Segmentarea rețelei joacă un rol important în gestionarea și securizarea infrastructurilor IT moderne.
Două tehnologii populare pentru segmentarea eficientă a rețelei sunt VXLAN și VLAN.
Să ne aprofundăm și să înțelegem caracteristicile atât ale VXLAN, cât și ale VLAN-ului și cum vă pot modela arhitectura de rețea.
Cuprins
Ce este VLAN?
Sursa imagine: Wikipedia
VLAN înseamnă Virtual Local Area Network.
Este o tehnologie folosită în rețelele de calculatoare pentru a împărți o singură rețea fizică în mai multe rețele logice.
Să luăm în considerare un exemplu pentru a înțelege cu ușurință conceptul.
Imaginați-vă că lucrați într-o clădire mare de birouri cu mai multe departamente: Inginerie, Marketing și Contabilitate.
Fiecare departament are propriul set de computere, imprimante și alte dispozitive de rețea.
Cu toate acestea, clădirea de birouri are o singură infrastructură fizică de rețea.
Fără VLAN-uri, toate dispozitivele din clădirea de birouri ar face parte dintr-un singur domeniu de difuzare. Asta înseamnă că vor primi tot traficul de rețea. Acest lucru ar putea duce la probleme de securitate și la gestionarea ineficientă a traficului de rețea.
VLAN-urile sunt implementate pentru a depăși aceste probleme. Fiecare VLAN acționează ca un domeniu de difuzare separat, care permite o mai bună gestionare și performanță a rețelei.
Sursa imaginii – fiberopticshare
Să presupunem că creați trei VLAN-uri care să corespundă diferitelor departamente.
VLAN 1: Inginerie
VLAN 2: Marketing
VLAN 3: Contabilitate
Când un computer sau orice alt dispozitiv de rețea este conectat la rețea, acesta poate fi atribuit uneia dintre aceste VLAN-uri.
De exemplu – Toate computerele și dispozitivele din departamentul de inginerie sunt alocate VLAN-ului 1.
Dacă un computer din departamentul de inginerie dorește să trimită un mesaj către un alt computer din același VLAN, mesajul va rămâne în VLAN 1 și nu va fi difuzat către dispozitive din alte VLAN-uri precum Marketing sau Contabilitate.
Această separare asigură că informațiile sensibile sunt accesibile numai dispozitivelor autorizate din același VLAN.
Ce este VXLAN?
VXLAN înseamnă Virtual Extensible LAN.
Este o tehnologie de virtualizare a rețelei folosită pentru a extinde segmentele de rețea de Layer 2 (stratul de legătură de date) pe o rețea IP. A fost introdus pentru a aborda limitările VLAN-urilor tradiționale în mediile de centre de date la scară largă.
Sursa imaginii – fiberopticshare
Este folosit în mod obișnuit în centrele de date și mediile cloud pentru a crea suprapuneri logice de rețea care se pot întinde pe mai multe segmente fizice de rețea.
VXLAN încapsulează cadrele Ethernet de Layer 2 în pachetele UDP de Layer 3 care le permit să fie transmise printr-o rețea IP.
Cum funcționează VXLAN?
Imaginați-vă că aveți un centru de date mare cu mai multe servere fizice și mașini virtuale (VM) care rulează pe acele servere.
Într-o rețea tradițională bazată pe VLAN, fiecare VM ar fi alocată unui anumit VLAN. Și comunicarea între mașinile virtuale din diferite VLAN-uri ar necesita rutarea la nivelul 3.
Această abordare poate deveni complexă și poate suferi de probleme de scalabilitate din cauza numărului limitat de ID-uri VLAN disponibile.
Sursa imaginii – juniper.net
Să luăm în considerare un scenariu pentru a înțelege cum funcționează acest VXLAN.
Există 2 gazde fizice. În gazda 1 există VM1 și VM2, iar în gazda 2 există VM3 și VM4.
Să presupunem că Host 1 și Host 2 fac parte dintr-o rețea compatibilă cu VXLAN, iar VM1 dorește să comunice cu VM3.
Configurare VXLAN
Gazda 1 și Gazda 2 sunt configurate ca puncte terminale de tunel VXLAN (VTEP). Asta înseamnă că au software-ul sau componentele hardware necesare pentru a gestiona încapsularea și decapsularea VXLAN.
