一文讀懂VLAN和VXLAN

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）和VXLAN（Virtual Extensible LAN，虛擬可擴展局域網(wǎng)），看上去像是在玩字母游戲的兩個網(wǎng)絡技術(shù)，接下來文檔君就給大家科普下這對“孿生兄弟”的區(qū)別。

1、什么是VLAN

傳統(tǒng)二層交換機的所有端口在同一個廣播域中，因此存在如下兩個嚴重的缺點：

廣播風暴

以太網(wǎng)中對于廣播幀、組播幀和目標不明的單播幀都采用了廣播的方式。這種傳播方式有2個弊端：

（1）廣播信息消耗了網(wǎng)絡整體的帶寬。

（2）收到廣播信息的主機需要消耗一部分CPU資源來進行處理。

因此以太網(wǎng)中的廣播傳輸方式造成了網(wǎng)絡帶寬和CPU運算能力的大量無謂消耗。

安全問題

以太網(wǎng)中對于目標不明的單播幀都采用了廣播的方式，這樣會將信息轉(zhuǎn)發(fā)到不相關(guān)的端口上去，容易被竊聽，安全問題存在隱患。

為了解決上述問題，通常通過劃分廣播域來處理。

通過VLAN技術(shù)可以將一個物理網(wǎng)絡劃分成多個邏輯（虛擬）的局域網(wǎng)，每一個VLAN是一個獨立的廣播域，VLAN間互不影響。不同VLAN的用戶之間限制訪問，同時廣播報文限制在邏輯廣播域內(nèi)。

舉例

學校里有多個年級，每個年級的學生都在不同的教學樓里。為了管理方便和安全，學校決定在每個教學樓內(nèi)設置不同的VLAN。比如：

一年級的學生都在A樓（VLAN 10）二年級的學生都在B樓（VLAN 20）

這樣，每個教學樓就像是一個VLAN，同一教學樓內(nèi)的學生（數(shù)據(jù)包）可以相互交流，但是不同教學樓之間的學生（數(shù)據(jù)包）默認是不能直接交流的。如果一年級的學生想要和二年級的學生交流，他們需要通過老師（路由器）來轉(zhuǎn)發(fā)信息。

每個VLAN都是一個獨立的廣播域，這意味著每個VLAN內(nèi)的學生（數(shù)據(jù)包）只能在這個VLAN內(nèi)進行廣播通信，比如尋找某個文件或發(fā)送通知。這種隔離確保了網(wǎng)絡的安全性和效率，因為不同VLAN之間的通信需要通過路由器（老師）來控制和轉(zhuǎn)發(fā)，從而限制了不必要的廣播流量和潛在的安全風險。

通過這種方式，VLAN技術(shù)幫助學校（網(wǎng)絡管理員）有效地管理了網(wǎng)絡資源，同時確保了不同年級（不同VLAN）之間的通信安全和隔離。

2、為什么還需要VXLAN？

VXLAN的提出背景：

數(shù)據(jù)中心規(guī)模的擴大和虛擬機數(shù)量的增長

• 隨著虛擬化技術(shù)的快速發(fā)展，數(shù)據(jù)中心的規(guī)模不斷擴大，虛擬機的數(shù)量呈爆炸式增長。傳統(tǒng)的二層網(wǎng)絡技術(shù)面臨著巨大的挑戰(zhàn)，尤其是在隔離大量租戶的需求上。VLAN由于其Tag域只有12比特，僅能劃分出4096個相互隔離的虛擬二層網(wǎng)絡，這在大規(guī)模的數(shù)據(jù)中心中遠遠不夠使用。

虛擬機的靈活遷移

• 為了實現(xiàn)網(wǎng)絡業(yè)務和資源的靈活調(diào)配，虛擬機跨設備甚至跨數(shù)據(jù)中心的遷移變得越來越頻繁。為了保證虛擬機遷移過程中業(yè)務不中斷，虛擬機遷移前后的IP地址和MAC地址需要保持不變，而傳統(tǒng)網(wǎng)絡技術(shù)無法實現(xiàn)虛擬機遷移前后的IP、MAC不變。

多數(shù)據(jù)中心的互聯(lián)需求

隨著數(shù)據(jù)中心多中心的部署，虛擬機的跨數(shù)據(jù)中心遷移、災備，跨數(shù)據(jù)中心業(yè)務負載分擔等需求日益增多。這要求二層網(wǎng)絡的擴展不僅是在數(shù)據(jù)中心的邊界為止，還需要考慮跨越數(shù)據(jù)中心機房的區(qū)域，延伸到同城備份中心、遠程災備中心.

