Nettverkssegmentering spiller en viktig rolle i å administrere og sikre moderne IT-infrastrukturer.
To populære teknologier for effektiv nettverkssegmentering er VXLAN og VLAN.
La oss dykke inn og forstå egenskapene til både VXLAN og VLAN og hvordan de kan forme nettverksarkitekturen din.
Innholdsfortegnelse
Hva er VLAN?
Bildekilde: Wikipedia
VLAN står for Virtual Local Area Network.
Det er en teknologi som brukes i datanettverk for å dele et enkelt fysisk nettverk i flere logiske nettverk.
La oss vurdere et eksempel for å forstå konseptet enkelt.
Tenk deg at du jobber i et stort kontorbygg med flere avdelinger: Engineering, Marketing og Accounting.
Hver avdeling har sitt eget sett med datamaskiner, skrivere og andre nettverksenheter.
Kontorbygget har imidlertid kun én fysisk nettverksinfrastruktur.
Uten VLAN ville alle enheter i kontorbygningen være en del av et enkelt kringkastingsdomene. Det betyr at de vil motta all nettverkstrafikk. Dette kan føre til sikkerhetsproblemer og ineffektiv håndtering av nettverkstrafikk.
VLAN er implementert for å overvinne disse problemene. Hvert VLAN fungerer som et separat kringkastingsdomene som muliggjør bedre nettverksadministrasjon og ytelse.
Bildekilde – fiberoptisk deling
La oss si at du oppretter tre VLAN-er som samsvarer med de forskjellige avdelingene.
VLAN 1: Engineering
VLAN 2: Markedsføring
VLAN 3: Regnskap
Når en datamaskin eller en annen nettverksenhet er koblet til nettverket, kan den tilordnes en av disse VLAN-ene.
For eksempel – Alle datamaskiner og enheter i ingeniøravdelingen er tilordnet VLAN 1.
Hvis en datamaskin i ingeniøravdelingen ønsker å sende en melding til en annen datamaskin innenfor samme VLAN, vil meldingen forbli innenfor VLAN 1 og vil ikke bli kringkastet til enheter i andre VLAN som markedsføring eller regnskap.
Denne separasjonen sørger for at sensitiv informasjon kun er tilgjengelig for autoriserte enheter innenfor samme VLAN.
Hva er VXLAN?
VXLAN står for Virtual Extensible LAN.
Det er en nettverksvirtualiseringsteknologi som brukes til å utvide lag 2 (datalink layer) nettverkssegmenter over et IP-nettverk. Den ble introdusert for å adressere begrensningene til tradisjonelle VLAN-er i store datasentermiljøer.
Bildekilde – fiberoptisk deling
Det brukes ofte i datasentre og skymiljøer for å lage logiske nettverksoverlegg som kan spenne over flere fysiske nettverkssegmenter.
VXLAN innkapsler Layer 2 Ethernet-rammer i Layer 3 UDP-pakker som gjør at de kan overføres over et IP-nettverk.
Hvordan fungerer VXLAN?
Tenk deg at du har et stort datasenter med flere fysiske servere og virtuelle maskiner (VM-er) som kjører på disse serverne.
I et tradisjonelt VLAN-basert nettverk vil hver VM bli tildelt et spesifikt VLAN. Og kommunikasjon mellom virtuelle datamaskiner i forskjellige VLAN vil kreve ruting på lag 3.
Denne tilnærmingen kan bli kompleks og kan lide av skalerbarhetsproblemer på grunn av det begrensede antallet tilgjengelige VLAN-IDer.
Bildekilde – juniper.net
La oss vurdere et scenario for å forstå hvordan denne VXLAN fungerer.
Det er 2 fysiske verter. I vert 1 er det VM1 og VM2, og i vert 2 er det VM3 og VM4.
Anta at Host 1 og Host 2 er en del av et VXLAN-aktivert nettverk, og VM1 ønsker å kommunisere med VM3.
VXLAN-konfigurasjon
Host 1 og Host 2 er konfigurert som VXLAN Tunnel Endpoints (VTEPs). Det betyr at de har nødvendig programvare eller maskinvarekomponenter for å håndtere VXLAN-innkapsling og dekapsling.
