderá aplicar regras de roteamento diferentes ao tráfego delas. Por exemplo, você pode rotear o tráfego "econômico" no caminho mais barato e rotear o tráfego "premium" no caminho mais rápido.

As sub-redes IP e VLANs não são mutuamente exclusivas - você não escolhe uma ou outra. Na maioria dos casos, existe uma correspondência individual entre VLANs e sub-redes.

No seu primeiro exemplo, supondo que você esteja usando IP, ainda precisará atribuir sub-redes IP às VLANs. Portanto, você atribuiria uma sub-rede IP separada às VLAN 1 e 2. Depende de você filtrar por VLAN ou endereço IP, embora você descubra que, desde que você precise rotear entre as VLANs, a filtragem por IP é mais fácil.

Se o exemplo VRF, você tem o problema da conexão com a Internet. Quando o tráfego é recebido da Internet, em qual VRF você o coloca? Para fazê-lo funcionar como você descreveu, você precisaria de duas conexões com a Internet.

EDIT: O "R" no VRF significa Roteamento. Um VRF fornece, com efeito, roteadores independentes separados e eles podem ter endereços sobrepostos e rotas diferentes. O motivo dos VRFs não é a segmentação, por si só, mas para permitir cálculos de roteamento separados. Como exemplo, no seu VRF 1, a rota padrão pode apontar para a Internet, mas no VRF 2, pode apontar para outro lugar. Você não pode fazer isso (facilmente) com um único roteador, e é quase impossível em uma rede maior.

• Dizem que as VLANs isolam domínios de transmissão e falha.
• Uma única sub-rede é normalmente configurada por VLAN e define o endereçamento IP (camada3).
• O VRF separa as tabelas de rotas no mesmo dispositivo.