綜上所述，VXLAN是為了滿足數(shù)據(jù)中心在面對大規(guī)模虛擬化、多租戶環(huán)境、虛擬機動態(tài)遷移以及多數(shù)據(jù)中心互聯(lián)等方面的需求，提供一種可擴展、靈活且安全的網(wǎng)絡虛擬化解決方案。

3、什么是VXLAN

VXLAN即虛擬可擴展局域網(wǎng)，VXLAN是一種隧道技術(shù)，能在三層網(wǎng)絡的基礎上建立二層以太網(wǎng)網(wǎng)絡隧道，從而實現(xiàn)跨地域的二層互連。

VXLAN采用“MAC in UDP”的方法進行封裝，將原來的二層數(shù)據(jù)幀加上VXLAN頭部一起封裝在一個UDP（User Datagram Protocol，用戶數(shù)據(jù)報協(xié)議）數(shù)據(jù)包里。

VXLAN Header中的VNI（Virtual Network Identifier，虛擬網(wǎng)絡標識）有24個bit，數(shù)量遠遠大于4096，并且UDP的封裝可以穿越三層網(wǎng)絡，比VLAN有更好的擴展性，因此可適應大規(guī)模租戶的部署。

舉例

有一所學校不僅包括了多個教學樓，而且還在城市的另一端有一個分校。隨著學校的發(fā)展，分校的學生數(shù)量也在增加，學校希望能夠讓兩個校區(qū)的學生和教師能夠像在同一個校園里一樣無縫地交流和共享資源。

主校區(qū)

1.主校區(qū)有兩棟教學樓，一年級在教學樓A，二年級在教學樓B。

2.為了保持管理的便捷性和安全性，學校決定在每個教學樓內(nèi)設置不同的VLAN。教學樓A是VLAN 10，教學樓B是VLAN 20。

3.但是，隨著技術(shù)的發(fā)展和教育的創(chuàng)新，學校希望能夠讓主校區(qū)和分校之間的學生也能輕松交流，就像他們在同一棟教學樓里一樣。

分校

1.每個分校（VXLAN）都有一個獨特的標識碼（VNI），這個標識碼有很多。

2.分校位于城市的另一端，有一棟教學樓D。

3.分校的學生也需要與主校區(qū)的學生和教師進行交流，比如共享教學資源、進行聯(lián)合項目等。

4.這時，學校引入了VXLAN技術(shù)，就像在主校區(qū)和分校之間開通了虛擬的“校車調(diào)度中心”——VTEP（VXLAN Tunneling End Point，VXLAN隧道終端）。學生們（數(shù)據(jù)包）可以通過這個“校車”在不同校區(qū)間自由穿梭，就好像他們都在同一個校園里一樣。

VTEP

1.無論學生們（數(shù)據(jù)包）是在主校區(qū)的教學樓A、教學樓B，還是在城市的另一端的分校，他們都可以自由地交流，就好像他們都在同一個局域網(wǎng)內(nèi)一樣。

2.每個校區(qū)（數(shù)據(jù)中心）都有一個或多個校車調(diào)度中心（VTEP），它們負責管理校車（封裝和解封裝VXLAN數(shù)據(jù)包）。

3.當學生（數(shù)據(jù)包）需要從一個教學樓（源虛擬網(wǎng)絡）去另一個校區(qū)的教學樓（目標虛擬網(wǎng)絡）時，他們首先會到達自己校區(qū)的校車調(diào)度中心（源VTEP），然后被送上校車（VXLAN封裝）。

4.校車會穿越不同的道路（物理網(wǎng)絡），最終到達目的地校區(qū)的校車調(diào)度中心（目標VTEP）。

5.目標校區(qū)的校車調(diào)度中心（目標VTEP）會將學生（數(shù)據(jù)包）從校車上接下來，并送到正確的班級（目標虛擬網(wǎng)絡）。

怎么樣？是不是一口氣搞懂了VLAN和VXLAN區(qū)別？文檔君給大家整理了一份表格，用以區(qū)分VLAN和VXLAN在關(guān)鍵特性上的區(qū)別。