Wat is VXLAN?

Wat is VXLAN?

Virtual eXtensible Local-Area Network, of VXLAN, is een standaard voor netwerkvirtualisatie van Internet Engineering Task Force (IETF). Hiermee kan één enkel fysiek netwerk worden gedeeld door meerdere verschillende organisaties of 'tenants', zonder dat één tenant het netwerkverkeer van een ander kan zien. 

Op deze manier zijn VXLAN's analoog voor individuele eenheden in een appartementengebouw: elk appartement is een aparte, privéwoning binnen een gemeenschappelijke structuur, net zoals elk VXLAN een discreet, privénetwerksegment is binnen een gedeeld fysiek netwerk.

Technisch gezien maakt een VXLAN het mogelijk dat een fysiek netwerk wordt gesegmenteerd in maar liefst 16 miljoen virtuele of logische netwerken. Het werkt door Layer 2 Ethernet-frames in te kapselen in een Layer 4 User Datagram Protocol (UDP)-pakket naast een VXLAN-header. In combinatie met een Ethernet virtueel privénetwerk (EVPN), dat Ethernet-verkeer transporteert in gevirtualiseerde netwerken met behulp van WAN-protocollen, maakt VXLAN het mogelijk dat Layer 2-netwerken worden uitgebreid over een Layer 3 IP- of MPLS-netwerk.

 

Belangrijkste voordelen

Omdat VXLAN's zijn ingekapseld in een UDP-pakket, kunnen ze worden uitgevoerd op elk netwerk dat UDP-pakketten kan verzenden. De fysieke lay-out en geografische afstand tussen knooppunten van het onderliggende netwerk zijn niet van belang, zolang de UDP-datagrammen worden doorgestuurd van het inkapselende eindpunt VXLAN-tunnel (VTEP) naar het ontsluitende VTEP. 

Wanneer VXLAN wordt gecombineerd met EVPN, kunnen operators virtuele netwerken maken uit fysieke netwerkpoorten op fysieke netwerkswitches die de standaard ondersteunen en deel uitmaken van hetzelfde Layer 3-netwerk. U kunt bijvoorbeeld een poort van switch A, twee poorten van switch B en een andere poort van switch C nemen en een virtueel netwerk bouwen dat voor alle aangesloten apparaten als één enkel fysiek netwerk wordt weergegeven. Apparaten die deelnemen aan dit virtuele netwerk zouden geen verkeer kunnen zien in andere VXLAN's of de onderliggende netwerkfabric.

 

VXLAN lost de volgende problemen op

Net zoals de snelle ingebruikname van servervirtualisatie heeft geleid tot een dramatische toename van de wendbaarheid en flexibiliteit, zijn virtuele netwerken die zijn losgekoppeld van fysieke infrastructuur eenvoudiger, sneller en betaalbaarder. Ze stellen bijvoorbeeld meerdere tenants in staat om veilig één enkel fysiek netwerk te gebruiken, waardoor netwerkoperators hun infrastructuren snel en economisch kunnen schalen om aan de groeiende vraag te voldoen. De belangrijkste redenen om netwerken te segmenteren zijn privacy en beveiliging; om te voorkomen dat één tenant verkeer van een andere tenant ziet of er toegang tot heeft.

Operators segmenteren hun netwerken logisch op manieren die vergelijkbaar zijn met hoe ze al lang traditionele virtuele LAN's (VLAN's) hebben geïmplementeerd; VXLAN's overwinnen echter VLAN-schaalbeperkingen op de volgende manieren.

  • Het is in theorie mogelijk om maar liefst 16 miljoen VXLAN's te maken in een administratief domein, in vergelijking met een maximum van 4094 traditionele VLAN's. Op deze manier bieden VXLAN's netwerksegmentatie op de schaal die vereist is door cloud- en serviceproviders om zeer grote aantallen tenants te ondersteunen.
  • VXLAN's maken het mogelijk om netwerksegmenten te maken die zich uitstrekken tussen datacenters. Traditionele VLAN-gebaseerde netwerksegmentatie creëert broadcastdomeinen, maar zodra een pakket met VLAN-tags een router bereikt, wordt al die VLAN-informatie verwijderd. Dit betekent dat VLAN's niet verder gaan dan uw onderliggende Layer 2-netwerk kan bereiken. Dit is een probleem voor sommige gebruikssituaties, zoals migratie van virtuele machines (VM), die meestal de grenzen van Layer 3 niet overschrijdt. Daarentegen kapselt VXLAN-netwerksegmentatie het originele pakket in binnen een UDP-pakket. Hierdoor kan een VXLAN-netwerksegment zich zo ver uitstrekken als het fysieke Layer 3-gerouteerde netwerk kan bereiken, op voorwaarde dat alle switches en routers in het pad VXLAN ondersteunen, zonder dat de applicaties die op het virtuele overlay-netwerk draaien Layer 3-grenzen moeten overschrijden. De servers die op het netwerk zijn aangesloten, maken deel uit van hetzelfde Layer 2-netwerk, hoewel de onderliggende UDP-pakketten mogelijk naar een of meer routers zijn doorgestuurd.
  • De mogelijkheid om Layer 2-segmentatie te bieden over de bovenkant van een onderliggend Layer 3-netwerk, gecombineerd met het hoge aantal ondersteunde netwerksegmenten, stelt servers in staat om deel uit te maken van hetzelfde VXLAN, zelfs op afstand van elkaar, terwijl netwerkbeheerders Layer 2-netwerken klein kunnen houden. Kleinere Layer 2-netwerken voorkomen Mac-tabeloverloop op switches.

