Мрежовото сегментиране играе важна роля в управлението и защитата на съвременните ИТ инфраструктури.
Две популярни технологии за ефективно мрежово сегментиране са VXLAN и VLAN.
Нека се потопим и разберем характеристиките на VXLAN и VLAN и как те могат да оформят вашата мрежова архитектура.
Съдържание
Какво е VLAN?
Източник на изображението: Wikipedia
VLAN означава виртуална локална мрежа.
Това е технология, използвана в компютърните мрежи за разделяне на една физическа мрежа на множество логически мрежи.
Нека разгледаме един пример, за да разберем лесно концепцията.
Представете си, че работите в голяма офис сграда с множество отдели: инженеринг, маркетинг и счетоводство.
Всеки отдел разполага със собствен набор от компютри, принтери и други мрежови устройства.
Офис сградата обаче има само една физическа мрежова инфраструктура.
Без VLAN всички устройства в офис сградата биха били част от един домейн за излъчване. Това означава, че ще получат целия мрежов трафик. Това може да доведе до проблеми със сигурността и неефективно управление на мрежовия трафик.
VLAN са внедрени за преодоляване на тези проблеми. Всяка VLAN действа като отделен домейн за излъчване, което позволява по-добро управление и производителност на мрежата.
Източник на изображението – fiberopticshare
Да приемем, че създавате три VLAN, които да съответстват на различните отдели.
VLAN 1: Инженеринг
VLAN 2: Маркетинг
VLAN 3: Счетоводство
Когато компютър или друго мрежово устройство е свързано към мрежата, то може да бъде присвоено към една от тези VLAN.
Например – Всички компютри и устройства в Инженерния отдел са присвоени към VLAN 1.
Ако компютър в инженерния отдел иска да изпрати съобщение до друг компютър в рамките на същата VLAN, съобщението ще остане в рамките на VLAN 1 и няма да бъде излъчено към устройства в други VLAN, като маркетинг или счетоводство.
Това разделяне гарантира, че чувствителната информация е достъпна само за оторизирани устройства в рамките на една и съща VLAN.
Какво е VXLAN?
VXLAN означава Virtual Extensible LAN.
Това е технология за мрежова виртуализация, използвана за разширяване на мрежови сегменти от слой 2 (слой за връзка с данни) през IP мрежа. Той беше въведен, за да се справи с ограниченията на традиционните VLAN в среди с големи центрове за данни.
Източник на изображението – fiberopticshare
Обикновено се използва в центрове за данни и облачни среди за създаване на логически мрежови наслагвания, които могат да обхващат множество физически мрежови сегменти.
VXLAN капсулира Ethernet рамки от слой 2 в UDP пакети от слой 3, което им позволява да бъдат предавани през IP мрежа.
Как работи VXLAN?
Представете си, че имате голям център за данни с множество физически сървъри и виртуални машини (VM), работещи на тези сървъри.
В традиционна мрежа, базирана на VLAN, всяка виртуална машина ще бъде присвоена на конкретна VLAN. А комуникацията между виртуални машини в различни VLAN ще изисква маршрутизиране на ниво 3.
Този подход може да стане сложен и да страда от проблеми с мащабируемостта поради ограничения брой налични VLAN ID.
Източник на изображението – juniper.net
Нека разгледаме сценарий, за да разберем как работи тази VXLAN.
Има 2 физически хоста. В хост 1 има VM1 и VM2, а в хост 2 има VM3 и VM4.
Да приемем, че Хост 1 и Хост 2 са част от мрежа с активиран VXLAN и VM1 иска да комуникира с VM3.
VXLAN конфигурация
Хост 1 и Хост 2 са конфигурирани като VXLAN тунелни крайни точки (VTEP). Това означава, че разполагат с необходимите софтуерни или хардуерни компоненти, за да се справят с VXLAN капсулиране и декапсулиране.
VXLAN мрежов идентификатор (VNI)
На виртуалната мрежа се присвоява уникален VNI. Да приемем, че VNI за тази мрежа е 1001.
