Сегментация сети играет важную роль в управлении и обеспечении безопасности современных ИТ-инфраструктур. Двумя популярными технологиями для эффективной сегментации сети являются VXLAN и VLAN. Давайте разберемся в характеристиках VXLAN и VLAN и в том, как они могут повлиять на архитектуру вашей сети.
Что такое VLAN?
VLAN расшифровывается как Virtual Local Area Network (виртуальная локальная сеть). Это технология, используемая в компьютерных сетях для разделения одной физической сети на несколько логических сетей. Давайте рассмотрим пример, чтобы легче понять концепцию. Представьте, что вы работаете в большом офисном здании с несколькими отделами: Инженерный, Маркетинговый и Бухгалтерский. Каждый отдел имеет свой собственный набор компьютеров, принтеров и других сетевых устройств.
Однако в офисном здании имеется только одна физическая сетевая инфраструктура. Без VLAN все устройства в офисном здании были бы частью одного широковещательного домена. Это означает, что они будут получать весь сетевой трафик. Это может привести к проблемам безопасности и неэффективной обработке сетевого трафика. VLAN применяются для решения этих проблем. Каждая VLAN действует как отдельный широковещательный домен, что позволяет улучшить управление и производительность сети.
Допустим, вы создаете три виртуальные локальные сети, соответствующие различным отделам.
- VLAN 1: Инженерный отдел
- VLAN 2: Маркетинг
- VLAN 3: Бухгалтерия
Когда компьютер или любое другое сетевое устройство подключается к сети, оно может быть назначено одной из этих VLAN. Например – Все компьютеры и устройства в инженерном отделе относятся к VLAN 1. Если компьютер в инженерном отделе хочет отправить сообщение другому компьютеру в той же VLAN, сообщение останется в VLAN 1 и не будет передано устройствам в других VLAN, таких как маркетинг или бухгалтерия. Такое разделение гарантирует, что конфиденциальная информация будет доступна только авторизованным устройствам в той же VLAN.
Что такое VXLAN?
VXLAN означает Virtual Extensible LAN. Это технология виртуализации сети, используемая для расширения сегментов сети уровня 2 (канального уровня) в IP-сети. Она была введена для устранения ограничений традиционных виртуальных локальных сетей в крупномасштабных средах центров обработки данных.
Она широко используется в центрах обработки данных и облачных средах для создания логических сетевых наложений, которые могут охватывать несколько физических сегментов сети. VXLAN инкапсулирует кадры Ethernet 2-го уровня в пакеты UDP 3-го уровня, что позволяет передавать их по IP-сети.
Как работает VXLAN?
Представьте, что у вас есть большой центр обработки данных с множеством физических серверов и виртуальных машин (ВМ), работающих на этих серверах. В традиционной сети на основе VLAN каждая ВМ будет назначена на определенную VLAN. А для связи между виртуальными машинами в разных VLAN потребуется маршрутизация на уровне 3. Такой подход может стать сложным и может страдать от проблем масштабируемости из-за ограниченного количества доступных идентификаторов VLAN.
Давайте рассмотрим сценарий, чтобы понять, как работает эта VXLAN. Имеется 2 физических хоста. На хосте 1 находятся VM1 и VM2, а на хосте 2 – VM3 и VM4. Предположим, что хост 1 и хост 2 являются частью сети с поддержкой VXLAN, и VM1 хочет общаться с VM3.
Конфигурация VXLAN
Хост 1 и Хост 2 настроены как конечные точки туннеля VXLAN (VTEPs). Это означает, что они имеют необходимые программные или аппаратные компоненты для обработки инкапсуляции и декапсуляции VXLAN.
Сетевой идентификатор VXLAN (VNI)
Виртуальной сети присваивается уникальный VNI. Допустим, VNI для этой сети равен 1001.
Инкапсуляция
VM1, расположенный на хосте 1, хочет общаться с VM3, который находится на хосте 2. Когда VM1 отправляет пакет на VM3, он инкапсулируется с заголовком VXLAN. Заголовок VXLAN включает адреса источника и назначения VTEP (IP-адреса хоста 1 и хоста 2) и VNI (1001).
Базовая IP-сеть
Инкапсулированный пакет передается по базовой IP-сети – это может быть IPv4 или IPv6. IP-сеть служит транспортной инфраструктурой для пакетов VXLAN.
Декапсуляция
При получении пакета VTEP на хосте 2 декапсулирует заголовок VXLAN, в результате чего обнаруживается исходный кадр Ethernet 2-го уровня.
Доставка на VM3
После декапсуляции VTEP передает кадр Layer 2 Ethernet на VM3 на хосте 2. VM1 на хосте 1 может взаимодействовать с VM3 на хосте 2, как если бы они были подключены к одной сети Layer 2 Ethernet – даже если они расположены на разных физических хостах. VXLAN обеспечивает такую связь путем инкапсуляции и туннелирования трафика уровня 2 в сетях уровня 3, что позволяет расширить возможности подключения уровня 2 через границы сети.
Преимущества VLAN
Контроль широковещания
Широковещательный трафик содержится в каждой VLAN, что уменьшает общий размер широковещательного домена и снижает влияние трафика, который может ухудшить производительность сети.
Безопасность
Обеспечивает изоляцию сети и повышает безопасность, разделяя различные группы пользователей или устройств на отдельные широковещательные домены. Такая изоляция ограничивает область потенциальных нарушений безопасности или несанкционированного доступа, что повышает общую безопасность сети.
Качество обслуживания (QoS)
VLAN можно использовать для реализации механизмов качества обслуживания, которые позволяют сетевым администраторам устанавливать приоритеты для определенных типов трафика или применять определенные политики.
