Netværkssegmentering spiller en vigtig rolle i styring og sikring af moderne it-infrastrukturer.
To populære teknologier til effektiv netværkssegmentering er VXLAN og VLAN.
Lad os dykke ned i og forstå egenskaberne ved både VXLAN og VLAN, og hvordan de kan forme din netværksarkitektur.
Indholdsfortegnelse
Hvad er VLAN?
Billedkilde: Wikipedia
VLAN står for Virtual Local Area Network.
Det er en teknologi, der bruges i computernetværk til at opdele et enkelt fysisk netværk i flere logiske netværk.
Lad os overveje et eksempel for nemt at forstå konceptet.
Forestil dig, at du arbejder i en stor kontorbygning med flere afdelinger: Engineering, Marketing og Accounting.
Hver afdeling har sit eget sæt computere, printere og andre netværksenheder.
Kontorbygningen har dog kun én fysisk netværksinfrastruktur.
Uden VLAN’er ville alle enheder i kontorbygningen være en del af et enkelt broadcast-domæne. Det betyder, at de ville modtage al netværkstrafik. Dette kan føre til sikkerhedsproblemer og ineffektiv håndtering af netværkstrafik.
VLAN’er er implementeret for at overvinde disse problemer. Hvert VLAN fungerer som et separat broadcast-domæne, som muliggør bedre netværksstyring og ydeevne.
Billedkilde – fiberopticshare
Lad os sige, at du opretter tre VLAN’er, der svarer til de forskellige afdelinger.
VLAN 1: Engineering
VLAN 2: Marketing
VLAN 3: Regnskab
Når en computer eller en anden netværksenhed er tilsluttet netværket, kan den tildeles til et af disse VLAN’er.
For eksempel – Alle computere og enheder i ingeniørafdelingen er tildelt VLAN 1.
Hvis en computer i ingeniørafdelingen ønsker at sende en besked til en anden computer inden for det samme VLAN, vil beskeden forblive inden for VLAN 1 og vil ikke blive udsendt til enheder i andre VLAN’er som Marketing eller Accounting.
Denne adskillelse sikrer, at følsomme oplysninger kun er tilgængelige for autoriserede enheder inden for samme VLAN.
Hvad er VXLAN?
VXLAN står for Virtual Extensible LAN.
Det er en netværksvirtualiseringsteknologi, der bruges til at udvide Layer 2 (datalink layer) netværkssegmenter over et IP-netværk. Det blev introduceret for at løse begrænsningerne ved traditionelle VLAN’er i store datacentermiljøer.
Billedkilde – fiberopticshare
Det bruges almindeligvis i datacentre og cloudmiljøer til at skabe logiske netværksoverlejringer, der kan spænde over flere fysiske netværkssegmenter.
VXLAN indkapsler Layer 2 Ethernet-rammer i Layer 3 UDP-pakker, som tillader dem at blive transmitteret over et IP-netværk.
Hvordan virker VXLAN?
Forestil dig, at du har et stort datacenter med flere fysiske servere og virtuelle maskiner (VM’er), der kører på disse servere.
I et traditionelt VLAN-baseret netværk vil hver VM blive tildelt et specifikt VLAN. Og kommunikation mellem VM’er i forskellige VLAN’er ville kræve routing på Layer 3.
Denne tilgang kan blive kompleks og kan lide af skalerbarhedsproblemer på grund af det begrænsede antal tilgængelige VLAN-id’er.
Billedkilde – juniper.net
Lad os overveje et scenarie for at forstå, hvordan denne VXLAN fungerer.
Der er 2 fysiske værter. I vært 1 er der VM1 & VM2, og i vært 2 er der VM3 & VM4.
Antag, at Host 1 & Host 2 er en del af et VXLAN-aktiveret netværk, og VM1 ønsker at kommunikere med VM3.
VXLAN-konfiguration
Host 1 og Host 2 er konfigureret som VXLAN Tunnel Endpoints (VTEP’er). Det betyder, at de har den nødvendige software eller hardwarekomponenter til at håndtere VXLAN-indkapsling og dekapsling.
