У сучасній мережевій архітектурі VLAN (віртуальна локальна мережа) та VXLAN (віртуальна розширена локальна мережа) є двома найпоширенішими технологіями віртуалізації мережі. Вони можуть здаватися схожими, але насправді існує низка ключових відмінностей.
VLAN (віртуальна локальна мережа)
VLAN – це абревіатура від Virtual Local Area Network (віртуальна локальна мережа). Це техніка, яка розділяє фізичні пристрої в локальній мережі на кілька підмереж відповідно до логічних зв'язків. VLAN налаштовується на мережевих комутаторах для розділення мережевих пристроїв на різні логічні групи. Навіть якщо ці пристрої можуть фізично розташовуватися в різних місцях, VLAN дозволяє їм логічно належати до однієї мережі, що забезпечує гнучке керування та ізоляцію.
Основа технології VLAN полягає в розподілі портів комутатора. Комутатори керують трафіком на основі ідентифікатора VLAN (VLAN ID). Ідентифікатори VLAN мають значення від 1 до 4095 і зазвичай складаються з 12 двійкових цифр (тобто діапазон від 0 до 4095), що означає, що комутатор може підтримувати до 4096 VLAN.
Робочий процес
○ Ідентифікація VLAN: Коли пакет надходить до комутатора, комутатор вирішує, до якої VLAN слід перенаправити пакет, на основі інформації про ідентифікатор VLAN у пакеті. Зазвичай для позначення VLAN кадру даних використовується протокол IEEE 802.1Q.
○ Широкомовний домен VLAN: Кожна VLAN є незалежним широкомовним доменом. Навіть якщо кілька VLAN підключені до одного фізичного комутатора, їхні широкомовні розсилки ізольовані одна від одної, що зменшує непотрібний широкомовний трафік.
○ Пересилання даних: Комутатор пересилає пакет даних на відповідний порт відповідно до різних тегів VLAN. Якщо пристроям між різними VLAN потрібно взаємодіяти, їх необхідно пересилати через пристрої 3-го рівня, такі як маршрутизатори.
Припустимо, у вас є компанія з кількома відділами, кожен з яких використовує різну VLAN. За допомогою комутатора ви можете розділити всі пристрої у фінансовому відділі на VLAN 10, у відділі продажів – на VLAN 20, а в технічному відділі – на VLAN 30. Таким чином, мережа між відділами повністю ізольована.
Переваги
○ Покращена безпека: VLAN може ефективно запобігати несанкціонованому доступу між різними VLAN, розділяючи різні служби на різні мережі.
○ Керування мережевим трафіком: Завдяки розподілу віртуальних локальних мереж (VLAN) можна уникнути широкомовних штормів та підвищити ефективність мережі. Широкомовні пакети поширюватимуться лише в межах VLAN, зменшуючи використання пропускної здатності.
○ Гнучкість мережі: VLAN дозволяє гнучко розділяти мережу відповідно до потреб бізнесу. Наприклад, пристрої у фінансовому відділі можна призначити до однієї VLAN, навіть якщо вони фізично розташовані на різних поверхах.
Обмеження
○ Обмежена масштабованість: Оскільки віртуальні мережі (VLAN) залежать від традиційних комутаторів і підтримують до 4096 VLAN, це може стати вузьким місцем для великих мереж або великомасштабних віртуалізованих середовищ.
○ Проблема міждоменного підключення: VLAN – це локальна мережа, зв’язок між VLAN має здійснюватися через трирівневий комутатор або маршрутизатор, що може збільшити складність мережі.
Сценарій застосування
○ Ізоляція та безпека в корпоративних мережах: віртуальні локальні мережі (VLAN) широко використовуються в корпоративних мережах, особливо у великих організаціях або міжвідомчих середовищах. Безпеку та контроль доступу до мережі можна забезпечити, розділивши різні відділи або бізнес-системи за допомогою VLAN. Наприклад, фінансовий відділ часто буде знаходитися в іншій VLAN, ніж відділ досліджень і розробок, щоб уникнути несанкціонованого доступу.
○ Зменшення широкомовного шторму: VLAN допомагає обмежити широкомовний трафік. Зазвичай широкомовні пакети поширюються по всій мережі, але в середовищі VLAN широкомовний трафік поширюється лише в межах VLAN, що ефективно зменшує навантаження на мережу, спричинене широкомовним штормом.
