Сегментация сети играет важную роль в управлении и обеспечении безопасности современных ИТ-инфраструктур.
Двумя популярными технологиями для эффективной сегментации сети являются VXLAN и VLAN.
Давайте углубимся и разберемся в характеристиках VXLAN и VLAN и в том, как они могут формировать вашу сетевую архитектуру.
Оглавление
Что такое ВЛАН?
Источник изображения: Википедия
VLAN означает виртуальную локальную сеть.
Это технология, используемая в компьютерных сетях для разделения одной физической сети на несколько логических сетей.
Давайте рассмотрим пример, чтобы легко понять концепцию.
Представьте, что вы работаете в большом офисном здании с несколькими отделами: инженерным, маркетинговым и бухгалтерским.
В каждом отделе есть свой набор компьютеров, принтеров и других сетевых устройств.
Однако офисное здание имеет только одну физическую сетевую инфраструктуру.
Без VLAN все устройства в офисном здании были бы частью одного широковещательного домена. Это означает, что они будут получать весь сетевой трафик. Это может привести к проблемам с безопасностью и неэффективной обработке сетевого трафика.
Виртуальные локальные сети реализованы для решения этих проблем. Каждая VLAN действует как отдельный широковещательный домен, что обеспечивает лучшее управление сетью и производительность.
Источник изображения — волоконно-оптический ресурс
Допустим, вы создали три VLAN для разных отделов.
VLAN 1: инженерный
VLAN 2: Маркетинг
VLAN 3: Учет
Когда компьютер или любое другое сетевое устройство подключено к сети, его можно назначить одной из этих VLAN.
Например: все компьютеры и устройства в инженерном отделе назначены на VLAN 1.
Если компьютер в инженерном отделе хочет отправить сообщение другому компьютеру в той же VLAN, сообщение останется в VLAN 1 и не будет транслироваться на устройства в других VLAN, таких как Marketing или Accounting.
Такое разделение гарантирует, что конфиденциальная информация доступна только авторизованным устройствам в той же сети VLAN.
Что такое VXLAN?
VXLAN расшифровывается как Virtual Extensible LAN.
Это технология виртуализации сети, используемая для расширения сетевых сегментов уровня 2 (уровень канала передачи данных) по IP-сети. Он был представлен для устранения ограничений традиционных сетей VLAN в крупномасштабных средах центров обработки данных.
Источник изображения — волоконно-оптический ресурс
Он обычно используется в центрах обработки данных и облачных средах для создания логических сетевых наложений, которые могут охватывать несколько физических сегментов сети.
VXLAN инкапсулирует кадры Ethernet уровня 2 в пакеты UDP уровня 3, что позволяет передавать их по IP-сети.
Как работает VXLAN?
Представьте, что у вас есть большой центр обработки данных с несколькими физическими серверами и виртуальными машинами (ВМ), работающими на этих серверах.
В традиционной сети на основе VLAN каждая виртуальная машина будет назначена определенной VLAN. А для связи между виртуальными машинами в разных VLAN потребуется маршрутизация на уровне 3.
Этот подход может стать сложным и может страдать от проблем с масштабируемостью из-за ограниченного количества доступных идентификаторов VLAN.
Источник изображения — juniper.net
Давайте рассмотрим сценарий, чтобы понять, как работает эта VXLAN.
Есть 2 физических хоста. На хосте 1 есть ВМ1 и ВМ2, а на хосте 2 есть ВМ3 и ВМ4.
Предположим, что хост 1 и хост 2 являются частью сети с поддержкой VXLAN, и VM1 хочет обмениваться данными с VM3.
Конфигурация VXLAN
Узел 1 и узел 2 настроены как конечные точки туннеля VXLAN (VTEP). Это означает, что у них есть необходимое программное или аппаратное обеспечение для инкапсуляции и декапсуляции VXLAN.
Идентификатор сети VXLAN (VNI)
Виртуальной сети назначается уникальный VNI. Допустим, VNI для этой сети равен 1001.
Инкапсуляция
ВМ1, расположенная на узле 1, хочет установить связь с ВМ3, расположенной на узле 2.
Когда VM1 отправляет пакет VM3, он инкапсулируется заголовком VXLAN.
Заголовок VXLAN включает адреса VTEP источника и получателя (IP-адреса хоста 1 и хоста 2) и VNI (1001).
Базовая IP-сеть
Инкапсулированный пакет передается по базовой IP-сети — это может быть IPv4 или IPv6. IP-сеть служит транспортной инфраструктурой для пакетов VXLAN.
Декапсуляция
После получения пакета VTEP на узле 2 декапсулирует заголовок VXLAN, который показывает исходный кадр Ethernet уровня 2.
Доставка на ВМ3
После декапсуляции VTEP доставляет кадр Ethernet уровня 2 на VM3 на узле 2.
ВМ1 на узле 1 может обмениваться данными с ВМ3 на узле 2, как если бы они были подключены к одной и той же сети Ethernet уровня 2, даже если они расположены на разных физических узлах.
VXLAN обеспечивает эту связь путем инкапсуляции и туннелирования трафика уровня 2 по сетям уровня 3, что позволяет расширить возможности подключения уровня 2 за пределы сети.
Преимущества VLAN
Управление трансляцией
Широковещательный трафик содержится в каждой сети VLAN, что уменьшает общий размер широковещательного домена и снижает влияние трафика, который может снизить производительность сети.
Безопасность
Он обеспечивает изоляцию сети и повышает безопасность за счет разделения различных групп пользователей или устройств на отдельные широковещательные домены. Эта изоляция ограничивает возможности потенциальных нарушений безопасности или несанкционированного доступа, что повышает общую безопасность сети.