Они могут установить ограничение на то, какое приложение должно получать высокую пропускную способность.
Упрощенное управление сетью
Упрощает управление сетью за счет логического разделения большой физической сети на меньшие виртуальные сети. Такая сегментация помогает в организации устройств и упрощает задачи администрирования сети.
Преимущества VXLAN
Масштабируемость
VXLAN устраняет ограничения традиционных сетей VLAN, позволяя создавать до 16 миллионов виртуальных сетей – по сравнению с ограниченными 4 096 сетями VLAN. Эта масштабируемость достигается благодаря 24-битному сетевому идентификатору VXLAN (VNI).
Сегментация сети
VXLAN обеспечивает эффективную сегментацию сети путем инкапсуляции кадров Ethernet второго уровня в пакеты UDP. Это позволяет создавать изолированные виртуальные сети, которые могут пересекать физические границы, такие как центры обработки данных или облачные среды.
Multi-tenancy
Поддерживается модель многопользовательской аренды, которая позволяет различным организациям совместно использовать одну и ту же физическую инфраструктуру, сохраняя при этом собственные изолированные виртуальные сети.
Расширение уровня 2 в сетях уровня 3
VXLAN облегчает расширение возможностей подключения уровня 2 в сетях уровня 3. Это важно для создания географически распределенных центров обработки данных и обеспечивает мобильность виртуальных машин на разных площадках без необходимости использования сложных технологий расширения второго уровня, таких как Virtual Private LAN Service (VPLS).
Сравнительная таблица
А вот сравнительная таблица между VXLAN и VLAN.
| Характеристики | VXLAN | VLAN |
| Инкапсуляция | Использует UDP для инкапсуляции и транспортировки пакетов | Без инкапсуляции – полагается на маркировку 802.1Q |
| Масштабируемость | Поддерживает до 16 миллионов виртуальных сетей | Ограничено 4 096 виртуальными локальными сетями |
| Изоляция сети | Позволяет создавать изолированные сети уровня 2 через границы уровня 3 | Обеспечивает изоляцию в сети уровня 2 |
| Обработка широковещательного трафика | Использует многоадресную или одноадресную репликацию для оптимизации широковещательного трафика | Широковещательный трафик распространяется на все порты в сети VLAN |
| Распространение на несколько сайтов | Позволяет расширять сети уровня 2 в географически разнесенных местах | Ограничен одним широковещательным доменом |
| Управление | Требуется шлюз VXLAN для объединения виртуальных и физических сетей | Управление может осуществляться с помощью коммутаторов с поддержкой VLAN |
Для правильной реализации VXLAN требуются устройства с поддержкой VXLAN, которые поддерживают необходимые протоколы и методы инкапсуляции. Сети VXLAN могут быть созданы и управляться с помощью этих устройств. С другой стороны – сети VLAN более широко используются и просты в реализации в текущих сетевых инфраструктурах, поскольку большинство сетевых устройств поддерживают их без необходимости использования дополнительного оборудования или специализированной поддержки.
Случаи использования VLAN
Виртуализация серверов
VLAN позволяют эффективно управлять сетью, обеспечивая изоляцию между виртуальными машинами, расположенными на одном физическом сервере в виртуализированных средах.
Центры обработки данных
Используется в серверных фермах и центрах обработки данных для управления большим количеством серверов. Это позволяет администраторам группировать серверы на основе их роли или приложения.
Гостевые сети
Создают отдельные гостевые сети в таких средах, как гостиницы или корпоративные офисы, которые могут предоставлять доступ в Интернет посетителям, сохраняя их изолированными от внутренней сети организации.
Виртуальные частные сети
VLAN используются совместно с VPN для создания безопасных соединений между географически разнесенными сайтами. Организации могут распространить свою частную сеть на несколько объектов, сохраняя при этом логическое разделение.
Тестирование и разработка
Обеспечьте изолированную среду для тестирования и разработки. Разработчики могут создавать виртуальные локальные сети, предназначенные для тестирования новых приложений или услуг без влияния на производственную сеть.
Примеры использования VXLAN
Объединение центров обработки данных
VXLAN используется для соединения нескольких центров обработки данных через глобальную сеть. Она расширяет возможности соединения второго уровня между центрами обработки данных, что позволяет переносить виртуальные машины и рабочие нагрузки между площадками, сохраняя при этом конфигурацию сети.
Облачная инфраструктура
Обычно используется в облачных средах для обеспечения виртуализации сети для облачных сервисов и приложений. Она позволяет эффективно распределять рабочие нагрузки по облачной инфраструктуре.
Оверлейные сети
VXLAN служит основой для оверлейных сетей, что позволяет сетевым инженерам динамически распределять ресурсы и адаптироваться к изменяющимся требованиям рабочей нагрузки.
Аварийное восстановление
Используется в сценариях аварийного восстановления для обеспечения сетевой связности и отказоустойчивости (резервный режим работы) между первичным и вторичным центрами обработки данных.
Заключение
Выбор между VXLAN и VLAN зависит от конкретных потребностей вашей сетевой инфраструктуры. Обе технологии имеют свои преимущества и соображения, которые следует принимать во внимание. Если вам требуется масштабируемое решение, способное работать с большим количеством виртуальных машин или сегментов сети, рекомендуется выбрать VXLAN. Она предоставляет большее адресное пространство и обеспечивает более легкую мобильность рабочей нагрузки.
Если ваша сеть имеет меньший масштаб и более простые требования – VLAN может быть лучшим вариантом. VLAN хорошо зарекомендовали себя и широко поддерживаются в большинстве сетевого оборудования. Их легко настраивать и управлять ими. Я надеюсь, что эта статья была полезна для вас при изучении разницы между VXLAN и VLAN.
