VXLANとは?
VXLANとは?
VXLAN(Virtual eXtensible Local-Area Network)は、インターネット技術タスクフォース(IETF)のネットワーク仮想化技術標準です。単一の物理ネットワークを複数の異なる組織(「テナント」)と共有することができ、各々のテナントは他のテナントのネットワークトラフィックを見ることができません。
このため、VXLANはアパート建物内の個別の住居に例えることができます。各々のアパート住居が、共同構造内の個別のプライベート住居となっているように、VXLANも共有物理ネットワーク内の個別のプライベートネットワークセグメントになっています。
技術面では、VXLANを採用することで、物理ネットワークを1,600万もの仮想ネットワークまたは論理ネットワークに分割することができます。VXLANでは、レイヤー2イーサネットフレームが、VXLANヘッダーと共にレイヤー4ユーザーデータグラムプロトコル(UDP)パケットにカプセル化されます。VXLANを、WANプロトコルを使用して仮想化ネットワーク内のイーサネットトラフィックを転送するイーサネット仮想プライベートネットワーク(EVPN)と組み合わせることで、レイヤー2ネットワークをレイヤー3 IPまたはMPLSネットワーク全体まで拡張することができます。
主なメリット
VXLANはUDPパケット内にカプセル化されているため、UDPパケットを送信できるネットワークであれば、どのネットワークでも実行することができます。UDPデータグラムがカプセル化VXLANトンネルエンドポイント(VTEP)からカプセル化解除VTEPへと転送される限り、基盤となるネットワーク内のノード間の物理的なレイアウトや地理的な距離は問題になりません。
VXLANとEVPNを組み合わせることで、事業者は、基準に対応した、同じレイヤー3ネットワークの一部となっている物理ネットワークスイッチ上の物理ネットワークポートから仮想ネットワークを作成することができます。たとえば、スイッチAから1つのポート、スイッチBからは2つポート、スイッチCからも別のポート1つをそれぞれ取り出して、接続されているすべてのデバイスからは単一の物理ネットワークに見える仮想ネットワークを構築することができます。この仮想ネットワークに属するデバイスは、他のVXLANや基盤となるネットワークファブリックのトラフィックを見ることはできません。
VXLANで解決される問題
サーバー仮想化の急速な導入により、俊敏性と柔軟性が飛躍的に向上したように、物理インフラストラクチャから仮想ネットワークを切り離すと、運用が容易化および迅速化され、コストも低くなります。たとえば、複数のテナントで単一の物理ネットワークを安全に共有できるようになるため、ネットワーク事業者はインフラストラクチャを迅速かつ低コストな方法で拡張して、増大する需要に対応することができます。ネットワークをセグメント化する主な理由はプライバシーとセキュリティにあります。テナントが、他のテナントのトラフィックを見たりアクセスしたりできないようにすることが目的です。
事業者は、従来の仮想LAN(VLAN)に長年にわたって採用してきた導入方法と同じ方法で、ネットワークを論理的にセグメント化していますが、VXLANを採用することで、以下の方法でVLAN拡張にある制限を克服することができます。
- 理論的には、従来のVLANでは最大4,094台であったのに対し、管理ドメイン内に1,600万台ものVXLANを作成することができます。このようにVXLANは、クラウドやサービスプロバイダが非常に大規模なテナントをサポートする際に必要とする規模のネットワークセグメンテーションを提供します。
- VXLANによって、データセンター間に張り巡らされたネットワークセグメントを作成することができます。従来のVLANベースのネットワークセグメンテーションでは、ブロードキャストドメインが作成されますが、VLANタグが含まれるパケットがルーターに届き次第、そのVLAN情報はすべて削除されていました。このため、VLANの移動範囲は、基盤となるレイヤー2ネットワークが到達できる範囲内のみでした。これは、仮想マシン(VM)の移行などの、通常レイヤー3の境界を越えることが望ましくないユースケースでは問題となります。これとは対照的に、VXLANネットワークセグメンテーションでは、元のパケットがUDPパケット内にカプセル化されます。これにより、パス内のすべてのスイッチとルーターがVXLANをサポートしている限り、仮想オーバーレイネットワーク上で実行されているアプリケーションがレイヤー3の境界を越える必要がなく、VXLANネットワークセグメントで、レイヤー3物理ルーティングネットワークが到達できる範囲まで拡張することができます。ネットワークに接続されたサーバーに関しては、基盤となるUDPパケットが1つ以上のルーターを経由していたとしても、これらのサーバーは同じレイヤー2ネットワーク上にあります。
