Nätverkssegmentering är avgörande för administration och säkerhet i modern IT-miljö.
Två vanliga metoder för effektiv nätverkssegmentering är VXLAN och VLAN.
Låt oss utforska egenskaperna hos både VXLAN och VLAN och hur de kan forma din nätverksdesign.
Vad är VLAN?
Bildkälla: Wikipedia
VLAN står för Virtuellt Lokalt Nätverk.
Det är en teknik som används i datornätverk för att dela upp ett fysiskt nätverk i flera logiska nätverk.
Låt oss ta ett exempel för att förtydliga konceptet.
Tänk dig en stor kontorsbyggnad med olika avdelningar: teknik, marknadsföring och ekonomi.
Varje avdelning har sina datorer, skrivare och annan nätverksutrustning.
Men kontorsbyggnaden har bara en fysisk nätverksstruktur.
Utan VLAN skulle alla enheter i kontorsbyggnaden tillhöra samma sändningsdomän. Det innebär att de skulle ta emot all nätverkstrafik. Det kan orsaka säkerhetsproblem och ineffektiv trafikhantering.
VLAN implementeras för att lösa dessa problem. Varje VLAN fungerar som en separat sändningsdomän, vilket ger bättre nätverkshantering och prestanda.
Bildkälla: fiberoptisk delning
Anta att vi skapar tre VLAN för de olika avdelningarna.
VLAN 1: Teknik
VLAN 2: Marknadsföring
VLAN 3: Ekonomi
När en dator eller annan nätverksenhet ansluts till nätverket kan den tilldelas ett av dessa VLAN.
Till exempel: Alla datorer och enheter på teknikavdelningen tilldelas VLAN 1.
Om en dator på teknikavdelningen vill skicka ett meddelande till en annan dator i samma VLAN, stannar meddelandet inom VLAN 1 och sänds inte till enheter i andra VLAN, som marknadsföring eller ekonomi.
Denna separation säkerställer att känslig information endast är tillgänglig för auktoriserade enheter inom samma VLAN.
Vad är VXLAN?
VXLAN står för Virtuellt Utökat LAN.
Det är en nätverksvirtualiseringsteknik som utökar Layer 2-nätverkssegment (datalänklager) över ett IP-nätverk. Den introducerades för att hantera begränsningarna hos traditionella VLAN i stora datacenter.
Bildkälla: fiberoptisk delning
Det används ofta i datacenter och molnmiljöer för att skapa logiska nätverksöverlägg som kan sträcka sig över flera fysiska nätverkssegment.
VXLAN kapslar in Layer 2 Ethernet-ramar i Layer 3 UDP-paket, vilket gör att de kan överföras via ett IP-nätverk.
Hur fungerar VXLAN?
Tänk dig ett stort datacenter med många fysiska servrar och virtuella maskiner (VM) som körs på dessa servrar.
I ett traditionellt VLAN-baserat nätverk tilldelas varje virtuell maskin ett specifikt VLAN. Kommunikationen mellan virtuella maskiner i olika VLAN kräver routing på lager 3.
Denna metod kan bli komplicerad och drabbas av skalbarhetsproblem på grund av det begränsade antalet tillgängliga VLAN-ID:n.
Bildkälla: juniper.net
Låt oss se ett exempel för att förstå hur VXLAN fungerar.
Vi har två fysiska värdar. Värd 1 har VM1 och VM2, och värd 2 har VM3 och VM4.
Anta att Värd 1 och Värd 2 är del av ett VXLAN-aktiverat nätverk och att VM1 vill kommunicera med VM3.
VXLAN-konfiguration
Värd 1 och Värd 2 är konfigurerade som VXLAN Tunnel Endpoints (VTEPs). Det betyder att de har nödvändig programvara eller maskinvarukomponenter för att hantera VXLAN-inkapsling och dekapsling.
VXLAN Network Identifier (VNI)
En unik VNI tilldelas det virtuella nätverket. Låt oss säga att VNI för detta nätverk är 1001.
