Siarhei - stock.adobe.com

VXLAN vs. VLAN: Was ist der Unterschied?

VLANs bieten Vorteile in Bezug auf die Sicherheit und die Verwaltung des Datenverkehrs, haben aber Einschränkungen beim Routing und der Skalierung. VXLANs lösen diese Probleme.

Netzwerkexperten verwenden seit Jahren virtuelle LANs (VLAN), um Teile einer Anwendung zu verbinden und ihre Daten von anderen Anwendungen zu isolieren, die einen anderen Satz von VLANs verwenden. VLANs haben jedoch einige Einschränkungen, die ihren Einsatz in großen Rechenzentren und Cloud-Umgebungen behindern.

Wie VLANs funktionieren

Ein VLAN schafft ein Overlay-Netzwerk über einem physischen LAN. Das VLAN arbeitet auf Layer 2, der Sicherungsschicht, des OSI-Modells. Netzwerkadministratoren können VLANs einrichten, um Datenverkehr und Ressourcen für bestimmte Geräte und Abteilungen zu segmentieren.

VLANs bieten eine verbesserte Sicherheit und Verkehrsverwaltung für Unternehmensnetzwerke. Der IEEE 802.1Q-Standard begrenzt jedoch die Anzahl der unterstützten VLANs auf maximal 4.096, was auf die im Standard beschriebene 12-Bit-VLAN-Tagging-Methode zurückzuführen ist. Diese Begrenzung ist in Umgebungen mit großen Rechenzentren und Clouds eine Herausforderung. Dies gilt insbesondere für Public Clouds, in denen Anwendungen gleichzeitig für mehrere Kunden ausgeführt werden.

In großen Rechenzentren können ausführbare Komponenten, die eine Anwendung bilden oder einen Service bereitstellen, auf mehreren virtuellen Maschinen (VM) ausgeführt werden, die über mehrere Server verteilt sind - in einer einzigen Einrichtung oder in geografisch entfernten Zentren. Da VLANs auf Layer 2 arbeiten, können Anwendungskomponenten nicht in verschiedene Subnetze oder über das Netzwerk geroutet werden.

Abbildung 1: VLANs können den Verkehr für verschiedene Abteilungen segmentieren, wobei für jede Gruppierung spezifische Routing- und Sicherheitsrichtlinien verwendet werden.
Abbildung 1: VLANs können den Verkehr für verschiedene Abteilungen segmentieren, wobei für jede Gruppierung spezifische Routing- und Sicherheitsrichtlinien verwendet werden.

Wie VXLANs funktionieren

Das ursprüngliche Konzept des Virtual Extensible LAN (VXLAN) gibt es schon seit einigen Jahren. Es ist kein Internet-Standard, ist aber im Internet Engineering Task Force RFC 7348 dokumentiert. Ursprünglich führten VMware und Cisco VXLANs ein, aber andere Gerätehersteller haben sie schließlich übernommen, um die Einschränkungen von VLANs zu überwinden. VXLANs bieten ein Layer-3-Overlay-Netzwerk, das die Unfähigkeit von VLANs, geroutet zu werden, und die begrenzte Reichweite von 4.096 VLANs pro Switching-Domäne überwindet.

Die Anwendungen verwenden weiterhin VLANs, aber VXLANs verpacken die VLANs einer Anwendung in UDP-Pakete (User Datagram Protocol), die geroutet werden können. VXLANs sind für Anwendungskomponenten nicht sichtbar, sodass Administratoren keine Änderungen an den Anwendungen vornehmen müssen. Jede Anwendung erhält einen vollständigen Satz von 4.096 verfügbaren VLANs.

VXLANs werden durch einen 24-Bit-VXLAN-Netzwerkbezeichner (VNI) identifiziert, wodurch bis zu 16 Millionen VXLANs innerhalb einer einzigen Verwaltungsdomäne möglich sind.

Abbildung 2: Prinzipielle Funktionsweise der VXLAN-Technologie.
Abbildung 2: Prinzipielle Funktionsweise der VXLAN-Technologie.

VTEP

Ein virtueller Tunnelendpunkt (VTEP) leitet Daten zwischen Subnetzen oder über das Netzwerk. VTEPs befinden sich häufig innerhalb eines virtuellen System-Hypervisors, können aber auch in einem Router untergebracht sein. Der VTEP, der ein VXLAN unterstützt, muss Zugriff auf die VLANs haben, die eine Anwendung verwendet. Außerdem muss er Schnittstellen zu allen Netzwerkverbindungen unterhalten, die erforderlich sind, um die Systeme zu erreichen, in denen sich Anwendungskomponenten befinden.

