Tweet
Hình mô tả một xu hướng đang diễn ra trong mạng doanh nghiệp: khi số lượng và loại endpoint (PC, điện thoại IP, IoT, thiết bị không dây, camera, cảm biến...) ngày càng đa dạng, kiến trúc mạng buộc phải tiến hóa để phân đoạn (segmentation) tốt hơn. Các công nghệ như Multi-VRF, GRE Tunnel, MPLS VPN được sử dụng để thực hiện việc phân đoạn này. 1. Segmentation là gì?
Segmentation (phân đoạn mạng) là kỹ thuật chia một mạng lớn thành nhiều mạng logic nhỏ, độc lập với nhau về mặt lưu lượng, chính sách và bảo mật.
Ví dụ trong doanh nghiệp:
Nếu tất cả cùng nằm trong một mạng, chúng có thể nhìn thấy nhau và tiềm ẩn nhiều rủi ro:
Do đó, doanh nghiệp cần tạo các segment (phân đoạn) riêng biệt.
Ví dụ:
Segment 1: Finance
10.1.0.0/16
Segment 2: Engineering
10.2.0.0/16
Segment 3: Camera
10.3.0.0/16
Segment 4: Guest WiFi
10.4.0.0/16
Mỗi segment giống như một "doanh nghiệp nhỏ" hoạt động độc lập trong cùng một hạ tầng vật lý.
Ngày nay, segmentation không chỉ dựa vào VLAN mà đã mở rộng sang:
2. Multi-VRF là gì?
VRF (Virtual Routing and Forwarding)
VRF cho phép một router hoặc switch Layer 3 có thể chạy nhiều bảng định tuyến (Routing Table) độc lập trên cùng một thiết bị.
Bình thường:
Router
└── Routing Table duy nhất
Khi sử dụng VRF:
Router
├── VRF Finance
├── VRF Engineering
├── VRF Camera
└── VRF Guest
Mỗi VRF:
Ví dụ: VRF Finance
10.1.1.0/24
10.1.2.0/24
Default -> Firewall A VRF Guest
10.1.1.0/24
10.1.2.0/24
Default -> Internet
Mặc dù sử dụng cùng subnet:
10.1.1.0/24
nhưng hai VRF hoàn toàn không nhìn thấy nhau.
Đây chính là Layer 3 Segmentation.
Tại sao gọi là Multi-VRF?
Bởi vì một thiết bị mạng chạy đồng thời nhiều VRF:
Switch/Router
├── VRF Employee
├── VRF IoT
├── VRF OT
├── VRF Guest
└── VRF Management
Một hạ tầng vật lý nhưng có thể tạo ra nhiều mạng Layer 3 độc lập.
Trong Data Center Cisco ACI:
Tenant ≈ VRF
Trong MPLS VPN:
Customer A VRF
Customer B VRF
Customer C VRF
Trong SD-Access:
Virtual Network (VN) ≈ VRF
Do đó, VRF đã trở thành công nghệ nền tảng cho kiến trúc segmentation hiện đại.
3. GRE Tunnel là gì?
GRE (Generic Routing Encapsulation) là giao thức tạo đường hầm logic (tunnel) giữa hai thiết bị Layer 3.
Ví dụ:
Site A ---------------- Internet ---------------- Site B
Internet chỉ biết:
1.1.1.1 <-----> 2.2.2.2
Nhưng doanh nghiệp muốn hai site hoạt động như cùng một mạng riêng.
Ta tạo:
Tunnel0
10.255.255.1/30 ---------------- 10.255.255.2/30
Bên trong tunnel này có thể chạy:
GRE thực hiện việc: Encapsulation
Gói tin gốc:
IP Packet
được đóng gói thành:
Outer IP Header
GRE Header
Original IP Packet
Giống như:
Phong bì lớn
└── Phong bì nhỏ
└── Thư gốc
Tại sao GRE thường đi cùng Segmentation?
Giả sử doanh nghiệp có: VRF Finance
tại:
Mỗi site đều phải kết nối lại với nhau.
Khi đó:
VRF Finance
↓
GRE Tunnel
↓
Internet
↓
GRE Tunnel
↓
VRF Finance
Ta đã mở rộng cùng một segment Layer 3 đi qua WAN.
Ví dụ:
Finance VRF
HCM -------- GRE -------- HN
Guest VRF
HCM -------- GRE -------- HN
IoT VRF
HCM -------- GRE -------- HN
Mỗi VRF có thể có tunnel riêng hoặc sử dụng các công nghệ hiện đại hơn như:
Mối liên hệ giữa ba khái niệm
Có thể hình dung như sau:
Segmentation
↓
Cần chia mạng thành nhiều vùng độc lập
↓
Multi-VRF
↓
Tạo nhiều Routing Table riêng
↓
GRE Tunnel
↓
Mở rộng các segment này qua WAN/Internet
Ví dụ thực tế:
Headquarters
├── VRF Employee
├── VRF Guest
└── VRF IoT
│
GRE/MPLS/SD-WAN
│
Branch
├── VRF Employee
├── VRF Guest
└── VRF IoT
Đây chính là nền tảng của các kiến trúc mạng hiện đại như:
Từ góc nhìn kiến trúc, Segmentation trả lời câu hỏi "chia mạng như thế nào", Multi-VRF trả lời "tách biệt logic Layer 3 bằng cách nào", còn GRE Tunnel trả lời "làm thế nào để kéo dài các phân đoạn đó qua hạ tầng WAN hoặc Internet".
Segmentation (phân đoạn mạng) là kỹ thuật chia một mạng lớn thành nhiều mạng logic nhỏ, độc lập với nhau về mặt lưu lượng, chính sách và bảo mật.