 

Primaire VXLAN-applicaties

VXLAN-gebruikssituaties voor serviceproviders en cloudproviders zijn eenvoudig: deze operators hebben grote aantallen tenants of klanten en er zijn meerdere juridische, privacy- en ethische redenen waarom providers het netwerkverkeer van de ene klant moeten scheiden van dat van de andere.

In bedrijfsomgevingen kan een tenant een gebruikersgroep, afdeling of andere reeks netwerkgesegmenteerde gebruikers of apparaten zijn die om interne beveiligingsredenen zijn gemaakt. Internet of Things (IoT)-apparaten zoals omgevingssensoren voor datacenters zijn bijvoorbeeld gevoelig voor compromissen, dus het is een goede beveiligingspraktijk om IoT-netwerkverkeer te isoleren van het applicatieverkeer van productienetwerken.

 

Zo werkt VXLAN

Het VXLAN-tunnelingprotocol kapselt frames van Layer 2 Ethernet in UDP-pakketten van Layer 4 in, waardoor u gevirtualiseerde subnetten van Layer 2 kunt maken die fysieke netwerken van Layer 3 overspannen. Elk gesegmenteerd subnet wordt uniek geïdentificeerd door een VXLAN Network Identifier (VNI).

De entiteit die de inkapseling en ontkapseling van pakketten uitvoert, wordt een eindpunt VXLAN-tunnel (VTEP) genoemd. Een VTEP kan een onafhankelijk netwerkapparaat zijn, zoals een fysieke router of switch, of een virtuele switch die wordt geïmplementeerd op een server. VTEP's kapselen Ethernet-frames in VXLAN-pakketten in, die vervolgens worden verzonden naar het bestemmings-VTEP via een IP of ander Layer 3-netwerk, waar ze worden ontkapseld en doorgestuurd naar de bestemmingsserver.

Om apparaten te ondersteunen die niet zelfstandig als VTEP kunnen werken, zoals bare-metal servers, kunnen hardware-VTEP's zoals geselecteerde Juniper-switches en -routers datapakketten inkapselen en ontkapselen. Daarnaast kunnen VTEP's zich bevinden in hypervisor-hosts, zoals kernelgebaseerde virtuele machines (KVM's), om direct gevirtualiseerde workloads te ondersteunen. Dit type VTEP staat bekend als een software VTEP.

Hardware and software VTEPs are shown above.

Hardware en software VTEP's worden hierboven weergegeven.

 

What is VXLAN diagram 2

In deze afbeelding, wanneer VTEP1 een Ethernet-frame ontvangt van Virtual Machine 1 (VM1) geadresseerd aan Virtual Machine 3 (VM3), gebruikt het de VNI en de doel-MAC om in de doorstuurtabel op te zoeken waar de VTEP het pakket naar toe kan sturen. VTEP1 voegt een VXLAN-header die de VNI bevat toe aan het Ethernet-frame, kapselt het frame in een Layer 3 UDP-pakket in en stuurt het pakket naar VTEP2 via het Layer 3-netwerk. VTEP2 ontkapselt het originele Ethernet-frame en stuurt het door naar VM3. VM1 en VM3 zijn zich totaal niet bewust van de VXLAN-tunnel en het Layer 3-netwerk ertussen.

Juniper Networks VXLAN Solutions

Juniper Networks MX-serie routers, QFX-serie switches en EX-serie switches ondersteunen EVPN-VXLAN en kunnen dienst doen als VTEP-gateways. Ze kunnen eveneens VXLAN-pakketten inkapselen/ontkapselen en routeren tussen verschillende VXLAN's.

Veelgestelde vragen over VXLAN

Waar wordt VXLAN voor gebruikt?

VXLAN's worden gebruikt voor netwerksegmentatie die verder gaat dan wat klassieke VLAN's kunnen leveren. Klassieke VLAN's bieden slechts 4094 virtuele netwerken, terwijl VXLAN's er tot 16 miljoen bieden. Netwerksegmentatie heeft twee primaire toepassingen: meerdere tenants toestaan om één enkel fysiek netwerk te gebruiken zonder elkaars verkeer te zien en hergebruik van IP-adresruimte mogelijk te maken. Het is ook mogelijk om netwerksegmenten te configureren met gedifferentieerd quality-of-service (QoS)-beleid en Service level agreements (SLA's).