- 基盤となるレイヤー3ネットワークの上にレイヤー2セグメンテーションを提供する機能と、多数あるサポートされているネットワークセグメントを組み合わせることで、サーバーが相互にリモートであっても同じVXLAN上に含めることができ、ネットワーク管理者はレイヤー2ネットワークを小規模に保つことができます。レイヤー2ネットワークを小規模に保つことで、スイッチ上でのMACテーブルオーバーフローを回避することができます。
主なVXLANアプリケーション
サービスプロバイダとクラウドプロバイダのVXLANユースケースはシンプルです。これらの事業者は多数のテナントまたはお客様を有しており、各々のお客様のネットワークトラフィックを別のお客様のネットワークトラフィックからパーティション化しなければならない法律上、プライバシー上、そして倫理上の理由を複数抱えています。
エンタープライズ環境では、テナントはユーザーグループ、部門、またはその他の社内のセキュリティ上の理由からネットワークセグメント化されたユーザーまたはデバイスで構成されている可能性があります。たとえば、データセンター環境センサーなどのモノのインターネット(IoT)デバイスは、セキュリティ侵害を受ける傾向にあるため、IoTネットワークトラフィックを実稼働ネットワークアプリケーショントラフィックから分離することは、理にかなったセキュリティ対策となります。
VXLANの仕組み
VXLANトンネリングプロトコルは、レイヤー4 UDPパケットにレイヤー2イーサネットフレームをカプセル化するため、レイヤー3物理ネットワークにまたがる仮想化レイヤー2サブネットを作成することができます。セグメント化された各々のサブネットは、VXLANネットワーク識別子(VNI)によって一意に識別されます。
パケットのカプセル化とカプセル化解除を実行するエンティティは、VXLANトンネルエンドポイント(VTEP)と呼ばれます。VTEPは、物理ルーターやスイッチなどの独立したネットワークデバイス、あるいはサーバー上に展開されている仮想スイッチである場合があります。VTEPは、イーサネットフレームをVXLANパケットにカプセル化した後、IPまたは他のレイヤー3ネットワークを介して送信先のVTEPへと送信し、そこでカプセル化を解除して送信先のサーバーへと転送されます。
ベアメタルサーバーなど、単体ではVTEPとして動作できないデバイスをサポートするため、一部のジュニパーのスイッチやルーターなどのハードウェアVTEPでは、データパケットのカプセル化とカプセル化解除が可能です。さらに、VTEPは、カーネルベースの仮想マシン(KVM)などのハイパーバイザーホストに留まり、仮想化ワークロードを直接サポートすることもできます。このタイプのVTEPは、ソフトウェアVTEPとして知られています。
ハードウェアおよびソフトウェアVTEPは上記のとおりです。
上記の図では、VTEP1が仮想マシン1(VM1)から、仮想マシン3(VM3)宛てのイーサネットフレームを受信すると、VNIと宛先MACを使用して、転送テーブルの中でパケット送信先となるVTEPを検索します。VTEP1は、VNIが含まれるVXLANヘッダーをイーサネットフレームに追加し、そのフレームをレイヤー3 UDP パケットにカプセル化し、パケットをVTEP2までレイヤー3ネットワーク上でルーティングします。VTEP2が元のイーサネットフレームをカプセル化解除し、それをVM3に転送します。VM1とVM3では、VXLANトンネルおよびVXLAN間のレイヤー3ネットワークはまったく認識されません。
ジュニパーネットワークスのVXLANソリューション
ジュニパーネットワークスMXシリーズルーター、QFXシリーズスイッチ、EXシリーズスイッチはEVPN-VXLANをサポートしており、VTEPゲートウェイとして機能したり、VXLANパケットをカプセル化/カプセル化解除したり、異なるVXLANをルーティングすることができます。
VXLANに関するよくある質問
VXLANは何に使用するのですか?
