VRF, VLAN 및 서브넷 : 차이점


10

VRF, VLAN 및 서브넷에 대한 기본 지식이 있습니다. VLAN이 L2에서 작동하고 서브넷과 VRF (lite)가 L3에서 작동한다는 것을 알고 있습니다. 내가 이해하지 못하는 것은 주로 세분화에 관심이있을 때 왜 다른 것을 선택 해야하는지입니다.


장치가 2 대 밖에없고 서로 대화 할 수는 없지만 인터넷에 액세스 할 수 있기를 원한다고 상상해보십시오.

VLAN

네트워크에 스위치와 라우터가 하나만 있다고 상상해보십시오. 나는 다음과 같이 할 수있다 :

  • 장치 1 => VLAN 1
  • 장치 2 => VLAN 2
  • 인터넷 => VLAN 3

그런 다음 대화를 방지하기 위해 vlan 1과 vlan 3 사이의 트래픽과 vlan 2와 vlan 3 사이의 트래픽을 허용 할 수 있습니다. 그러나 vlan 1과 vlan 2 사이의 트래픽은 모두 삭제합니다. => 분할 OK .

서브넷

네트워크에 스위치 2 개와 라우터 1 개가 있다고 상상해보십시오. 나는 다음과 같이 할 수있다 :

  • 서브넷 1 => 스위치 1 => 장치 1
  • 서브넷 2 => 스위치 2 => 장치 2

그런 다음 VLAN과 마찬가지로 서브넷 1과 서브넷 2 사이에 흐르는 모든 패킷을 삭제할 수 있습니다. => 분할 OK.

VRF

여러 개의 스위치와 하나의 라우터가 있다고 가정하십시오. 나는 다음과 같이 할 수있다 :

  • VRF 1 => 장치 1
  • VRF 2 => 장치 2

나는 명시 적으로 아무것도 막을 필요가 없습니다. 기본적으로 두 VRF는 서로 통신 할 수 없습니다. => 분할 OK.


세 가지 중 하나에 다른 장점이 있습니까? 선호하는 방법은 무엇입니까? 왜 세 가지를 결합해야합니까? 내가 뭘 놓쳤습니까?

편집 실제로 세 가지 옵션, 특히 VLAN (별도의 서브넷을 사용 중일 수 있음)과 VRF 세그먼테이션을 비교하는 답변을 찾고 있습니다.

답변:


7

각각 다른 목적을 채우고 세 가지 모두가 전체 솔루션의 일부가 될 수 있습니다. 가장 오래된 개념부터 시작하겠습니다.

서브넷은 어떤 장치가 "온 링크로 가정"되는지 결정하는 IP 세계 방식입니다. 동일한 서브넷 내의 장치는 기본적으로 유니 캐스트 트래픽을 서로에게 직접 보내는 반면 다른 서브넷의 장치는 기본적으로 라우터를 통해 유니 캐스트 트래픽을 보냅니다.

각 서브넷을 별도의 물리적 네트워크에 둘 수 있습니다. 이렇게하면 트래픽이 라우터를 통과하여 방화벽으로 작동 할 수 있습니다. 격리 도메인이 실제 네트워크 레이아웃과 일치하지만 그렇지 않은 경우 PITA가되면 잘 작동합니다.

동일한 "링크"에 여러 서브넷이있을 수 있지만 그렇게해도 장치간에 높은 수준의 격리가 제공되지는 않습니다. 다른 서브넷 간의 IPv4 유니 캐스트 트래픽 및 IPv6 글로벌 유니 캐스트 트래픽은 기본적으로 라우터를 통해 필터링되지만 필터링 할 수는 있지만 브로드 캐스트, IPv6 링크 로컬 트래픽 및 비 ip 프로토콜은 호스트간에 직접 흐릅니다. 또한 누군가 라우터를 우회하기를 원한다면 NIC에 여분의 IP 주소를 추가하여 간단하게 그렇게 할 수 있습니다.

VLAN은 이더넷 네트워크를 사용하여 여러 개의 개별 가상 이더넷 네트워크로 분할합니다. 이를 통해 실제 네트워크 레이아웃을 제한하지 않고 트래픽이 라우터를 통과하도록 할 수 있습니다.

