Tengo una comprensión básica de VRF, VLAN y subredes. Entiendo que las VLAN funcionan en L2, y las subredes y VRF (lite) en L3. Lo que no entiendo es por qué elegirías uno sobre el otro cuando te importa más la segmentación.
Imagine que solo tengo 2 dispositivos, y no quiero que puedan comunicarse entre sí, pero sí quiero que puedan acceder a Internet.
VLAN
Imagine que solo tengo un conmutador y un enrutador en mi red. Podría hacer lo siguiente:
- dispositivo 1 => VLAN 1
- dispositivo 2 => VLAN 2
- Internet => VLAN 3
Luego, para evitar que hablen, podría permitir el tráfico entre vlan 1 y vlan 3, así como el tráfico entre vlan 2 y vlan 3. Sin embargo, dejaría caer todo el tráfico que fluye entre vlan 1 y vlan 2. => Segmentación OK .
Subredes
Imagine que tengo dos conmutadores y un enrutador en mi red. Podría hacer lo siguiente:
- subred 1 => interruptor 1 => dispositivo 1
- subred 2 => interruptor 2 => dispositivo 2
Luego, como hice con las VLAN, pude descartar todos los paquetes que fluyen entre la subred 1 y la subred 2. => Segmentación correcta.
VRF
Imagine que tengo varios interruptores y un enrutador. Podría hacer lo siguiente:
- VRF 1 => Dispositivo 1
- VRF 2 => Dispositivo 2
No tengo que evitar nada explícitamente. Por defecto, los dos VRF no podrán comunicarse entre sí. => Segmentación OK.
¿Hay alguna otra ventaja para alguno de los tres? ¿Cuál es el método preferido? ¿Por qué combinaría los tres? ¿Qué más extrañé?
editar Realmente estoy buscando una respuesta que compare las tres opciones, especialmente VLAN (que podría estar usando subredes separadas) vs segmentación VRF.