Vor der Übertragung von Daten verpackt der VTEP die Daten in ein UDP-Paket. Der Paketkopf beinhaltet die Ziel-IP-Adresse und einen 8-Byte-VXLAN-Header. Der VXLAN-Header enthält die folgenden Informationen:

  • eine 24-Bit-VNI
  • ein 8-Bit-Flag-Feld, bei dem ein einziges Bit auf eins gesetzt ist
  • zwei weitere Felder mit insgesamt 32 Bit, die für die zukünftige Verwendung reserviert sind

Der empfangende VTEP entfernt die UDP- und VTEP-Header, bevor er die VLAN-Daten an die entsprechenden Anwendungskomponenten weiterleitet. Keiner der beiden VTEP verändert die Daten, so dass die empfangenen Daten identisch mit denen sind, die die sendende Anwendungskomponente übermittelt hat.

Multicast zur Kommunikation über das Netzwerk

Anstatt jedes Paket mehrmals zu senden, verwenden VTEPs Multicast-Routing, um jedes ausgehende Paket einmal zu senden und mehrere Ziele zu erreichen. Das Netzwerkmanagement überwacht die Zuweisung von Multicast-Gruppen und entsprechenden Multicast-Adressen. Multicast-IP-Adressen liegen im Bereich von 224.0.0.0 bis 239.255.255.255. Einem VTEP wird für jede von ihm unterstützte Anwendung eine Adresse zugewiesen.

Wenn eine Anwendungskomponente eine Kommunikation mit einer anderen Komponente einleitet, arbeitet sie genauso wie in einer Nicht-VXLAN-Umgebung. Befindet sich das Ziel im gleichen Subnetz, verwendet sie eine ARP-Broadcast-Nachricht (Address Resolution Protocol), um die andere Komponente zu finden. Befindet sich das Ziel in einem anderen Subnetz, sendet die Anwendung ARP-Nachrichten für den First Hop Router, der auch als VTEP dienen kann. Wenn der Router nicht eingeschaltet ist, sendet die Anwendung ARP-Nachrichten an einen VTEP.

Der VTEP kapselt die ARP-Anfrage in UDP- und VXLAN-Header ein und sendet das Paket an die IP-Multicast-Gruppe, die dem VXLAN-Segment zugeordnet ist, zu dem die kommunizierenden Komponenten gehören.

Der VTEP, der die Zielanwendungskomponente unterstützt, entfernt die UDP- und VXLAN-Header und belässt die VLAN-Daten so, wie sie von der übertragenden Komponente gesendet wurden. Der VTEP lokalisiert dann das Ziel mit einem ARP-Paket, so wie er es tun würde, wenn das Netzwerk auf ein einziges System beschränkt wäre. Datenpakete und Antwortnachrichten werden mit denselben Methoden übertragen wie bei der ursprünglichen Übertragung.

VXLANs bieten ein Layer-3-Overlay-Netzwerk, das die Unfähigkeit von VLANs, geroutet zu werden, und die begrenzte Reichweite von 4.096 VLANs pro Switching-Domäne überwindet.

Kommunikation außerhalb des VXLANs

In manchen Fällen müssen Anwendungen außerhalb der VXLAN-Umgebung kommunizieren. In diesem Zusammenhang entfernt ein VXLAN-Gateway die VXLAN- und UDP-Header und leitet die Pakete an die Ziele weiter. Die Antworten gehen an das Gateway. VXLAN- und UDP-Header werden angehängt, und die Nachricht wird auf demselben Weg zurückgeschickt, auf dem sie gekommen ist. Weder die Quell-VM noch die Ziel-VM müssen geändert werden, um an dem Austausch teilzunehmen.

VXLANs sind für große Umgebungen nützlich

Es gibt viele Netzwerk-Overlay-Optionen, die jeweils für bestimmte Anwendungsumgebungen geeignet sind, aber VXLANs bewähren sich weiterhin in großen Rechenzentren und Cloud-Umgebungen. Wenn Unternehmen Netzwerkänderungen oder -erweiterungen vornehmen, können sie VXLANs entsprechend einbinden.

Erfahren Sie mehr über WAN und Cloud-Networking