VXLANは、従来のVLANでは実現できなかったネットワークセグメンテーションを達成するために使用されます。従来のVLANでは4,094個の仮想ネットワークしか得られませんでしたが、VXLANは最大1,600万個の仮想ネットワークを提供します。ネットワークセグメンテーションには、主に2つの用途があります。複数のテナントが、互いのトラフィックを見ることなく単一の物理ネットワークを共有し、IPアドレス空間を再利用できるようにします。また、差別化されたサービス品質(QoS)ポリシーとサービスレベル契約(SLA)を使用して、ネットワークセグメントを構成することもできます。
VXLANは主に、仮想ネットワークの個数が4,094個に制限された従来のVLANでは束縛されてしまう大規模なデータセンター、サービスプロバイダネットワーク、クラウド事業者のネットワークで使用されています。とはいえ、VXLANをサポートするスイッチプロセッサが増え、コストも低下していることから、データセンターからキャンパスネットワークへと移行し始めています。
VXLANは規格ですか?
はい。VXLAN規格は2014年にIETFによって作成されており、RFC 7348に規定されています。
VXLANはレイヤー3の規格ですか?
VXLANは、IP(レイヤー)トランスポートネットワークに依存しているため、レイヤー3プロトコルとみなされる場合があります。また、イーサネットフレームをUDPにカプセル化し、その動作によってレイヤー4 USBに影響を与えるため、レイヤー4の規格と見なされることもあります。
VXLANはVLANに置き換わるのですか?
VXLANは、VLANに完全に置き換わるものというわけではありません。大規模なサービスプロバイダのデータセンターなど、状況によっては、両方の規格が使用されている場合があります。VXLANは、サービスプロバイダのグローバルネットワークをセグメント化するために使用される場合があります。これにより、各々のお客様を独自のVXLANへと分離させて、お客様が自身のVXLAN内にプライベートVLANを作成できるようにすることができます。
VXLAN、VLAN、QinQ技術の基本的な違いは何ですか?
VLAN、QinQ、VXLANはすべて、物理ネットワークを複数の仮想ネットワークに論理的にセグメント化するために使用される規格です。これらの規格では、後者になるほど拡張性が向上しています。ネットワークは通常、セキュリティ上の理由からセグメント化されており、通常はSLAに組み込まれている差別化されたQoS要件をサポートします。
VLANは1998年に初めて標準化されました。QinQはVLAN上に構築されたものであり、作成できる論理ネットワークの数が拡張されています。またQinQでは、エンタープライズ/ビジネスVLANをパブリックWANサービス全体でサポートすることも可能です。これら3つの技術の中で、最も拡張性と柔軟性が高いのはVXLANです。
これらの技術間にある技術的な違いは、通信ネットワークを介して送信する前に、イーサネットフレームにタグ付けする方法とカプセル化する方法にあります。
VXLAN、VLAN、QinQの技術的な違いは何ですか?
これらの異なる仮想化技術を理解するには、基本的なイーサネットネットワークの仕組みについて理解する必要があります。イーサネットフレームは、送信元および送信先のMACアドレスやIPアドレスなどのデータ転送情報が含まれるヘッダーと、送信される実際のデータが含まれるペイロードで構成されています。これらのフレームをある場所から別の場所へと正常に転送するには、ネットワークインターフェイスカード、スイッチ、ルーターなどの通信チェーンに関わるすべてのネットワーク要素が、関連するイーサネット規格と仮想化規格を理解する必要があります。
VLANとQinQは、どちらも基本的なイーサネットフレームヘッダーの長さを拡張するため、すべてのネットワークデバイス(エンドポイントとすべての中間デバイスの両方)で規格がサポートされている必要があります。これとは対照的に、VXLANはイーサネットフレームヘッダーを拡張しません。このため、VTEPとして機能するデバイスのみで規格がサポートされている必要があります。
1998年に作成されたVLAN規格では、イーサネットフレームヘッダーが4バイト拡張されており、最大4,094個の仮想ネットワークのいずれかに属するものとして、イーサネットフレームを「タグ付け」することができます。QinQではVLAN規格を拡張することで、4,094個の「パブリック」VLANのそれぞれに4,094個の「プライベート」VLAN、つまり合計1,600万個のVLANを作成できるようにしています。また、処理を遂行するために、イーサネットフレームヘッダーも4バイト拡張されています。
QinQと同様に、2014年に作成されたVXLAN規格では、最大1,600万個の仮想ネットワークをサポートしています。イーサネットフレームヘッダーは拡張されていませんが、IPパケットの最大サイズが増えており、IPv4パケットは1518バイトから1554バイトに拡張されています。VXLANパケットは、元のイーサネットフレームをUDPパケット内にカプセル化します。新しいUDPパケットには、VXLANヘッダーと、そのペイロード内にある完全な元のイーサネットフレームの両方が含まれています。遅延の影響を受けやすいトラフィックにしばしば使用されているUDPは、コアインターネットプロトコルスイート内のコネクションレスレイヤー4通信プロトコルであり、コネクション型TCPに代わる低遅延の代替手段となります。
VXLAN、VLAN、QinQは通常一緒に使用されますか?
