O que é o VXLAN?
O que é o VXLAN?
Virtual eXtensible Local-Area Network, ou VXLAN, é um padrão de tecnologia de virtualização de rede da Internet Engineering Task Force (IETF). Ele permite que uma única rede física seja compartilhada por várias organizações diferentes, ou "locatários", sem que nenhum locatário seja capaz de ver o tráfego de rede de nenhum outro.
Dessa forma, os VXLANs são análogos a unidades individuais em um prédio de apartamentos: cada apartamento é uma habitação privada e separada dentro de uma estrutura comum, assim como cada VXLAN é um segmento de rede dedicado e privado dentro de uma rede física compartilhada.
Tecnicamente falando, um VXLAN permite que uma rede física seja segmentada em até 16 milhões de redes virtuais ou lógicas. Ele funciona encapsulando os quadros de Ethernet de camada 2 em um pacote de protocolo de datagrama de usuário (UDP) de camada 4 ao lado de um cabeçalho de VXLAN. Quando combinado com uma rede virtual privada (EVPN) Ethernet — que transporta o tráfego Ethernet em redes virtualizadas usando protocolos de WAN — o VXLAN permite que as redes de Camada 2 sejam estendidas em uma rede IP ou MPLS de Camada 3.
Principais vantagens
Como os VXLANs são encapsulados dentro de um pacote UDP, eles podem rodar em qualquer rede capaz de transmitir pacotes UDP. O layout físico e a distância geográfica entre os nós da rede subjacente não importam, desde que os datagramas UDP sejam encaminhados do endpoint de túnel VXLAN (VTEP) encapsulante para o VTEP de descapsulamento.
Quando o VXLAN se combina com a EVPN, as operadoras podem criar redes virtuais a partir de portas de rede físicas em quaisquer switches de rede físicos que suportam o padrão e fazem parte da mesma rede de Camada 3. Por exemplo, você poderia pegar uma porta do switch A, duas portas do switch B e outra porta do switch C e construir uma rede virtual que aparece para todos os dispositivos conectados como uma única rede física. Os dispositivos que participam dessa rede virtual não seriam capazes de enxergar o tráfego em nenhum outro VXLANs ou na malha de rede subjacente.
Problemas que o VXLAN resolve
Assim como a adoção rápida da virtualização de servidores impulsionou aumentos dramáticos em agilidade e flexibilidade, as redes virtuais dissociadas da infraestrutura física são mais fáceis, mais rápidas e mais acessíveis de operar. Por exemplo, eles permitem que vários locatários compartilhem uma única rede física com segurança, permitindo que os operadores de rede escalem suas infraestruturas de forma rápida e econômica para atender à demanda crescente. As principais razões para segmentar redes são a privacidade e a segurança; para impedir que um locatário veja ou acesse o tráfego pertencente a outro locatário.
Os operadores segmentam logicamente suas redes de maneiras semelhantes à forma como implantaram há muito tempo LANs virtuais (VLANs) tradicionais; no entanto, os VXLANs superam as limitações de escala de VLAN das seguintes maneiras.
- Você pode, teoricamente, criar até 16 milhões de VXLANs em um domínio administrativo, em comparação com um máximo de 4.094 VLANs tradicionais. Dessa forma, os VXLANs oferecem segmentação de rede na escala exigida pelos provedores de nuvem e serviços para oferecer suporte a um número muito grande de locatários.
- Os VXLANs permitem que você crie segmentos de rede que se estendem entre os data centers. A segmentação de rede baseada em VLAN tradicional cria domínios de transmissão, mas assim que um pacote contendo tags VLAN atinge um roteador, todas essas informações de VLAN são removidas. Isso significa que os VLANs viajam apenas até o máximo que sua rede de Camada 2 subjacente pode alcançar. Esse é um problema para alguns casos de uso, como a migração de máquina virtual (VM), que normalmente prefere não cruzar os limites da Camada 3. Por outro lado, a segmentação de rede VXLAN encapsula o pacote original dentro de um pacote UDP. Isso permite que um segmento de rede VXLAN se estenda até o máximo que a rede roteada de Camada 3 física pode alcançar, desde que todos os switches e roteadores no caminho ofereçam suporte a VXLAN, sem que os aplicativos rodando na rede overlay virtual sejam obrigados a cruzar os limites da Camada 3. No que diz respeito aos servidores conectados à rede, eles fazem parte da mesma rede de Camada 2, mesmo que os pacotes UDP subjacentes possam ter transitado por um ou mais roteadores.
