Nätverkssegmentering spelar en viktig roll för att hantera och säkra modern IT-infrastruktur.
Två populära tekniker för effektiv nätverkssegmentering är VXLAN och VLAN.
Låt oss dyka in och förstå egenskaperna hos både VXLAN och VLAN och hur de kan forma din nätverksarkitektur.
Innehållsförteckning
Vad är VLAN?
Bildkälla: Wikipedia
VLAN står för Virtual Local Area Network.
Det är en teknik som används i datornätverk för att dela upp ett enda fysiskt nätverk i flera logiska nätverk.
Låt oss överväga ett exempel för att enkelt förstå konceptet.
Föreställ dig att du arbetar i en stor kontorsbyggnad med flera avdelningar: Engineering, Marketing och Accounting.
Varje avdelning har sin egen uppsättning datorer, skrivare och andra nätverksenheter.
Kontorsbyggnaden har dock bara en fysisk nätverksinfrastruktur.
Utan VLAN skulle alla enheter i kontorsbyggnaden vara en del av en enda sändningsdomän. Det betyder att de skulle ta emot all nätverkstrafik. Detta kan leda till säkerhetsproblem och ineffektiv hantering av nätverkstrafik.
VLAN implementeras för att övervinna dessa problem. Varje VLAN fungerar som en separat sändningsdomän som möjliggör bättre nätverkshantering och prestanda.
Bildkälla – fiberoptisk delning
Låt oss säga att du skapar tre VLAN för att motsvara de olika avdelningarna.
VLAN 1: Engineering
VLAN 2: Marknadsföring
VLAN 3: Bokföring
När en dator eller någon annan nätverksenhet är ansluten till nätverket kan den tilldelas ett av dessa VLAN.
Till exempel – Alla datorer och enheter på teknikavdelningen är tilldelade VLAN 1.
Om en dator på teknikavdelningen vill skicka ett meddelande till en annan dator inom samma VLAN, kommer meddelandet att stanna inom VLAN 1 och kommer inte att sändas till enheter i andra VLAN som marknadsföring eller redovisning.
Denna separation säkerställer att känslig information endast är tillgänglig för auktoriserade enheter inom samma VLAN.
Vad är VXLAN?
VXLAN står för Virtual Extensible LAN.
Det är en nätverksvirtualiseringsteknik som används för att utöka nätverkssegmenten Layer 2 (datalänklager) över ett IP-nätverk. Den introducerades för att ta itu med begränsningarna hos traditionella VLAN i storskaliga datacentermiljöer.
Bildkälla – fiberoptisk delning
Det används ofta i datacenter och molnmiljöer för att skapa logiska nätverksöverlägg som kan sträcka sig över flera fysiska nätverkssegment.
VXLAN kapslar in Layer 2 Ethernet-ramar i Layer 3 UDP-paket som gör att de kan överföras över ett IP-nätverk.
Hur fungerar VXLAN?
Föreställ dig att du har ett stort datacenter med flera fysiska servrar och virtuella maskiner (VM) som körs på dessa servrar.
I ett traditionellt VLAN-baserat nätverk skulle varje virtuell dator tilldelas ett specifikt VLAN. Och kommunikation mellan virtuella datorer i olika VLAN skulle kräva routing på lager 3.
Detta tillvägagångssätt kan bli komplext och kan drabbas av skalbarhetsproblem på grund av det begränsade antalet tillgängliga VLAN-ID:n.
Bildkälla – juniper.net
Låt oss överväga ett scenario för att förstå hur detta VXLAN fungerar.
Det finns 2 fysiska värdar. I värd 1 finns VM1 & VM2, och i värd 2 finns VM3 & VM4.
Antag att Host 1 & Host 2 är en del av ett VXLAN-aktiverat nätverk och VM1 vill kommunicera med VM3.
VXLAN-konfiguration
Värd 1 och värd 2 är konfigurerade som VXLAN Tunnel Endpoints (VTEPs). Det betyder att de har nödvändig mjukvara eller hårdvarukomponenter för att hantera VXLAN-inkapsling och dekapsling.