仮定の話になりますが、従来のVLAN、QinQ VLAN、VXLANはすべて同時に使用できます。これは、データパケット内にあるネットワーク識別子の場所が理由です。VXLANが、カプセル化されているUDPパケットの形式を変更または拡張することはありません。また、そのUDPパケットが伝送される外部イーサネットフレームを変更または拡張することもありません。これは、VXLANパケットが、(ヘッダーではなく)UDPパケットのペイロード内に含まれているからです。VXLANヘッダーと、最終的に送信される予定の完全な元のイーサネットフレームが含まれています。したがって、UDP内にあるVXLANパケットには、VLANおよびQinQ識別子も含まる外部イーサネットフレームを含むことができます。
言い換えると、VXLANパケットには仮想ネットワークを定義できる3つの場所があることになります。外部イーサネットフレーム、VXLANヘッダー、内部イーサネットフレームのことです。これらの仮想ネットワークの各セットは、互いから完全に区別することができます。そのため、外部イーサネットフレームが1,600万個の仮想ネットワークをサポートし、VLXANヘッダーがさらに1,600万個の仮想ネットワークをサポートして、内部イーサネットフレームでもさらに1,600万個の仮想ネットワークをサポートすることができるパケットとなることができます。
しかしながら、エンタープライズネットワーキングの実践では、ネットワークはVLANまたはVXLANベースのいずれかになる傾向にあります。通常、技術を組み合わせているのはネットワークおよびクラウドサービスプロバイダであり、ビジネスのお客様に独自のVXLAN内でVLANを使用できるようにしています。このシナリオでは、内部イーサネットフレーム上のVLANと、VXLANヘッダーの仮想ネットワーク機能が使用されますが、外部イーサネットフレーム上のVLANは使用されません。
VXLANはVLANよりも優れていますか?
VXLANとVLANは表面的には似ていますが、同じ問題を解決する方法が違います。これは、異なる状況で使われること、そして相互に排他的ではないことを示しています。
今日販売されているほぼすべてのスイッチは、少なくとも基本的なVLANをサポートしており、多くの消費者スイッチを含めたほとんどのスイッチが、QinQをサポートしています。EVPN-VXLANに対するサポートは、通常、より機能性のあるエンタープライズスイッチまたはキャリアグレードのスイッチに限定されています。
VXLANはより効率性の高い技術と考えられています。その理由は、VTEPが含まれるスイッチのみが、VXLANベースのネットワークで追加のルックアップテーブル(LUT)の負荷を抱えており、ネットワーク全体ではなく、VTEPが存在する仮想ネットワークに対してのみこの負荷を負う必要があるからです。これは、VXLANと同じように1,600万個の潜在的な仮想ネットワークをサポートするものの、すべてのスイッチに余分な負担がかかるQinQなどのVLANベースのネットワークとは対照的です。
QinQ VLANと比較した、VXLANの効率性に関する技術的な詳細について教えてください
QinQ VLANでは、QinQパケットと対話するすべてのデバイスで、拡張イーサネットヘッダーがサポートされている必要があります。VXLANでは、VXLANパケットと対話するすべてのデバイスで、より長いイーサネットフレームがサポートされている必要がありますが、VXLANヘッダーのカプセル化解除と読み取りをサポートする必要があるのは、VTEPを持つデバイスだけです。
従来のVLANとQinQの拡張では、どちらもイーサネットフレームヘッダーにタグを追加しただけであり、VLANまたはQinQパケットを見るすべてのスイッチに、すべてのパケットに関するメタデータが保存されます。これにより、ネットワーク全体のすべてのデバイスがどこにあるのかを、各スイッチが把握する必要があるため、LUTが急速に拡大することになります。
VXLANは元のイーサネットフレームをカプセル化するため、ネットワークは「下層」と「上層」に分けられます。下層は、UDPパケットを送信する物理ネットワークであり、VXLANヘッダーと元のイーサネットフレームが存在します。これらのUDPパケットを送信する物理スイッチのほとんどで、VXLANヘッダーや元のイーサネットフレームに関する情報を保存する必要はありません。知る必要があるのは、UDPパケットの送信先の場所だけです。
