В современной сетевой архитектуре VLAN (виртуальная локальная сеть) и VXLAN (виртуальная расширенная локальная сеть) — две наиболее распространённые технологии виртуализации сетей. Они могут показаться похожими, но на самом деле между ними есть ряд ключевых различий.
VLAN (виртуальная локальная сеть)
VLAN (Virtual Local Area Network) — это аббревиатура от Virtual Local Area Network (Виртуальная локальная сеть). Это технология, разделяющая физические устройства в локальной сети на несколько подсетей в соответствии с логическими связями. VLAN настраивается на сетевых коммутаторах для разделения сетевых устройств на различные логические группы. Несмотря на то, что эти устройства физически могут располагаться в разных местах, VLAN позволяет им логически принадлежать к одной сети, обеспечивая гибкое управление и изоляцию.
Суть технологии VLAN заключается в разделении портов коммутатора. Коммутаторы управляют трафиком на основе идентификатора VLAN (VLAN ID). Диапазон идентификаторов VLAN составляет от 1 до 4095, и обычно они состоят из 12 двоичных цифр (т.е. от 0 до 4095). Это означает, что коммутатор может поддерживать до 4096 VLAN.
Рабочий процесс
○ Идентификация VLAN: когда пакет поступает в коммутатор, коммутатор решает, в какую VLAN его следует переслать, на основе информации об идентификаторе VLAN в пакете. Обычно для маркировки VLAN кадра данных используется протокол IEEE 802.1Q.
○ Широковещательный домен VLAN: Каждая VLAN представляет собой независимый широковещательный домен. Даже если несколько VLAN находятся на одном физическом коммутаторе, их широковещательные пакеты изолированы друг от друга, что снижает ненужный широковещательный трафик.
○ Пересылка данных: коммутатор пересылает пакет данных на соответствующий порт в соответствии с тегами VLAN. Если устройствам между разными VLAN необходимо взаимодействовать, их пересылка должна осуществляться через устройства 3-го уровня, например, маршрутизаторы.
Предположим, у вас есть компания с несколькими отделами, каждый из которых использует свою VLAN. С помощью коммутатора вы можете разделить все устройства финансового отдела на VLAN 10, отдела продаж — на VLAN 20, а технического отдела — на VLAN 30. Таким образом, сеть между отделами будет полностью изолирована.
Преимущества
○ Улучшенная безопасность: VLAN может эффективно предотвращать несанкционированный доступ между различными VLAN, разделяя различные службы на разные сети.
○ Управление сетевым трафиком: выделение VLAN позволяет избежать широковещательных штормов и повысить эффективность сети. Широковещательные пакеты будут распространяться только внутри VLAN, что снижает нагрузку на полосу пропускания.
○ Гибкость сети: VLAN позволяет гибко разделять сеть в соответствии с потребностями бизнеса. Например, устройства в финансовом отделе можно назначить в одну и ту же VLAN, даже если они физически расположены на разных этажах.
Ограничения
○ Ограниченная масштабируемость: поскольку VLAN полагаются на традиционные коммутаторы и поддерживают до 4096 VLAN, это может стать узким местом для крупных сетей или крупномасштабных виртуализированных сред.
○ Проблема междоменного соединения: VLAN — это локальная сеть, междоменное взаимодействие VLAN должно осуществляться через трехуровневый коммутатор или маршрутизатор, что может привести к усложнению сети.
Сценарий применения
○ Изоляция и безопасность в корпоративных сетях: VLAN широко используются в корпоративных сетях, особенно в крупных организациях или межотдельных средах. Безопасность и контроль доступа к сети можно обеспечить, разделив различные отделы или бизнес-системы посредством VLAN. Например, финансовый отдел часто размещается в разных VLAN с отделом исследований и разработок, чтобы избежать несанкционированного доступа.
○ Снижение широковещательного шторма: VLAN помогает ограничить широковещательный трафик. Обычно широковещательные пакеты распространяются по всей сети, но в среде VLAN широковещательный трафик распространяется только внутри VLAN, что эффективно снижает нагрузку на сеть, вызванную широковещательным штормом.