VXLAN Network Identifier (VNI)
En unik VNI tilldelas det virtuella nätverket. Låt oss säga att VNI för detta nätverk är 1001.
Inkapsling
VM1, bosatt på Host 1 – vill kommunicera med VM3, som finns på Host 2.
När VM1 skickar ett paket till VM3 är det inkapslat med ett VXLAN-huvud.
VXLAN-huvudet inkluderar käll- och destinations-VTEP-adresserna (IP-adresserna för värd 1 och värd 2) och VNI (1001).
Underliggande IP-nätverk
Det inkapslade paketet sänds över det underliggande IP-nätverket – det kan vara IPv4 eller IPv6. IP-nätverket fungerar som transportinfrastruktur för VXLAN-paket.
Avkapsling
Vid mottagande av paketet dekapsulerar VTEP på Host 2 VXLAN-huvudet, vilket avslöjar den ursprungliga Layer 2 Ethernet-ramen.
Leverans till VM3
Efter avkapsling levererar VTEP Layer 2 Ethernet-ramen till VM3 på Host 2.
VM1 på Host 1 kan kommunicera med VM3 på Host 2 som om de var anslutna till samma Layer 2 Ethernet-nätverk – även om de finns på olika fysiska värdar.
VXLAN möjliggör denna kommunikation genom att kapsla in och tunnla Layer 2-trafik över Layer 3-nätverk, vilket möjliggör utvidgning av Layer 2-anslutning över nätverksgränserna.
Fördelar med VLAN
Sändningskontroll
Broadcast-trafik finns inom varje VLAN, vilket minskar den totala sändningsdomänstorleken och minskar påverkan av trafik som kan försämra nätverkets prestanda.
säkerhet
Det möjliggör nätverksisolering och förbättrar säkerheten genom att separera olika grupper av användare eller enheter i separata sändningsdomäner. Denna isolering begränsar omfattningen av potentiella säkerhetsintrång eller obehörig åtkomst, vilket förbättrar den övergripande nätverkssäkerheten.
Quality of Service (QoS)
VLAN kan användas för att implementera Quality of Service-mekanismer som tillåter nätverksadministratörer att prioritera vissa typer av trafik eller tillämpa specifika policyer.
De kan sätta gränsen för vilken applikation som ska få hög bandbredd.
Förenklad nätverkshantering
Förenklar nätverkshanteringen genom att logiskt dela upp ett stort fysiskt nätverk i mindre virtuella nätverk. Denna segmentering hjälper till att organisera enheter och förenklar nätverksadministrationsuppgifter.
Fördelar med VXLAN
Skalbarhet
VXLAN tar itu med begränsningarna hos traditionella VLAN genom att tillåta skapandet av upp till 16 miljoner virtuella nätverk – jämfört med de begränsade 4 096 VLAN. Denna skalbarhet uppnås genom 24-bitars VXLAN Network Identifier (VNI).
Nätverkssegmentering
Det möjliggör effektiv nätverkssegmentering genom att kapsla in Layer 2 Ethernet-ramar i UDP-paket. Detta möjliggör skapandet av isolerade virtuella nätverk som kan sträcka sig över fysiska gränser, såsom datacenter eller molnmiljöer.
Flerbostadsrätt
Den stöder multi-tenancy-modellen, som tillåter olika organisationer att dela samma fysiska infrastruktur samtidigt som de behåller sina egna isolerade virtuella nätverk.
Layer 2 Extension över Layer 3 Networks
VXLAN underlättar utvidgningen av Layer 2-anslutning över Layer 3-nätverk.
Detta är viktigt för att bygga geografiskt distribuerade datacenter och möjliggör rörlighet för virtuella maskiner över olika platser utan behov av komplexa Layer 2-förlängningsteknologier som Virtual Private LAN Service (VPLS).
Jämförelsetabell
Och här är en jämförelsetabell mellan VXLAN och VLAN.
