VRF，VLAN和子网：区别

我对VRF，VLAN和子网有基本的了解。我知道VLAN在L2上运行，子网和VRF（精简版）在L3上运行。我不明白的是，为什么当您最关心细分时会选择一个而不是另一个。

想象一下，我只有2台设备，并且我不希望它们能够彼此通信，但是我希望它们能够访问Internet。

虚拟局域网

想象一下，我的网络中只有一台交换机和一台路由器。我可以做如下：

• 设备1 => VLAN 1
• 设备2 => VLAN 2
• 互联网=> VLAN 3

然后，为防止它们交谈，我可以允许vlan 1和vlan 3之间的流量以及vlan 2和vlan 3之间的流量。但是，我将丢弃vlan 1和vlan 2之间的所有流量。=>分段确定。

子网路

想象一下，我的网络中有两台交换机和一台路由器。我可以做如下：

• 子网1 =>交换机1 =>设备1
• 子网2 =>交换机2 =>设备2

然后，就像处理VLAN一样，我可以丢弃子网1和子网2之间流动的所有数据包。

可变射频

想象一下，我有多个交换机和一个路由器。我可以做如下：

• VRF 1 =>设备1
• VRF 2 =>设备2

我没有明确地预防任何事情。默认情况下，两个VRF将无法相互通信。=>细分确定。

这三个中的任何一个还有其他优势吗？首选方法是什么？我为什么要结合这三个？我还想念什么？

编辑 我真的在寻找一个比较这三个选项的答案，尤其是VLAN（可能使用单独的子网）与VRF分段。

每种方法都有不同的目的，所有这三种方法都可以作为整体解决方案的一部分。让我们先从最古老的概念开始。

子网是IP世界确定哪些设备“假定处于链接状态”的方式。默认情况下，同一子网内的设备将直接彼此直接发送单播流量，而默认情况下，不同子网中的设备将通过路由器发送单播流量。

您可以将每个子网放在单独的物理网络上。这迫使流量通过路由器充当防火墙。如果您的隔离域与您的物理网络布局匹配，但如果不匹配则可以成为PITA，这很好。

您可以在同一“链接”上具有多个子网，但是这样做不能在设备之间提供高度的隔离。默认情况下，默认情况下，不同子网之间的IPv4单播流量和IPv6全局单播流量将通过您的路由器进行过滤，但广播，IPv6链路本地流量和非IP协议将直接在主机之间流动。此外，如果有人想绕过路由器，则可以通过向其NIC添加一个额外的IP地址来轻松实现。

VLAN使用以太网网络，并将其拆分为多个单独的虚拟以太网网络。这样可以确保流量通过路由器，而不会限制物理网络布局。

VRF使您可以在一个盒子中构建多个虚拟路由器。它们是一个相对较新的想法，在大型复杂网络中最有用。本质上，虽然VLAN使您可以在同一基础结构上构建多个独立的虚拟以太网网络，但VRF（与VLAN或MPLS等适当的虚拟链路层结合使用）可以使您在同一基础结构上构建多个独立的IP网络。它们可能有用的一些示例。

• 如果您运行的是多租户数据中心方案，则每个客户可能拥有自己的（可能是重叠的）子网组，并希望使用不同的路由和过滤规则。
• 在大型网络中，您可能希望在本地将同一安全域中的子网/ VLAN之间路由，同时将跨安全域的流量发送到中央防火墙。
• 如果要进行DDOS清理，则可能要将未清理的流量与清理的流量分开。
• 如果您有多类客户，则可能要对他们的流量应用不同的路由规则。例如，您可以在最便宜的路径上路由“经济”流量，而在最快的路径上路由“高级”流量。

IP子网和VLAN并不互斥-您不要选择一个或另一个。在大多数情况下，VLAN与子网之间是一一对应的。

在第一个示例中，假设您正在使用IP，则仍然必须将IP子网分配给VLAN。因此，您将为VLAN 1和2分配一个单独的IP子网。由您决定是按VLAN还是IP地址进行过滤，尽管您会发现由于必须在VLAN之间进行路由，因此按IP进行过滤更为容易。

如果以VRF为例，则说明存在Internet连接问题。从互联网收到流量后，您将其放入哪个VRF？要使其如您所描述的那样工作，您将需要两个Internet连接。

编辑：VRF中的“ R”代表路由。VRF实际上为您提供了单独的独立路由器，并且它们可以具有重叠的地址和不同的路由。VRF的原因本身不是分段，而是允许单独的路由计算。例如，在VRF 1中，默认路由可能指向Internet，但在VRF 2中，它可能指向其他地方。您无法（轻松）使用单个路由器来做到这一点，而且在较大的网络中这几乎是不可能的。

• 据说VLAN隔离了广播域和故障域。
• 通常每个VLAN配置一个子网，并设置IP（第3层）寻址。
• VRF在同一设备上分隔路由表。