Nykyaikaisessa verkkoarkkitehtuurissa VLAN (Virtual Local Area Network) ja VXLAN (Virtual Extended Local Area Network) ovat kaksi yleisintä verkon virtualisointitekniikkaa. Ne saattavat vaikuttaa samankaltaisilta, mutta niiden välillä on itse asiassa useita keskeisiä eroja.
VLAN (virtuaalinen lähiverkko)
VLAN on lyhenne sanoista Virtual Local Area Network (Virtual local area network). Se on tekniikka, joka jakaa lähiverkon fyysiset laitteet useisiin aliverkkoihin loogisten suhteiden mukaan. VLAN konfiguroidaan verkkokytkimissä jakamaan verkkolaitteet eri loogisiin ryhmiin. Vaikka nämä laitteet sijaitsisivat fyysisesti eri paikoissa, VLAN mahdollistaa niiden loogisen kuulumisen samaan verkkoon, mikä mahdollistaa joustavan hallinnan ja eristämisen.
VLAN-teknologian ydin on kytkimen porttien jakaminen. Kytkimet hallitsevat liikennettä VLAN-tunnuksen (VLAN-tunniste) perusteella. VLAN-tunnukset vaihtelevat välillä 1 - 4095 ja ovat tyypillisesti 12 binäärinumeroa (eli väli 0 - 4095), mikä tarkoittaa, että kytkin voi tukea jopa 4 096 VLAN-verkkoa.
Työnkulku
○ VLAN-tunnistus: Kun paketti saapuu kytkimeen, kytkin päättää paketin VLAN-tunnistetietojen perusteella, mihin VLANiin paketti tulisi välittää. Yleensä datakehyksen VLAN-tunnistukseen käytetään IEEE 802.1Q -protokollaa.
○ VLAN-lähetysalue: Jokainen VLAN on itsenäinen lähetysalue. Vaikka useita VLaneja olisi samalla fyysisellä kytkimellä, niiden lähetykset on eristetty toisistaan, mikä vähentää tarpeetonta lähetysliikennettä.
○ Tiedon edelleenlähetys: Kytkin välittää datapaketin vastaavaan porttiin eri VLAN-tunnisteiden mukaisesti. Jos eri VLan-verkkojen välisten laitteiden on kommunikoitava keskenään, ne on välitettävä kerroksen 3 laitteiden, kuten reitittimien, kautta.
Oletetaan, että yrityksessäsi on useita osastoja, joista jokainen käyttää eri VLANia. Kytkimen avulla voit jakaa kaikki talousosaston laitteet VLAN 10:een, myyntiosaston laitteet VLAN 20:een ja teknisen osaston laitteet VLAN 30:een. Tällä tavoin osastojen välinen verkko on täysin eristetty.
Edut
○ Parannettu tietoturva: VLAN voi tehokkaasti estää luvattoman pääsyn eri VLan-verkkojen välillä jakamalla eri palvelut eri verkkoihin.
○ Verkkoliikenteen hallinta: VLAN-verkkojen allokoinnilla voidaan välttää lähetysmyrskyjä ja tehostaa verkkoa. Lähetyspaketit etenevät vain VLAN-verkon sisällä, mikä vähentää kaistanleveyden käyttöä.
○ Verkon joustavuus: VLAN voi jakaa verkon joustavasti liiketoiminnan tarpeiden mukaan. Esimerkiksi talousosaston laitteet voidaan liittää samaan VLANiin, vaikka ne sijaitsisivat fyysisesti eri kerroksissa.
Rajoitukset
○ Rajoitettu skaalautuvuus: Koska virtuaaliverkot (VLAN) perustuvat perinteisiin kytkimiin ja tukevat jopa 4096 VLANia, tästä voi tulla pullonkaula suurille verkoille tai laajamittaisille virtualisoiduille ympäristöille.
○ Verkkotunnusten välinen yhteysongelma: VLAN on paikallinen verkko, joten VLANien välinen tiedonsiirto on suoritettava kolmikerroksisen kytkimen tai reitittimen kautta, mikä voi lisätä verkon monimutkaisuutta.
Sovellusskenaario
○ Eristäminen ja tietoturva yritysverkoissa: VLaneja käytetään laajalti yritysverkoissa, erityisesti suurissa organisaatioissa tai osastojen välisissä ympäristöissä. Verkon tietoturva ja käyttöoikeuksien hallinta voidaan varmistaa jakamalla eri osastot tai liiketoimintajärjestelmät VLANin avulla. Esimerkiksi talousosasto on usein eri VLANissa kuin tutkimus- ja kehitysosasto luvattoman käytön estämiseksi.
○ Vähennä lähetysmyrskyä: VLAN auttaa rajoittamaan lähetysliikennettä. Normaalisti lähetyspaketit leviävät koko verkkoon, mutta VLAN-ympäristössä lähetysliikenne leviää vain VLANin sisällä, mikä vähentää tehokkaasti lähetysmyrskyn aiheuttamaa verkon kuormitusta.
