V moderní síťové architektuře jsou VLAN (virtuální lokální síť) a VXLAN (virtuální rozšířená lokální síť) dvě nejběžnější technologie virtualizace sítí. Mohou se zdát podobné, ale ve skutečnosti existuje řada klíčových rozdílů.
VLAN (virtuální lokální síť)
VLAN je zkratka pro Virtual Local Area Network (virtuální lokální síť). Jedná se o techniku, která rozděluje fyzická zařízení v síti LAN do několika podsítí podle logických vztahů. VLAN je konfigurována na síťových přepínačích tak, aby rozdělila síťová zařízení do různých logických skupin. I když se tato zařízení mohou fyzicky nacházet na různých místech, VLAN jim umožňuje logicky patřit do stejné sítě, což umožňuje flexibilní správu a izolaci.
Jádrem technologie VLAN je rozdělení portů přepínače. Přepínače spravují provoz na základě VLAN ID (identifikátoru VLAN). VLAN ID se pohybují od 1 do 4095 a obvykle se jedná o 12 binárních číslic (tj. rozsah 0 až 4095), což znamená, že přepínač může podporovat až 4 096 VLan.
Pracovní postup
○ Identifikace VLAN: Když paket vstoupí do přepínače, přepínač na základě informací o ID VLAN v paketu rozhodne, do které VLAN má být paket přeposlán. Pro označení datového rámce pomocí VLAN se obvykle používá protokol IEEE 802.1Q.
○ Vysílací doména VLAN: Každá VLAN je nezávislá vysílací doména. I když je na stejném fyzickém přepínači více sítí VLAN, jejich vysílání jsou od sebe navzájem izolována, což snižuje zbytečný vysílací provoz.
○ Přeposílání dat: Přepínač přeposílá datový paket na odpovídající port podle různých značek VLAN. Pokud zařízení mezi různými VLAN potřebují komunikovat, musí být přeposílána přes zařízení vrstvy 3, jako jsou například routery.
Předpokládejme, že máte firmu s více odděleními, z nichž každé používá jinou VLAN. Pomocí přepínače můžete rozdělit všechna zařízení ve finančním oddělení do VLAN 10, v obchodním oddělení do VLAN 20 a v technickém oddělení do VLAN 30. Tímto způsobem je síť mezi odděleními zcela izolována.
Výhody
○ Vylepšené zabezpečení: VLAN dokáže efektivně zabránit neoprávněnému přístupu mezi různými VLan rozdělením různých služeb do různých sítí.
○ Správa síťového provozu: Alokací VLAN lze předejít broadcastovým bouřím a zefektivnit síť. Vysílací pakety se budou šířit pouze v rámci VLAN, čímž se sníží využití šířky pásma.
○ Flexibilita sítě: VLAN umožňuje flexibilně rozdělit síť podle obchodních potřeb. Například zařízení ve finančním oddělení lze přiřadit ke stejné VLAN, i když se fyzicky nacházejí na různých patrech.
Omezení
○ Omezená škálovatelnost: Vzhledem k tomu, že VLány se spoléhají na tradiční přepínače a podporují až 4096 VLán, může se to stát úzkým hrdlem pro velké sítě nebo rozsáhlá virtualizovaná prostředí.
○ Problém s připojením napříč doménami: VLAN je lokální síť, komunikace napříč VLAN musí probíhat přes třívrstvý přepínač nebo router, což může zvýšit složitost sítě.
Scénář aplikace
○ Izolace a zabezpečení v podnikových sítích: VLAN se široce používají v podnikových sítích, zejména ve velkých organizacích nebo v prostředích s více odděleními. Zabezpečení a řízení přístupu k síti lze zajistit oddělením různých oddělení nebo obchodních systémů pomocí VLAN. Například finanční oddělení bude často v jiné VLAN než oddělení výzkumu a vývoje, aby se zabránilo neoprávněnému přístupu.
○ Snížení broadcastového bouře: VLAN pomáhá omezit broadcastový provoz. Za normálních okolností se broadcastové pakety šíří po celé síti, ale v prostředí VLAN se broadcastový provoz šíří pouze v rámci VLAN, což efektivně snižuje zátěž sítě způsobenou broadcastovým bouří.
