Segmentacja sieci odgrywa ważną rolę w zarządzaniu i zabezpieczaniu nowoczesnych infrastruktur IT.
Dwie popularne technologie efektywnej segmentacji sieci to VXLAN i VLAN.
Zanurzmy się i zrozummy cechy zarówno VXLAN, jak i VLAN oraz sposób, w jaki mogą one kształtować architekturę sieci.
Spis treści:
Co to jest sieć VLAN?
Źródło obrazu: Wikipedia
VLAN oznacza wirtualną sieć lokalną.
Jest to technologia stosowana w sieciach komputerowych do dzielenia pojedynczej sieci fizycznej na wiele sieci logicznych.
Rozważmy przykład, aby łatwo zrozumieć tę koncepcję.
Wyobraź sobie, że pracujesz w dużym biurowcu z wieloma działami: inżynierii, marketingu i księgowości.
Każdy dział ma własny zestaw komputerów, drukarek i innych urządzeń sieciowych.
Biurowiec posiada jednak tylko jedną fizyczną infrastrukturę sieciową.
Bez sieci VLAN wszystkie urządzenia w budynku biurowym byłyby częścią jednej domeny rozgłoszeniowej. Oznacza to, że będą odbierać cały ruch sieciowy. Może to prowadzić do problemów z bezpieczeństwem i nieefektywnej obsługi ruchu sieciowego.
Sieci VLAN są wdrażane w celu przezwyciężenia tych problemów. Każda sieć VLAN działa jako oddzielna domena rozgłoszeniowa, co umożliwia lepsze zarządzanie i wydajność sieci.
Źródło obrazu – fiberopticshare
Załóżmy, że tworzysz trzy sieci VLAN odpowiadające różnym działom.
VLAN 1: Inżynieria
VLAN 2: Marketing
VLAN 3: rozliczanie
Gdy komputer lub inne urządzenie sieciowe jest podłączone do sieci, można je przypisać do jednej z tych sieci VLAN.
Na przykład — wszystkie komputery i urządzenia w dziale inżynieryjnym są przypisane do sieci VLAN 1.
Jeśli komputer w dziale inżynieryjnym chce wysłać wiadomość do innego komputera w tej samej sieci VLAN, wiadomość pozostanie w sieci VLAN 1 i nie będzie rozgłaszana do urządzeń w innych sieciach VLAN, takich jak Marketing czy Księgowość.
Ta separacja gwarantuje, że poufne informacje są dostępne tylko dla autoryzowanych urządzeń w tej samej sieci VLAN.
Co to jest VXLAN?
VXLAN oznacza wirtualną rozszerzalną sieć LAN.
Jest to technologia wirtualizacji sieci używana do rozszerzania segmentów sieci warstwy 2 (warstwa łącza danych) w sieci IP. Został wprowadzony w celu rozwiązania ograniczeń tradycyjnych sieci VLAN w środowiskach centrów danych na dużą skalę.
Źródło obrazu – fiberopticshare
Jest powszechnie używany w centrach danych i środowiskach chmurowych do tworzenia logicznych nakładek sieciowych, które mogą obejmować wiele fizycznych segmentów sieci.
VXLAN hermetyzuje ramki Ethernet warstwy 2 w pakietach UDP warstwy 3, co umożliwia ich przesyłanie przez sieć IP.
Jak działa VXLAN?
Wyobraź sobie duże centrum danych z wieloma serwerami fizycznymi i maszynami wirtualnymi działającymi na tych serwerach.
W tradycyjnej sieci VLAN każda maszyna wirtualna byłaby przypisana do określonej sieci VLAN. A komunikacja między maszynami wirtualnymi w różnych sieciach VLAN wymagałaby routingu w warstwie 3.
Takie podejście może stać się złożone i powodować problemy ze skalowalnością ze względu na ograniczoną liczbę dostępnych identyfikatorów sieci VLAN.
Źródło obrazu – juniper.net
Rozważmy scenariusz, aby zrozumieć, jak działa ten VXLAN.
Istnieją 2 hosty fizyczne. W hoście 1 są VM1 i VM2, a w hoście 2 są VM3 i VM4.
Załóżmy, że Host 1 i Host 2 są częścią sieci obsługującej VXLAN, a VM1 chce komunikować się z VM3.
Konfiguracja VXLAN
Host 1 i Host 2 są skonfigurowane jako punkty końcowe tunelu VXLAN (VTEP). Oznacza to, że dysponują niezbędnym oprogramowaniem lub komponentami sprzętowymi do obsługi enkapsulacji i dekapsulacji VXLAN.
