V modernej sieťovej architektúre sú VLAN (virtuálna lokálna sieť) a VXLAN (virtuálna rozšírená lokálna sieť) dve najbežnejšie technológie virtualizácie sietí. Môžu sa zdať podobné, ale v skutočnosti existuje niekoľko kľúčových rozdielov.
VLAN (virtuálna lokálna sieť)
VLAN je skratka pre Virtual Local Area Network (virtuálna lokálna sieť). Je to technika, ktorá rozdeľuje fyzické zariadenia v sieti LAN do niekoľkých podsietí podľa logických vzťahov. VLAN je konfigurovaná na sieťových prepínačoch tak, aby rozdelila sieťové zariadenia do rôznych logických skupín. Aj keď sa tieto zariadenia môžu fyzicky nachádzať na rôznych miestach, VLAN im umožňuje logicky patriť do tej istej siete, čo umožňuje flexibilnú správu a izoláciu.
Jadro technológie VLAN spočíva v rozdelení portov prepínača. Prepínače riadia prevádzku na základe VLAN ID (identifikátor VLAN). VLAN ID sa pohybujú od 1 do 4095 a zvyčajne sú to 12 binárnych číslic (t. j. rozsah 0 až 4095), čo znamená, že prepínač môže podporovať až 4 096 VLan.
Pracovný postup
○ Identifikácia VLAN: Keď paket vstúpi do prepínača, prepínač rozhodne, do ktorej VLAN sa má paket preposlať, na základe informácií o ID VLAN v pakete. Na označenie dátového rámca pomocou VLAN sa zvyčajne používa protokol IEEE 802.1Q.
○ Vysielacia doména VLAN: Každá VLAN je nezávislá vysielacia doména. Aj keď je na tom istom fyzickom prepínači viacero sietí VLAN, ich vysielania sú od seba izolované, čím sa znižuje zbytočná vysielacia prevádzka.
○ Preposielanie dát: Prepínač preposiela dátový paket na príslušný port podľa rôznych značiek VLAN. Ak zariadenia medzi rôznymi sieťami VLAN potrebujú komunikovať, musia byť preposielané cez zariadenia vrstvy 3, ako sú napríklad smerovače.
Predpokladajme, že máte spoločnosť s viacerými oddeleniami, z ktorých každé používa inú VLAN. Pomocou prepínača môžete rozdeliť všetky zariadenia vo finančnom oddelení do VLAN 10, zariadenia v obchodnom oddelení do VLAN 20 a zariadenia v technickom oddelení do VLAN 30. Týmto spôsobom je sieť medzi oddeleniami úplne izolovaná.
Výhody
○ Vylepšené zabezpečenie: VLAN dokáže účinne zabrániť neoprávnenému prístupu medzi rôznymi VLAN rozdelením rôznych služieb do rôznych sietí.
○ Správa sieťovej prevádzky: Prideľovaním VLAN sa dá vyhnúť búrkam vysielania a sieť môže byť efektívnejšia. Vysielacie pakety sa budú šíriť iba v rámci VLAN, čím sa zníži využitie šírky pásma.
○ Flexibilita siete: VLAN dokáže flexibilne rozdeliť sieť podľa obchodných potrieb. Napríklad zariadenia vo finančnom oddelení je možné priradiť k rovnakej VLAN, aj keď sa fyzicky nachádzajú na rôznych poschodiach.
Obmedzenia
○ Obmedzená škálovateľnosť: Keďže siete VLan sa spoliehajú na tradičné prepínače a podporujú až 4096 sietí VLan, môže sa to stať úzkym hrdlom pre rozsiahle siete alebo rozsiahle virtualizované prostredia.
○ Problém s pripojením medzi doménami: VLAN je lokálna sieť, komunikácia medzi VLAN musí prebiehať cez trojvrstvový prepínač alebo smerovač, čo môže zvýšiť zložitosť siete.
Scenár aplikácie
○ Izolácia a bezpečnosť v podnikových sieťach: VLAN sa široko používajú v podnikových sieťach, najmä vo veľkých organizáciách alebo v medzioddeleniach. Bezpečnosť a riadenie prístupu k sieti je možné zabezpečiť rozdelením rôznych oddelení alebo obchodných systémov prostredníctvom VLAN. Napríklad finančné oddelenie bude často v inej VLAN ako oddelenie výskumu a vývoja, aby sa predišlo neoprávnenému prístupu.
○ Zníženie vysielacej búrky: VLAN pomáha obmedziť vysielaciu prevádzku. Za normálnych okolností sa vysielacie pakety šíria po celej sieti, ale v prostredí VLAN sa vysielacia prevádzka šíri iba v rámci VLAN, čo efektívne znižuje zaťaženie siete spôsobené vysielacou búrkou.
