VRF、VLAN 和子网:区别

网络工程 VLAN 子网 虚拟现实 vrf-lite
2021-07-25 18:43:48

我对 VRF、VLAN 和子网有基本的了解。我知道 VLAN 在 L2 上运行,子网和 VRF(精简版)在 L3 上运行。我不明白的是,当您最关心细分时,为什么会选择一个而不是另一个。

想象一下,我只有 2 台设备,我不希望它们能够相互交谈,但我确实希望它们能够访问互联网。

VLAN

想象一下,我的网络中只有一台交换机和一台路由器。我可以这样做:

  • 设备 1 => VLAN 1
  • 设备 2 => VLAN 2
  • 互联网 => VLAN 3

然后,为了防止他们说话,我可以允许 vlan 1 和 vlan 3 之间的流量,以及 vlan 2 和 vlan 3 之间的流量。但是,我会丢弃 vlan 1 和 vlan 2 之间的所有流量。=> Segmentation OK .

子网

想象一下,我的网络中有两台交换机和一台路由器。我可以这样做:

  • 子网 1 => 交换机 1 => 设备 1
  • 子网 2 => 交换机 2 => 设备 2

然后,就像我对 VLAN 所做的那样,我可以丢弃在子网 1 和子网 2 之间流动的所有数据包。=> 分段正常。

VRF

想象一下,我有多个交换机和一个路由器。我可以这样做:

  • VRF 1 => 设备 1
  • VRF 2 => 设备 2

我没有明确地阻止任何事情。默认情况下,两个 VRF 将无法相互通话。=> 分割正常。

这三者中的任何一个还有其他优势吗?什么是首选方法?为什么我要把这三者结合起来?我还错过了什么?

编辑 我真的在寻找比较三个选项的答案,尤其是 VLAN(可能使用单独的子网)与 VRF 分段。

4个回答

每个都有不同的目的,所有三个都可能是整体解决方案的一部分。让我们先从最古老的概念开始。

子网是 IP 世界确定哪些设备“假定为在线”的方式。默认情况下,同一子网内的设备将直接向彼此发送单播流量,而不同子网中的设备默认通过路由器发送单播流量。

您可以将每个子网放在单独的物理网络上。这会强制流量通过路由器,路由器可以充当防火墙。如果您的隔离域与您的物理网络布局匹配,那么这很好用,但如果它们不匹配,则成为 PITA。

您可以在同一“链接”上拥有多个子网,但这样做不会在设备之间提供高度隔离。默认情况下,不同子网之间的 IPv4 单播流量将通过您的路由器进行过滤,但广播、IPv6 链接本地流量和非 ip 协议将直接在主机之间流动。IPv6 全球单播流量可能会或可能不会通过路由器流动,具体取决于主机的配置方式。此外,如果有人想绕过路由器,他们可以通过向他们的 NIC 添加额外的 IP 地址来轻松实现。

VLAN 采用​​以太网网络并将其拆分为多个独立的虚拟以太网网络。这可让您确保流量通过路由器,而不会限制您的物理网络布局。

VRF 可让您在一个盒子中构建多个虚拟路由器。它们是一个相对较新的想法,主要用于大型复杂网络。本质上,虽然 VLAN 允许您在同一基础架构上构建多个独立的虚拟以太网网络,但 VRF(与适当的虚拟链路层如 VLAN 或 MPLS 结合使用)可让您在同一基础架构上构建多个独立的 IP 网络。一些可能有用的示例。

  • 如果您正在运行多租户数据中心方案,每个客户可能有自己的(可能重叠的)子网集,并且需要不同的路由和过滤规则。
  • 在大型网络中,您可能希望在本地同一安全域中的子网/VLAN 之间进行路由,同时将跨安全域流量发送到中央防火墙。
  • 如果您正在执行 DDOS 清理,您可能希望将未清理的流量与清理的流量分开。
  • 如果您有多个类别的客户,您可能希望对他们的流量应用不同的路由规则。例如,您可以在最便宜的路径上路由“经济”流量,同时在最快的路径上路由“高级”流量。

IP 子网和 VLAN 不是相互排斥的——您不必选择其中之一。大多数情况下,VLAN 和子网之间是一一对应的。

在您的第一个示例中,假设您使用的是 IP,您仍然需要将 IP 子网分配给 VLAN。因此,您将为 VLAN 1 和 2 分配一个单独的 IP 子网。是按 VLAN 还是 IP 地址过滤由您决定,尽管您会发现由于必须在 VLAN 之间进行路由,因此按 IP 过滤更容易。

如果以 VRF 为例,则说明您的 Internet 连接有问题。当从 Internet 接收到流量时,您将其放入哪个 VRF?要使其按照您描述的方式工作,您需要两个 Internet 连接。

编辑:VRF 中的“R”代表路由。实际上,VRF 为您提供了单独的独立路由器,并且它们可以具有重叠的地址和不同的路由。VRF 的原因不是分段本身,而是允许单独的路由计算。例如,在 VRF 1 中,默认路由可能指向 Internet,但在 VRF 2 中,它可能指向其他地方。使用单个路由器无法(轻松)做到这一点,而在更大的网络中这几乎是不可能的。

  • 据说 VLAN 可以隔离广播域和故障域。
  • 通常为每个 VLAN 配置一个子网并设置 IP(第 3 层)寻址。
  • VRF 将同一设备上的路由表分开。

您所描述的内容在从小型网络到中型网络的某些扩展范围内是正确的,但是当涉及到所有流量都路由到单个集中式核心交换机以避免 IP 路由重叠的大型网络时,VRF 概念在避免重叠通过创建虚拟路由实例来实现 ip 路由。

让我们先讨论一下 VRF 和 VLANS。VLANS 的主要功能是对网络进行逻辑分段。例如,我们有一个超网 10.240.0.0/19 子网,这个子网可以分成小块,将每个子网分配给每个 VLAN,进一步我们可以通过配置访问列表来控制 VLAN 之间的流量。或者我们可以利用 VLAN 并在逻辑上隔离网络根据我们的业务需求..

VRF(虚拟路由和转发)是一种允许在单个路由器上拥有多个路由表的技术。路由器上的 VRF 的概念类似于交换机上的 VLAN。VRF 通常与 MPLS VPN 结合使用。没有 MPLS 的 VRF 被称为 VRF lite。借助 VRF 技术——网络管理员可以在一台路由器下创建多个路由表。VRF 同时管理多个路由表并保持它们隔离并独立运行。VFR 的另一个优点是 – 子网重叠,其中服务提供商可以为多个客户使用相同的 IP 地址范围而不会相互冲突。例如 – 您可以同时使用分配给路由器上两个不同接口的相同 IP 地址. 通常在基本的小型网络中,路由配置在第 3 层设备上,以将数据包指定到其他网络上的目的地位置。但是 VRF 是为大型到超大型网络引入的,根据要求在第 3 层设备中创建逻辑路由表,并且高端第 3 层交换机可以根据我们的要求在第 3 层设备中创建 4 个以上的 VRF 表

其它你可能感兴趣的问题
上一篇关于 DSSS 与 OFDM 的知识 下一篇为什么以太网上的一对不相邻?