VRF를 사용하면 하나의 상자에 여러 개의 가상 라우터를 구축 할 수 있습니다. 그것들은 비교적 최근의 아이디어이며 주로 대규모 복잡한 네트워크에서 유용합니다. 기본적으로 VLAN을 사용하면 동일한 인프라 VRF (VLAN 또는 MPLS와 같은 적절한 가상 링크 계층과 함께 사용)에 여러 개의 독립적 인 가상 이더넷 네트워크를 구축 할 수 있으므로 동일한 인프라에 여러 개의 독립적 인 IP 네트워크를 구축 할 수 있습니다. 그들이 유용 할 수있는 몇 가지 예.

  • 다중 테넌트 데이터 센터 시나리오를 실행중인 경우 각 고객은 고유 한 (중첩 될 수있는) 서브넷 세트를 갖고 서로 다른 라우팅 및 필터링 규칙을 원할 수 있습니다.
  • 대규모 네트워크에서는 교차 보안 도메인 트래픽을 중앙 방화벽으로 보내는 동안 동일한 보안 도메인의 서브넷 / vlan간에 로컬로 라우팅 할 수 있습니다.
  • DDOS 스크러빙을 수행하는 경우 스크러빙되지 않은 트래픽과 스크러빙 된 트래픽을 분리 할 수 ​​있습니다.
  • 여러 클래스의 고객이있는 경우 트래픽에 다른 라우팅 규칙을 적용 할 수 있습니다. 예를 들어 가장 경제적 인 경로에서는 "경제"트래픽을 라우팅하고 가장 빠른 경로에서는 "프리미엄"트래픽을 라우팅 할 수 있습니다.

4

IP 서브넷과 VLAN은 상호 배타적이지 않으므로 둘 중 하나를 선택하지 마십시오. 대부분의 경우 VLAN과 서브넷간에 일대일 대응 관계가 있습니다.

첫 번째 예에서 IP를 사용한다고 가정하면 여전히 IP 서브넷을 VLAN에 할당해야합니다. 따라서 VLAN 1과 2에 별도의 IP 서브넷을 할당 할 수 있습니다. VLAN 또는 IP 주소로 필터링할지 여부는 사용자에게 달려 있지만, VLAN간에 라우팅해야하므로 IP별로 필터링하기가 더 쉽습니다.

VRF 예제 인 경우 인터넷 연결에 문제가 있습니다. 인터넷에서 트래픽이 수신되면 어떤 VRF를 사용합니까? 설명한대로 작동하게하려면 두 개의 인터넷 연결이 필요합니다.

편집 : VRF의 "R"은 라우팅을 나타냅니다. VRF는 사실상 독립된 독립 라우터를 제공하며 중복되는 주소와 다른 경로를 가질 수 있습니다. VRF의 이유는 세그먼트 화 자체가 아니라 별도의 라우팅 계산을 허용하기위한 것입니다. 예를 들어, VRF 1에서 기본 경로는 인터넷을 가리킬 수 있지만 VRF 2에서는 다른 곳을 가리킬 수 있습니다. 단일 라우터로는이 작업을 쉽게 수행 할 수 없으며 대규모 네트워크에서는 거의 불가능합니다.


네, 아마도 서브넷을 가진 일대일 매핑이있을 것입니다-VLAN이지만 이론적으로는 필요하지 않습니다. 그리고 VRF에 대한 귀하의 의견을 이해하지만 실제로 내 질문에 대답하지 않습니다 : 왜 vlan-subnet 대신 VRF를 선택합니까? 더 명확하게 편집했습니다.
Michael

내 대답을 확장했습니다.
Ron Trunk

@RonTrunk, 멀티 테넌트 환경과 같은 겹치는 IP의 VRF 예를 추가하십시오.
Pieter

내가 참조. 그러나 세분화와 관련하여 : 서브넷 세분화는 VRF 세분화와 동일한 장점이 있습니까? 서브넷이 두 개인 경우 라우터에 경로를 추가해야합니까? 맞습니까? 별도의 라우팅 테이블에서 차이가 더 높다는 것을 알았습니다. 감사.
Michael

자체에 의한 서브넷 분할로는 충분하지 않습니다. 트래픽을 제어하려면 액세스 목록도 필요합니다.
Ron Trunk

2
  • VLAN은 브로드 캐스트 및 장애 도메인을 분리한다고합니다.
  • 단일 서브넷은 일반적으로 VLAN별로 구성되며 IP (layer3) 주소 지정을 설정합니다.
  • VRF는 동일한 장치에서 라우팅 테이블을 분리합니다.
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.