○ Malá alebo stredná lokálna sieť: Pre niektoré malé a stredné podniky poskytuje VLAN jednoduchý a efektívny spôsob vybudovania logicky izolovanej siete, vďaka čomu je správa siete flexibilnejšia.
VXLAN (virtuálna rozšírená lokálna sieť)
VXLAN (Virtual Extensible LAN) je nová technológia navrhnutá na riešenie obmedzení tradičných VLAN vo veľkých dátových centrách a virtualizačných prostrediach. Využíva technológiu zapuzdrenia na prenos dátových paketov vrstvy 2 (L2) cez existujúcu sieť vrstvy 3 (L3), čím prekonáva obmedzenia škálovateľnosti VLAN.
Prostredníctvom tunelovacej technológie a mechanizmu zapuzdrenia VXLAN „zabalí“ pôvodné dátové pakety vrstvy 2 do dátových paketov IP vrstvy 3, aby sa dátové pakety mohli prenášať v existujúcej IP sieti. Jadro VXLAN spočíva v mechanizme zapuzdrenia a odpuzdrenia, to znamená, že tradičný dátový rámec L2 je zapuzdrený protokolom UDP a prenášaný cez IP sieť.
Pracovný postup
○ Zapuzdrenie hlavičky VXLAN: Pri implementácii VXLAN bude každý paket vrstvy 2 zapuzdrený ako paket UDP. Zapuzdrenie VXLAN zahŕňa: identifikátor siete VXLAN (VNI), hlavičku UDP, hlavičku IP a ďalšie informácie.
○ Tunelový terminál (VTEP): VXLAN využíva tunelovú technológiu a pakety sú zapuzdrené a odzapuzdrené prostredníctvom dvojice zariadení VTEP. VTEP, VXLAN Tunnel Endpoint, je most spájajúci VLAN a VXLAN. VTEP zapuzdruje prijaté pakety L2 ako pakety VXLAN a odosiela ich do cieľového VTEP, ktorý následne odzapuzdrí zapuzdrené pakety do pôvodných paketov L2.
○ Proces zapuzdrenia VXLAN: Po pripojení hlavičky VXLAN k pôvodnému dátovému paketu sa dátový paket prenesie do cieľového VTEP cez IP sieť. Cieľový VTEP paket dekapsuluje a prepošle ho správnemu prijímačovi na základe informácií VNI.
Výhody
○ Škálovateľná: VXLAN podporuje až 16 miliónov virtuálnych sietí (VNI), čo je oveľa viac ako 4096 identifikátorov VLAN, vďaka čomu je ideálna pre rozsiahle dátové centrá a cloudové prostredia.
○ Podpora naprieč dátovými centrami: VXLAN dokáže rozšíriť virtuálnu sieť medzi viacerými dátovými centrami v rôznych geografických lokalitách, čím prekonáva obmedzenia tradičnej VLAN a je vhodná pre moderné cloudové výpočty a virtualizačné prostredia.
○ Zjednodušenie siete dátového centra: Prostredníctvom siete VXLAN môžu byť hardvérové zariadenia od rôznych výrobcov interoperabilné, podporovať prostredia s viacerými nájomníkmi a zjednodušiť návrh siete rozsiahlych dátových centier.
Obmedzenia
○ Vysoká zložitosť: Konfigurácia siete VXLAN je relatívne zložitá a zahŕňa zapuzdrenie tunela, konfiguráciu VTEP atď., čo si vyžaduje dodatočnú technickú podporu zásobníka a zvyšuje zložitosť prevádzky a údržby.
○ Latencia siete: Vzhľadom na dodatočné spracovanie, ktoré vyžaduje proces zapuzdrenia a odpuzdrenia, môže VXLAN zaviesť určitú latenciu siete, hoci táto latencia je zvyčajne malá, ale stále ju treba brať do úvahy v prostrediach s vysokými nárokmi na výkon.
Scenár aplikácie VXLAN
○ Virtualizácia siete dátových centier: VXLAN sa široko používa vo veľkých dátových centrách. Servery v dátových centrách zvyčajne používajú virtualizačnú technológiu, VXLAN môže pomôcť vytvoriť virtuálnu sieť medzi rôznymi fyzickými servermi, čím sa zabráni obmedzeniu škálovateľnosti VLAN.
○ Cloudové prostredie s viacerými nájomníkmi: Vo verejnom alebo súkromnom cloude dokáže VXLAN poskytnúť nezávislú virtuálnu sieť pre každého nájomníka a identifikovať virtuálnu sieť každého nájomníka pomocou VNI. Táto funkcia VXLAN je vhodná pre moderné cloudové výpočty a prostredia s viacerými nájomníkmi.
