Сегментація мережі відіграє важливу роль в управлінні та захисті сучасних ІТ-інфраструктур.
Двома популярними технологіями ефективної сегментації мережі є VXLAN і VLAN.
Давайте поглибимося та зрозуміємо характеристики VXLAN і VLAN і те, як вони можуть формувати архітектуру вашої мережі.
Що таке VLAN?
Джерело зображення: Вікіпедія
VLAN означає віртуальну локальну мережу.
Це технологія, яка використовується в комп’ютерних мережах для поділу однієї фізичної мережі на кілька логічних мереж.
Розглянемо приклад, щоб легко зрозуміти концепцію.
Уявіть, що ви працюєте у великій офісній будівлі з кількома відділами: інженерним, маркетинговим і бухгалтерським.
Кожен відділ має власний набір комп’ютерів, принтерів та інших мережевих пристроїв.
Однак офісна будівля має лише одну фізичну мережеву інфраструктуру.
Без VLAN усі пристрої в офісній будівлі були б частиною єдиного широкомовного домену. Це означає, що вони отримуватимуть весь мережевий трафік. Це може призвести до проблем безпеки та неефективної обробки мережевого трафіку.
Для подолання цих проблем реалізовано VLAN. Кожна VLAN діє як окремий широкомовний домен, що забезпечує краще керування мережею та продуктивність.
Джерело зображення – fiberopticshare
Припустімо, ви створюєте три VLAN для відповідності різним відділам.
VLAN 1: Інженерна
VLAN 2: маркетинг
VLAN 3: Облік
Коли комп’ютер або будь-який інший мережевий пристрій підключено до мережі, його можна призначити одній із цих VLAN.
Наприклад – усі комп’ютери та пристрої в інженерному відділі призначені до VLAN 1.
Якщо комп’ютер у технічному відділі хоче надіслати повідомлення іншому комп’ютеру в межах тієї ж VLAN, повідомлення залишатиметься в межах VLAN 1 і не буде транслюватися на пристрої в інших VLAN, як-от Marketing або Accounting.
Це розділення гарантує, що конфіденційна інформація доступна лише авторизованим пристроям у межах однієї VLAN.
Що таке VXLAN?
VXLAN означає Virtual Extensible LAN.
Це технологія віртуалізації мережі, яка використовується для розширення сегментів мережі рівня 2 (канального рівня) через мережу IP. Він був представлений для усунення обмежень традиційних VLAN у великомасштабних середовищах центрів обробки даних.
Джерело зображення – fiberopticshare
Він зазвичай використовується в центрах обробки даних і хмарних середовищах для створення логічних мережевих накладень, які можуть охоплювати кілька фізичних сегментів мережі.
VXLAN інкапсулює кадри Ethernet рівня 2 у пакети UDP рівня 3, що дозволяє передавати їх через мережу IP.
Як працює VXLAN?
Уявіть, що у вас є великий центр обробки даних із кількома фізичними серверами та віртуальними машинами (ВМ), які працюють на цих серверах.
У традиційній мережі на основі VLAN кожна віртуальна машина буде призначена певній VLAN. А зв’язок між віртуальними машинами в різних VLAN потребує маршрутизації на рівні 3.
Цей підхід може стати складним і може мати проблеми з масштабованістю через обмежену кількість доступних ідентифікаторів VLAN.
Джерело зображення – juniper.net
Давайте розглянемо сценарій, щоб зрозуміти, як працює ця VXLAN.
Є 2 фізичні хости. На хості 1 є VM1 і VM2, а на хості 2 є VM3 і VM4.
Припустімо, що хост 1 і хост 2 є частиною мережі з підтримкою VXLAN, і VM1 хоче спілкуватися з VM3.
Конфігурація VXLAN
Хост 1 і хост 2 налаштовані як кінцеві точки тунелю VXLAN (VTEP). Це означає, що вони мають необхідні програмні та апаратні компоненти для роботи з інкапсуляцією та декапсуляцією VXLAN.
