Segmentacija mreže ima ključnu ulogu u administraciji i zaštiti savremenih IT infrastruktura.
Dve popularne tehnologije za efikasnu segmentaciju mreže su VXLAN i VLAN.
Hajde da detaljnije istražimo i shvatimo karakteristike VXLAN-a i VLAN-a, kao i kako one mogu da oblikuju vašu mrežnu arhitekturu.
Šta je VLAN?
Izvor slike: Vikipedija
VLAN je skraćenica od Virtual Local Area Network (Virtuelna lokalna mreža).
To je tehnologija koja se primenjuje u računarskim mrežama radi podele jedne fizičke mreže na više logičkih mreža.
Razmotrimo primer kako bismo lakše razumeli koncept.
Zamislite da radite u velikoj poslovnoj zgradi sa nekoliko odeljenja: inženjering, marketing i računovodstvo.
Svako odeljenje poseduje sopstveni set računara, štampača i drugih mrežnih uređaja.
Međutim, cela poslovna zgrada ima samo jednu fizičku mrežnu infrastrukturu.
Bez VLAN-a, svi uređaji u poslovnoj zgradi bili bi deo istog domena za emitovanje. To bi značilo da bi primali sav mrežni saobraćaj. Ovo može dovesti do sigurnosnih problema i neefikasnog upravljanja mrežnim saobraćajem.
VLAN-ovi se implementiraju kako bi se prevazišli ovi problemi. Svaki VLAN funkcioniše kao zaseban domen emitovanja, što omogućava bolju kontrolu i performanse mreže.
Izvor slike – fiberopticshare
Recimo da kreirate tri VLAN mreže koje odgovaraju različitim odeljenjima.
VLAN 1: Inženjering
VLAN 2: Marketing
VLAN 3: Računovodstvo
Kada se računar ili bilo koji drugi mrežni uređaj poveže na mrežu, može mu se dodeliti jedna od ovih VLAN mreža.
Na primer – Svi računari i uređaji u Inženjerskom odeljenju dodeljeni su VLAN 1.
Ako računar u inženjerskom odeljenju želi da pošalje poruku drugom računaru unutar istog VLAN-a, poruka će ostati unutar VLAN 1 i neće se emitovati na uređaje u drugim VLAN-ovima, kao što su Marketing ili Računovodstvo.
Ovakvo razdvajanje osigurava da su osetljive informacije dostupne samo ovlašćenim uređajima unutar istog VLAN-a.
Šta je VXLAN?
VXLAN je skraćenica od Virtual Extensible LAN (Virtuelna proširiva LAN mreža).
To je tehnologija virtualizacije mreže koja se koristi za proširenje segmenata mreže sloja 2 (sloj veze podataka) preko IP mreže. Uveden je kako bi se rešila ograničenja tradicionalnih VLAN-ova u okruženjima velikih data centara.
Izvor slike – fiberopticshare
Obično se koristi u data centrima i okruženjima u oblaku za kreiranje logičkih mrežnih slojeva koji mogu obuhvatati više fizičkih segmenata mreže.
VXLAN enkapsulira Ethernet okvire sloja 2 unutar UDP paketa sloja 3, što im omogućava da se prenose preko IP mreže.
Kako VXLAN funkcioniše?
Zamislite da imate veliki data centar sa više fizičkih servera i virtuelnih mašina (VM) koje rade na tim serverima.
U tradicionalnoj mreži zasnovanoj na VLAN-u, svakoj VM bi bio dodeljen određeni VLAN. Komunikacija između VM-ova u različitim VLAN-ovima zahtevala bi rutiranje na sloju 3.
Ovaj pristup može postati komplikovan i može imati problema sa skalabilnošću zbog ograničenog broja dostupnih VLAN ID-ova.
Izvor slike – juniper.net
Razmotrimo scenario kako bismo razumeli kako ovaj VXLAN funkcioniše.
Postoje 2 fizička hosta. U hostu 1 postoje VM1 i VM2, a u hostu 2 postoje VM3 i VM4.
Pretpostavimo da su Host 1 i Host 2 deo mreže sa omogućenim VXLAN-om, a VM1 želi da komunicira sa VM3.
VXLAN konfiguracija
Host 1 i Host 2 su konfigurisani kao VXLAN Tunnel Endpoints (VTEP). To znači da imaju neophodne softverske ili hardverske komponente za rukovanje VXLAN inkapsulacijom i dekapuslacijom.