○ Pieni tai keskikokoinen lähiverkko: Joillekin pienille ja keskisuurille yrityksille VLAN tarjoaa yksinkertaisen ja tehokkaan tavan rakentaa loogisesti eristetty verkko, mikä tekee verkonhallinnasta joustavampaa.
VXLAN (virtuaalinen laajennettu lähiverkko)
VXLAN (Virtual Extensible LAN) on uusi teknologia, joka on ehdotettu ratkaisemaan perinteisen VLANin rajoitukset suurissa datakeskuksissa ja virtualisointiympäristöissä. Se käyttää kapselointitekniikkaa siirtääkseen kerroksen 2 (L2) datapaketteja olemassa olevan kerroksen 3 (L3) verkon kautta, mikä rikkoo VLANin skaalautuvuusrajoitukset.
Tunnelointitekniikan ja kapselointimekanismin avulla VXLAN "käärii" alkuperäiset kerroksen 2 datapaketit kerroksen 3 IP-datapaketteihin, jotta datapaketit voidaan lähettää olemassa olevassa IP-verkossa. VXLANin ydin on sen kapselointi- ja kapseloimatta jättämismekanismi, eli perinteinen L2-datakehys kapseloidaan UDP-protokollalla ja lähetetään IP-verkon kautta.
Työnkulku
○ VXLAN-otsikon kapselointi: VXLANin toteutuksessa jokainen kerroksen 2 paketti kapseloidaan UDP-paketiksi. VXLAN-kapselointi sisältää: VXLAN-verkkotunnuksen (VNI), UDP-otsikon, IP-otsikon ja muita tietoja.
○ Tunnel Terminal (VTEP): VXLAN käyttää tunnelointitekniikkaa, ja paketit kapseloidaan ja puretaan kapseloinnista kahden VTEP-laitteen kautta. VTEP, VXLAN Tunnel Endpoint, on silta, joka yhdistää VLANin ja VXLANin. VTEP kapseloi vastaanotetut L2-paketit VXLAN-paketeiksi ja lähettää ne kohde-VTEP:lle, joka puolestaan purkaa kapseloidut paketit alkuperäisiksi L2-paketeiksi.
○ VXLANin kapselointiprosessi: Kun VXLAN-otsikko on liitetty alkuperäiseen datapakettiin, datapaketti lähetetään kohde-VTEP:lle IP-verkon kautta. Kohde-VTEP purkaa paketin kapseloinnin ja välittää sen oikealle vastaanottajalle VNI-tietojen perusteella.
Edut
○ Skaalautuva: VXLAN tukee jopa 16 miljoonaa virtuaaliverkkoa (VNI), mikä on paljon enemmän kuin VLANin 4096 tunnistetta, joten se sopii ihanteellisesti suuriin datakeskuksiin ja pilviympäristöihin.
○ Tietokeskusten välinen tuki: VXLAN voi laajentaa virtuaaliverkkoa useiden eri maantieteellisissä paikoissa sijaitsevien tietokeskusten välillä, rikkoen perinteisen VLANin rajoitukset ja sopii nykyaikaisiin pilvilaskenta- ja virtualisointiympäristöihin.
○ Yksinkertaista datakeskusverkkoa: VXLANin avulla eri valmistajien laitteistot voivat olla yhteentoimivia, tukea usean vuokralaisen ympäristöjä ja yksinkertaistaa suurten datakeskusten verkkosuunnittelua.
Rajoitukset
○ Korkea monimutkaisuus: VXLANin kokoonpano on suhteellisen monimutkainen ja sisältää tunnelikapseloinnin, VTEP-konfiguroinnin jne., mikä vaatii lisää teknistä tukea ja lisää käytön ja ylläpidon monimutkaisuutta.
○ Verkon latenssi: Kapselointi- ja purkamisprosessien vaatiman lisäprosessoinnin vuoksi VXLAN saattaa aiheuttaa jonkin verran verkkolatenssia. Vaikka latenssi on yleensä pieni, se on silti otettava huomioon suorituskykyä vaativissa ympäristöissä.
VXLAN-sovellusskenaario
○ Datakeskusverkon virtualisointi: VXLANia käytetään laajalti suurissa datakeskuksissa. Datakeskuksen palvelimet käyttävät yleensä virtualisointitekniikkaa, ja VXLAN voi auttaa luomaan virtuaaliverkon eri fyysisten palvelimien välille, välttäen VLANin skaalautuvuuden rajoitukset.
○ Usean vuokralaisen pilviympäristö: Julkisessa tai yksityisessä pilvessä VXLAN voi tarjota itsenäisen virtuaaliverkon jokaiselle vuokralaiselle ja tunnistaa kunkin vuokralaisen virtuaaliverkon VNI:n avulla. Tämä VXLANin ominaisuus sopii hyvin nykyaikaisiin pilvipalveluihin ja usean vuokralaisen ympäristöihin.