UDPパケットが関連するVTEPを持つスイッチに到着すると、UDPパケットのカプセル化が解除され、VTEPを持つスイッチがVXLANヘッダーとカプセル化されたイーサネットフレームのヘッダー情報を読み取り、そのデータをLUTに追加します。その結果、VTEPを持つスイッチのみが、VXLANベースのネットワーク内で仮想ネットワークの余分なLUT負荷を負うことになります。また、これらのスイッチはネットワーク全体に対してではなく、VTEPを持つ仮想ネットワークに対してのみ負荷を負う必要があります。これは、すべてのスイッチが負荷を負わなければならないVLANベースのネットワークとは対照的です。
このため、大規模なVXLANベースのネットワークは、VLAN/QinQベースのネットワークよりも、LUTリソースの使用状況の観点からははるかに効率的になります。ただし、VXLANベースのネットワークでは、VTEPをサポートするスイッチが必要となります。現時点では、これはよりハイエンドのスイッチに限定されています。
VXLANとEVPNの違いとは
すべての種類の仮想LANは、物理ネットワークを複数のプライベート仮想ネットワークにセグメント化するための手段です。イーサネットVPN(EPVN)とVXLANは併用されることがよくありますが、その目的は異なり、技術的にも独立しています。
VXLANは、レイヤー2のアドレス空間を約4,000から約1,600万へと拡張し、より広いIPネットワーク全体にイーサネットネットワークを拡張することで、物理ネットワークをスライスし、複数のテナントが互いのトラフィックを見ることなくリソースを共有できるようにします。EVPNでは、さまざまな機器やネットワークドメインからのスイッチポートやその他のリソースで構成される仮想ネットワークを作成することができます。EVPNは基本的に、同じ物理ネットワークに接続されておらず、地理的に離れたところにある可能性のあるコンピュータが、同じ物理スイッチに差し込まれたかのように動作できるようにするための手段です。EVPNのすべてのノードが、従来のレイヤー2ローカルネットワークに接続されているかのようにデータ送信を受信します。
VXLANとEVPNを併用する理由とは?
これらの技術をEVPN-VXLANと組み合わせることで、ネットワーク構成の柔軟性が最大限にまで高められ、コンピュータの物理的な場所に接続先のネットワークがしばられなくなります。各32ポートスイッチには、異なるVXLANを公開することができます。この構成にすると、任意のポートに接続されたコンピュータは、ルーターで接続性を提供しない限り、同じスイッチ上の別のポートに接続された他のコンピュータと通信することはできません。しかしながらEVPNでは、仮想イーサネットネットワークを構築することができ、適切に構成すれば、2つの異なる都市にあるコンピュータを同じサブネット上に組み込むことができます。
ジュニパーが提供するVXLANソリューションにはどのようなものがありますか?
ジュニパーでは、複数のスイッチとルーターでVXLAN VTEPをサポートしており、VXLANおよびEVPN-VXLANデータセンターファブリックを構成および管理するためのオプションも提供しています。
- QFXシリーズスイッチ、EXシリーズスイッチ、MXシリーズユニバーサルルーターなどを含む一部のジュニパーネットワークデバイスでは、VTEPとして機能させることで、VXLANヘッダーとカプセル化されたイーサネットフレームが含まれるUDPパケットを転送することができます。VXLANの中身を認識する必要がないからです。
- EVPN-VXLANデータセンターファブリックは、JunosオペレーティングシステムCLI、Junos OS API、またはJuniper Apstraデータセンターファブリックマネージャーを介して手動で管理することができます。
- ジュニパーのAIドリブンキャンパスファブリックは、EVPNコントロールプレーンを備えたVXLANオーバーレイに基づいており、一貫性のあるエンタープライズネットワークを構築し相互接続するための効率的で拡張性の高い手段となります。
- 一部のジュニパーSRXシリーズファイアウォールは、VXLANトンネルのセキュリティ検査をサポートしています。
