Segmentace sítě představuje klíčový prvek v řízení a zabezpečení dnešních IT infrastruktur.
Dvě populární metody pro efektivní segmentaci sítě jsou VXLAN a VLAN.
Pojďme si detailněji prohlédnout charakteristiky technologií VXLAN a VLAN a zjistit, jak mohou formovat vaši síťovou architekturu.
Co je to VLAN?
Zdroj obrázku: Wikipedie
VLAN je zkratka pro virtuální lokální síť (Virtual Local Area Network).
Jedná se o technologii, která se v počítačových sítích používá k rozdělení jedné fyzické sítě do několika logických sítí.
Podívejme se na názorný příklad pro lepší pochopení této myšlenky.
Představte si, že pracujete v rozsáhlé kancelářské budově, ve které sídlí různá oddělení: technické, marketingové a účetní.
Každé z těchto oddělení disponuje vlastní sadou počítačů, tiskáren a dalšího síťového vybavení.
Nicméně, celá budova využívá pouze jedinou fyzickou síťovou infrastrukturu.
Pokud by neexistovaly sítě VLAN, všechna zařízení v budově by byla součástí jediné vysílací domény. To by znamenalo, že by všechna zařízení přijímala veškerý síťový provoz. To by mohlo vést k bezpečnostním rizikům a k neefektivnímu zpracování síťového provozu.
Pro eliminaci těchto problémů se implementují sítě VLAN. Každá VLAN funguje jako oddělená vysílací doména, což umožňuje lepší správu a vyšší výkon sítě.
Zdroj obrázku: fiberopticshare
Řekněme, že vytvoříte tři sítě VLAN, které budou odpovídat jednotlivým oddělením.
VLAN 1: Technické oddělení
VLAN 2: Marketingové oddělení
VLAN 3: Účetní oddělení
Když se do sítě připojí počítač nebo jiné síťové zařízení, může být zařazeno do jedné z těchto sítí VLAN.
Například – všechny počítače a zařízení v technickém oddělení jsou přiřazeny do VLAN 1.
Pokud chce počítač z technického oddělení poslat zprávu jinému počítači v rámci stejné VLAN, zpráva zůstane v VLAN 1 a nebude se rozesílat do zařízení v jiných VLAN, jako je marketing nebo účetnictví.
Toto rozdělení zajišťuje, že citlivé informace jsou přístupné pouze autorizovaným zařízením v dané VLAN.
Co je to VXLAN?
VXLAN je zkratka pro Virtual Extensible LAN (virtuální rozšířitelná LAN).
Jedná se o technologii síťové virtualizace, která se používá k rozšíření segmentů sítě druhé vrstvy (datové linkové vrstvy) přes IP síť. Byla vyvinuta s cílem vyřešit omezení tradičních sítí VLAN v rozsáhlých datových centrech.
Zdroj obrázku: fiberopticshare
Běžně se využívá v datových centrech a cloudových prostředích k vytvoření logických síťových překryvů, které mohou pokrýt více segmentů fyzické sítě.
VXLAN zapouzdřuje ethernetové rámce druhé vrstvy do UDP paketů třetí vrstvy, což umožňuje jejich přenos přes IP síť.
Jak funguje VXLAN?
Představte si, že máte rozsáhlé datové centrum s mnoha fyzickými servery a virtuálními stroji (VM), které na těchto serverech běží.
V tradiční síti založené na VLAN by byl každý virtuální stroj zařazen do určité VLAN. A komunikace mezi virtuálními stroji v různých VLAN by vyžadovala směrování na třetí vrstvě.
Tento přístup může být komplikovaný a může trpět problémy se škálovatelností kvůli omezenému počtu dostupných VLAN ID.
Zdroj obrázků: juniper.net
Pro názornost si představme konkrétní situaci, abychom pochopili, jak VXLAN funguje.
Máme dva fyzické hostitele. Na hostiteli 1 jsou VM1 a VM2 a na hostiteli 2 jsou VM3 a VM4.
Předpokládejme, že hostitel 1 a hostitel 2 jsou součástí sítě s podporou VXLAN a VM1 chce komunikovat s VM3.
Konfigurace VXLAN
Hostitel 1 a hostitel 2 jsou nakonfigurovány jako koncové body tunelu VXLAN (VTEP). To znamená, že disponují potřebnými softwarovými nebo hardwarovými komponentami pro zvládnutí zapouzdření a dekapsulace VXLAN.