○ Локальная сеть малого или среднего размера: для некоторых малых и средних предприятий VLAN обеспечивает простой и эффективный способ построения логически изолированной сети, делая управление сетью более гибким.
VXLAN (виртуальная расширенная локальная сеть)
VXLAN (Virtual Extensible LAN) — это новая технология, призванная устранить ограничения традиционных VLAN в крупных центрах обработки данных и средах виртуализации. Она использует технологию инкапсуляции для передачи пакетов данных уровня 2 (L2) через существующую сеть уровня 3 (L3), что позволяет преодолеть ограничения масштабируемости VLAN.
Благодаря технологии туннелирования и механизму инкапсуляции VXLAN «оборачивает» исходные пакеты данных уровня 2 в IP-пакеты данных уровня 3, что позволяет передавать их по существующей IP-сети. Суть VXLAN заключается в механизме инкапсуляции и деинкапсуляции, то есть традиционный кадр данных уровня 2 инкапсулируется протоколом UDP и передаётся по IP-сети.
Рабочий процесс
○ Инкапсуляция заголовка VXLAN: при реализации VXLAN каждый пакет уровня 2 инкапсулируется как пакет UDP. Инкапсуляция VXLAN включает в себя: идентификатор сети VXLAN (VNI), заголовок UDP, заголовок IP и другую информацию.
○ Туннельный терминал (VTEP): VXLAN использует технологию туннелирования, и пакеты инкапсулируются и деинкапсулируются через пару устройств VTEP. VTEP (конечная точка туннеля VXLAN) — это мост, соединяющий VLAN и VXLAN. VTEP инкапсулирует полученные пакеты L2 в пакеты VXLAN и отправляет их VTEP назначения, который, в свою очередь, деинкапсулирует инкапсулированные пакеты в исходные пакеты L2.
○ Процесс инкапсуляции VXLAN: после добавления заголовка VXLAN к исходному пакету данных пакет данных будет передан в целевой VTEP через IP-сеть. Целевой VTEP декапсулирует пакет и пересылает его нужному получателю на основе информации VNI.
Преимущества
○ Масштабируемость: VXLAN поддерживает до 16 миллионов виртуальных сетей (VNI), что значительно больше, чем 4096 идентификаторов VLAN, что делает его идеальным для крупномасштабных центров обработки данных и облачных сред.
○ Поддержка нескольких центров обработки данных: VXLAN может расширить виртуальную сеть между несколькими центрами обработки данных в разных географических точках, преодолевая ограничения традиционных VLAN, и подходит для современных сред облачных вычислений и виртуализации.
○ Упрощение сети центра обработки данных: благодаря VXLAN аппаратные устройства разных производителей могут взаимодействовать, поддерживать многопользовательские среды и упрощать проектирование сети крупномасштабных центров обработки данных.
Ограничения
○ Высокая сложность: конфигурация VXLAN относительно сложна и включает инкапсуляцию туннелей, настройку VTEP и т. д., что требует дополнительной технической поддержки стека и увеличивает сложность эксплуатации и обслуживания.
○ Задержка сети: из-за дополнительной обработки, необходимой для процесса инкапсуляции и деинкапсуляции, VXLAN может вносить некоторую задержку сети, хотя эта задержка обычно невелика, но ее все же необходимо учитывать в средах с высокими требованиями к производительности.
Сценарий применения VXLAN
○ Виртуализация сети ЦОД: VXLAN широко используется в крупных ЦОД. Серверы в ЦОД обычно используют технологию виртуализации. VXLAN позволяет создать виртуальную сеть между различными физическими серверами, избегая ограничений масштабируемости VLAN.
○ Многопользовательская облачная среда: В публичном или частном облаке VXLAN может предоставить независимую виртуальную сеть для каждого арендатора и идентифицировать виртуальную сеть каждого арендатора с помощью VNI. Эта функция VXLAN отлично подходит для современных облачных вычислений и многопользовательской среды.
