Tweet
VLAN và VRF: Cùng Là Virtualization Nhưng Hoạt Động Ở Hai Thế Giới Khác Nhau
Khi học CCNA, CCNP hay thiết kế Data Center, nhiều kỹ sư thường nhầm lẫn giữa VLAN và VRF vì cả hai đều dùng để "chia nhỏ" mạng. Tuy nhiên, chúng hoạt động ở hai tầng hoàn toàn khác nhau của mô hình OSI.
Hình trên minh họa rất rõ: VLAN là ảo hóa ở Layer 2, còn VRF là ảo hóa ở Layer 3.
VLAN (Virtual LAN) – Virtualize at Layer 2 Forwarding
VLAN cho phép chia một switch vật lý thành nhiều miền broadcast logic độc lập.
Ví dụ:
Mặc dù tất cả đều kết nối vào cùng một switch, nhưng các thiết bị ở VLAN khác nhau không thể giao tiếp trực tiếp với nhau. Đặc điểm của VLAN
Hoạt động ở Layer 2
Switch dựa vào:
để thực hiện việc forwarding frame.
Gắn với một hoặc nhiều cổng Layer 2
Ví dụ:
interface GigabitEthernet1/0/1
switchport mode access
switchport access vlan 10
Cổng này sẽ trở thành thành viên của VLAN 10.
Mỗi VLAN có bảng MAC riêng
Ví dụ:
Switch có thể lưu:
VLAN 10
0050.56AA.1111 -> Gi1/0/1
0050.56AA.2222 -> Gi1/0/2
VLAN 20
0050.56BB.1111 -> Gi1/0/5
0050.56BB.2222 -> Gi1/0/6
Hai bảng MAC này hoàn toàn độc lập.
Mỗi VLAN có một Spanning Tree Instance
Trong PVST+:
VLAN 10 -> STP Instance 10
VLAN 20 -> STP Instance 20
VLAN 30 -> STP Instance 30
Do đó mỗi VLAN có thể có Root Bridge khác nhau.
Kéo dài VLAN (VLAN Extension)
Các VLAN được mở rộng qua:
Ví dụ:
switchport trunk encapsulation dot1q
switchport mode trunk
Switch sẽ chèn VLAN Tag (802.1Q) vào frame.
VRF (Virtual Routing and Forwarding) – Virtualize at Layer 3 Forwarding
Nếu VLAN chia switch thành nhiều switch logic thì VRF chia router hoặc Layer 3 switch thành nhiều router logic.
Một router vật lý có thể hoạt động như nhiều router độc lập.
Ví dụ:
VRF-CORP
VRF-IOT
VRF-GUEST
VRF-MGMT
Mỗi VRF có:
Giống như đang chạy nhiều router vật lý trên cùng một thiết bị.
Đặc điểm của VRF
Hoạt động ở Layer 3
Router dựa vào:
để forward packet.
Gắn với Interface Layer 3
Ví dụ:
ip vrf CORP
rd 1:1
interface Gig1/0
ip vrf forwarding CORP
ip address 10.1.1.1 255.255.255.0
Interface này thuộc VRF CORP.
Mỗi VRF có CEF riêng
Ví dụ: VRF-CORP
10.10.0.0/16
172.16.0.0/16 VRF-IOT
192.168.100.0/24
10.200.0.0/16
Hai bảng forwarding hoàn toàn tách biệt.
Mỗi VRF có Routing Process riêng
Ví dụ:
router ospf 1 vrf CORP
router ospf 2 vrf IOT
router bgp 65000
address-family ipv4 vrf GUEST
Có thể chạy:
cho từng VRF.
Điểm đặc biệt: Trùng địa chỉ IP vẫn được
Ví dụ: VRF-CORP
192.168.1.0/24 VRF-IOT
192.168.1.0/24
Điều này hoàn toàn hợp lệ.
Không thể làm điều này chỉ bằng VLAN.
Đây chính là lý do:
đều sử dụng VRF.
Các phương pháp kết nối giữa các VRF
Hình minh họa nhắc đến:
Ví dụ:
VRF-CORP <-> Firewall <-> VRF-IOT
hoặc
VRF-A ---- GRE ---- VRF-B
Trong MPLS VPN, MP-BGP còn dùng Route Target để trao đổi route giữa các VRF.
Ví dụ thực chiến trong Smart Farm
Dùng VLAN
VLAN 10 : Nhân viên
VLAN 20 : Camera
VLAN 30 : Máy kéo thông minh
VLAN 40 : Drone
VLAN 50 : Guest WiFi
Mục tiêu:
Phân chia broadcast domain.
Dùng VRF
VRF-CORP
VRF-IOT
VRF-GUEST
VRF-MGMT
Mục tiêu:
Tách biệt hoàn toàn traffic Layer 3.
Ví dụ:
Drone bị hack trong VRF-IOT sẽ không thể tự động truy cập Server ERP trong VRF-CORP.
Đây là kiến trúc thường gặp trong:
So sánh nhanh
VLAN
VRF
Hãy nhớ một câu khi đi thi CCNA/CCNP/CCIE:
Khi học CCNA, CCNP hay thiết kế Data Center, nhiều kỹ sư thường nhầm lẫn giữa VLAN và VRF vì cả hai đều dùng để "chia nhỏ" mạng. Tuy nhiên, chúng hoạt động ở hai tầng hoàn toàn khác nhau của mô hình OSI.
Hình trên minh họa rất rõ: VLAN là ảo hóa ở Layer 2, còn VRF là ảo hóa ở Layer 3.
VLAN (Virtual LAN) – Virtualize at Layer 2 Forwarding
VLAN cho phép chia một switch vật lý thành nhiều miền broadcast logic độc lập.