Identificator de rețea VXLAN (VNI)
Un VNI unic este atribuit rețelei virtuale. Să presupunem că VNI pentru această rețea este 1001.
Încapsulare
VM1, care se află pe gazda 1 – dorește să comunice cu VM3, care este situat pe gazda 2.
Când VM1 trimite un pachet către VM3, acesta este încapsulat cu un antet VXLAN.
Antetul VXLAN include adresele VTEP sursă și destinație (adresele IP ale gazdei 1 și gazdei 2) și VNI (1001).
Rețeaua IP subiacentă
Pachetul încapsulat este transmis prin rețeaua IP subiacentă – poate fi IPv4 sau IPv6. Rețeaua IP servește ca infrastructură de transport pentru pachetele VXLAN.
Decapsularea
La primirea pachetului, VTEP de pe Host 2 decapsulează antetul VXLAN, care dezvăluie cadrul original Layer 2 Ethernet.
Livrare la VM3
După decapsulare, VTEP livrează cadrul Ethernet Layer 2 către VM3 pe Host 2.
VM1 de pe gazda 1 poate comunica cu VM3 de pe gazda 2 ca și cum ar fi conectat la aceeași rețea Ethernet Layer 2 – chiar dacă se află pe gazde fizice diferite.
VXLAN permite această comunicare prin încapsularea și tunelul traficului de Layer 2 peste rețele de Layer 3, ceea ce permite extinderea conectivității de Layer 2 peste granițele rețelei.
Beneficiile VLAN
Controlul difuzării
Traficul de difuzare este conținut în fiecare VLAN, ceea ce reduce dimensiunea generală a domeniului de difuzare și atenuează impactul traficului care poate degrada performanța rețelei.
Securitate
Permite izolarea rețelei și îmbunătățește securitatea prin separarea diferitelor grupuri de utilizatori sau dispozitive în domenii de difuzare separate. Această izolare restricționează domeniul de aplicare a potențialelor încălcări de securitate sau a accesului neautorizat, ceea ce îmbunătățește securitatea generală a rețelei.
Calitatea serviciului (QoS)
VLAN-urile pot fi folosite pentru a implementa mecanisme de calitate a serviciului care permit administratorilor de rețea să prioritizeze anumite tipuri de trafic sau să aplice politici specifice.
Ei pot stabili limita la care aplicația ar trebui să primească lățime de bandă mare.
Management simplificat al rețelei
Simplifica gestionarea rețelei prin împărțirea logică a unei rețele fizice mari în rețele virtuale mai mici. Această segmentare ajută la organizarea dispozitivelor și simplifică sarcinile de administrare a rețelei.
Beneficiile VXLAN
Scalabilitate
VXLAN abordează limitările VLAN-urilor tradiționale, permițând crearea a până la 16 milioane de rețele virtuale – comparativ cu cele 4.096 VLAN limitate. Această scalabilitate este realizată prin identificatorul de rețea VXLAN (VNI) pe 24 de biți.
Segmentarea rețelei
Permite o segmentare eficientă a rețelei prin încapsularea cadrelor Ethernet Layer 2 în pachetele UDP. Acest lucru permite crearea de rețele virtuale izolate care se pot întinde peste granițele fizice, cum ar fi centrele de date sau mediile cloud.
Multi-chiriere
Acceptă modelul multi-tenancy, care permite diferitelor organizații să partajeze aceeași infrastructură fizică, menținând în același timp propriile rețele virtuale izolate.
Extensie de nivel 2 peste rețele de nivel 3
VXLAN facilitează extinderea conectivității Layer 2 peste rețelele Layer 3.
Acest lucru este important pentru construirea de centre de date distribuite geografic și permite mobilitatea mașinilor virtuale pe diferite site-uri, fără a fi nevoie de tehnologii complexe de extensie Layer 2, cum ar fi Virtual Private LAN Service (VPLS).
Tabel comparativ
Și aici este un tabel de comparație între VXLAN și VLAN.