Inkapsling
VM1, som finns på Värd 1, vill kommunicera med VM3, som finns på Värd 2.
När VM1 skickar ett paket till VM3, kapslas det in med ett VXLAN-huvud.
VXLAN-huvudet inkluderar käll- och destinations-VTEP-adresserna (IP-adresserna för Värd 1 och Värd 2) och VNI (1001).
Underliggande IP-nätverk
Det inkapslade paketet sänds över det underliggande IP-nätverket – det kan vara IPv4 eller IPv6. IP-nätverket fungerar som transportinfrastruktur för VXLAN-paket.
Avkapsling
När paketet tas emot, dekapsulerar VTEP på Värd 2 VXLAN-huvudet, vilket visar den ursprungliga Layer 2 Ethernet-ramen.
Leverans till VM3
Efter avkapsling levererar VTEP Layer 2 Ethernet-ramen till VM3 på Värd 2.
VM1 på Värd 1 kan kommunicera med VM3 på Värd 2 som om de vore anslutna till samma Layer 2 Ethernet-nätverk, även om de finns på olika fysiska värdar.
VXLAN möjliggör denna kommunikation genom att kapsla in och tunnla Layer 2-trafik över Layer 3-nätverk, vilket utvidgar Layer 2-anslutningen över nätverksgränserna.
Fördelar med VLAN
Sändningskontroll
Sändningstrafik är begränsad till varje VLAN, vilket minskar sändningsdomänens storlek och påverkan av trafik som kan minska nätverkets prestanda.
Säkerhet
VLAN möjliggör nätverksisolering och ökar säkerheten genom att separera olika användargrupper eller enheter i separata sändningsdomäner. Denna isolering begränsar potentiella säkerhetsintrång eller obehörig åtkomst, vilket förbättrar den övergripande nätverkssäkerheten.
Quality of Service (QoS)
VLAN kan användas för att implementera mekanismer för Quality of Service som gör det möjligt för nätverksadministratörer att prioritera vissa typer av trafik eller tillämpa specifika policys.
De kan bestämma vilken applikation som ska ha hög bandbredd.
Förenklad nätverkshantering
VLAN förenklar nätverkshanteringen genom att logiskt dela upp ett stort fysiskt nätverk i mindre virtuella nätverk. Denna segmentering hjälper till att organisera enheter och förenklar uppgifter för nätverksadministration.
Fördelar med VXLAN
Skalbarhet
VXLAN löser begränsningarna hos traditionella VLAN genom att möjliggöra skapandet av upp till 16 miljoner virtuella nätverk – jämfört med de begränsade 4096 VLAN. Denna skalbarhet uppnås genom 24-bitars VXLAN Network Identifier (VNI).
Nätverkssegmentering
VXLAN möjliggör effektiv nätverkssegmentering genom att kapsla in Layer 2 Ethernet-ramar i UDP-paket. Det skapar isolerade virtuella nätverk som kan sträcka sig över fysiska gränser, som datacenter eller molnmiljöer.
Multitenancy
VXLAN stöder multitenancy-modellen, som gör det möjligt för olika organisationer att dela samma fysiska infrastruktur samtidigt som de behåller sina egna isolerade virtuella nätverk.
Layer 2-förlängning över Layer 3-nätverk
VXLAN underlättar utvidgningen av Layer 2-anslutning över Layer 3-nätverk.
Detta är viktigt för att bygga geografiskt distribuerade datacenter och möjliggör rörlighet för virtuella maskiner över olika platser utan komplexa Layer 2-förlängningstekniker som Virtual Private LAN Service (VPLS).