○ Malá nebo střední lokální síť: Pro některé malé a střední podniky poskytuje VLAN jednoduchý a efektivní způsob, jak vybudovat logicky izolovanou síť, což zvyšuje flexibilitu správy sítě.
VXLAN (virtuální rozšířená lokální síť)
VXLAN (Virtual Extensible LAN) je nová technologie navržená k řešení omezení tradičních VLAN ve velkých datových centrech a virtualizačních prostředích. Využívá technologii zapouzdření k přenosu datových paketů vrstvy 2 (L2) přes stávající síť vrstvy 3 (L3), čímž překonává omezení škálovatelnosti VLAN.
Díky technologii tunelování a mechanismu zapouzdření VXLAN „zabalí“ původní datové pakety vrstvy 2 do datových paketů IP vrstvy 3, takže datové pakety mohou být přenášeny v existující IP síti. Jádrem VXLAN spočívá jeho mechanismus zapouzdření a odzapouzdření, tj. tradiční datový rámec L2 je zapouzdřen protokolem UDP a přenášen přes IP síť.
Pracovní postup
○ Zapouzdření záhlaví VXLAN: V implementaci VXLAN bude každý paket vrstvy 2 zapouzdřen jako paket UDP. Zapouzdření VXLAN zahrnuje: identifikátor sítě VXLAN (VNI), záhlaví UDP, záhlaví IP a další informace.
○ Tunelový terminál (VTEP): VXLAN využívá tunelovací technologii a pakety jsou zapouzdřovány a odevzdávány prostřednictvím dvojice zařízení VTEP. VTEP, VXLAN Tunnel Endpoint, je most spojující VLAN a VXLAN. VTEP zapouzdřuje přijaté L2 pakety jako VXLAN pakety a odesílá je do cílového VTEP, který následně odevzdává zapouzdřené pakety do původních L2 paketů.
○ Proces zapouzdření VXLAN: Po připojení záhlaví VXLAN k původnímu datovému paketu je datový paket přenesen do cílového VTEP prostřednictvím IP sítě. Cílový VTEP paket dekapsuluje a na základě informací VNI jej přepošle správnému příjemci.
Výhody
○ Škálovatelná: VXLAN podporuje až 16 milionů virtuálních sítí (VNI), což je mnohem více než 4096 identifikátorů VLAN, takže je ideální pro rozsáhlá datová centra a cloudová prostředí.
○ Podpora napříč datovými centry: VXLAN dokáže rozšířit virtuální síť mezi více datovými centry v různých geografických lokalitách, čímž překonává omezení tradičních VLAN a je vhodná pro moderní cloudová výpočetní a virtualizační prostředí.
○ Zjednodušení sítě datových center: Prostřednictvím sítě VXLAN mohou být hardwarová zařízení od různých výrobců interoperabilní, podporovat prostředí s více nájemci a zjednodušovat návrh sítě ve velkých datových centrech.
Omezení
○ Vysoká složitost: Konfigurace sítě VXLAN je relativně složitá a zahrnuje zapouzdření tunelů, konfiguraci VTEP atd., což vyžaduje dodatečnou technickou podporu zásobníku a zvyšuje složitost provozu a údržby.
○ Latence sítě: Vzhledem k dodatečnému zpracování vyžadovanému procesem zapouzdření a odzapouzdření může VXLAN způsobit určitou latenci sítě, ačkoli tato latence je obvykle malá, ale přesto je třeba ji v prostředích s vysokými nároky na výkon vzít v úvahu.
Scénář aplikace VXLAN
○ Virtualizace sítě datových center: VXLAN se široce používá ve velkých datových centrech. Servery v datovém centru obvykle používají virtualizační technologii. VXLAN může pomoci vytvořit virtuální síť mezi různými fyzickými servery, čímž se zabrání omezení škálovatelnosti VLAN.
○ Cloudové prostředí s více klienty: Ve veřejném nebo soukromém cloudu může VXLAN poskytovat nezávislou virtuální síť pro každého klienta a identifikovat virtuální síť každého klienta pomocí VNI. Tato funkce VXLAN je vhodná pro moderní cloudové výpočty a prostředí s více klienty.
