VRF, VLAN y subredes: diferencia

Tengo una comprensión básica de VRF, VLAN y subredes. Entiendo que las VLAN funcionan en L2, y las subredes y VRF (lite) en L3. Lo que no entiendo es por qué elegirías uno sobre el otro cuando te importa más la segmentación.

Imagine que solo tengo 2 dispositivos, y no quiero que puedan comunicarse entre sí, pero sí quiero que puedan acceder a Internet.

VLAN

Imagine que solo tengo un conmutador y un enrutador en mi red. Podría hacer lo siguiente:

• dispositivo 1 => VLAN 1
• dispositivo 2 => VLAN 2
• Internet => VLAN 3

Luego, para evitar que hablen, podría permitir el tráfico entre vlan 1 y vlan 3, así como el tráfico entre vlan 2 y vlan 3. Sin embargo, dejaría caer todo el tráfico que fluye entre vlan 1 y vlan 2. => Segmentación OK .

Subredes

Imagine que tengo dos conmutadores y un enrutador en mi red. Podría hacer lo siguiente:

• subred 1 => interruptor 1 => dispositivo 1
• subred 2 => interruptor 2 => dispositivo 2

Luego, como hice con las VLAN, pude descartar todos los paquetes que fluyen entre la subred 1 y la subred 2. => Segmentación correcta.

VRF

Imagine que tengo varios interruptores y un enrutador. Podría hacer lo siguiente:

• VRF 1 => Dispositivo 1
• VRF 2 => Dispositivo 2

No tengo que evitar nada explícitamente. Por defecto, los dos VRF no podrán comunicarse entre sí. => Segmentación OK.

¿Hay alguna otra ventaja para alguno de los tres? ¿Cuál es el método preferido? ¿Por qué combinaría los tres? ¿Qué más extrañé?

editar Realmente estoy buscando una respuesta que compare las tres opciones, especialmente VLAN (que podría estar usando subredes separadas) vs segmentación VRF.

Cada uno cumple un propósito diferente y los tres pueden ser parte de una solución general. Comencemos con el concepto más antiguo primero.

Las subredes son la forma del mundo IP de determinar qué dispositivos se "supone que están en el enlace". Los dispositivos dentro de la misma subred enviarán tráfico de unidifusión directamente entre sí de manera predeterminada, mientras que los dispositivos en diferentes subredes enviarán tráfico de unidifusión a través de un enrutador de manera predeterminada.

Puede colocar cada subred en una red física separada. Esto obliga al tráfico a pasar por el enrutador, que puede actuar como un firewall. Eso funciona bien si sus dominios de aislamiento coinciden con el diseño de su red física, pero se convierte en un PITA si no lo hacen.

Puede tener varias subredes en el mismo "enlace", pero hacerlo no proporciona un alto grado de aislamiento entre los dispositivos. El tráfico de unidifusión IPv4 y el tráfico de unidifusión global IPv6 entre diferentes subredes fluirán de manera predeterminada a través de su enrutador, donde se puede filtrar pero las transmisiones, el tráfico local de enlace IPv6 y los protocolos no IP fluirán directamente entre los hosts. Además, si alguien desea omitir el enrutador, puede hacerlo trivialmente agregando una dirección IP adicional a su NIC.

Las VLAN toman una red Ethernet y la dividen en múltiples redes Ethernet virtuales separadas. Esto le permite asegurarse de que el tráfico pase por el enrutador sin restringir el diseño físico de su red.

Los VRF le permiten construir múltiples enrutadores virtuales en una caja. Son una idea relativamente reciente y son principalmente útiles en grandes redes complejas. Esencialmente, mientras que las VLAN le permiten construir múltiples redes Ethernet virtuales independientes en la misma infraestructura, los VRF (utilizados junto con una capa de enlace virtual adecuada, como las VLAN o MPLS) le permiten construir múltiples redes IP independientes en la misma infraestructura. Algunos ejemplos de dónde podrían ser útiles.

• Si está ejecutando un escenario de centro de datos de múltiples inquilinos, cada cliente puede tener su propio conjunto (posiblemente superpuesto) de subredes y desea diferentes reglas de enrutamiento y filtrado.
• En una red grande, es posible que desee enrutar entre subredes / vlans en el mismo dominio de seguridad localmente mientras envía tráfico de dominio de seguridad cruzado a un firewall central.
• Si está haciendo una limpieza DDOS, es posible que desee separar el tráfico no borrado del tráfico borrado.
• Si tiene varias clases de clientes, puede aplicar diferentes reglas de enrutamiento a su tráfico. Por ejemplo, puede enrutar el tráfico "económico" en la ruta más barata mientras enruta el tráfico "premium" en la ruta más rápida.

Las subredes IP y las VLAN no son mutuamente excluyentes: no elige una u otra. En la mayoría de los casos, existe una correspondencia uno a uno entre las VLAN y las subredes.

En su primer ejemplo, suponiendo que esté usando IP, todavía tendrá que asignar subredes IP a las VLAN. Por lo tanto, debe asignar una subred IP separada a las VLAN 1 y 2. Depende de usted si desea filtrar por VLAN o dirección IP, aunque encontrará que, dado que debe enrutar entre las VLAN, el filtrado por IP es más fácil.

Si el ejemplo VRF, tiene el problema de la conexión a Internet. Cuando se recibe tráfico de Internet, ¿en qué VRF lo ubica? Para que funcione como lo describió, necesitaría dos conexiones a Internet.

EDITAR: La "R" en VRF significa enrutamiento. Un VRF le proporciona, en efecto, enrutadores independientes separados, y pueden tener direcciones superpuestas y diferentes rutas. La razón de los VRF no es la segmentación, per se, sino permitir cálculos de enrutamiento por separado. Como ejemplo, en su VRF 1, la ruta predeterminada puede apuntar a Internet, pero en VRF 2, puede apuntar a otro lugar. No puede hacerlo (fácilmente) con un solo enrutador, y es casi imposible en una red más grande.

• Se dice que las VLAN aíslan los dominios de transmisión y falla.
• Por lo general, una única subred se configura por VLAN y establece el direccionamiento IP (capa3).
• VRF separa las tablas de ruta en el mismo dispositivo.