VXLAN mrežni identifikator (VNI)
Virtuelnoj mreži se dodeljuje jedinstveni VNI. Recimo da je VNI za ovu mrežu 1001.
Enkapsulacija
VM1, koji se nalazi na Host-u 1 – želi da komunicira sa VM3, koji se nalazi na Host-u 2.
Kada VM1 pošalje paket VM3, on je inkapsuliran sa VXLAN zaglavljem.
VXLAN zaglavlje uključuje izvornu i odredišnu VTEP adresu (IP adrese hosta 1 i hosta 2) i VNI (1001).
Osnovna IP mreža
Inkapsulirani paket se prenosi preko osnovne IP mreže – može biti IPv4 ili IPv6. IP mreža služi kao transportna infrastruktura za VXLAN pakete.
Dekapsulacija
Po prijemu paketa, VTEP na Host-u 2 dekapsulira VXLAN zaglavlje, što otkriva originalni Layer 2 Ethernet okvir.
Isporuka do VM3
Nakon dekapsulacije, VTEP isporučuje Ethernet okvir sloja 2 VM3 na Host 2.
VM1 na hostu 1 može da komunicira sa VM3 na hostu 2 kao da su povezani na istu Ethernet mrežu sloja 2 – iako se nalaze na različitim fizičkim hostovima.
VXLAN omogućava ovu komunikaciju inkapsulacijom i tuneliranjem saobraćaja Layer 2 preko mreža Layer 3, što omogućava proširenje povezivanja Layer 2 preko mrežnih granica.
Prednosti VLAN-a
Kontrola emitovanja
Saobraćaj emitovanja je sadržan unutar svakog VLAN-a, što smanjuje ukupnu veličinu domena emitovanja i ublažava uticaj saobraćaja koji može da pogorša performanse mreže.
Bezbednost
Omogućava mrežnu izolaciju i poboljšava bezbednost odvajanjem različitih grupa korisnika ili uređaja u zasebne domene emitovanja. Ova izolacija ograničava obim potencijalnih kršenja sigurnosti ili neovlašćenog pristupa, što poboljšava ukupnu sigurnost mreže.
Kvalitet usluge (QoS)
VLAN-ovi se mogu koristiti za implementaciju mehanizama kvaliteta usluge koji omogućavaju mrežnim administratorima da daju prioritet određenim vrstama saobraćaja ili primenjuju specifične smernice. Oni mogu da postave granicu propusnog opsega koji treba da dobije određena aplikacija.
Pojednostavljeno upravljanje mrežom
Pojednostavljuje upravljanje mrežom logičkom podelom velike fizičke mreže na manje virtuelne mreže. Ova segmentacija pomaže u organizovanju uređaja i pojednostavljuje zadatke administracije mreže.
Prednosti VXLAN-a
Prilagodljivost
VXLAN rešava ograničenja tradicionalnih VLAN-ova dozvoljavajući stvaranje do 16 miliona virtuelnih mreža – u poređenju sa ograničenih 4.096 VLAN-ova. Ova skalabilnost se postiže preko 24-bitnog VXLAN mrežnog identifikatora (VNI).
Segmentacija mreže
Omogućava efikasnu segmentaciju mreže inkapsulacijom Layer 2 Ethernet okvira unutar UDP paketa. Ovo omogućava stvaranje izolovanih virtuelnih mreža koje se mogu prostirati preko fizičkih granica, kao što su data centri ili okruženja u oblaku.
Multi-tenancy
Podržava model sa više stanara, koji omogućava različitim organizacijama da dele istu fizičku infrastrukturu uz održavanje sopstvenih izolovanih virtuelnih mreža.
Proširenje nivoa 2 preko mreža sloja 3
VXLAN olakšava proširenje povezivanja Layer 2 preko mreža Layer 3.
Ovo je važno za izgradnju geografski distribuiranih data centara i omogućava mobilnost virtuelnih mašina na različitim lokacijama bez potrebe za složenim tehnologijama proširenja sloja 2 kao što je Virtual Private LAN Service (VPLS).