Identyfikator sieci VXLAN (VNI)
Do sieci wirtualnej jest przypisany unikatowy numer VNI. Powiedzmy, że VNI dla tej sieci to 1001.
Kapsułkowanie
VM1, rezydujący na hoście 1 – chce komunikować się z VM3, który znajduje się na hoście 2.
Kiedy VM1 wysyła pakiet do VM3, jest on hermetyzowany za pomocą nagłówka VXLAN.
Nagłówek VXLAN zawiera źródłowy i docelowy adres VTEP (adresy IP Hosta 1 i Hosta 2) oraz VNI (1001).
Podstawowa sieć IP
Zahermetyzowany pakiet jest przesyłany przez bazową sieć IP — może to być IPv4 lub IPv6. Sieć IP służy jako infrastruktura transportowa dla pakietów VXLAN.
Dekapsulacja
Po odebraniu pakietu VTEP na hoście 2 dekapsuluje nagłówek VXLAN, który ujawnia oryginalną ramkę Ethernet warstwy 2.
Dostawa do VM3
Po dekapsulacji VTEP dostarcza ramkę Ethernet warstwy 2 do VM3 na hoście 2.
VM1 na hoście 1 może komunikować się z VM3 na hoście 2, tak jakby były podłączone do tej samej sieci Ethernet warstwy 2 – nawet jeśli znajdują się na różnych hostach fizycznych.
VXLAN umożliwia tę komunikację poprzez enkapsulację i tunelowanie ruchu warstwy 2 przez sieci warstwy 3, co pozwala na rozszerzenie łączności warstwy 2 poza granice sieci.
Korzyści z sieci VLAN
Kontrola transmisji
Ruch rozgłoszeniowy jest zawarty w każdej sieci VLAN, co zmniejsza ogólny rozmiar domeny rozgłoszeniowej i łagodzi wpływ ruchu, który może obniżyć wydajność sieci.
Bezpieczeństwo
Umożliwia izolację sieci i zwiększa bezpieczeństwo, rozdzielając różne grupy użytkowników lub urządzeń na oddzielne domeny rozgłoszeniowe. Ta izolacja ogranicza zakres potencjalnych naruszeń bezpieczeństwa lub nieautoryzowanego dostępu, co poprawia ogólne bezpieczeństwo sieci.
Jakość usług (QoS)
Sieci VLAN mogą być wykorzystywane do wdrażania mechanizmów Quality of Service, które pozwalają administratorom sieci nadawać priorytet określonym typom ruchu lub stosować określone polityki.
Mogą ustawić limit, w którym aplikacja powinna otrzymywać wysoką przepustowość.
Uproszczone zarządzanie siecią
Upraszcza zarządzanie siecią, logicznie dzieląc dużą sieć fizyczną na mniejsze sieci wirtualne. Ta segmentacja pomaga w organizowaniu urządzeń i upraszcza zadania administracyjne w sieci.
Korzyści z VXLAN
Skalowalność
VXLAN rozwiązuje ograniczenia tradycyjnych sieci VLAN, umożliwiając utworzenie do 16 milionów sieci wirtualnych — w porównaniu z ograniczoną liczbą 4096 sieci VLAN. Ta skalowalność jest osiągana dzięki 24-bitowemu identyfikatorowi sieci VXLAN (VNI).
Segmentacja sieci
Umożliwia wydajną segmentację sieci poprzez enkapsulację ramek Ethernet warstwy 2 w pakietach UDP. Pozwala to na tworzenie izolowanych sieci wirtualnych, które mogą przekraczać granice fizyczne, takie jak centra danych lub środowiska chmurowe.
Wielu najemców
Obsługuje model wielu dzierżawców, który umożliwia różnym organizacjom współdzielenie tej samej infrastruktury fizycznej przy jednoczesnym utrzymaniu własnych odizolowanych sieci wirtualnych.
Rozszerzenie warstwy 2 w sieciach warstwy 3
VXLAN ułatwia rozszerzenie łączności warstwy 2 w sieciach warstwy 3.
Jest to ważne przy budowaniu rozproszonych geograficznie centrów danych i umożliwia mobilność maszyn wirtualnych w różnych lokalizacjach bez potrzeby stosowania złożonych technologii rozszerzeń warstwy 2, takich jak Virtual Private LAN Service (VPLS).
Tabela porównawcza
A oto tabela porównawcza między VXLAN i VLAN.
