Сегментација мреже игра важну улогу у управљању и обезбеђивању модерних ИТ инфраструктура.
Две популарне технологије за ефективну сегментацију мреже су ВКСЛАН и ВЛАН.
Хајде да заронимо и разумемо карактеристике ВКСЛАН-а и ВЛАН-а и како они могу да обликују вашу мрежну архитектуру.
Преглед садржаја
Шта је ВЛАН?
Извор слике: Википедија
ВЛАН је скраћеница од Виртуал Лоцал Ареа Нетворк.
То је технологија која се користи у рачунарским мрежама за поделу једне физичке мреже на више логичких мрежа.
Хајде да размотримо пример да лако разумемо концепт.
Замислите да радите у великој пословној згради са више одељења: инжењеринг, маркетинг и рачуноводство.
Свако одељење има свој сет рачунара, штампача и других мрежних уређаја.
Међутим, пословна зграда има само једну физичку мрежну инфраструктуру.
Без ВЛАН-а, сви уређаји у пословној згради били би део једног домена за емитовање. То значи да би примили сав мрежни саобраћај. Ово може довести до забринутости за безбедност и неефикасног руковања мрежним саобраћајем.
ВЛАН-ови су имплементирани да би се превазишли ови проблеми. Сваки ВЛАН делује као засебан домен емитовања који омогућава боље управљање мрежом и перформансе.
Извор слике – фибероптицсхаре
Рецимо да креирате три ВЛАН мреже која одговарају различитим одељењима.
ВЛАН 1: Инжењеринг
ВЛАН 2: Маркетинг
ВЛАН 3: Рачуноводство
Када је рачунар или било који други мрежни уређај повезан на мрежу, може се доделити једној од ових ВЛАН мрежа.
На пример – Сви рачунари и уређаји у Инжењерском одељењу су додељени ВЛАН 1.
Ако рачунар у инжењерском одељењу жели да пошаље поруку другом рачунару у оквиру истог ВЛАН-а, порука ће остати унутар ВЛАН-а 1 и неће се емитовати на уређаје у другим ВЛАН-овима као што су Маркетинг или Рачуноводство.
Ово раздвајање осигурава да су осетљиве информације доступне само овлашћеним уређајима у оквиру истог ВЛАН-а.
Шта је ВКСЛАН?
ВКСЛАН је скраћеница од Виртуал Ектенсибле ЛАН.
То је технологија виртуелизације мреже која се користи за проширење сегмената мреже слоја 2 (слоја везе података) преко ИП мреже. Уведен је да се позабави ограничењима традиционалних ВЛАН-ова у окружењима великих дата центара.
Извор слике – фибероптицсхаре
Обично се користи у центрима података и окружењима у облаку за креирање логичких мрежних слојева који могу да обухватају више физичких сегмената мреже.
ВКСЛАН инкапсулира Етхернет оквире слоја 2 унутар УДП пакета слоја 3 који им омогућавају да се преносе преко ИП мреже.
Како ВКСЛАН функционише?
Замислите да имате велики центар података са више физичких сервера и виртуелних машина (ВМ) које раде на тим серверима.
У традиционалној мрежи заснованој на ВЛАН-у, свака ВМ би била додељена одређеном ВЛАН-у. А комуникација између ВМ-ова у различитим ВЛАН-овима би захтевала рутирање на слоју 3.
Овај приступ може постати сложен и може имати проблема са скалабилности због ограниченог броја доступних ВЛАН ИД-ова.
Извор слике – јунипер.нет
Хајде да размотримо сценарио да бисмо разумели како овај ВКСЛАН функционише.
Постоје 2 физичка домаћина. У хосту 1 постоје ВМ1 и ВМ2, ау хосту 2 постоје ВМ3 и ВМ4.
Претпоставимо да су Хост 1 и Хост 2 део мреже са омогућеном ВКСЛАН-ом, а ВМ1 жели да комуницира са ВМ3.
ВКСЛАН конфигурација
Хост 1 и Хост 2 су конфигурисани као ВКСЛАН Туннел Ендпоинтс (ВТЕП). То значи да имају неопходне софтверске или хардверске компоненте за руковање ВКСЛАН инкапсулацијом и декапсулацијом.