○ Мала або середня локальна мережа: Для деяких малих та середніх підприємств VLAN забезпечує простий та ефективний спосіб побудови логічно ізольованої мережі, що робить управління мережею більш гнучким.
VXLAN (Віртуальна розширена локальна мережа)
VXLAN (віртуальна розширювана локальна мережа) – це нова технологія, запропонована для вирішення обмежень традиційної VLAN у великомасштабних центрах обробки даних та середовищах віртуалізації. Вона використовує технологію інкапсуляції для передачі пакетів даних другого (L2) рівня через існуючу мережу третього (L3) рівня, що долає обмеження масштабованості VLAN.
Завдяки технології тунелювання та механізму інкапсуляції, VXLAN "обгортає" оригінальні пакети даних другого рівня в пакети IP-даних третього рівня, щоб пакети даних могли передаватися в існуючій IP-мережі. Основою VXLAN є механізм інкапсуляції та декапсуляції, тобто традиційний кадр даних другого рівня інкапсулюється протоколом UDP та передається через IP-мережу.
Робочий процес
○ Інкапсуляція заголовка VXLAN: У реалізації VXLAN кожен пакет другого рівня буде інкапсульовано як UDP-пакет. Інкапсуляція VXLAN включає: ідентифікатор мережі VXLAN (VNI), заголовок UDP, заголовок IP та іншу інформацію.
○ Тунельний термінал (VTEP): VXLAN використовує технологію тунелювання, а пакети інкапсулюються та розпакуються через пару пристроїв VTEP. VTEP, кінцева точка тунелю VXLAN, – це міст, що з’єднує VLAN та VXLAN. VTEP інкапсулює отримані пакети L2 як пакети VXLAN та надсилає їх до VTEP призначення, який, у свою чергу, розпакує інкапсульовані пакети в оригінальні пакети L2.
○ Процес інкапсуляції VXLAN: Після приєднання заголовка VXLAN до вихідного пакету даних, пакет даних буде передано до VTEP призначення через IP-мережу. VTEP призначення декапсулює пакет і пересилає його правильному одержувачу на основі інформації VNI.
Переваги
○ Масштабованість: VXLAN підтримує до 16 мільйонів віртуальних мереж (VNI), що значно більше, ніж 4096 ідентифікаторів VLAN, що робить її ідеальною для великомасштабних центрів обробки даних та хмарних середовищ.
○ Підтримка між центрами обробки даних: VXLAN може розширювати віртуальну мережу між кількома центрами обробки даних у різних географічних місцях, долаючи обмеження традиційної VLAN, і підходить для сучасних хмарних обчислень та середовищ віртуалізації.
○ Спрощення мережі центру обробки даних: Завдяки VXLAN апаратні пристрої різних виробників можуть бути сумісними, підтримувати багатокористувацькі середовища та спрощувати проектування мережі для великомасштабних центрів обробки даних.
Обмеження
○ Висока складність: Конфігурація VXLAN є відносно складною, включає інкапсуляцію тунелів, конфігурацію VTEP тощо, що вимагає додаткової технічної підтримки стеку та збільшує складність експлуатації та обслуговування.
○ Затримка мережі: Через додаткову обробку, необхідну для процесу інкапсуляції та розпакування, VXLAN може створювати певну затримку мережі, хоча ця затримка зазвичай невелика, але її все ж слід враховувати у середовищах з високими вимогами до продуктивності.
Сценарій застосування VXLAN
○ Віртуалізація мережі центру обробки даних: VXLAN широко використовується у великих центрах обробки даних. Сервери в центрі обробки даних зазвичай використовують технологію віртуалізації, VXLAN може допомогти створити віртуальну мережу між різними фізичними серверами, уникаючи обмежень масштабованості VLAN.
○ Багатоклієнтське хмарне середовище: У публічній або приватній хмарі VXLAN може забезпечити незалежну віртуальну мережу для кожного клієнта та ідентифікувати віртуальну мережу кожного клієнта за допомогою VNI. Ця функція VXLAN добре підходить для сучасних хмарних обчислень та багатоклієнтських середовищ.