VXLAN Network Identifier (VNI)
En unik VNI er tilordnet det virtuelle nettverket. La oss si at VNI for dette nettverket er 1001.
Innkapsling
VM1, bosatt på Host 1 – ønsker å kommunisere med VM3, som ligger på Host 2.
Når VM1 sender en pakke til VM3, er den innkapslet med en VXLAN-header.
VXLAN-headeren inkluderer kilde- og destinasjons-VTEP-adressene (IP-adressene til Host 1 og Host 2) og VNI (1001).
Underliggende IP-nettverk
Den innkapslede pakken overføres over det underliggende IP-nettverket – det kan være IPv4 eller IPv6. IP-nettverket fungerer som transportinfrastruktur for VXLAN-pakker.
Dekapsulering
Ved mottak av pakken, dekapsler VTEP på Host 2 VXLAN-headeren, som avslører den originale Layer 2 Ethernet-rammen.
Levering til VM3
Etter dekapsulering leverer VTEP Layer 2 Ethernet-rammen til VM3 på Host 2.
VM1 på Host 1 kan kommunisere med VM3 på Host 2 som om de var koblet til det samme Layer 2 Ethernet-nettverket – selv om de er plassert på forskjellige fysiske verter.
VXLAN muliggjør denne kommunikasjonen ved å innkapsle og tunnelere Layer 2-trafikk over Layer 3-nettverk som muliggjør utvidelse av Layer 2-tilkobling på tvers av nettverksgrenser.
Fordeler med VLAN
Kringkastingskontroll
Kringkastingstrafikk er inneholdt i hvert VLAN, noe som reduserer den totale kringkastingsdomenestørrelsen og reduserer virkningen av trafikk som kan forringe nettverksytelsen.
Sikkerhet
Den muliggjør nettverksisolering og forbedrer sikkerheten ved å separere forskjellige grupper av brukere eller enheter i separate kringkastingsdomener. Denne isolasjonen begrenser omfanget av potensielle sikkerhetsbrudd eller uautorisert tilgang, noe som forbedrer den generelle nettverkssikkerheten.
Tjenestekvalitet (QoS)
VLAN kan brukes til å implementere Quality of Service-mekanismer som lar nettverksadministratorer prioritere visse typer trafikk eller bruke spesifikke retningslinjer.
De kan sette grensen for hvilken applikasjon som skal motta høy båndbredde.
Forenklet nettverksadministrasjon
Forenkler nettverksadministrasjon ved logisk å dele et stort fysisk nettverk i mindre virtuelle nettverk. Denne segmenteringen hjelper til med å organisere enheter og forenkler nettverksadministrasjonsoppgaver.
Fordeler med VXLAN
Skalerbarhet
VXLAN adresserer begrensningene til tradisjonelle VLAN ved å tillate opprettelse av opptil 16 millioner virtuelle nettverk – sammenlignet med de begrensede 4096 VLANene. Denne skalerbarheten oppnås gjennom 24-biters VXLAN Network Identifier (VNI).
Nettverkssegmentering
Det muliggjør effektiv nettverkssegmentering ved å innkapsle Layer 2 Ethernet-rammer i UDP-pakker. Dette gjør det mulig å lage isolerte virtuelle nettverk som kan spenne over fysiske grenser, for eksempel datasentre eller skymiljøer.
Flerleieforhold
Den støtter multi-tenancy-modellen, som lar forskjellige organisasjoner dele den samme fysiske infrastrukturen samtidig som de opprettholder sine egne isolerte virtuelle nettverk.
Layer 2 Extension over Layer 3 Networks
VXLAN forenkler utvidelsen av Layer 2-tilkobling over Layer 3-nettverk.
Dette er viktig for å bygge geografisk distribuerte datasentre og muliggjør mobiliteten til virtuelle maskiner på tvers av forskjellige nettsteder uten behov for komplekse Layer 2-utvidelsesteknologier som Virtual Private LAN Service (VPLS).
Sammenligningstabell
Og her er en sammenligningstabell mellom VXLAN og VLAN.
