VRF、VLAN、サブネット:違い

10

VRF、VLAN、サブネットについて基本的な知識があります。VLANはL2で動作し、サブネットとVRF(Lite)はL3で動作することを理解しています。私が理解していないのは、セグメンテーションをほとんど気にかけているのに、どちらを選ぶかということです。

私が2台のデバイスしか持っておらず、それらが互いに対話できるようにしたくないが、インターネットにアクセスできるようにしたいとします。

VLAN

ネットワークに1つのスイッチと1つのルーターしかない場合を想像してください。私は次のようにすることができます:

  • デバイス1 => VLAN 1
  • デバイス2 => VLAN 2
  • インターネット=> VLAN 3

次に、それらが会話するのを防ぐために、vlan 1とvlan 3の間のトラフィック、およびvlan 2とvlan 3の間のトラフィックを許可しますが、vlan 1とvlan 2の間を流れるすべてのトラフィックをドロップします=>セグメンテーションOK 。

サブネット

ネットワークに2つのスイッチと1つのルーターがあるとします。私は次のようにすることができます:

  • サブネット1 =>スイッチ1 =>デバイス1
  • サブネット2 =>スイッチ2 =>デバイス2

次に、VLANで行ったように、サブネット1とサブネット2の間を流れるすべてのパケットをドロップできます。=>セグメンテーションOK。

VRF

複数のスイッチと1つのルーターがあるとします。私は次のようにすることができます:

  • VRF 1 =>デバイス1
  • VRF 2 =>デバイス2

明示的に何も防止する必要はありません。デフォルトでは、2つのVRFは相互に通信できません。=>セグメンテーションOK。

3つのうち他の利点はありますか?推奨される方法は何ですか?なぜ3つを組み合わせるのですか?他に何を見逃しましたか?

編集 3つのオプション、特にVLAN(個別のサブネットを使用している可能性がある)とVRFセグメンテーションを比較する答えを本当に探しています。

vlan  subnet  vrf  vrf-lite 
マイケル
ソース

回答:

7

それぞれが異なる目的を満たし、3つすべてが全体的なソリューションの一部になる場合があります。最初に最も古い概念から始めましょう。

サブネットは、どのデバイスが「リンク上にあると想定される」かを決定するIPの世界の方法です。同じサブネット内のデバイスはデフォルトでユニキャストトラフィックを互いに直接送信しますが、異なるサブネット内のデバイスはデフォルトでルーターを介してユニキャストトラフィックを送信します。

各サブネットを個別の物理ネットワークに配置できます。これにより、トラフィックはルーターを経由します。ルーターはファイアウォールとして機能します。分離ドメインが物理ネットワークレイアウトと一致する場合は問題なく機能しますが、一致しない場合はPITAになります。

同じ「リンク」上に複数のサブネットを設定できますが、そうすることでデバイス間の高度な分離は実現されません。異なるサブネット間のIPv4ユニキャストトラフィックとIPv6グローバルユニキャストトラフィックは、デフォルトでルーターを介して流れますが、そこでフィルタリングできますが、ブロードキャスト、IPv6リンクローカルトラフィック、および非IPプロトコルは、ホスト間を直接流れます。さらに、誰かがルーターをバイパスしたい場合は、NICにIPアドレスを追加することで簡単にバイパスできます。

VLANはイーサネットネットワークを取り、それを複数の別個の仮想イーサネットネットワークに分割します。これにより、物理ネットワークレイアウトを制約することなく、トラフィックがルーターを経由するようになります。

VRFを使用すると、1つのボックスで複数の仮想ルーターを構築できます。これらは比較的最近のアイデアであり、大規模で複雑なネットワークで主に役立ちます。基本的に、VLANを使用すると、同じインフラストラクチャ上に複数の独立した仮想イーサネットネットワークを構築できます(VLANやMPLSなどの適切な仮想リンクレイヤーと組み合わせて使用​​される)VRFを使用すると、同じインフラストラクチャ上に複数の独立したIPネットワークを構築できます。それらが役立つかもしれない場所のいくつかの例。

  • マルチテナントデータセンターのシナリオを実行している場合、各顧客が独自の(重複している可能性のある)サブネットのセットを持っていて、異なるルーティングおよびフィルタリングルールが必要な場合があります。
  • 大規模なネットワークでは、セキュリティドメイン間トラフィックを中央のファイアウォールに送信しながら、同じセキュリティドメイン内のサブネット/ VLAN間をローカルにルーティングすることができます。
  • DDOSスクラブを実行している場合は、スクラブされていないトラフィックをスクラブされたトラフィックから分離することができます。
  • 顧客のクラスが複数ある場合は、トラフィックに異なるルーティングルールを適用することができます。たとえば、「プレミアム」トラフィックを最速パスでルーティングしながら、「エコノミー」トラフィックを最安パスでルーティングできます。
ピーター・グリーン
ソース
4

IPサブネットとVLANは相互に排他的ではありません。どちらか一方を選択することはありません。ほとんどの場合、VLANとサブネットは1対1で対応しています。

最初の例では、IPを使用していると仮定すると、IPサブネットをVLANに割り当てる必要があります。したがって、VLAN 1と2に個別のIPサブネットを割り当てることになります。VLANとIPアドレスのどちらでフィルタリングするかはあなた次第ですが、VLAN間でルーティングする必要があるため、IPによるフィルタリングの方が簡単です。

VRFの例の場合、インターネット接続に問題があります。インターネットからトラフィックを受信した場合、どのVRFにトラフィックを配置しますか?説明したとおりに機能させるには、2つのインターネット接続が必要です。

編集:VRFの「R」はルーティングの略です。VRFは事実上、個別の独立したルーターを提供し、それらは重複するアドレスと異なるルートを持つことができます。VRFの理由はセグメンテーション自体ではなく、個別のルーティング計算を可能にするためです。例として、VRF 1ではデフォルトのルートがインターネットを指す場合がありますが、VRF 2では別の場所を指す場合があります。1台のルーターではこれを(簡単に)行うことはできず、大規模なネットワークでは不可能に近いものです。

ロントランク
ソース
はい、おそらくサブネット-vlanとの1対1のマッピングがありますが、理論的には必要ありません。そして、私はVRFについてのあなたのコメントを理解しますが、それは私の質問には本当に答えません:vlan-subnetsの代わりにVRFを選ぶ理由は?私はそれをより明確にするために編集を行いました。
マイケル、
私の答えを拡大しました。
Ron Trunk
@RonTrunk、たとえばマルチテナント環境など、重複するIPのVRFの例を追加します。
Pieter
そうですか。しかし、セグメンテーションに関しては、サブネットセグメンテーションにはVRFセグメンテーションと同じ利点がありますか?2つのサブネットがある場合、ルーターにルートを追加する必要がありますか?分離できるルーティングテーブルの方が違いが大きいことがわかります。ありがとう。
マイケル、
それ自体によるサブネットのセグメンテーションは十分ではありません。トラフィックを制御するには、アクセスリストも必要です。
ロントランク
2
  • VLANは、ブロードキャストドメインと障害ドメインを分離すると言われています。
  • 通常、単一のサブネットがVLANごとに構成され、IP(layer3)アドレス指定を設定します。
  • VRFは、同じデバイス上のルートテーブルを分離します。
ロニー・ロイストン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.