- A capacidade de fornecer segmentação de Camada 2 sobre uma rede de Camada 3 subjacente, combinada com o alto número de segmentos de rede compatíveis, permite que os servidores façam parte da mesma VXLAN, mesmo que estejam distantes uns dos outros, permitindo que os administradores de rede mantenham as redes de Camada 2 pequenas. Ter redes de camada 2 menores ajuda a evitar o sobrecarregamento da tabela MAC nos switches.
Principais aplicações de VXLAN
Os casos de uso de VXLAN de provedores de serviços e de nuvem são bem simples: esses operadores têm inúmeros locatários, ou clientes, e há vários motivos legais, de privacidade e éticos pelos quais os provedores precisam separar o tráfego de rede de um cliente do tráfego de outro.
Em ambientes empresariais, um locatário pode ser um grupo de usuários, departamento ou outro conjunto de usuários, ou dispositivos segmentados na rede criados por motivos de segurança internos. Por exemplo, os dispositivos de Internet das coisas (IoT), como sensores ambientais de data center, são propensos a comprometimentos. Portanto, é uma boa prática de segurança isolar o tráfego de rede da IoT do tráfego de aplicativos da rede de produção.
Como funciona o VXLAN
O protocolo de tunelamento VXLAN encapsula os quadros Ethernet de Camada 2 em pacotes UDP de Camada 4, permitindo que você crie sub-redes de Camada 2 virtualizadas que abrangem redes de Camada 3 física. Cada sub-rede segmentada é identificada exclusivamente por um identificador de rede VXLAN (VNI).
A entidade que executa o encapsulamento e o desencapsulamento de pacotes é chamada de endpoint de túnel VXLAN (VTEP). Um VTEP pode ser um dispositivo de rede independente, como um roteador, switch físico ou um switch virtual implantado em um servidor. Os VTEPs encapsulam os quadros Ethernet em pacotes VXLAN, que são então enviados para o VTEP de destino por meio de um IP ou outra rede de Camada 3, onde são descapsulados e encaminhados para o servidor de destino.
Para oferecer suporte a dispositivos que não podem operar como um VTEP por conta própria, como servidores bare-metal, os VTEPs de hardware, como switches e roteadores selecionados da Juniper, podem encapsular e descapsular pacotes de dados. Além disso, os VTEPs podem residir em hosts de hypervisor, como máquinas virtuais baseadas em kernel (KVMs), para suportar diretamente cargas de trabalho virtualizadas. Esse tipo de VTEP é conhecido como um VTEP de software.
Os VTEPs de hardware e software estão exibidos acima.
Na figura acima, quando o VTEP1 recebe um quadro Ethernet da Máquina Virtual 1 (VM1) endereçado à Máquina Virtual 3 (VM3), ele usa o VNI e o MAC de destino para procurar em sua tabela de encaminhamento pelo VTEP para o qual enviará o pacote. O VTEP1 adiciona um cabeçalho VXLAN que contém o VNI para o quadro Ethernet, encapsula o quadro em um pacote UDP de Camada 3 e envia o pacote para o VTEP2 através da rede de Camada 3. O VTEP2 desencapsula o quadro Ethernet original e o envia para o VM3. O VM1 e o VM3 desconhecem completamente o túnel VXLAN e a rede de Camada 3 entre eles.
Soluções em VXLAN da Juniper Networks
Os Roteadores da série MX, Switches da série QFX e Switches da série EX da Juniper Networks oferecem suporte para EVPN-VXLAN e podem funcionar como gateways encapsulando/desencapsulando pacotes de VXLAN, e também rotear entre diferentes VXLANs.
Perguntas frequentes sobre VXLAN
Para que o VXLAN é usado?
Os VXLANs são usados para realizar a segmentação de rede além do que os VLANs clásicos podem oferecer. Os VLANs clássicos oferecem apenas 4.094 redes virtuais, enquanto os VXLANs oferecem até 16 milhões. A segmentação de rede tem dois usos principais: permitir que vários locatários compartilhem uma única rede física sem enxergar o tráfego uns dos outros e permitir a reutilização do espaço de endereço IP. Também é possível configurar segmentos de rede com políticas de qualidade de serviço (QoS) e contratos de nível de serviço (SLAs) diferenciados.