FunkcjeVXLANVLANEnkapsulacjaWykorzystuje protokół UDP do enkapsulacji i transportu pakietówBrak enkapsulacji – opiera się na znakowaniu 802.1QSkalowalnośćObsługa do 16 milionów sieci wirtualnychOgraniczenie do 4096 sieci VLAN Izolacja sieci Umożliwia izolowane sieci warstwy 2 ponad granicami warstwy 3Zapewnia izolację w obrębie sieci warstwy 2 ruch jest propagowany do wszystkich portów w sieci VLANObejmujący wiele lokalizacjiPozwala rozszerzyć sieci warstwy 2 na geograficznie rozproszone lokalizacjeOgraniczony do jednej domeny rozgłoszeniowejZarządzanieWymaga bramy VXLAN do łączenia sieci wirtualnych i fizycznychMożna zarządzać za pomocą przełączników obsługujących VLAN
Właściwa implementacja VXLAN wymaga urządzeń obsługujących VXLAN, które obsługują niezbędne protokoły i techniki enkapsulacji.
Za pomocą tych urządzeń można tworzyć i zarządzać sieciami VXLAN.
Z drugiej strony – sieci VLAN są szerzej stosowane i prostsze do wdrożenia w obecnych infrastrukturach sieciowych, ponieważ obsługuje je większość urządzeń sieciowych bez konieczności stosowania dodatkowego sprzętu czy specjalistycznego wsparcia.
Przypadki użycia sieci VLAN
Wirtualizacja serwerów
Sieci VLAN umożliwiają wydajne zarządzanie siecią, zapewniając izolację między maszynami wirtualnymi rezydującymi na tym samym serwerze fizycznym w środowiskach zwirtualizowanych.
Centra danych
Używany w farmach serwerów i centrach danych do zarządzania dużą liczbą serwerów. Umożliwia administratorom grupowanie serwerów na podstawie ich roli lub zastosowania.
Sieci gościnne
Tworzą osobne sieci dla gości w środowiskach takich jak hotele lub biura korporacyjne, które mogą zapewniać gościom dostęp do Internetu, jednocześnie izolując ich od wewnętrznej sieci organizacji.
Wirtualne sieci prywatne
Sieci VLAN są połączone z sieciami VPN w celu tworzenia bezpiecznych połączeń między lokalizacjami rozproszonymi geograficznie. Organizacje mogą rozszerzyć swoją sieć prywatną na wiele lokalizacji, zachowując logiczną separację.
Testowanie i rozwój
Zapewnij izolowane środowisko do celów testowania i programowania. Deweloperzy mogą tworzyć sieci VLAN przeznaczone do testowania nowych aplikacji lub usług bez wpływu na sieć produkcyjną.
Przypadki użycia VXLAN
Połączenie centrum danych
VXLAN służy do łączenia wielu centrów danych w sieci WAN. Rozszerza łączność warstwy 2 między centrami danych, co umożliwia migrację maszyn wirtualnych i obciążeń między lokalizacjami przy zachowaniu ich konfiguracji sieciowej.
Infrastruktura chmury
Jest powszechnie używany w środowiskach chmurowych w celu zapewnienia wirtualizacji sieci dla usług i aplikacji opartych na chmurze. Pozwala na wydajną dystrybucję obciążenia w całej infrastrukturze chmury.
Sieci nakładkowe
VXLAN służy jako podstawa sieci nakładkowych, która umożliwia inżynierom sieciowym dynamiczną alokację zasobów i dostosowywanie się do zmieniających się wymagań dotyczących obciążenia.
Odzyskiwanie po awarii
Używany w scenariuszach odzyskiwania po awarii w celu zapewnienia łączności sieciowej i przełączania awaryjnego (tryb operacyjny kopii zapasowej) między głównymi i pomocniczymi centrami danych.
Uwaga od autora✍️
Wybór między VXLAN a VLAN zależy od konkretnych potrzeb Twojej infrastruktury sieciowej. Obie technologie mają swoje zalety i względy, które należy wziąć pod uwagę.
Jeśli potrzebujesz skalowalnego rozwiązania, które może obsłużyć dużą liczbę maszyn wirtualnych lub segmentów sieci – zalecanym wyborem jest VXLAN. Zapewnia większą przestrzeń adresową i umożliwia łatwiejszą mobilność obciążenia.
Jeśli Twoja sieć ma mniejszą skalę i prostsze wymagania – VLAN może być najlepszą opcją. Sieci VLAN są dobrze ugruntowane i szeroko obsługiwane w większości urządzeń sieciowych. Są łatwe w konfiguracji i zarządzaniu.
Mam nadzieję, że ten artykuł okazał się pomocny w poznaniu różnicy między VXLAN a VLAN. Możesz być także zainteresowany informacjami na temat kontroli dostępu do sieci i sposobów jej wdrażania.