○ Масштабирование сети между центрами обработки данных: VXLAN особенно подходит для сценариев, где виртуальные сети необходимо развернуть в нескольких центрах обработки данных или географических регионах. Поскольку VXLAN использует IP-сети для инкапсуляции, он может легко охватывать различные центры обработки данных и географические регионы, обеспечивая глобальное расширение виртуальной сети.
VLAN против VxLAN
VLAN и VXLAN — это технологии виртуализации сетей, но они подходят для разных сценариев применения. VLAN подходит для сетей малого и среднего масштаба и обеспечивает базовую изоляцию и безопасность сети. Её преимущество заключается в простоте, лёгкости настройки и широкой поддержке.
VXLAN — это технология, разработанная для решения задач масштабного расширения сетей в современных центрах обработки данных и облачных вычислительных средах. Преимущество VXLAN заключается в её способности поддерживать миллионы виртуальных сетей, что делает её подходящей для развертывания виртуализированных сетей в центрах обработки данных. Она преодолевает ограничения VLAN по масштабируемости и подходит для более сложных сетевых архитектур.
Хотя название VXLAN может показаться расширением протокола VLAN, на самом деле VXLAN существенно отличается от VLAN способностью создавать виртуальные туннели. Основные различия между ними заключаются в следующем:
Особенность | VLAN | VXLAN |
|---|---|---|
| Стандартный | IEEE 802.1Q | RFC 7348 (IETF) |
| Слой | Уровень 2 (канал передачи данных) | Слой 2 над слоем 3 (L2oL3) |
| Инкапсуляция | Заголовок Ethernet 802.1Q | MAC-in-UDP (инкапсулированный в IP) |
| Размер удостоверения личности | 12-бит (0-4095 VLAN) | 24-бит (16,7 млн VNI) |
| Масштабируемость | Ограничено (4094 используемых VLAN) | Высокая масштабируемость (поддерживает многопользовательские облака) |
| Обработка вещания | Традиционный флуд (внутри VLAN) | Использует многоадресную IP-рассылку или репликацию на головном устройстве |
| Накладные расходы | Низкий (4-байтовый тег VLAN) | Высокий (~50 байт: заголовки UDP + IP + VXLAN) |
| Изоляция дорожного движения | Да (для каждой VLAN) | Да (согласно VNI) |
| Туннелирование | Без туннелирования (плоский L2) | Использует VTEP (конечные точки туннеля VXLAN) |
| Варианты использования | Малые/средние локальные сети, корпоративные сети | Облачные центры обработки данных, SDN, VMware NSX, Cisco ACI |
| Зависимость остовного дерева (STP) | Да (для предотвращения петель) | Нет (использует маршрутизацию уровня 3, избегает проблем STP) |
| Поддержка оборудования | Поддерживается на всех коммутаторах | Требуются коммутаторы/сетевые карты с поддержкой VXLAN (или программные VTEP) |
| Поддержка мобильности | Ограничено (в пределах одного домена L2) | Лучше (виртуальные машины могут перемещаться между подсетями) |
Что может сделать Mylinking™ Network Packet Broker для технологии виртуальной сети?
VLAN помечена, VLAN не помечена, VLAN заменена:
Поддерживается сопоставление любого ключевого поля в первых 128 байтах пакета. Пользователь может настраивать значение смещения, длину и содержимое ключевого поля, а также определять политику вывода трафика в соответствии с пользовательскими настройками.
Зачистка туннельной инкапсуляции:
Поддерживаются заголовки VxLAN, VLAN, GRE, GTP, MPLS, IPIP, вырезанные из исходного пакета данных и пересылаемые выходные данные.
Идентификация протокола туннелирования
Поддерживается автоматическое определение различных протоколов туннелирования, таких как GTP/GRE/PPTP/L2TP/PPPOE/IPIP. В зависимости от настроек пользователя, стратегия вывода трафика может быть реализована на внутреннем или внешнем уровне туннеля.
Более подробную информацию о связанных с этим вопросах вы можете найти здесь.Сетевой брокер пакетов.
Время публикации: 25 июня 2025 г.