○ Масштабування мережі в центрах обробки даних: VXLAN особливо підходить для сценаріїв, коли віртуальні мережі потрібно розгорнути в кількох центрах обробки даних або географічних регіонах. Оскільки VXLAN використовує IP-мережі для інкапсуляції, вона може легко охоплювати різні центри обробки даних та географічні розташування для досягнення розширення віртуальної мережі в глобальному масштабі.
VLAN проти VxLAN
VLAN та VXLAN – це технології віртуалізації мережі, але вони підходять для різних сценаріїв застосування. VLAN підходить для мережевого середовища малого або середнього масштабу та може забезпечити базову ізоляцію та безпеку мережі. Її перевага полягає в простоті, легкості налаштування та широкій підтримці.
VXLAN – це технологія, розроблена для задоволення потреби масштабного розширення мережі в сучасних центрах обробки даних та хмарних обчислювальних середовищах. Перевага VXLAN полягає в її здатності підтримувати мільйони віртуальних мереж, що робить її придатною для розгортання віртуалізованих мереж у центрах обробки даних. Вона долає обмеження масштабованості VLAN та підходить для складніших мережевих проектів.
Хоча назва VXLAN, здається, є протоколом розширення VLAN, насправді VXLAN суттєво відрізняється від VLAN своєю здатністю будувати віртуальні тунелі. Основні відмінності між ними полягають у наступному:
Функція | Віртуальна локальна мережа (VLAN) | VXLAN |
|---|---|---|
| Стандартний | IEEE 802.1Q | RFC 7348 (IETF) |
| Шар | Рівень 2 (канал передачі даних) | Шар 2 над шаром 3 (L2oL3) |
| Інкапсуляція | Роз'єм Ethernet 802.1Q | MAC-in-UDP (інкапсульований в IP) |
| Розмір ідентифікатора | 12-бітний (0-4095 VLAN) | 24-бітний (16,7 мільйона віртуальних ніш) |
| Масштабованість | Обмежено (4094 придатних для використання VLAN) | Висока масштабованість (підтримка хмарних систем з кількома клієнтами) |
| Обробка трансляцій | Традиційне перевантаження (в межах VLAN) | Використовує багатоадресну IP-адресу або реплікацію головного пристрою |
| Накладні витрати | Низький (4-байтовий тег VLAN) | Високий (~50 байт: заголовки UDP + IP + VXLAN) |
| Ізоляція трафіку | Так (на кожну VLAN) | Так (за VNI) |
| Тунелювання | Без тунелювання (плоский L2) | Використовує VTEP (кінцеві точки тунелю VXLAN) |
| Варіанти використання | Малі/середні локальні мережі, корпоративні мережі | Хмарні центри обробки даних, SDN, VMware NSX, Cisco ACI |
| Залежність Spanning Tree (STP) | Так (для запобігання зацикленню) | Ні (використовує маршрутизацію рівня 3, уникає проблем STP) |
| Підтримка обладнання | Підтримується на всіх комутаторах | Потрібні комутатори/мережеві карти з підтримкою VXLAN (або програмні VTEP) |
| Підтримка мобільності | Обмежено (в межах одного домену L2) | Краще (віртуальні машини можуть переміщатися між підмережами) |
Що може зробити Mylinking™ Network Packet Broker для технології мережевих віртуальних технологій?
VLAN з тегами, VLAN без тегів, VLAN замінена:
Підтримується збіг будь-якого ключового поля в перших 128 байтах пакета. Користувач може налаштувати значення зміщення, довжину та вміст ключового поля, а також визначити політику виведення трафіку відповідно до конфігурації користувача.
Зняття інкапсуляції тунелю:
Підтримувалися заголовки VxLAN, VLAN, GRE, GTP, MPLS, IPIP, видалені з вихідного пакету даних та перенаправлені на вивід.
Ідентифікація протоколу тунелювання
Підтримується автоматична ідентифікація різних протоколів тунелювання, таких як GTP / GRE / PPTP / L2TP / PPPOE/IPIP. Залежно від конфігурації користувача, стратегія виведення трафіку може бути реалізована відповідно до внутрішнього або зовнішнього шару тунелю.
Ви можете переглянути тут докладнішу інформацію про пов'язаніМережевий пакетний брокер.
Час публікації: 25 червня 2025 р.