ВКСЛАН мрежни идентификатор (ВНИ)
Виртуелној мрежи се додељује јединствени ВНИ. Рецимо да је ВНИ за ову мрежу 1001.
Енкапсулација
ВМ1, који се налази на Хост-у 1 – жели да комуницира са ВМ3, који се налази на Хост-у 2.
Када ВМ1 пошаље пакет ВМ3, он је инкапсулиран са ВКСЛАН заглављем.
ВКСЛАН заглавље укључује изворну и одредишну ВТЕП адресу (ИП адресе хоста 1 и хоста 2) и ВНИ (1001).
Основна ИП мрежа
Инкапсулирани пакет се преноси преко основне ИП мреже – може бити ИПв4 или ИПв6. ИП мрежа служи као транспортна инфраструктура за ВКСЛАН пакете.
Декапсулација
По пријему пакета, ВТЕП на Хост-у 2 декапсулира ВКСЛАН заглавље, што открива оригинални Лаиер 2 Етхернет оквир.
Испорука до ВМ3
Након декапсулације, ВТЕП испоручује Етхернет оквир слоја 2 ВМ3 на Хост 2.
ВМ1 на хосту 1 може да комуницира са ВМ3 на хосту 2 као да су повезани на исту Етхернет мрежу слоја 2 – иако се налазе на различитим физичким хостовима.
ВКСЛАН омогућава ову комуникацију инкапсулацијом и тунелирањем саобраћаја Лаиер 2 преко мрежа Лаиер 3 што омогућава проширење повезивања Лаиер 2 преко мрежних граница.
Предности ВЛАН-а
Контрола емитовања
Саобраћај емитовања је садржан у свакој ВЛАН мрежи, што смањује укупну величину домена емитовања и ублажава утицај саобраћаја који може да погорша перформансе мреже.
Безбедност
Омогућава мрежну изолацију и побољшава безбедност одвајањем различитих група корисника или уређаја у засебне домене емитовања. Ова изолација ограничава обим потенцијалних кршења безбедности или неовлашћеног приступа, што побољшава укупну безбедност мреже.
Квалитет услуге (КоС)
ВЛАН-ови се могу користити за имплементацију механизама квалитета услуге који омогућавају мрежним администраторима да дају приоритет одређеним врстама саобраћаја или примењују специфичне смернице.
Они могу да поставе границу на којој апликација треба да добије висок пропусни опсег.
Поједностављено управљање мрежом
Поједностављује управљање мрежом тако што логично дели велику физичку мрежу на мање виртуелне мреже. Ова сегментација помаже у организовању уређаја и поједностављује задатке администрације мреже.
Предности ВКСЛАН-а
Прилагодљивост
ВКСЛАН решава ограничења традиционалних ВЛАН-ова дозвољавајући стварање до 16 милиона виртуелних мрежа – у поређењу са ограничених 4.096 ВЛАН-ова. Ова скалабилност се постиже преко 24-битног ВКСЛАН мрежног идентификатора (ВНИ).
Сегментација мреже
Омогућава ефикасну сегментацију мреже инкапсулацијом Лаиер 2 Етхернет оквира унутар УДП пакета. Ово омогућава стварање изолованих виртуелних мрежа које се могу простирати преко физичких граница, као што су центри података или окружења у облаку.
Мулти-тенанци
Подржава модел са више станара, који омогућава различитим организацијама да деле исту физичку инфраструктуру уз одржавање сопствених изолованих виртуелних мрежа.
Проширење нивоа 2 преко мрежа слоја 3
ВКСЛАН олакшава проширење повезивања Лаиер 2 преко мрежа Лаиер 3.
Ово је важно за изградњу географски дистрибуираних центара података и омогућава мобилност виртуелних машина на различитим локацијама без потребе за сложеним технологијама проширења слоја 2 као што је Виртуал Привате ЛАН Сервице (ВПЛС).
Табела поређења
А ево табеле поређења између ВКСЛАН-а и ВЛАН-а.