Ідентифікатор мережі VXLAN (VNI)
Віртуальній мережі призначається унікальний VNI. Припустимо, VNI для цієї мережі становить 1001.
Інкапсуляція
VM1, що знаходиться на хості 1 – хоче зв’язатися з VM3, яка розташована на хості 2.
Коли VM1 надсилає пакет до VM3, він інкапсулюється заголовком VXLAN.
Заголовок VXLAN містить адреси VTEP джерела та призначення (IP-адреси хостів 1 і хостів 2) і VNI (1001).
Базова мережа IP
Інкапсульований пакет передається через базову мережу IP – це може бути IPv4 або IPv6. IP-мережа служить транспортною інфраструктурою для пакетів VXLAN.
Декапсуляція
Отримавши пакет, VTEP на хості 2 декапсулює заголовок VXLAN, який розкриває оригінальний кадр Ethernet рівня 2.
Доставка до VM3
Після декапсуляції VTEP доставляє кадр Ethernet рівня 2 до VM3 на хості 2.
VM1 на хості 1 може спілкуватися з VM3 на хості 2, як якщо б вони були підключені до однієї мережі Ethernet рівня 2, навіть якщо вони розташовані на різних фізичних хостах.
VXLAN забезпечує цей зв’язок шляхом інкапсуляції та тунелювання трафіку рівня 2 через мережі рівня 3, що дозволяє розширити зв’язок рівня 2 через межі мережі.
Переваги VLAN
Контроль трансляції
Широкомовний трафік міститься в кожній VLAN, що зменшує загальний розмір широкомовного домену та пом’якшує вплив трафіку, який може погіршити продуктивність мережі.
Безпека
Це забезпечує ізоляцію мережі та підвищує безпеку, розділяючи різні групи користувачів або пристроїв на окремі широкомовні домени. Ця ізоляція обмежує потенційні порушення безпеки або неавторизований доступ, що покращує загальну безпеку мережі.
Якість обслуговування (QoS)
VLAN можна використовувати для реалізації механізмів якості обслуговування, які дозволяють мережевим адміністраторам визначати пріоритет певних типів трафіку або застосовувати певні політики.
Вони можуть встановлювати обмеження щодо того, яка програма повинна отримувати високу пропускну здатність.
Спрощене керування мережею
Спрощує керування мережею шляхом логічного поділу великої фізичної мережі на менші віртуальні мережі. Ця сегментація допомагає в організації пристроїв і спрощує завдання адміністрування мережі.
Переваги VXLAN
Масштабованість
VXLAN усуває обмеження традиційних VLAN, дозволяючи створювати до 16 мільйонів віртуальних мереж – порівняно з обмеженими 4096 VLAN. Ця масштабованість досягається за допомогою 24-розрядного мережевого ідентифікатора VXLAN (VNI).
Сегментація мережі
Він забезпечує ефективну сегментацію мережі шляхом інкапсуляції кадрів Ethernet рівня 2 у пакетах UDP. Це дозволяє створювати ізольовані віртуальні мережі, які можуть охоплювати фізичні межі, такі як центри обробки даних або хмарні середовища.
Багатоквартирність
Він підтримує мультитенантну модель, яка дозволяє різним організаціям спільно використовувати ту саму фізичну інфраструктуру, зберігаючи при цьому власні ізольовані віртуальні мережі.
Розширення рівня 2 через мережі рівня 3
VXLAN полегшує розширення підключення рівня 2 до мереж рівня 3.
Це важливо для побудови територіально розподілених центрів обробки даних і забезпечує мобільність віртуальних машин на різних сайтах без потреби у складних технологіях розширення рівня 2, таких як служба віртуальної приватної локальної мережі (VPLS).
Порівняльна таблиця
А ось порівняльна таблиця між VXLAN і VLAN.