○ Verkon skaalaus datakeskusten välillä: VXLAN sopii erityisesti tilanteisiin, joissa virtuaaliverkkoja on otettava käyttöön useissa datakeskuksissa tai maantieteellisillä alueilla. Koska VXLAN käyttää IP-verkkoja kapselointiin, se pystyy helposti kattamaan eri datakeskuksia ja maantieteellisiä sijainteja virtuaaliverkon laajentamiseksi maailmanlaajuisesti.
VLAN vs. VxLAN
VLAN ja VXLAN ovat molemmat verkon virtualisointitekniikoita, mutta ne sopivat erilaisiin sovellusskenaarioihin. VLAN sopii pieniin tai keskisuuriin verkkoympäristöihin ja voi tarjota perusverkon eristämisen ja turvallisuuden. Sen vahvuudet ovat yksinkertaisuus, helppo konfigurointi ja laaja tuki.
VXLAN on teknologia, joka on suunniteltu vastaamaan laajamittaisen verkon laajennuksen tarpeisiin nykyaikaisissa datakeskuksissa ja pilvipalveluympäristöissä. VXLANin vahvuus on sen kyvyssä tukea miljoonia virtuaaliverkkoja, mikä tekee siitä sopivan virtualisoitujen verkkojen käyttöönottoon datakeskuksissa. Se rikkoo VLANin skaalautuvuuden rajoitukset ja soveltuu monimutkaisempaan verkkosuunnitteluun.
Vaikka VXLAN-nimi näyttää olevan VLANin laajennusprotokolla, VXLAN on itse asiassa eronnut huomattavasti VLANista virtuaalisten tunnelien rakentamiskyvyltään. Tärkeimmät erot niiden välillä ovat seuraavat:
Ominaisuus | VLAN | VXLAN |
|---|---|---|
| Standardi | IEEE 802.1Q | RFC 7348 (IETF) |
| Kerros | Kerros 2 (datayhteys) | Kerros 2 kerroksen 3 päällä (L2oL3) |
| Kapselointi | 802.1Q Ethernet-otsikko | MAC-in-UDP (kapseloitu IP-osoitteeseen) |
| ID-koko | 12-bittinen (0–4095 VLANia) | 24-bittinen (16,7 miljoonaa VNI:tä) |
| Skaalautuvuus | Rajoitettu (4094 käytettävissä olevaa VLANia) | Erittäin skaalautuva (tukee usean vuokralaisen pilvipalveluita) |
| Lähetysten käsittely | Perinteinen tulva (VLANin sisällä) | Käyttää IP-monilähetystä tai päätelaitteen replikointia |
| Yläkulut | Matala (4-tavuinen VLAN-tunniste) | Korkea (~50 tavua: UDP + IP + VXLAN-otsikot) |
| Liikenteen eristäminen | Kyllä (VLAN-kohtainen) | Kyllä (VNI:n mukaan) |
| Tunnelointi | Ei tunnelointia (tasainen L2) | Käyttää VTEP:itä (VXLAN-tunnelin päätepisteitä) |
| Käyttötapaukset | Pienet/keskikokoiset lähiverkot, yritysverkot | Pilvidatakeskukset, SDN, VMware NSX, Cisco ACI |
| Virittävä puu (STP) -riippuvuus | Kyllä (silmukoiden estämiseksi) | Ei (käyttää kerroksen 3 reititystä, välttää STP-ongelmat) |
| Laitteistotuki | Tuettu kaikissa kytkimissä | Vaatii VXLAN-yhteensopivat kytkimet/verkkokortit (tai ohjelmistopohjaiset VTEP:t) |
| Liikkuvuuden tuki | Rajoitettu (samassa L2-verkkotunnuksessa) | Parempi (virtuaalikoneet voivat liikkua aliverkkojen välillä) |
Mitä Mylinking™ Network Packet Broker voi tehdä verkkovirtuaaliteknologialle?
VLAN merkitty, VLAN merkitty, VLAN korvattu:
Tuki minkä tahansa avainkentän täsmäytymiselle paketin ensimmäisissä 128 tavussa. Käyttäjä voi mukauttaa offset-arvoa sekä avainkentän pituutta ja sisältöä sekä määrittää liikenteen lähtökäytännön käyttäjäasetusten mukaisesti.
Tunnelin kapseloinnin purkaminen:
Tuki VxLAN-, VLAN-, GRE-, GTP-, MPLS- ja IPIP-otsikoille, jotka on poistettu alkuperäisestä datapaketista ja edelleenlähetetystä tulosteesta.
Tunnelointiprotokollan tunnistus
Tukee erilaisten tunnelointiprotokollien, kuten GTP / GRE / PPTP / L2TP / PPPOE/IPIP, automaattista tunnistamista. Käyttäjän kokoonpanon mukaan liikenteen lähtöstrategia voidaan toteuttaa tunnelin sisä- tai ulkokerroksen mukaan.
Voit tarkistaa täältä lisätietoja asiaan liittyvistä asioistaVerkkopakettien välittäjä.
Julkaisun aika: 25. kesäkuuta 2025