Качество обслуживания (QoS)
Сети VLAN можно использовать для реализации механизмов качества обслуживания, которые позволяют сетевым администраторам назначать приоритеты определенным типам трафика или применять определенные политики.
Они могут установить ограничение на то, какое приложение должно получать высокую пропускную способность.
Упрощенное управление сетью
Упрощает управление сетью за счет логического разделения большой физической сети на более мелкие виртуальные сети. Эта сегментация помогает в организации устройств и упрощает задачи сетевого администрирования.
Преимущества VXLAN
Масштабируемость
VXLAN устраняет ограничения традиционных VLAN, позволяя создавать до 16 миллионов виртуальных сетей — по сравнению с ограниченными 4096 VLAN. Эта масштабируемость достигается с помощью 24-битного сетевого идентификатора VXLAN (VNI).
Сегментация сети
Он обеспечивает эффективную сегментацию сети путем инкапсуляции кадров Ethernet уровня 2 в пакеты UDP. Это позволяет создавать изолированные виртуальные сети, которые могут пересекать физические границы, такие как центры обработки данных или облачные среды.
Мульти аренды
Он поддерживает модель мультиарендности, которая позволяет различным организациям совместно использовать одну и ту же физическую инфраструктуру, сохраняя при этом свои собственные изолированные виртуальные сети.
Расширение уровня 2 по сетям уровня 3
VXLAN облегчает расширение возможностей подключения уровня 2 по сетям уровня 3.
Это важно для создания географически распределенных центров обработки данных и обеспечивает мобильность виртуальных машин на разных сайтах без необходимости использования сложных технологий расширения уровня 2, таких как служба виртуальной частной локальной сети (VPLS).
Сравнительная таблица
А вот сравнительная таблица между VXLAN и VLAN.
Featurevxlanvlanencaphulationuse udp для инкапсуляции пакетов и транспортной инкапсуляции-полагается на 802,1q Taggings-Scallability-Supports до 16 миллионов виртуальных сетей, выполненных до 4096 Vlansnetwork. Сетевые сети. Ize транспортирует Trafficbroadcast трафик распространяется на все порты в пределах VLANSpanning Multiple SitesПозволяет расширение сетей уровня 2 через географически рассредоточенные местоположенияОграничено одним широковещательным доменомУправлениеТребуется шлюз VXLAN для соединения виртуальных и физических сетейМожет управляться через коммутаторы с поддержкой VLAN
Для правильной реализации VXLAN требуются устройства с поддержкой VXLAN, которые поддерживают необходимые протоколы и методы инкапсуляции.
С помощью этих устройств можно создавать сети VXLAN и управлять ими.
С другой стороны, виртуальные локальные сети более широко используются и просты в реализации в существующих сетевых инфраструктурах, поскольку большинство сетевых устройств поддерживают их без необходимости в дополнительном оборудовании или специализированной поддержке.
Варианты использования VLAN
Виртуализация серверов
Сети VLAN обеспечивают эффективное управление сетью, обеспечивая изоляцию между виртуальными машинами, расположенными на одном физическом сервере в виртуализированных средах.
Центры обработки данных
Используется в фермах серверов и центрах обработки данных для управления большим количеством серверов. Это позволяет администраторам группировать серверы на основе их роли или приложения.
Гостевые сети
Они создают отдельные гостевые сети в таких средах, как отели или корпоративные офисы, которые могут предоставлять доступ в Интернет посетителям, сохраняя их изолированными от внутренней сети организации.
Виртуальные частные сети
Виртуальные локальные сети в сочетании с виртуальными частными сетями создают безопасные соединения между географически рассредоточенными сайтами. Организации могут расширить свою частную сеть на несколько местоположений, сохраняя при этом логическое разделение.
Тестирование и разработка
Обеспечьте изолированную среду для тестирования и разработки. Разработчики могут создавать виртуальные локальные сети, предназначенные для тестирования новых приложений или сервисов, не затрагивая производственную сеть.
Варианты использования VXLAN
Межсоединение центра обработки данных
VXLAN используется для соединения нескольких центров обработки данных через глобальную сеть. Он расширяет возможности подключения уровня 2 между центрами обработки данных, что позволяет переносить виртуальные машины и рабочие нагрузки между сайтами с сохранением их сетевой конфигурации.
Облачная инфраструктура
Он обычно используется в облачных средах для обеспечения виртуализации сети для облачных сервисов и приложений. Это позволяет эффективно распределять рабочую нагрузку по облачной инфраструктуре.
Оверлейные сети
VXLAN служит основой для оверлейных сетей, что позволяет сетевым инженерам динамически распределять ресурсы и адаптироваться к изменяющимся требованиям рабочей нагрузки.
Аварийное восстановление
Используется в сценариях аварийного восстановления для обеспечения сетевого подключения и аварийного переключения (режим резервного копирования) между основным и резервным центрами обработки данных.
Примечание автора✍️
Выбор между VXLAN и VLAN зависит от конкретных потребностей вашей сетевой инфраструктуры. Обе технологии имеют свои преимущества и соображения, которые следует учитывать.
Если вам требуется масштабируемое решение, способное обслуживать большое количество виртуальных машин или сегментов сети, рекомендуется выбрать VXLAN. Он обеспечивает большее адресное пространство и упрощает мобильность рабочих нагрузок.
Если ваша сеть имеет меньший масштаб и более простые требования, тогда VLAN может быть лучшим вариантом. Сети VLAN хорошо зарекомендовали себя и широко поддерживаются большинством сетевого оборудования. Они просты в настройке и управлении.
Я надеюсь, что эта статья помогла вам узнать о разнице между VXLAN и VLAN. Вам также может быть интересно узнать об управлении доступом к сети и о том, как его реализовать.