○ Škálování sítě napříč datovými centry: VXLAN je obzvláště vhodný pro scénáře, kde je třeba virtuální sítě nasadit napříč více datovými centry nebo geografickými oblastmi. Protože VXLAN používá pro zapouzdření IP sítě, je schopen snadno pokrýt různá datová centra a geografické lokality a dosáhnout tak rozšíření virtuální sítě v globálním měřítku.
VLAN vs. VxLAN
VLAN a VXLAN jsou technologie virtualizace sítí, ale jsou vhodné pro různé aplikační scénáře. VLAN je vhodná pro malá nebo středně velká síťová prostředí a může poskytnout základní izolaci a zabezpečení sítě. Její silnou stránkou je jednoduchost, snadná konfigurace a široká podpora.
VXLAN je technologie navržená tak, aby zvládala potřebu rozsáhlého rozšiřování sítí v moderních datových centrech a cloudových výpočetních prostředích. Silnou stránkou VXLAN je její schopnost podporovat miliony virtuálních sítí, díky čemuž je vhodná pro nasazení virtualizovaných sítí napříč datovými centry. Boří omezení škálovatelnosti VLAN a je vhodná pro složitější návrhy sítí.
Ačkoli se název VXLAN jeví jako rozšiřující protokol VLAN, ve skutečnosti se VXLAN od VLAN podstatně liší svou schopností vytvářet virtuální tunely. Hlavní rozdíly mezi nimi jsou následující:
Funkce | VLAN | VXLAN |
|---|---|---|
| Norma | IEEE 802.1Q | RFC 7348 (IETF) |
| Vrstva | Vrstva 2 (datový spoj) | Vrstva 2 nad vrstvou 3 (L2oL3) |
| Zapouzdření | Ethernetový header 802.1Q | MAC-in-UDP (zapouzdřená v IP) |
| Velikost ID | 12bitové (0–4095 VLAN) | 24bitový (16,7 milionu virtuálních virtuálních identifikátorů) |
| Škálovatelnost | Omezené (4094 použitelných VLAN) | Vysoce škálovatelný (podporuje cloudové systémy s více klienty) |
| Zpracování vysílání | Tradiční zahlcení (v rámci VLAN) | Používá IP multicast nebo replikaci headendu |
| Režijní náklady | Nízká (4bajtová značka VLAN) | Vysoká (~50 bajtů: hlavičky UDP + IP + VXLAN) |
| Izolace provozu | Ano (na VLAN) | Ano (podle VNI) |
| Tunelování | Bez tunelování (plochá L2) | Používá VTEP (koncové body tunelu VXLAN) |
| Případy použití | Malé/střední LAN sítě, podnikové sítě | Cloudová datová centra, SDN, VMware NSX, Cisco ACI |
| Závislost Spanning Tree (STP) | Ano (aby se zabránilo smyčkám) | Ne (používá směrování vrstvy 3, vyhýbá se problémům s STP) |
| Hardwarová podpora | Podporováno na všech přepínačích | Vyžaduje přepínače/NIC s podporou VXLAN (nebo softwarové VTEP) |
| Podpora mobility | Omezené (v rámci stejné domény L2) | Lepší (virtuální počítače se mohou přesouvat mezi podsítěmi) |
Co může Mylinking™ Network Packet Broker udělat pro síťovou virtuální technologii?
Označená VLAN, Neoznačená VLAN, Nahrazená VLAN:
Podporováno porovnávání libovolného klíčového pole v prvních 128 bajtech paketu. Uživatel si může přizpůsobit hodnotu offsetu a délku a obsah klíčového pole a určit politiku výstupu provozu podle konfigurace uživatele.
Odstraňování zapouzdření tunelu:
Podporovala hlavičky VxLAN, VLAN, GRE, GTP, MPLS a IPIP, které byly v původním datovém paketu odstraněny a výstup byl přeposlán.
Identifikace tunelovacího protokolu
Podporuje automatickou identifikaci různých tunelovacích protokolů, jako například GTP / GRE / PPTP / L2TP / PPPOE/IPIP. V závislosti na uživatelské konfiguraci lze strategii výstupu provozu implementovat podle vnitřní nebo vnější vrstvy tunelu.
Více informací o souvisejících tématech naleznete zdeZprostředkovatel síťových paketů.
Čas zveřejnění: 25. června 2025