FunktionerVXLANVLANEncapsulationAnvänder UDP för paketinkapsling och transportIngen inkapsling – förlitar sig på 802.1Q-taggningSkalbarhetStödjer upp till 16 miljoner virtuella nätverk Begränsat till 4 096 VLAN NätverksisoleringMöjliggör isolerade Layer 2-nätverk över Layer 3-nätverksgränserBProvides-multicast-gränser. eller unicast-baserad replikering för att optimera broadcast-trafikBroadcast trafiken sprids till alla portar inom VLAN Spänner flera webbplatser Tillåter utvidgning av Layer 2-nätverk över geografiskt spridda platser.
Korrekt implementering av VXLAN kräver VXLAN-kompatibla enheter som stöder nödvändiga protokoll och inkapslingstekniker.
VXLAN-nätverk kan skapas och hanteras med hjälp av dessa enheter.
Å andra sidan – VLAN är mer utbredda och enkla att implementera i nuvarande nätverksinfrastrukturer eftersom majoriteten av nätverksenheterna stöder dem utan behov av ytterligare hårdvara eller specialiserat stöd.
Användningsfall av VLAN
Servervirtualisering
VLAN möjliggör effektiv nätverkshantering genom att tillhandahålla isolering mellan virtuella maskiner som finns på samma fysiska server i virtualiserade miljöer.
Datacenter
Används i serverfarmar och datacenter för att hantera ett stort antal servrar. Det gör det möjligt för administratörer att gruppera servrar baserat på deras roll eller applikation.
Gästnätverk
De skapar separata gästnätverk i miljöer som hotell eller företagskontor, som kan ge internetåtkomst till besökare samtidigt som de håller dem isolerade från organisationens interna nätverk.
Virtuella privata nätverk
VLAN är i kombination med VPN för att skapa säkra anslutningar mellan geografiskt spridda platser. Organisationer kan utöka sitt privata nätverk över flera platser samtidigt som de bibehåller logisk separation.
Testning och utveckling
Tillhandahålla en isolerad miljö för test- och utvecklingsändamål. Utvecklare kan skapa VLAN dedikerade till att testa nya applikationer eller tjänster utan att påverka produktionsnätverket.
Användningsfall av VXLAN
Datacentersammankoppling
VXLAN används för att koppla samman flera datacenter över ett WAN. Den utökar Layer 2-anslutningen mellan datacenter, vilket gör att virtuella maskiner och arbetsbelastningar kan migreras mellan webbplatser samtidigt som deras nätverkskonfiguration bibehålls.
Molninfrastruktur
Det används ofta i molnmiljöer för att tillhandahålla nätverksvirtualisering för molnbaserade tjänster och applikationer. Det möjliggör effektiv arbetsbelastningsfördelning över molninfrastruktur.
Överlagringsnätverk
VXLAN fungerar som en grund för överlagringsnätverk som gör det möjligt för nätverksingenjörer att dynamiskt allokera resurser och anpassa sig till förändrade arbetsbelastningskrav.
Katastrofåterställning
Används i scenarier för återställning av katastrofer för att tillhandahålla nätverksanslutning och failover (driftsläge för backup) mellan primära och sekundära datacenter.
Författarens anteckning✍️
Valet mellan VXLAN och VLAN beror på de specifika behoven hos din nätverksinfrastruktur. Båda teknologierna har sina fördelar och överväganden som bör beaktas.
Om du behöver en skalbar lösning som kan hantera ett stort antal virtuella maskiner eller nätverkssegment – är VXLAN det rekommenderade valet. Det ger ett större adressutrymme och möjliggör enklare arbetsbelastning.
Om ditt nätverk har en mindre skala och enklare krav – så kan VLAN vara det bästa alternativet. VLAN är väletablerade och stöds brett i de flesta nätverksutrustningar. De är lätta att konfigurera och hantera.
Jag hoppas att du tyckte att den här artikeln var till hjälp för att lära dig om skillnaden mellan VXLAN och VLAN. Du kanske också är intresserad av att lära dig om nätverksåtkomstkontroll och hur man implementerar det.