ФункціїVXLANVLANEncapsulationВикористовує UDP для інкапсуляції та транспортування пакетів.Без інкапсуляції – покладається на тегування 802.1Q.Маштабованість.Підтримує до 16 мільйонів віртуальних мереж.Обмежується до 4096 VLAN.Ізоляція мережі.Дозволяє ізольовані мережі рівня 2 через кордони рівня 3.Забезпечує ізоляцію в межах мережі рівня 2.Трансляція трафіку. Handling Використовує багатоадресну або одноадресну реплікацію для оптимізації широкомовного трафіку. Broadcast трафік поширюється на всі порти в межах VLAN, що охоплює кілька сайтів. Дозволяє розширювати мережі рівня 2 через географічно рознесені місця. Обмежується одним широкомовним доменом. Керування. Потрібен шлюз VXLAN для з’єднання віртуальних і фізичних мереж. Можна керувати за допомогою комутаторів, що підтримують VLAN.
Для належної реалізації VXLAN потрібні пристрої, сумісні з VXLAN, які підтримують необхідні протоколи та методи інкапсуляції.
За допомогою цих пристроїв можна створювати та керувати мережами VXLAN.
З іншого боку, VLAN ширше використовуються та прості в реалізації в поточній мережевій інфраструктурі, оскільки більшість мережевих пристроїв підтримують їх без необхідності додаткового обладнання чи спеціалізованої підтримки.
Варіанти використання VLAN
Віртуалізація сервера
VLAN забезпечують ефективне керування мережею, забезпечуючи ізоляцію між віртуальними машинами, які знаходяться на одному фізичному сервері у віртуалізованих середовищах.
Центри обробки даних
Використовується в серверних фермах і центрах обробки даних для керування великою кількістю серверів. Це дозволяє адміністраторам групувати сервери на основі їхніх ролей або програм.
Гостьові мережі
Вони створюють окремі гостьові мережі в таких середовищах, як готелі чи корпоративні офіси, які можуть надавати відвідувачам доступ до Інтернету, ізолюючи їх від внутрішньої мережі організації.
Віртуальні приватні мережі
Мережі VLAN поєднуються з VPN для створення безпечних з’єднань між географічно рознесеними сайтами. Організації можуть розширити свою приватну мережу в кількох місцях, зберігаючи логічне розділення.
Тестування та розробка
Забезпечте ізольоване середовище для тестування та розробки. Розробники можуть створювати VLAN, призначені для тестування нових програм або послуг, не впливаючи на робочу мережу.
Варіанти використання VXLAN
З’єднання центру обробки даних
VXLAN використовується для з’єднання кількох центрів обробки даних через WAN. Він розширює підключення рівня 2 між центрами обробки даних, що дозволяє переміщувати віртуальні машини та робочі навантаження між сайтами, зберігаючи конфігурацію мережі.
Хмарна інфраструктура
Він зазвичай використовується в хмарних середовищах для забезпечення віртуалізації мережі для хмарних служб і програм. Це дозволяє ефективно розподіляти робоче навантаження в хмарній інфраструктурі.
Накладені мережі
VXLAN служить основою для накладених мереж, що дозволяє мережним інженерам динамічно розподіляти ресурси та адаптуватися до мінливих вимог до робочого навантаження.
Аварійного відновлення
Використовується в сценаріях аварійного відновлення для забезпечення підключення до мережі та відновлення після відмови (резервний робочий режим) між основним і вторинним центрами обробки даних.
Примітка автора✍️
Вибір між VXLAN і VLAN залежить від конкретних потреб вашої мережевої інфраструктури. Обидві технології мають свої переваги та міркування, які слід враховувати.
Якщо вам потрібне масштабоване рішення, яке може працювати з великою кількістю віртуальних машин або сегментів мережі, VXLAN є рекомендованим вибором. Це забезпечує більший адресний простір і полегшує мобільність робочого навантаження.
Якщо ваша мережа має менший масштаб і простіші вимоги, VLAN може бути найкращим варіантом. Мережі VLAN добре налагоджені та широко підтримуються в більшості мережевого обладнання. Їх легко налаштувати та керувати.
Сподіваюся, ця стаття допомогла вам дізнатися про різницю між VXLAN і VLAN. Вам також може бути цікаво дізнатися про контроль доступу до мережі та про те, як його реалізувати.