Identifikátor sítě VXLAN (VNI)
Virtuální síti je přidělen jedinečný VNI. Řekněme, že VNI pro tuto síť je 1001.
Zapouzdření
VM1, která se nachází na hostiteli 1, chce komunikovat s VM3, která se nachází na hostiteli 2.
Když VM1 odešle paket do VM3, je tento paket zapouzdřen pomocí hlavičky VXLAN.
Hlavička VXLAN obsahuje zdrojové a cílové adresy VTEP (IP adresy hostitele 1 a hostitele 2) a VNI (1001).
Základní IP síť
Zapouzdřený paket je přenesen přes základní IP síť – může se jednat o IPv4 nebo IPv6. IP síť slouží jako transportní infrastruktura pro pakety VXLAN.
Dekapsulace
Po přijetí paketu koncovým bodem VTEP na hostiteli 2 je z paketu odstraněna hlavička VXLAN, což odhalí původní rámec Ethernet druhé vrstvy.
Doručení do VM3
Po dekapsulaci VTEP doručí ethernetový rámec druhé vrstvy do VM3 na hostiteli 2.
VM1 na hostiteli 1 může komunikovat s VM3 na hostiteli 2, jako by byly připojeny do stejné ethernetové sítě druhé vrstvy – přestože se nacházejí na různých fyzických hostitelích.
VXLAN umožňuje tuto komunikaci pomocí zapouzdření a tunelování provozu druhé vrstvy přes sítě třetí vrstvy, což umožňuje rozšíření konektivity druhé vrstvy přes hranice sítě.
Výhody VLAN
Řízení vysílání
Vysílací provoz je omezen v rámci každé VLAN, což redukuje celkovou velikost vysílací domény a snižuje dopad provozu, který by mohl snížit výkon sítě.
Zabezpečení
Umožňuje izolaci sítě a zvyšuje zabezpečení oddělením různých skupin uživatelů nebo zařízení do samostatných vysílacích domén. Tato izolace omezuje rozsah potenciálních narušení bezpečnosti nebo neoprávněného přístupu, což zlepšuje celkovou bezpečnost sítě.
Kvalita služeb (QoS)
Sítě VLAN lze využít k implementaci mechanismů kvality služeb, které umožňují správcům sítě upřednostnit určité typy provozu nebo uplatňovat specifické zásady. Mohou například stanovit limit, kdy by aplikace měla mít k dispozici vysokou šířku pásma.
Zjednodušená správa sítě
Zjednodušuje správu sítě logickým rozdělením rozsáhlé fyzické sítě na menší virtuální sítě. Tato segmentace usnadňuje organizaci zařízení a zjednodušuje úkoly správy sítě.
Výhody VXLAN
Škálovatelnost
VXLAN řeší omezení tradičních VLAN tím, že umožňuje vytvoření až 16 milionů virtuálních sítí – oproti omezenému počtu 4096 VLAN. Této škálovatelnosti je dosaženo díky 24bitovému identifikátoru VXLAN Network Identifier (VNI).
Segmentace sítě
Umožňuje efektivní segmentaci sítě zapouzdřením ethernetových rámců druhé vrstvy do UDP paketů. To umožňuje vytvoření izolovaných virtuálních sítí, které mohou překračovat fyzické hranice, jako jsou datová centra nebo cloudová prostředí.
Multitenance
Podporuje model multitenance, který umožňuje různým organizacím sdílet stejnou fyzickou infrastrukturu a přitom si zachovat své izolované virtuální sítě.
Rozšíření druhé vrstvy přes sítě třetí vrstvy
VXLAN usnadňuje rozšíření konektivity druhé vrstvy přes sítě třetí vrstvy.
To je klíčové pro budování geograficky distribuovaných datových center a umožňuje mobilitu virtuálních strojů mezi různými lokalitami bez nutnosti komplexních technologií rozšíření druhé vrstvy, jako je Virtual Private LAN Service (VPLS).