O VXLAN é usado principalmente em grandes data centers, redes de provedores de serviços e redes de operadores de nuvem, onde o limite de rede virtual de 4.094 de VLANs clásicos é muito limitado. Dito isso, à medida que o VXLAN se torna menos caro e mais compatível com processadores de switch, ele começa a sair do data center e entra nas redes de campus.
O VXLAN é um padrão?
Sim, o padrão VXLAN foi criado em 2014 pelo IETF e é especificado no RFC 7348.
O VXLAN é um padrão de Camada 3?
O VXLAN às vezes é considerado um protocolo de Camada 3 porque depende de uma rede de transporte de IP (Camada 3). Às vezes, ele também é considerado um padrão de Camada 4, porque encapsula os quadros Ethernet em UDP, afetando o UDP de Camada 4 por operação.
O VXLAN substitui o VLAN?
Os VXLANs não substituem inteiramente os VLANs; em algumas circunstâncias, como os data centers de grandes provedores de serviços, ambos os padrões podem ser usados. Os VXLANs podem ser usados para segmentar a rede global do provedor de serviços, isolando cada cliente em seu próprio VXLAN, permitindo que cada cliente crie VLANs privados em seu VXLAN.
Qual é a diferença básica entre as tecnologias VXLAN, VLAN e QinQ?
VLAN, QinQ e VXLAN são todos padrões usados para segmentar logicamente redes físicas em várias redes virtuais. Cada padrão, respectivamente, oferece maior escalabilidade do que o anterior. As redes são geralmente segmentadas por motivos de segurança e para oferecer suporte a requisitos de QoS diferenciados, que geralmente fazem parte de SLAs.
Os VLANs foram os primeiros a serem padronizados em 1998; o QinQ se baseou nas VLANs para expandir o número de redes lógicas que podem ser criadas. O QinQ também permite que os VLANs empresariais/empresariais sejam suportados em todos os serviços de WAN públicos. O VXLAN oferece a maior extensibilidade e flexibilidade dentre as três tecnologias.
Tecnicamente, as diferenças entre essas tecnologias estão em como elas marcam e encapsulam os quadros Ethernet antes da transmissão pelas redes de comunicações.
Quais são as distinções mais técnicas entre VXLAN, VLAN e QinQ?
Entender essas diferentes tecnologias de virtualização requer uma compreensão básica de como as redes Ethernet funcionam. Um quadro Ethernet consiste em um cabeçalho com informações de encaminhamento de dados, como os endereços MAC e IP de origem e destino, e um payload contendo os dados reais a serem transmitidos. Para que esses quadros sejam efetivamente encaminhados de um local para outro, todos os elementos de rede envolvidos na cadeia de comunicações, como placas de interface de rede, switches e roteadores, devem entender os padrões de Ethernet e virtualização envolvidos.
O VLAN e o QinQ estendem o comprimento do cabeçalho do quadro Ethernet básico, exigindo que todos os dispositivos de rede (ambos os endpoints, bem como todos os dispositivos intermediários) ofereçam suporte aos padrões. Por outro lado, o VXLAN não estende o cabeçalho do quadro Ethernet, portanto, requer suporte apenas para o padrão nos dispositivos que servem como VTEPs.
O padrão VLAN criado em 1998 estende os cabeçalhos do quadro Ethernet em 4 bytes, permitindo que os quadros Ethernet sejam “marcados” como pertencentes a uma de até 4.094 redes virtuais. O QinQ estende o padrão VLAN para permitir que 4.094 VLANs "privados" sejam criados em cada um dos 4.094 VLANs "públicos", ou seja, 16 milhões de VLANs no total. Para fazer o trabalho, ele também estende o cabeçalho do quadro Ethernet em 4 bytes.
Assim como o QinQ, o padrão VXLAN, criado em 2014, suporta até 16 milhões de redes virtuais. Embora ele não estenda o cabeçalho do quadro Ethernet, ele requer um tamanho máximo de pacote de IP aumentado, estendendo os pacotes IPv4 de 1.518 bytes para 1.554 bytes. Os pacotes VXLAN encapsulam o quadro Ethernet original dentro de um pacote UDP. O novo pacote UDP contém o cabeçalho VXLAN e o quadro Ethernet original completo dentro de seu payload. O UDP, muitas vezes usado para tráfego sensível a atrasos, é o protocolo de comunicações de Camada 4 sem conexão no pacote de protocolo de Internet principal que é uma alternativa de baixa latência ao TCP orientado para a conexão.