Tabela poređenja
A evo tabele poređenja između VXLAN-a i VLAN-a.
| Karakteristike | VXLAN | VLAN |
| Enkapsulacija | Koristi UDP za enkapsulaciju i transport paketa. | Nema enkapsulacije – oslanja se na 802.1Q označavanje. |
| Skalabilnost | Podržava do 16 miliona virtuelnih mreža | Ograničeno na 4.096 VLAN-ova |
| Mrežna izolacija | Omogućava izolovanu Layer 2 i Layer 3 putanju mreže u okviru Layer 2 putanje mreže | Vezano za Layer 2 |
| Broadcast saobraćaj | Koristi replikaciju zasnovanu na višestrukom ili jednostrukom prenosu za optimizaciju emitovanog saobraćaja | Broadcast saobraćaj se propagira na sve portove unutar VLAN-a i obuhvata više lokacija |
| Proširenje | Omogućava proširenje mreža Layer 2 preko geografski raspršenih lokacija | Ograničeno na jedan domen emitovanja. |
| Upravljanje | Zahteva VXLAN gateway za međusobno povezivanje virtuelnih i fizičkih mreža | Može se upravljati preko VLAN-svesnih prekidača |
Pravilna implementacija VXLAN-a zahteva uređaje koji podržavaju VXLAN i koji imaju potrebne protokole i tehnike enkapsulacije.
VXLAN mreže se mogu kreirati i upravljati uz pomoć ovih uređaja.
S druge strane – VLAN-ovi se više koriste i jednostavniji su za implementaciju u postojećim mrežnim infrastrukturama jer ih većina mrežnih uređaja podržava bez potrebe za dodatnim hardverom ili specijalizovanom podrškom.
Slučajevi upotrebe VLAN-a
Virtualizacija servera
VLAN-ovi omogućavaju efikasno upravljanje mrežom obezbeđujući izolaciju između virtuelnih mašina koje se nalaze na istom fizičkom serveru u virtualizovanim okruženjima.
Data Centri
Koristi se u farmama servera i data centrima za upravljanje velikim brojem servera. Omogućava administratorima da grupišu servere na osnovu njihove uloge ili aplikacije.
Mreže za goste
Oni stvaraju zasebne mreže za goste u okruženjima kao što su hoteli ili korporativne kancelarije, koje mogu da obezbede pristup internetu posetiocima dok ih drže izolovane od interne mreže organizacije.
Virtuelne privatne mreže
VLAN-ovi se kombinuju sa VPN-ovima za stvaranje sigurnih veza između geografski raspršenih lokacija. Organizacije mogu proširiti svoju privatnu mrežu na više lokacija uz održavanje logičke odvojenosti.
Testiranje i razvoj
Obezbeđuju izolovano okruženje za potrebe testiranja i razvoja. Programeri mogu da kreiraju VLAN mreže namenjene testiranju novih aplikacija ili usluga bez uticaja na proizvodnu mrežu.
Slučajevi korišćenja VXLAN-a
Data Center Interconnect
VXLAN se koristi za međusobno povezivanje više data centara preko WAN-a. On proširuje Layer 2 povezanost između data centara, što omogućava da virtuelne mašine i radna opterećenja migriraju između lokacija uz održavanje njihove mrežne konfiguracije.
Cloud Infrastructure
Obično se koristi u cloud okruženjima za pružanje virtualizacije mreže za usluge i aplikacije zasnovane na oblaku. Omogućava efikasnu distribuciju opterećenja kroz cloud infrastrukturu.
Overlay Networks
VXLAN služi kao osnova za mreže sa preklapanjem koje omogućava mrežnim inženjerima da dinamički alociraju resurse i prilagođavaju se promenljivim zahtevima radnog opterećenja.
Disaster Recovery
Koristi se u scenarijima oporavka od katastrofe za obezbeđivanje mrežnog povezivanja i prebacivanje u slučaju greške (backup operativni režim) između primarnih i sekundarnih data centara.
Napomena autora✍
Izbor između VXLAN i VLAN zavisi od specifičnih potreba vaše mrežne infrastrukture. Obe tehnologije imaju svoje prednosti i razmatranja koja treba uzeti u obzir.
Ako vam je potrebno skalabilno rešenje koje može da obradi veliki broj virtuelnih mašina ili mrežnih segmenata – VXLAN je preporučljiv izbor. Pruža veći adresni prostor i omogućava lakšu mobilnost radnog opterećenja.
Ako vaša mreža ima manji obim i jednostavnije zahteve – onda VLAN može biti najbolja opcija. VLAN-ovi su dobro uspostavljeni i široko podržani u većini mrežne opreme. Lako ih je konfigurisati i upravljati.
Nadam se da vam je ovaj članak pomogao u učenju o razlici između VXLAN-a i VLAN-a. Možda ćete biti zainteresovani da saznate više o kontroli pristupa mreži i kako da je primenite.