VXLAN Network Identifier (VNI)
En unik VNI er tildelt det virtuelle netværk. Lad os sige, at VNI for dette netværk er 1001.
Indkapsling
VM1, bosiddende på Host 1 – ønsker at kommunikere med VM3, som er placeret på Host 2.
Når VM1 sender en pakke til VM3, er den indkapslet med en VXLAN-header.
VXLAN-headeren inkluderer kilde- og destinations-VTEP-adresser (IP-adresser på Host 1 og Host 2) og VNI (1001).
Underliggende IP-netværk
Den indkapslede pakke transmitteres over det underliggende IP-netværk – Det kan være IPv4 eller IPv6. IP-netværket fungerer som transportinfrastruktur for VXLAN-pakker.
Afkapsling
Ved modtagelse af pakken dekapsler VTEP på Host 2 VXLAN-headeren, som afslører den originale Layer 2 Ethernet-ramme.
Levering til VM3
Efter dekapsering leverer VTEP’en Layer 2 Ethernet-rammen til VM3 på Host 2.
VM1 på Host 1 kan kommunikere med VM3 på Host 2, som om de var forbundet til det samme Layer 2 Ethernet-netværk – selvom de er placeret på forskellige fysiske værter.
VXLAN muliggør denne kommunikation ved at indkapsle og tunnelere Layer 2-trafik over Layer 3-netværk, hvilket giver mulighed for udvidelse af Layer 2-forbindelse på tværs af netværksgrænser.
Fordele ved VLAN
Udsendelseskontrol
Broadcast-trafik er indeholdt i hvert VLAN, hvilket reducerer den overordnede broadcast-domænestørrelse og mindsker virkningen af trafik, der kan forringe netværkets ydeevne.
Sikkerhed
Det muliggør netværksisolering og øger sikkerheden ved at adskille forskellige grupper af brugere eller enheder i separate broadcast-domæner. Denne isolation begrænser omfanget af potentielle sikkerhedsbrud eller uautoriseret adgang, hvilket forbedrer den overordnede netværkssikkerhed.
Servicekvalitet (QoS)
VLAN’er kan bruges til at implementere Quality of Service-mekanismer, der giver netværksadministratorer mulighed for at prioritere visse typer trafik eller anvende specifikke politikker.
De kan sætte grænsen for, hvilken applikation der skal modtage høj båndbredde.
Forenklet netværksstyring
Forenkler netværksstyring ved logisk at opdele et stort fysisk netværk i mindre virtuelle netværk. Denne segmentering hjælper med at organisere enheder og forenkler netværksadministrationsopgaver.
Fordele ved VXLAN
Skalerbarhed
VXLAN adresserer begrænsningerne ved traditionelle VLAN’er ved at tillade oprettelse af op til 16 millioner virtuelle netværk – sammenlignet med de begrænsede 4.096 VLAN’er. Denne skalerbarhed opnås gennem 24-bit VXLAN Network Identifier (VNI).
Netværkssegmentering
Det muliggør effektiv netværkssegmentering ved at indkapsle Layer 2 Ethernet-rammer i UDP-pakker. Dette giver mulighed for at skabe isolerede virtuelle netværk, der kan spænde over fysiske grænser, såsom datacentre eller skymiljøer.
Multi lejemål
Den understøtter multi-tenancy-modellen, som giver forskellige organisationer mulighed for at dele den samme fysiske infrastruktur, mens de bevarer deres egne isolerede virtuelle netværk.
Layer 2 Extension over Layer 3 Networks
VXLAN letter udvidelsen af Layer 2-forbindelse over Layer 3-netværk.
Dette er vigtigt for at bygge geografisk distribuerede datacentre og muliggør mobilitet af virtuelle maskiner på tværs af forskellige websteder uden behov for komplekse Layer 2-udvidelsesteknologier som Virtual Private LAN Service (VPLS).
Sammenligningstabel
Og her er en sammenligningstabel mellem VXLAN og VLAN.