Srovnávací tabulka
Zde je srovnávací tabulka mezi technologiemi VXLAN a VLAN.
| Vlastnosti | VXLAN | VLAN |
| Zapouzdření | Využívá UDP pro zapouzdření a přenos paketů | Žádné zapouzdření – spoléhá na značkování 802.1Q |
| Škálovatelnost | Podporuje až 16 milionů virtuálních sítí | Omezeno na 4096 VLAN |
| Síťová izolace | Umožňuje izolované sítě na 2. vrstvě v rámci hranic 3. vrstvy | Poskytuje vícenásobné vysílání Handcast replikaci založenou na optimalizaci vysílání |
| Vysílání | Broadcast provoz je omezen v rámci VNI | Broadcast provoz je šířen na všechny porty v rámci VLAN |
| Rozšíření přes více lokalit | Umožňuje rozšíření sítí 2. vrstvy napříč geograficky oddělenými lokalitami | Omezeno na jednu vysílací doménu |
| Správa | Vyžaduje bránu VXLAN pro propojení virtuálních a fyzických sítí | Lze spravovat pomocí přepínačů podporujících VLAN |
Správná implementace VXLAN vyžaduje zařízení podporující VXLAN, které podporuje potřebné protokoly a techniky zapouzdření.
Pomocí těchto zařízení lze vytvářet a spravovat sítě VXLAN.
Na druhou stranu, sítě VLAN jsou v současných síťových infrastrukturách rozšířenější a snadněji se implementují, protože je podporuje většina síťových zařízení bez nutnosti dalšího hardwaru nebo speciální podpory.
Případy použití VLAN
Virtualizace serverů
Sítě VLAN umožňují efektivní správu sítě tím, že poskytují izolaci mezi virtuálními stroji umístěnými na stejném fyzickém serveru ve virtualizovaných prostředích.
Datová centra
Využívají se v serverových farmách a datových centrech pro správu velkého počtu serverů. Umožňují správcům seskupovat servery podle jejich role nebo aplikace.
Hostující sítě
Vytvářejí oddělené sítě pro hosty v prostředích, jako jsou hotely nebo firemní kanceláře. Umožňují návštěvníkům přístup k internetu a zároveň je oddělují od interní sítě organizace.
Virtuální privátní sítě
Sítě VLAN se využívají ve spojení s VPN pro vytvoření zabezpečeného spojení mezi geograficky oddělenými lokalitami. Organizace mohou rozšířit svou privátní síť do více míst a zachovat přitom logické oddělení.
Testování a vývoj
Poskytují izolovaná prostředí pro účely testování a vývoje. Vývojáři mohou vytvářet sítě VLAN určené pro testování nových aplikací nebo služeb, aniž by to ovlivnilo produkční síť.
Případy použití VXLAN
Propojení datových center
VXLAN se používá k propojení více datových center přes WAN. Rozšiřuje konektivitu druhé vrstvy mezi datovými centry, což umožňuje migraci virtuálních strojů a pracovních zátěží mezi lokalitami při zachování jejich síťové konfigurace.
Cloudová infrastruktura
Běžně se využívá v cloudových prostředích pro zajištění síťové virtualizace pro cloudové služby a aplikace. Umožňuje efektivní rozložení zátěže v rámci cloudové infrastruktury.
Překryvné sítě
VXLAN slouží jako základ pro překryvné sítě, které umožňují síťovým inženýrům dynamicky alokovat zdroje a přizpůsobovat se měnícím se požadavkům na pracovní zátěž.
Obnova po havárii
Využívá se ve scénářích obnovy po havárii pro zajištění síťového připojení a převzetí služeb při selhání (failover) mezi primárními a sekundárními datovými centry.
Poznámka autora ✍️
Volba mezi VXLAN a VLAN závisí na konkrétních požadavcích vaší síťové infrastruktury. Obě technologie mají své výhody a nevýhody, které je třeba zvážit.
Pokud potřebujete škálovatelné řešení, které zvládne velké množství virtuálních strojů nebo síťových segmentů, je VXLAN doporučená volba. Poskytuje větší adresní prostor a umožňuje snazší mobilitu pracovních zátěží.
Pokud má vaše síť menší rozsah a jednodušší požadavky, může být VLAN nejvhodnější volbou. Sítě VLAN jsou zavedené a široce podporované ve většině síťových zařízení. Jsou snadno konfigurovatelné a spravovatelné.
Doufám, že vám tento článek pomohl pochopit rozdíly mezi technologiemi VXLAN a VLAN. Možná vás bude zajímat i problematika řízení přístupu k síti a jeho implementace.