КарактеристикеВКСЛАНВЛАНЕнцапсулатионКористи УДП за енкапсулацију и транспорт пакета.Нема енкапсулације – ослања се на 802.1К означавање.Скалабилност Подржава до 16 милиона виртуелних мрежа Ограничено на 4.096 ВЛАН-оваМрежна изолацијаОмогућава изоловану Лаиер 2. Лаиер 3. путању мреже у оквиру Лаиер 2. путање мреже је везано за ЛаиерБ. лингКористи репликацију засновану на вишеструком или једноструком преносу за оптимизацију емитованог саобраћајаБроадцаст саобраћај се пропагира на све портове унутар ВЛАН-а и обухвата више локација Омогућава проширење мрежа Лаиер 2 преко географски распршених локација Ограничено на један домен емитовања. Управљање Захтева ВКСЛАН гатеваи за међусобно повезивање виртуелних и физичких мрежа Може се управљати преко ВЛАН-свесних прекидача
Правилна имплементација ВКСЛАН-а захтева уређаје који подржавају ВКСЛАН који подржавају неопходне протоколе и технике енкапсулације.
ВКСЛАН мреже се могу креирати и управљати уз помоћ ових уређаја.
С друге стране – ВЛАН-ови се више користе и једноставнији за имплементацију у тренутним мрежним инфраструктурама јер их већина мрежних уређаја подржава без потребе за додатним хардвером или специјализованом подршком.
Случајеви употребе ВЛАН-а
Виртуелизација сервера
ВЛАН омогућавају ефикасно управљање мрежом обезбеђујући изолацију између виртуелних машина које се налазе на истом физичком серверу у виртуелизованим окружењима.
Дата Центерс
Користи се у фармама сервера и центрима података за управљање великим бројем сервера. Омогућава администраторима да групишу сервере на основу њихове улоге или апликације.
Мреже за госте
Они стварају засебне мреже за госте у окружењима као што су хотели или корпоративне канцеларије, које могу да обезбеде приступ Интернету посетиоцима док их држе изоловане од интерне мреже организације.
Виртуелне приватне мреже
ВЛАН-ови су у спрези са ВПН-овима за стварање безбедних веза између географски распршених локација. Организације могу проширити своју приватну мрежу на више локација уз одржавање логичке одвојености.
Тестирање и развој
Обезбедите изоловано окружење за потребе тестирања и развоја. Програмери могу да креирају ВЛАН мреже намењене тестирању нових апликација или услуга без утицаја на производну мрежу.
Случајеви коришћења ВКСЛАН-а
Дата Центер Интерцоннецт
ВКСЛАН се користи за међусобно повезивање више центара података преко ВАН-а. Он проширује Лаиер 2 повезивост између центара података, што омогућава да виртуелне машине и радна оптерећења мигрирају између локација уз одржавање њихове мрежне конфигурације.
Цлоуд Инфраструцтуре
Обично се користи у клауд окружењима за пружање виртуелизације мреже за услуге и апликације засноване на облаку. Омогућава ефикасну дистрибуцију оптерећења кроз инфраструктуру облака.
Оверлаи Нетворкс
ВКСЛАН служи као основа за мреже са преклапањем које омогућава мрежним инжењерима да динамички алоцирају ресурсе и прилагођавају се променљивим захтевима радног оптерећења.
Дисастер Рецовери
Користи се у сценаријима опоравка од катастрофе за обезбеђивање мрежног повезивања и прекорачења грешке (резервни оперативни режим) између примарних и секундарних центара података.
Напомена аутора✍
Избор између ВКСЛАН и ВЛАН зависи од специфичних потреба ваше мрежне инфраструктуре. Обе технологије имају своје предности и разматрања која треба узети у обзир.
Ако вам је потребно скалабилно решење које може да обради велики број виртуелних машина или мрежних сегмената – ВКСЛАН је препоручљиви избор. Пружа већи адресни простор и омогућава лакшу мобилност радног оптерећења.
Ако ваша мрежа има мањи обим и једноставније захтеве – онда ВЛАН може бити најбоља опција. ВЛАН-ови су добро успостављени и широко подржани у већини мрежне опреме. Лако их је конфигурисати и управљати.
Надам се да вам је овај чланак помогао у учењу о разлици између ВКСЛАН-а и ВЛАН-а. Можда ћете бити заинтересовани да сазнате више о контроли приступа мрежи и како да је примените.