FunksjonerVXLANVLANEncapsulationBruker UDP for pakkeinnkapsling og transportIngen innkapsling – er avhengig av 802.1Q-taggingSkalerbarhetStøtter opptil 16 millioner virtuelle nettverkBegrenset til 4096 VLAN-nettverksisoleringGjør det mulig å isolere lag 2-nettverk på tvers av lag 3-grenser for lag 3-multicasting2Provide-nettverksgrenser. eller unicast-basert replikering for å optimalisere kringkastingstrafikkBroadcast trafikk forplantes til alle porter innenfor VLANSpanning Multiple Sites Tillater utvidelse av lag 2-nettverk på tvers av geografisk spredte lokasjoner.
Riktig implementering av VXLAN krever VXLAN-kompatible enheter som støtter de nødvendige protokollene og innkapslingsteknikkene.
VXLAN-nettverk kan opprettes og administreres ved hjelp av disse enhetene.
På den annen side – VLAN-er er mer utbredt og enkle å implementere i dagens nettverksinfrastruktur fordi de fleste nettverksenheter støtter dem uten behov for ekstra maskinvare eller spesialisert støtte.
Bruk tilfeller av VLAN
Servervirtualisering
VLAN muliggjør effektiv nettverksadministrasjon ved å gi isolasjon mellom virtuelle maskiner som ligger på den samme fysiske serveren i virtualiserte miljøer.
Datasentre
Brukes i serverfarmer og datasentre for å administrere et stort antall servere. Den gjør det mulig for administratorer å gruppere servere basert på deres rolle eller applikasjon.
Gjestenettverk
De oppretter separate gjestenettverk i miljøer som hoteller eller bedriftskontorer, som kan gi internettilgang til besøkende samtidig som de holder dem isolert fra organisasjonens interne nettverk.
Virtuelle private nettverk
VLAN-er er i forbindelse med VPN-er for å skape sikre forbindelser mellom geografisk spredte nettsteder. Organisasjoner kan utvide sitt private nettverk på tvers av flere lokasjoner og samtidig opprettholde logisk separasjon.
Testing og utvikling
Gi et isolert miljø for test- og utviklingsformål. Utviklere kan lage VLAN-er dedikert til å teste nye applikasjoner eller tjenester uten å påvirke produksjonsnettverket.
Bruk tilfeller av VXLAN
Datasentersammenkobling
VXLAN brukes til å koble sammen flere datasentre over et WAN. Den utvider Layer 2-tilkoblingen mellom datasentre, noe som gjør at virtuelle maskiner og arbeidsbelastninger kan migreres mellom nettsteder mens nettverkskonfigurasjonen opprettholdes.
Skyinfrastruktur
Det brukes ofte i skymiljøer for å gi nettverksvirtualisering for skybaserte tjenester og applikasjoner. Det muliggjør effektiv fordeling av arbeidsbelastning på tvers av skyinfrastruktur.
Overleggsnettverk
VXLAN fungerer som et grunnlag for overleggsnettverk som lar nettverksingeniører dynamisk allokere ressurser og tilpasse seg skiftende arbeidsbelastningskrav.
Katastrofegjenoppretting
Brukes i katastrofegjenopprettingsscenarier for å gi nettverkstilkobling og failover (driftsmodus for sikkerhetskopiering) mellom primære og sekundære datasentre.
Forfatterens notat✍️
Valget mellom VXLAN og VLAN avhenger av de spesifikke behovene til nettverksinfrastrukturen din. Begge teknologiene har sine fordeler og hensyn som bør tas i betraktning.
Hvis du trenger en skalerbar løsning som kan håndtere et stort antall virtuelle maskiner eller nettverkssegmenter – er VXLAN det anbefalte valget. Det gir et større adresseområde og muliggjør enklere arbeidsbelastning.
Hvis nettverket ditt har en mindre skala og enklere krav – kan VLAN være det beste alternativet. VLAN-er er veletablerte og støttes bredt i de fleste nettverksutstyr. De er enkle å konfigurere og administrere.
Jeg håper du fant denne artikkelen nyttig for å lære om forskjellen mellom VXLAN og VLAN. Du kan også være interessert i å lære om nettverkstilgangskontroll og hvordan du implementerer den.