Капсулиране
VM1, намиращ се на хост 1 – иска да комуникира с VM3, който се намира на хост 2.
Когато VM1 изпрати пакет към VM3, той се капсулира с VXLAN хедър.
VXLAN хедърът включва VTEP адресите на източника и местоназначението (IP адреси на хост 1 и хост 2) и VNI (1001).
Основна IP мрежа
Капсулираният пакет се предава през основната IP мрежа – може да бъде IPv4 или IPv6. IP мрежата служи като транспортна инфраструктура за VXLAN пакети.
Декапсулиране
При получаване на пакета, VTEP на хост 2 декапсулира VXLAN заглавката, което разкрива оригиналния слой 2 Ethernet рамка.
Доставка до VM3
След декапсулиране, VTEP доставя Ethernet рамката на слой 2 към VM3 на хост 2.
VM1 на хост 1 може да комуникира с VM3 на хост 2, сякаш са свързани към една и съща Ethernet мрежа от слой 2 – въпреки че се намират на различни физически хостове.
VXLAN позволява тази комуникация чрез капсулиране и тунелиране на трафик от слой 2 през мрежи от слой 3, което позволява разширяване на свързаността на слой 2 през мрежовите граници.
Предимства на VLAN
Контрол на излъчването
Излъчваният трафик се съдържа във всяка VLAN, което намалява общия размер на излъчвания домейн и смекчава въздействието на трафика, който може да влоши производителността на мрежата.
Сигурност
Той позволява изолиране на мрежата и подобрява сигурността чрез разделяне на различни групи потребители или устройства в отделни излъчващи домейни. Тази изолация ограничава обхвата на потенциални пробиви в сигурността или неоторизиран достъп, което подобрява цялостната сигурност на мрежата.
Качество на услугата (QoS)
VLAN могат да се използват за внедряване на механизми за качество на услугата, които позволяват на мрежовите администратори да приоритизират определени видове трафик или да прилагат специфични политики.
Те могат да определят лимита за това кое приложение трябва да получава висока честотна лента.
Опростено управление на мрежата
Опростява управлението на мрежата чрез логично разделяне на голяма физическа мрежа на по-малки виртуални мрежи. Това сегментиране помага при организирането на устройствата и опростява задачите за администриране на мрежата.
Предимства на VXLAN
Мащабируемост
VXLAN адресира ограниченията на традиционните VLAN, като позволява създаването на до 16 милиона виртуални мрежи – в сравнение с ограничените 4096 VLAN. Тази мащабируемост се постига чрез 24-битовия VXLAN мрежов идентификатор (VNI).
Сегментиране на мрежата
Той позволява ефективно сегментиране на мрежата чрез капсулиране на Ethernet рамки от слой 2 в UDP пакети. Това позволява създаването на изолирани виртуални мрежи, които могат да обхващат физически граници, като центрове за данни или облачни среди.
Много наемане
Той поддържа модела с множество наематели, който позволява на различни организации да споделят една и съща физическа инфраструктура, като същевременно поддържат свои собствени изолирани виртуални мрежи.
Разширение на ниво 2 през мрежи от ниво 3
VXLAN улеснява разширяването на свързаността на ниво 2 през мрежите на ниво 3.
Това е важно за изграждането на географски разпределени центрове за данни и позволява мобилността на виртуални машини в различни сайтове без необходимост от сложни технологии за разширение на слой 2 като Virtual Private LAN Service (VPLS).
Сравнителна таблица
И ето таблица за сравнение между VXLAN и VLAN.