O VXLAN, VLAN e QinQ são normalmente usados juntos?
Hipoteticamente, você pode usar VLANs tradicionais, VLANs QinQ e VXLANs todos ao mesmo tempo. Isso ocorre devido ao local onde os identificadores de rede existem dentro do pacote de dados. Os VXLANs não alteram ou estendem o formato do pacote UDP no qual são encapsulados, nem alteram ou estendem o quadro Ethernet externo no qual esse pacote UDP é transportado. Isso ocorre porque os pacotes VXLAN estão contidos no payload de um pacote UDP (não o cabeçalho). Eles incluem um cabeçalho VXLAN e o quadro Ethernet original completo que, em última análise, deveria ser transmitido. Os pacotes VXLAN-in-UDP, então, podem ter quadros Ethernet externos que também contêm identificadores VLAN e QinQ.
Em outras palavras, em um pacote VXLAN, há três locais onde as redes virtuais podem ser definidas: o quadro Ethernet externo, o cabeçalho VXLAN e o quadro Ethernet interno, e cada um desses conjuntos de redes virtuais podem ser completamente distintos uns dos outros. Isso pode resultar em um pacote onde o quadro Ethernet externo pode suportar 16 milhões de redes virtuais, o cabeçalho VLXAN pode suportar 16 milhões de redes virtuais adicionais e, na sequência, o quadro Ethernet interno pode suportar outras 16 milhões de redes virtuais.
Na prática de rede empresarial, no entanto, as redes tendem a ser baseadas em VLAN ou VXLAN. Quando as tecnologias são combinadas, normalmente são provedores de serviços de rede e nuvem que oferecem aos clientes empresariais a capacidade de usar VLANs em seu próprio VXLAN. Esse cenário faz uso de VLANs no quadro Ethernet interno, bem como as capacidades de rede virtual do cabeçalho VXLAN, mas não faz uso de VLANs no quadro Ethernet externo.
O VXLAN é melhor que o VLAN?
Os VXLANs e VLANs, embora superficialmente semelhantes, resolvem o mesmo problema de maneiras diferentes. Ou seja, eles são usados em diferentes circunstâncias e não são mutuamente exclusivos.
Hoje, quase todos os switches vendidos podem suportar pelo menos VLANs básicos, e a maioria — incluindo muitos switches de consumidor — pode suportar o QinQ. O suporte a EVPN-VXLAN é normalmente limitado a switches empresariais ou de nível de operadora com capacidade maior.
Os VXLANs são considerados a tecnologia mais eficiente. O motivo é que apenas os switches que contêm VTEPs carregam uma carga de tabela de pesquisa (LUT) adicional em uma rede baseada em VXLAN, e eles precisam fazer isso apenas para as redes virtuais para as quais têm VTEPs, não para toda a rede. Isso contrasta com as redes baseadas em VLAN, como o QinQ, que suporta os mesmos 16 milhões de redes virtuais potenciais que o VXLAN, mas exige que todos os switches assumam o encargo extra.
Quais são os detalhes técnicos da eficiência do VXLAN, em comparação com os VLANs QinQ?
Os VLANs QinQ exigem que todos os dispositivos que podem interagir com um pacote QinQ ofereçam suporte ao cabeçalho Ethernet estendido. O VXLAN requer que todos os dispositivos que podem interagir com um pacote VXLAN ofereçam suporte ao quadro Ethernet mais longo, mas requer apenas os dispositivos com VTEPs ofereçam suporte ao descapsulamento e leitura do cabeçalho VXLAN.
Como o VLAN clásico e sua extensão QinQ simplesmente adicionam uma identificação ao cabeçalho do quadro Ethernet, todos os switches que veem um pacote VLAN ou QinQ armazenarão metadados sobre todos os pacotes. Isso resulta em LUTs em rápida expansão, pois cada switch precisa saber onde cada dispositivo em toda a rede está.