○ Škálovanie siete naprieč dátovými centrami: VXLAN je obzvlášť vhodný pre scenáre, kde je potrebné nasadiť virtuálne siete vo viacerých dátových centrách alebo geografických oblastiach. Keďže VXLAN používa na zapuzdrenie IP siete, dokáže jednoducho pokryť rôzne dátové centrá a geografické lokality, aby sa dosiahla expanzia virtuálnej siete v globálnom meradle.
VLAN vs. VxLAN
VLAN aj VXLAN sú technológie virtualizácie sietí, ale sú vhodné pre rôzne aplikačné scenáre. VLAN je vhodná pre malé alebo stredné sieťové prostredia a dokáže poskytnúť základnú izoláciu a zabezpečenie siete. Jej silnou stránkou je jednoduchosť, ľahká konfigurácia a široká podpora.
VXLAN je technológia navrhnutá tak, aby zvládla potrebu rozsiahleho rozširovania siete v moderných dátových centrách a prostrediach cloudových výpočtov. Silnou stránkou VXLAN je jej schopnosť podporovať milióny virtuálnych sietí, vďaka čomu je vhodná na nasadenie virtualizovaných sietí naprieč dátovými centrami. Prekonáva obmedzenia škálovateľnosti VLAN a je vhodná pre komplexnejšie sieťové návrhy.
Hoci sa názov VXLAN javí ako rozširujúci protokol VLAN, v skutočnosti sa VXLAN od VLAN podstatne líši svojou schopnosťou budovať virtuálne tunely. Hlavné rozdiely medzi nimi sú nasledovné:
Funkcia | VLAN | VXLAN |
|---|---|---|
| Štandard | IEEE 802.1Q | RFC 7348 (IETF) |
| Vrstva | Vrstva 2 (dátové spojenie) | Vrstva 2 nad vrstvou 3 (L2oL3) |
| Zapuzdrenie | Ethernetový header 802.1Q | MAC-in-UDP (zapuzdrená v IP) |
| Veľkosť ID | 12-bitové (0-4095 VLAN) | 24-bitový (16,7 milióna virtuálnych virtuálnych identifikátorov) |
| Škálovateľnosť | Obmedzené (4094 použiteľných VLAN) | Vysoko škálovateľné (podporuje cloudy s viacerými nájomníkmi) |
| Spracovanie vysielania | Tradičné zahltenie (v rámci VLAN) | Používa IP multicast alebo replikáciu headendu |
| Režijné náklady | Nízka (4-bajtová značka VLAN) | Vysoká (~50 bajtov: hlavičky UDP + IP + VXLAN) |
| Izolácia dopravy | Áno (na VLAN) | Áno (podľa VNI) |
| Tunelovanie | Žiadne tunelovanie (plochá L2) | Používa VTEP (koncové body tunela VXLAN) |
| Prípady použitia | Malé/stredné LAN siete, podnikové siete | Cloudové dátové centrá, SDN, VMware NSX, Cisco ACI |
| Závislosť Spanning Tree (STP) | Áno (aby sa predišlo slučkám) | Nie (používa smerovanie vrstvy 3, vyhýba sa problémom s STP) |
| Podpora hardvéru | Podporované na všetkých prepínačoch | Vyžaduje prepínače/NIC s podporou VXLAN (alebo softvérové VTEP) |
| Podpora mobility | Obmedzené (v rámci tej istej domény L2) | Lepšie (virtuálne počítače sa môžu presúvať medzi podsieťami) |
Čo dokáže Mylinking™ Network Packet Broker pre sieťovú virtuálnu technológiu?
Označená VLAN, Neoznačená VLAN, Nahradená VLAN:
Podporované zhodovanie ľubovoľného kľúčového poľa v prvých 128 bajtoch paketu. Používateľ si môže prispôsobiť hodnotu posunu a dĺžku a obsah kľúčového poľa a určiť politiku výstupu prevádzky podľa konfigurácie používateľa.
Odstraňovanie zapuzdrenia tunela:
Podporovala hlavičky VxLAN, VLAN, GRE, GTP, MPLS, IPIP odstránené z pôvodného dátového paketu a presmerovaný výstup.
Identifikácia tunelovacieho protokolu
Podporuje automatickú identifikáciu rôznych tunelovacích protokolov, ako napríklad GTP / GRE / PPTP / L2TP / PPPOE/IPIP. V závislosti od konfigurácie používateľa je možné implementovať stratégiu výstupu prevádzky podľa vnútornej alebo vonkajšej vrstvy tunela.
Viac informácií o súvisiacich témach nájdete tuSprostredkovateľ sieťových paketov.
Čas uverejnenia: 25. júna 2025