ХарактеристикиVXLANVLANEncapsulationИзползва UDP за капсулиране на пакети и транспорт.Няма капсулиране – разчита на 802.1Q маркиране Мащабируемост Поддържа до 16 милиона виртуални мрежи Ограничени до 4096 VLAN Изолация на мрежата Позволява изолирани мрежи от слой 2 през границите на слой 3 Осигурява изолация в рамките на мрежа от слой 2 Излъчване на трафик HandlingUses Multicast или unicast-базирана репликация за оптимизиране на излъчвания трафик.Broadcast трафикът се разпространява до всички портове в рамките на VLAN Обхваща множество сайтове Позволява разширяване на мрежи от слой 2 в географски разпръснати местоположения Ограничен до един домейн за излъчване Управление Изисква VXLAN шлюз за взаимно свързване на виртуални и физически мрежи Може да се управлява чрез комутатори, поддържащи VLAN
Правилното внедряване на VXLAN изисква устройства с възможност за VXLAN, които поддържат необходимите протоколи и техники за капсулиране.
С помощта на тези устройства могат да се създават и управляват VXLAN мрежи.
От друга страна – VLAN са по-широко използвани и лесни за внедряване в настоящите мрежови инфраструктури, тъй като по-голямата част от мрежовите устройства ги поддържат без необходимост от допълнителен хардуер или специализирана поддръжка.
Случаи на използване на VLAN
Виртуализация на сървъра
VLAN позволяват ефективно управление на мрежата чрез осигуряване на изолация между виртуални машини, намиращи се на един и същ физически сървър във виртуализирани среди.
Центрове за данни
Използва се в сървърни ферми и центрове за данни за управление на голям брой сървъри. Той позволява на администраторите да групират сървъри въз основа на тяхната роля или приложение.
Мрежи за гости
Те създават отделни мрежи за гости в среди като хотели или корпоративни офиси, които могат да осигурят достъп до интернет на посетителите, като същевременно ги държат изолирани от вътрешната мрежа на организацията.
Виртуални частни мрежи
VLAN са във връзка с VPN за създаване на сигурни връзки между географски разпръснати сайтове. Организациите могат да разширят частната си мрежа на множество места, като същевременно поддържат логическо разделение.
Тестване и развитие
Осигурете изолирана среда за целите на тестване и разработка. Разработчиците могат да създават VLAN, предназначени за тестване на нови приложения или услуги, без да засягат производствената мрежа.
Случаи на използване на VXLAN
Взаимосвързване на центъра за данни
VXLAN се използва за взаимно свързване на множество центрове за данни през WAN. Той разширява свързаността на ниво 2 между центровете за данни, което позволява виртуални машини и работни натоварвания да бъдат мигрирани между сайтове, като същевременно се поддържа тяхната мрежова конфигурация.
Облачна инфраструктура
Обикновено се използва в облачни среди за осигуряване на мрежова виртуализация за базирани на облак услуги и приложения. Той позволява ефективно разпределение на натоварването в облачната инфраструктура.
Наслагващи се мрежи
VXLAN служи като основа за мрежи с наслагване, което позволява на мрежовите инженери динамично да разпределят ресурси и да се адаптират към променящите се изисквания за работно натоварване.
Възстановяване след бедствие
Използва се в сценарии за възстановяване след бедствие за осигуряване на мрежова свързаност и преход при срив (резервен оперативен режим) между основния и вторичния център за данни.
Бележка на автора✍️
Изборът между VXLAN и VLAN зависи от специфичните нужди на вашата мрежова инфраструктура. И двете технологии имат своите предимства и съображения, които трябва да се вземат предвид.
Ако имате нужда от мащабируемо решение, което може да се справи с голям брой виртуални машини или мрежови сегменти – VXLAN е препоръчителният избор. Той осигурява по-голямо адресно пространство и позволява по-лесна мобилност на работното натоварване.
Ако вашата мрежа има по-малък мащаб и по-прости изисквания – тогава VLAN може да бъде най-добрият вариант. VLAN са добре установени и се поддържат широко в повечето мрежово оборудване. Те са лесни за конфигуриране и управление.
Надявам се, че сте намерили тази статия за полезна, за да научите за разликата между VXLAN и VLAN. Може също да ви е интересно да научите за контрола на достъпа до мрежата и как да го приложите.