Como os VXLANs encapsulam o quadro Ethernet original, eles separam a rede em uma "underlay" e uma "overlay". A underlay é a rede física que transmite os pacotes UDP nos quais o cabeçalho VXLAN e o quadro Ethernet original residem. A maioria dos switches físicos que transmitem esses pacotes UDP não precisa armazenar informações sobre o cabeçalho VXLAN ou o quadro Ethernet original: tudo o que eles precisam saber é onde entregar o pacote UDP.
Quando o pacote UDP chega a um switch com um VTEP relevante, o pacote UDP é descapsulado e o switch com o VTEP lê o cabeçalho VXLAN e as informações de cabeçalho do quadro Ethernet encapsulado, adicionando esses dados ao seu LUT. Como resultado, apenas os switches que contêm VTEPs carregam a carga LUT adicional de redes virtuais em uma rede baseada em VXLAN, e eles precisam carregar essa carga apenas para as redes virtuais para as quais têm VTEPs, não para toda a rede. Isso contrasta com as redes baseadas em VLAN, onde todos os switches teriam que fazer isso.
Uma rede grande baseada em VXLAN é, portanto, muito mais eficiente do ponto de vista de uso de recursos LUT do que uma rede baseada em VLAN/QinQ. No entanto, a rede baseada em VXLAN requer switches que suportam VTEPs, algo atualmente restrito a switches de última geração.
Qual é a diferença entre VXLAN e EVPN?
Todos os tipos de LANs virtuais são um meio de segmentar redes físicas em várias redes privadas e virtuais. A VPN Ethernet (EPVN) e o VXLAN são usados frequentemente em conjunto, mas são tecnicamente independentes com objetivos diferentes.
Os VXLANs expandem o espaço de endereço de Camada 2 de cerca de 4.000 para cerca de 16 milhões para estender as redes Ethernet em redes de IP mais amplas, fatiando a rede física para que vários locatários possam compartilhar seus recursos sem enxergar o tráfego uns dos outros. O EVPN permite a criação de redes virtuais que compreendem portas de switch e outros recursos de diferentes equipamentos e domínios de rede. A EVPN é basicamente uma maneira de permitir que os processadores que não estão conectados à mesma rede física e podem ser geograficamente remotos uns dos outros se comportem como se estivessem conectados ao mesmo switch físico, com todos os nós fazendo parte dessa EVPN, recebendo transmissões de dados como se estivessem conectados a uma rede local de Camada 2 tradicional.
Por que eu usaria VXLAN e EVPN juntos?
Quando você combina essas tecnologias em uma EVPN-VXLAN, você ganha a flexibilidade de configuração de rede ideal; a localização física de um PC não tem nenhuma influência na rede à qual ele está conectado. Um único switch de 32 portas poderia ter cada porta expondo um VXLAN diferente, o que significa que um PC conectado a qualquer porta não seria capaz de conversar com qualquer outro PC conectado a outra porta nesse mesmo switch sem um roteador para viabilizar a conectividade. A EVPN, entretanto, permite que você crie redes Ethernet virtuais de modo que, com a configuração correta, computadores em duas cidades diferentes possam fazer parte da mesma sub-rede.
Quais soluções de VXLAN são oferecidas pela Juniper?
A Juniper oferece suporte a VTEP de VXLAN em vários de nossos switches e roteadores, juntamente com opções para configuração e gerenciamento de malhas de data center VXLAN e EVPN-VXLAN:
- Alguns dispositivos de rede da Juniper, incluindo switches da Série QFX, switches da Série EX e roteadores universais da Série MX, podem servir como VTEPs, encaminhando pacotes UDP contendo cabeçalhos VXLAN e o quadro Ethernet encapsulado, porque não precisam estar cientes do conteúdo do VXLAN.
- As malhas de data center EVPN-VXLAN podem ser gerenciadas manualmente por meio da CLI do sistema operacional Junos, da API do sistema operacional Junos ou do gerenciador de malha de data center Juniper Apstra.
- As malhas de campus orientadas por IA da Juniper, baseadas em uma sobreposição de VXLAN com um plano de controle de EVPN, oferecem uma maneira eficiente e escalável de construir e interconectar redes empresariais com consistência.
- Alguns firewalls da Série SRX da Juniper oferecem suporte à inspeção de segurança de túneis VXLAN.