Ví dụ trong doanh nghiệp:
- Phòng Kế toán
- Phòng Kỹ thuật
- Hệ thống Camera
- Thiết bị IoT
- Mạng Khách (Guest Wi-Fi)
Nếu tất cả cùng nằm trong một mạng, chúng có thể nhìn thấy nhau và tiềm ẩn nhiều rủi ro:
- Broadcast quá lớn
- Malware dễ lây lan
- Khó áp dụng chính sách bảo mật
- Khó kiểm soát truy cập
Do đó, doanh nghiệp cần tạo các segment (phân đoạn) riêng biệt.
Ví dụ:
Segment 1: Finance
10.1.0.0/16
Segment 2: Engineering
10.2.0.0/16
Segment 3: Camera
10.3.0.0/16
Segment 4: Guest WiFi
10.4.0.0/16
Mỗi segment giống như một "doanh nghiệp nhỏ" hoạt động độc lập trong cùng một hạ tầng vật lý.
Ngày nay, segmentation không chỉ dựa vào VLAN mà đã mở rộng sang:
- VRF
- VXLAN
- MPLS VPN
- SDA Fabric
- Micro-Segmentation
- Security Group Tag (SGT)
2. Multi-VRF là gì?
VRF (Virtual Routing and Forwarding)
VRF cho phép một router hoặc switch Layer 3 có thể chạy nhiều bảng định tuyến (Routing Table) độc lập trên cùng một thiết bị.
Bình thường:
Router
└── Routing Table duy nhất
Khi sử dụng VRF:
Router
├── VRF Finance
├── VRF Engineering
├── VRF Camera
└── VRF Guest
Mỗi VRF:
- Có Routing Table riêng
- Có Interface riêng
- Có Default Route riêng
- Có thể sử dụng IP trùng nhau
Ví dụ: VRF Finance
10.1.1.0/24
10.1.2.0/24
Default -> Firewall A VRF Guest
10.1.1.0/24
10.1.2.0/24
Default -> Internet
Mặc dù sử dụng cùng subnet:
10.1.1.0/24
nhưng hai VRF hoàn toàn không nhìn thấy nhau.
Đây chính là Layer 3 Segmentation.
Tại sao gọi là Multi-VRF?
Bởi vì một thiết bị mạng chạy đồng thời nhiều VRF:
Switch/Router
├── VRF Employee
├── VRF IoT
├── VRF OT
├── VRF Guest
└── VRF Management
Một hạ tầng vật lý nhưng có thể tạo ra nhiều mạng Layer 3 độc lập.
Trong Data Center Cisco ACI:
Tenant ≈ VRF
Trong MPLS VPN:
Customer A VRF
Customer B VRF
Customer C VRF
Trong SD-Access:
Virtual Network (VN) ≈ VRF
Do đó, VRF đã trở thành công nghệ nền tảng cho kiến trúc segmentation hiện đại.
3. GRE Tunnel là gì?
GRE (Generic Routing Encapsulation) là giao thức tạo đường hầm logic (tunnel) giữa hai thiết bị Layer 3.
Ví dụ:
Site A ---------------- Internet ---------------- Site B
Internet chỉ biết:
1.1.1.1 <-----> 2.2.2.2
Nhưng doanh nghiệp muốn hai site hoạt động như cùng một mạng riêng.
Ta tạo:
Tunnel0
10.255.255.1/30 ---------------- 10.255.255.2/30
Bên trong tunnel này có thể chạy:
- OSPF
- EIGRP
- BGP
- Multicast
- IPv6
- Các giao thức định tuyến động khác
GRE thực hiện việc: Encapsulation
Gói tin gốc:
IP Packet
được đóng gói thành:
Outer IP Header
GRE Header
Original IP Packet
Giống như:
Phong bì lớn
└── Phong bì nhỏ
└── Thư gốc
Tại sao GRE thường đi cùng Segmentation?
Giả sử doanh nghiệp có: VRF Finance
tại:
- Hà Nội
- Đà Nẵng
- TP.HCM
Mỗi site đều phải kết nối lại với nhau.
Khi đó:
VRF Finance
↓
GRE Tunnel
↓
Internet
↓
GRE Tunnel
↓
VRF Finance
Ta đã mở rộng cùng một segment Layer 3 đi qua WAN.
Ví dụ:
Finance VRF
HCM -------- GRE -------- HN
Guest VRF
HCM -------- GRE -------- HN
IoT VRF
HCM -------- GRE -------- HN
Mỗi VRF có thể có tunnel riêng hoặc sử dụng các công nghệ hiện đại hơn như:
- DMVPN
- MPLS VPN
- VXLAN EVPN
- SD-WAN
Mối liên hệ giữa ba khái niệm
Có thể hình dung như sau:
Segmentation
↓
Cần chia mạng thành nhiều vùng độc lập
↓
Multi-VRF
↓
Tạo nhiều Routing Table riêng
↓
GRE Tunnel
↓
Mở rộng các segment này qua WAN/Internet
Ví dụ thực tế:
Headquarters
├── VRF Employee
├── VRF Guest
└── VRF IoT
│
GRE/MPLS/SD-WAN
│
Branch
├── VRF Employee
├── VRF Guest
└── VRF IoT
Đây chính là nền tảng của các kiến trúc mạng hiện đại như:
- MPLS Layer 3 VPN
- Cisco SD-WAN
- Cisco SD-Access
- VXLAN EVPN Fabric
- Multi-Tenant Data Center
- Zero Trust Network Architecture (ZTNA)
Từ góc nhìn kiến trúc, Segmentation trả lời câu hỏi "chia mạng như thế nào", Multi-VRF trả lời "tách biệt logic Layer 3 bằng cách nào", còn GRE Tunnel trả lời "làm thế nào để kéo dài các phân đoạn đó qua hạ tầng WAN hoặc Internet".
Attached Files