FunktionerVXLANVLANEncapsulationBruger UDP til pakkeindkapsling og transportIngen indkapsling – er afhængig af 802.1Q-taggingSkalerbarhedUnderstøtter op til 16 millioner virtuelle netværk Begrænset til 4.096 VLAN-netværksisolering Muliggør isolerede Layer 2-netværk på tværs af Layer 3-netværksgrænserProvides-multicasting2Provides. eller unicast-baseret replikering for at optimere broadcast-trafikBroadcast trafik forplantes til alle porte inden for VLANSpanning Multiple Sites Tillader udvidelse af Layer 2-netværk på tværs af geografisk spredte lokationer Begrænset til et enkelt broadcast-domæneManagementKræver en VXLAN-gateway til sammenkobling af virtuelle og fysiske netværkKan styres gennem VLAN-bevidste switche
Korrekt implementering af VXLAN kræver VXLAN-kompatible enheder, der understøtter de nødvendige protokoller og indkapslingsteknikker.
VXLAN-netværk kan oprettes og administreres ved hjælp af disse enheder.
På den anden side – VLAN’er er mere udbredte og nemme at implementere i nuværende netværksinfrastrukturer, fordi størstedelen af netværksenheder understøtter dem uden behov for yderligere hardware eller specialiseret support.
Brug tilfælde af VLAN
Servervirtualisering
VLAN’er muliggør effektiv netværksadministration ved at give isolering mellem virtuelle maskiner, der ligger på den samme fysiske server i virtualiserede miljøer.
Datacentre
Bruges i serverfarme og datacentre til at administrere et stort antal servere. Det gør det muligt for administratorer at gruppere servere baseret på deres rolle eller applikation.
Gæstenetværk
De skaber separate gæstenetværk i miljøer som hoteller eller virksomhedskontorer, som kan give internetadgang til besøgende og samtidig holde dem isoleret fra organisationens interne netværk.
Virtuelle private netværk
VLAN’er er i forbindelse med VPN’er for at skabe sikre forbindelser mellem geografisk spredte websteder. Organisationer kan udvide deres private netværk på tværs af flere lokationer og samtidig bevare logisk adskillelse.
Test og udvikling
Sørg for et isoleret miljø til test- og udviklingsformål. Udviklere kan oprette VLAN’er dedikeret til at teste nye applikationer eller tjenester uden at påvirke produktionsnetværket.
Brug tilfælde af VXLAN
Datacentersammenkobling
VXLAN bruges til at forbinde flere datacentre over et WAN. Det udvider Layer 2-forbindelsen mellem datacentre, hvilket gør det muligt at migrere virtuelle maskiner og arbejdsbelastninger mellem websteder, mens deres netværkskonfiguration bevares.
Cloud Infrastruktur
Det bruges almindeligvis i skymiljøer til at levere netværksvirtualisering til skybaserede tjenester og applikationer. Det giver mulighed for effektiv fordeling af arbejdsbyrden på tværs af cloud-infrastruktur.
Overlejringsnetværk
VXLAN fungerer som et fundament for overlejringsnetværk, som giver netværksingeniører mulighed for dynamisk at allokere ressourcer og tilpasse sig skiftende arbejdsbelastningskrav.
Disaster Recovery
Anvendes i scenarier for gendannelse af katastrofer til at give netværksforbindelse og failover (driftssikkerhedskopiering) mellem primære og sekundære datacentre.
Forfatterens note✍️
Valget mellem VXLAN og VLAN afhænger af de specifikke behov i din netværksinfrastruktur. Begge teknologier har deres fordele og overvejelser, der bør tages i betragtning.
Hvis du har brug for en skalerbar løsning, der kan håndtere et stort antal virtuelle maskiner eller netværkssegmenter – er VXLAN det anbefalede valg. Det giver et større adresseområde og muliggør lettere mobilitet i arbejdsbyrden.
Hvis dit netværk har en mindre skala og enklere krav – så kan VLAN være den bedste løsning. VLAN’er er veletablerede og bredt understøttet i det meste netværksudstyr. De er nemme at konfigurere og administrere.
Jeg håber, du fandt denne artikel nyttig til at lære om forskellen mellem VXLAN og VLAN. Du kan også være interesseret i at lære om netværksadgangskontrol og hvordan man implementerer det.