Home » Network Segmentation Strategies: VRF, VXLAN, Firewall Zones และ Microseg
Network Segmentation Strategies: VRF, VXLAN, Firewall Zones และ Microseg
Network Segmentation Strategies: VRF, VXLAN, Firewall Zones และ Microseg
Network Segmentation คือการแบ่ง network ออกเป็นส่วนย่อยๆ เพื่อ limit blast radius ของ security incidents, improve performance และ meet compliance requirements VRF (Virtual Routing and Forwarding) แยก routing tables, VXLAN ขยาย L2 segmentation ข้าม L3 network, Firewall Zones ควบคุม traffic ระหว่าง zones และ Microsegmentation ลงลึกถึง per-workload policy
Flat network ที่ทุก device อยู่ใน VLAN เดียวกัน เป็นฝันร้ายด้าน security: malware แพร่กระจายได้ทั้ง network, lateral movement ง่าย, compliance fail (PCI-DSS ต้อง segment cardholder data) และ broadcast storms affect ทุกคน Segmentation = fundamental security practice ที่ทุกองค์กรต้องมี
Segmentation Approaches
| Approach |
Granularity |
Enforcement |
Use Case |
| VLAN |
Per subnet/department |
Switch (L2) |
Basic separation (guest, corporate, IoT) |
| VRF |
Per routing domain |
Router/L3 switch |
Complete routing isolation (multi-tenant) |
| VXLAN |
Per segment (scalable) |
VTEP (switch/hypervisor) |
Data center segmentation (beyond 4K VLAN limit) |
| Firewall Zones |
Per security zone |
Firewall (L3-L7) |
Inter-zone policy enforcement (DMZ, trust, untrust) |
| Microsegmentation |
Per workload/app |
Hypervisor/agent/service mesh |
Zero Trust east-west traffic control |
| SGT (TrustSec) |
Per identity/role |
Switch (SGT tags) |
Identity-based segmentation (Cisco) |
VRF (Virtual Routing and Forwarding)
| Feature |
รายละเอียด |
| คืออะไร |
สร้าง multiple routing tables บน router เดียว (virtual routers) |
| Isolation |
แต่ละ VRF มี routing table + interface แยก (complete isolation) |
| Overlapping IPs |
ใช้ IP เดียวกันใน VRFs ต่างกันได้ (10.1.1.0/24 ใน VRF-A + VRF-B) |
| VRF-Lite |
VRF without MPLS (local to router/switch — trunk VRFs ระหว่าง devices) |
| MPLS VPN (L3VPN) |
VRF + MPLS + MP-BGP = carrier-grade VPN service |
| Route Leaking |
Selective route leaking ระหว่าง VRFs ผ่าน route-map/import-export |
| Use Case |
Multi-tenant, guest/corporate separation, PCI compliance |
VXLAN Segmentation
| Feature |
รายละเอียด |
| คืออะไร |
Encapsulate L2 frames ใน UDP packets → extend L2 ข้าม L3 network |
| VNI (VXLAN Network ID) |
24-bit identifier → 16 million segments (vs 4K VLANs) |
| VTEP |
VXLAN Tunnel Endpoint — encapsulate/decapsulate traffic |
| EVPN Control Plane |
BGP EVPN สำหรับ MAC/IP learning + BUM handling (ไม่ต้อง flood) |
| Symmetric IRB |
Inter-VXLAN routing ที่ทุก VTEP (distributed routing) |
| Use Case |
Data center multi-tenancy, VM mobility, large-scale segmentation |
Firewall Zone Design
| Zone |
Trust Level |
Contains |
| Untrust (Outside) |
Lowest |
Internet, external networks |
| DMZ |
Low-Medium |
Public-facing servers (web, email, DNS) |
| Trust (Inside) |
Medium-High |
Corporate users, workstations |
| Server Zone |
High |
Application servers, databases |
| Management Zone |
Highest |
Network management, IPAM, monitoring |
| Guest Zone |
Low |
Guest Wi-Fi, BYOD (internet-only access) |
| IoT Zone |
Low |
IoT devices (cameras, sensors — restricted access) |
Zone Policy Matrix
| From \ To |
Untrust |
DMZ |
Trust |
Server |
| Untrust |
– |
Allow specific (HTTP/S) |
Deny |
Deny |
| DMZ |
Allow specific |
– |
Deny |
Allow specific (API) |
| Trust |
Allow (with inspection) |
Allow specific |
– |
Allow specific (app ports) |
| Server |
Allow specific (updates) |
Allow specific |
Deny |
– |
Cisco TrustSec (SGT)
| Feature |
รายละเอียด |
| คืออะไร |
Identity-based segmentation: tag traffic ด้วย SGT (Scalable Group Tag) |
| Classification |
802.1X / MAB → ISE assigns SGT to user/device |
| Propagation |
SGT tag travels with packet (inline tagging) หรือ SXP protocol |
| Enforcement |
SGACL (SGT ACL): permit/deny based on source SGT → destination SGT |
| Advantage |
Policy follows identity (ไม่ depend on IP/VLAN → user ย้าย VLAN ก็ policy เดิม) |
| Platform |
Cisco Catalyst, Nexus, ISE, Firepower |
Segmentation Best Practices
| Practice |
รายละเอียด |
| Start with macro-segmentation |
VLAN/VRF/zones สำหรับ broad separation (easy wins) |
| Then micro-segmentation |
Per-workload policies สำหรับ critical assets (databases, PCI) |
| Least privilege |
Default deny → allow only required traffic (whitelist model) |
| Map data flows first |
Understand application dependencies ก่อน segment (avoid breaking apps) |
| Monitor before enforce |
Start ใน monitor/log mode → verify → then enforce (deny) |
| Compliance-driven |
PCI-DSS: isolate CDE, HIPAA: isolate PHI systems |
| Automate policies |
ใช้ SDN/automation สำหรับ policy management (manual doesn’t scale) |
ทิ้งท้าย: Segmentation = Limit Blast Radius
Network Segmentation VLAN (basic L2), VRF (routing isolation), VXLAN (scalable DC segmentation) Firewall zones: untrust/DMZ/trust/server (inter-zone policies) Microsegmentation: per-workload (NSX, Illumio, Cilium) SGT/TrustSec: identity-based (tag follows user, not IP) Start macro (VLANs/zones) → then micro (per-workload) Map data flows → monitor → enforce (don’t break apps)
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Microsegmentation ZTNA และ EVPN-VXLAN Fabric ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