Jämförelsetabell
Här är en jämförelsetabell mellan VXLAN och VLAN.
| Funktioner | VXLAN | VLAN |
|---|---|---|
| Inkapsling | Använder UDP för paketinkapsling och transport | Ingen inkapsling – förlitar sig på 802.1Q-taggning |
| Skalbarhet | Stöder upp till 16 miljoner virtuella nätverk | Begränsat till 4 096 VLAN |
| Nätverksisolering | Möjliggör isolerade Layer 2-nätverk över Layer 3-nätverksgränser | Ger broadcast-gränser eller unicast-baserad replikering för att optimera broadcast-trafik. |
| Broadcast-trafik | Broadcast-trafiken sprids till alla portar inom VLAN | |
| Spänner flera webbplatser | Tillåter utvidgning av Layer 2-nätverk över geografiskt spridda platser. |
Korrekt implementering av VXLAN kräver VXLAN-kompatibla enheter som stöder nödvändiga protokoll och inkapslingstekniker.
VXLAN-nätverk kan skapas och hanteras med hjälp av dessa enheter.
Å andra sidan är VLAN mer utbredda och enklare att implementera i befintliga nätverksinfrastrukturer, eftersom de flesta nätverksenheter stöder dem utan extra hårdvara eller specialiserat stöd.
Användningsfall av VLAN
Servervirtualisering
VLAN möjliggör effektiv nätverkshantering genom att skapa isolering mellan virtuella maskiner som finns på samma fysiska server i virtualiserade miljöer.
Datacenter
VLAN används i serverhallar och datacenter för att hantera ett stort antal servrar. Det gör det möjligt för administratörer att gruppera servrar baserat på deras roll eller applikation.
Gästnätverk
VLAN skapar separata gästnätverk i miljöer som hotell eller företagskontor. De ger internetåtkomst till besökare samtidigt som de är isolerade från organisationens interna nätverk.
Virtuella privata nätverk
VLAN används i kombination med VPN för att skapa säkra anslutningar mellan geografiskt spridda platser. Organisationer kan utöka sitt privata nätverk över flera platser med bibehållen logisk separation.
Testning och utveckling
VLAN tillhandahåller en isolerad miljö för test- och utvecklingsändamål. Utvecklare kan skapa VLAN dedikerade till att testa nya applikationer eller tjänster utan att påverka produktionsnätverket.
Användningsfall av VXLAN
Datacenterkoppling
VXLAN används för att koppla samman flera datacenter över ett WAN. Det utvidgar Layer 2-anslutningen mellan datacenter, vilket gör att virtuella maskiner och arbetsbelastningar kan migreras mellan webbplatser med bibehållen nätverkskonfiguration.
Molninfrastruktur
VXLAN används ofta i molnmiljöer för att tillhandahålla nätverksvirtualisering för molnbaserade tjänster och applikationer. Det möjliggör effektiv arbetsbelastningsfördelning över molninfrastruktur.
Överlagringsnätverk
VXLAN fungerar som en grund för överlagringsnätverk, vilket gör att nätverksingenjörer dynamiskt kan allokera resurser och anpassa sig till ändrade arbetsbelastningskrav.
Katastrofåterställning
VXLAN används i katastrofåterställningsscenarier för att tillhandahålla nätverksanslutning och failover (backup-läge) mellan primära och sekundära datacenter.
Författarens anteckning✍️
Valet mellan VXLAN och VLAN beror på de specifika behoven i din nätverksinfrastruktur. Båda teknikerna har sina fördelar och faktorer som bör beaktas.
Om du behöver en skalbar lösning som kan hantera ett stort antal virtuella maskiner eller nätverkssegment, är VXLAN det rekommenderade valet. Det ger ett större adressutrymme och underlättar arbetsbelastning.
Om ditt nätverk är mindre och har enklare krav, kan VLAN vara det bästa alternativet. VLAN är väletablerade och stöds brett i de flesta nätverksenheter. De är lätta att konfigurera och hantera.
Jag hoppas att du tyckte att den här artikeln var till hjälp för att förstå skillnaden mellan VXLAN och VLAN. Du kan också vara intresserad av att lära dig om nätverksåtkomstkontroll och hur man implementerar det.