Ví dụ:
- VLAN 10: Phòng Kế toán
- VLAN 20: Phòng Nhân sự
- VLAN 30: Camera
- VLAN 40: Khách (Guest)
Mặc dù tất cả đều kết nối vào cùng một switch, nhưng các thiết bị ở VLAN khác nhau không thể giao tiếp trực tiếp với nhau. Đặc điểm của VLAN
Hoạt động ở Layer 2
Switch dựa vào:
- Source MAC
- Destination MAC
- VLAN ID
để thực hiện việc forwarding frame.
Gắn với một hoặc nhiều cổng Layer 2
Ví dụ:
interface GigabitEthernet1/0/1
switchport mode access
switchport access vlan 10
Cổng này sẽ trở thành thành viên của VLAN 10.
Mỗi VLAN có bảng MAC riêng
Ví dụ:
Switch có thể lưu:
VLAN 10
0050.56AA.1111 -> Gi1/0/1
0050.56AA.2222 -> Gi1/0/2
VLAN 20
0050.56BB.1111 -> Gi1/0/5
0050.56BB.2222 -> Gi1/0/6
Hai bảng MAC này hoàn toàn độc lập.
Mỗi VLAN có một Spanning Tree Instance
Trong PVST+:
VLAN 10 -> STP Instance 10
VLAN 20 -> STP Instance 20
VLAN 30 -> STP Instance 30
Do đó mỗi VLAN có thể có Root Bridge khác nhau.
Kéo dài VLAN (VLAN Extension)
Các VLAN được mở rộng qua:
- Cáp vật lý
- Trunk 802.1Q
Ví dụ:
switchport trunk encapsulation dot1q
switchport mode trunk
Switch sẽ chèn VLAN Tag (802.1Q) vào frame.
VRF (Virtual Routing and Forwarding) – Virtualize at Layer 3 Forwarding
Nếu VLAN chia switch thành nhiều switch logic thì VRF chia router hoặc Layer 3 switch thành nhiều router logic.
Một router vật lý có thể hoạt động như nhiều router độc lập.
Ví dụ:
VRF-CORP
VRF-IOT
VRF-GUEST
VRF-MGMT
Mỗi VRF có:
- Routing Table riêng
- CEF Table riêng
- Interface riêng
- Routing Protocol riêng
Giống như đang chạy nhiều router vật lý trên cùng một thiết bị.
Đặc điểm của VRF
Hoạt động ở Layer 3
Router dựa vào:
- Destination IP
- Prefix
- Routing Table
để forward packet.
Gắn với Interface Layer 3
Ví dụ:
ip vrf CORP
rd 1:1
interface Gig1/0
ip vrf forwarding CORP
ip address 10.1.1.1 255.255.255.0
Interface này thuộc VRF CORP.
Mỗi VRF có CEF riêng
Ví dụ: VRF-CORP
10.10.0.0/16
172.16.0.0/16 VRF-IOT
192.168.100.0/24
10.200.0.0/16
Hai bảng forwarding hoàn toàn tách biệt.
Mỗi VRF có Routing Process riêng
Ví dụ:
router ospf 1 vrf CORP
router ospf 2 vrf IOT
router bgp 65000
address-family ipv4 vrf GUEST
Có thể chạy:
- OSPF riêng
- EIGRP riêng
- BGP riêng
cho từng VRF.
Điểm đặc biệt: Trùng địa chỉ IP vẫn được
Ví dụ: VRF-CORP
192.168.1.0/24 VRF-IOT
192.168.1.0/24
Điều này hoàn toàn hợp lệ.
Không thể làm điều này chỉ bằng VLAN.
Đây chính là lý do:
- MPLS VPN
- Multi-tenant Data Center
- Cloud Provider
- SD-WAN Segmentation
đều sử dụng VRF.
Các phương pháp kết nối giữa các VRF
Hình minh họa nhắc đến:
- 802.1Q
- GRE
- Sub-interface
- Physical Cables
- Signaling
Ví dụ:
VRF-CORP <-> Firewall <-> VRF-IOT
hoặc
VRF-A ---- GRE ---- VRF-B
Trong MPLS VPN, MP-BGP còn dùng Route Target để trao đổi route giữa các VRF.
Ví dụ thực chiến trong Smart Farm
Dùng VLAN
VLAN 10 : Nhân viên
VLAN 20 : Camera
VLAN 30 : Máy kéo thông minh
VLAN 40 : Drone
VLAN 50 : Guest WiFi
Mục tiêu:
Phân chia broadcast domain.
Dùng VRF
VRF-CORP
VRF-IOT
VRF-GUEST
VRF-MGMT
Mục tiêu:
Tách biệt hoàn toàn traffic Layer 3.
Ví dụ:
Drone bị hack trong VRF-IOT sẽ không thể tự động truy cập Server ERP trong VRF-CORP.
Đây là kiến trúc thường gặp trong:
- Cisco SD-Access
- MPLS VPN
- VXLAN EVPN Multi-Tenant
- Service Provider Networks
- Large Enterprise Campus
So sánh nhanh
VLAN
- Virtualize Layer 2
- Chia Broadcast Domain
- Có MAC Table riêng
- Có STP Instance riêng
- Kết nối bằng 802.1Q Trunk
VRF
- Virtualize Layer 3
- Chia Routing Domain
- Có Routing Table riêng
- Có CEF riêng
- Có Routing Protocol riêng
- Cho phép trùng địa chỉ IP giữa các tenant
Hãy nhớ một câu khi đi thi CCNA/CCNP/CCIE:
VLAN tạo ra nhiều switch logic trên cùng một switch vật lý.
VRF tạo ra nhiều router logic trên cùng một router vật lý.
VRF tạo ra nhiều router logic trên cùng một router vật lý.
Attached Files