CaracteristiciVXLANVLANEncapsulationFolosește UDP pentru încapsularea și transportul de pacheteFără încapsulare – se bazează pe etichetarea 802.1QScalabilitateAcceptă până la 16 milioane de rețele virtuale Limitat la 4.096 VLAN-uriIzolarea rețeleiPermite rețele izolate de Layer 2 peste granițele de Layer 3 Oferă izolarea sau distribuirea multiplă în stradă. replicare bazată pentru a optimiza traficul de difuzareBroadcast traficul este propagat către toate porturile din cadrul VLAN. Se extinde pe mai multe site-uri. Permite extinderea rețelelor de strat 2 în locații dispersate geografic Limitat la un singur domeniu de difuzare. Gestionare. Necesită un gateway VXLAN pentru interconectarea rețelelor virtuale și fizice. Poate fi gestionat prin comutatoare compatibile cu VLAN.
Implementarea corectă a VXLAN necesită dispozitive compatibile cu VXLAN care acceptă protocoalele și tehnicile de încapsulare necesare.
Rețelele VXLAN pot fi create și gestionate cu ajutorul acestor dispozitive.
Pe de altă parte – VLAN-urile sunt mai utilizate pe scară largă și sunt mai ușor de implementat în infrastructurile de rețea actuale, deoarece majoritatea dispozitivelor de rețea le suportă fără a fi nevoie de hardware suplimentar sau asistență specializată.
Cazuri de utilizare a VLAN-ului
Virtualizare server
VLAN-urile permit o gestionare eficientă a rețelei prin asigurarea izolației între mașinile virtuale care locuiesc pe același server fizic în medii virtualizate.
Centre de date
Folosit în fermele de servere și centrele de date pentru a gestiona un număr mare de servere. Permite administratorilor să grupeze serverele în funcție de rolul sau aplicația lor.
Rețele de oaspeți
Ei creează rețele separate de oaspeți în medii precum hoteluri sau birouri corporative, care pot oferi vizitatorilor acces la internet, păstrându-i în același timp izolați de rețeaua internă a organizației.
Rețele private virtuale
VLAN-urile sunt împreună cu VPN-urile pentru a crea conexiuni sigure între site-uri dispersate geografic. Organizațiile își pot extinde rețeaua privată în mai multe locații, menținând în același timp separarea logică.
Testare și dezvoltare
Furnizați un mediu izolat pentru testare și dezvoltare. Dezvoltatorii pot crea VLAN-uri dedicate testării de noi aplicații sau servicii fără a afecta rețeaua de producție.
Cazuri de utilizare ale VXLAN
Interconectarea centrului de date
VXLAN este utilizat pentru a interconecta mai multe centre de date printr-un WAN. Acesta extinde conectivitatea Layer 2 între centrele de date, ceea ce permite migrarea mașinilor virtuale și a încărcăturilor de lucru între site-uri, menținând în același timp configurația rețelei.
Infrastructura cloud
Este folosit în mod obișnuit în mediile cloud pentru a oferi virtualizarea rețelei pentru servicii și aplicații bazate pe cloud. Permite o distribuție eficientă a sarcinii de lucru în infrastructura cloud.
Rețele de suprapunere
VXLAN servește ca fundație pentru rețelele suprapuse, ceea ce permite inginerilor de rețea să aloce dinamic resursele și să se adapteze la cerințele în schimbare ale sarcinii de lucru.
Recuperare în caz de dezastru
Folosit în scenariile de recuperare în caz de dezastru pentru a oferi conectivitate la rețea și failover (mod operațional de rezervă) între centrele de date primare și secundare.
Nota autorului✍️
Alegerea între VXLAN și VLAN depinde de nevoile specifice ale infrastructurii dvs. de rețea. Ambele tehnologii au avantajele și considerentele lor care ar trebui luate în considerare.
Dacă aveți nevoie de o soluție scalabilă care poate gestiona un număr mare de mașini virtuale sau segmente de rețea – VXLAN este alegerea recomandată. Oferă un spațiu de adrese mai mare și permite o mobilitate mai ușoară a sarcinii de lucru.
Dacă rețeaua dvs. are o scară mai mică și cerințe mai simple – atunci VLAN poate fi cea mai bună opțiune. VLAN-urile sunt bine stabilite și acceptate pe scară largă în majoritatea echipamentelor de rețea. Sunt ușor de configurat și gestionat.
Sper că ați găsit acest articol util pentru a afla diferența dintre VXLAN și VLAN. Ați putea fi, de asemenea, interesat să aflați despre controlul accesului la rețea și cum să îl implementați.