VXLAN wordt voornamelijk gebruikt binnen grote datacenters, netwerken van serviceproviders en netwerken van cloudoperators, waar de limiet van 4094 virtuele netwerken van klassieke VLAN's te beperkend is. Dat gezegd hebbende, vindt VXLAN zijn weg van datacenters naar campusnetwerken, nu het wordt ondersteund door steeds meer, goedkopere, switchprocessors. 

Is er een standaard voor VXLAN?

Ja, de VXLAN-standaard is gemaakt in 2014 door de IETF en is gespecificeerd in RFC 7348. 

Is VXLAN een Layer 3-standaard?

VXLAN wordt soms beschouwd als een Layer 3-protocol omdat het afhankelijk is van een IP (Layer 3)-transportnetwerk. Het wordt soms ook beschouwd als een Layer 4-standaard, omdat het Ethernet-frames inkapselt in UDP, waardoor UDP van Layer 4 wordt beïnvloed. 

Vervangt VXLAN VLAN?

VXLAN's vervangen VLAN's niet volledig; in sommige gevallen, zoals bij grote datacenters van serviceproviders, kunnen beide standaarden worden gebruikt. VXLAN's kunnen worden gebruikt om het wereldwijde netwerk van de serviceprovider te segmenteren, door elke klant te isoleren op een eigen VXLAN terwijl elke klant privé-VLAN's kan maken binnen hun VXLAN.

Wat is het fundamentele verschil tussen VXLAN-, VLAN- en QinQ-technologieën?

VLAN, QinQ en VXLAN zijn allemaal standaarden die worden gebruikt voor het logisch segmenteren van fysieke netwerken in meerdere virtuele netwerken. Elke standaard biedt respectievelijk meer schaalbaarheid dan de vorige. Netwerken zijn meestal gesegmenteerd om beveiligingsredenen en ter ondersteuning van gedifferentieerde QoS-vereisten, die meestal deel uitmaken van SLA's.

VLAN's waren de eerste die in 1998 werden gestandaardiseerd; QinQ bouwde op VLAN's om het aantal logische netwerken dat kan worden gemaakt uit te breiden. QinQ maakt het ook mogelijk dat VLAN's voor bedrijven/ondernemingen worden ondersteund via openbare WAN-services. VXLAN biedt het grootste uitbreidingsvermogen en flexibiliteit van de drie technologieën.

Technisch gezien liggen de verschillen tussen deze technologieën in hoe ze Ethernet-frames taggen en inkapselen vóór verzending via communicatienetwerken.  

Wat zijn de meer technische verschillen tussen VXLAN, VLAN en QinQ?

Om deze verschillende virtualisatietechnologieën te begrijpen, is basiskennis nodig van hoe Ethernet-netwerken functioneren. Een Ethernet-frame bestaat uit een header met informatie over het doorsturen van gegevens, zoals het MAC- en IP-adres van de bron en bestemming, en een payload die de eigenlijke gegevens bevat die moeten worden doorgestuurd. Om deze frames met succes van de ene locatie naar de andere te kunnen doorsturen, moet elk netwerkelement dat betrokken is bij de communicatieketen, zoals netwerkinterfacekaarten, switches en routers, de betrokken Ethernet- en virtualisatiestandaarden begrijpen.

VLAN en QinQ breiden beide de lengte van de fundamentele Ethernet-frameheader uit, waardoor alle netwerkapparaten (zowel eindpunten als alle tussenliggende apparaten) de standaarden moeten ondersteunen. VXLAN breidt daarentegen de Ethernet-frameheader niet uit, waardoor alleen ondersteuning nodig is voor de standaard op de apparaten die als VTEP's dienen.

De VLAN-standaard die in 1998 werd gecreëerd, breidt Ethernet-frameheaders uit met 4 bytes, waardoor Ethernet-frames kunnen worden "getagd" als behorend tot een van maximaal 4094 virtuele netwerken. QinQ breidt de VLAN-standaard uit zodat er 4094 'privé'-VLAN's kunnen worden gemaakt op elk van de 4094 'openbare'-VLAN's, oftewel 16 miljoen VLAN's in totaal. Om de klus te klaren, breidt het ook de Ethernet-frameheader uit met 4 bytes.

Net als QinQ ondersteunt de VXLAN-standaard, die in 2014 werd gecreëerd, tot 16 miljoen virtuele netwerken. Hoewel het de Ethernet-frameheader niet uitbreidt, vereist het wel een verhoogde maximale IP-pakketgrootte, waardoor IPv4-pakketten worden uitgebreid van 1518 bytes naar 1554 bytes. VXLAN-pakketten kapselen het originele Ethernet-frame in binnen een UDP-pakket. Het nieuwe UDP-pakket bevat zowel de VXLAN-header als het complete originele Ethernet-frame in de payload. UDP, vaak gebruikt voor vertragingsgevoelig verkeer, is het verbindingsloze Layer 4-communicatieprotocol in de core-internetprotocolsuite die een alternatief met lagere latentie is voor verbindingsgeoriënteerde TCP.  

Worden VXLAN, VLAN en QinQ typisch samen gebruikt?

In theorie kunt u traditionele VLAN's, QinQ VLAN's en VXLAN's tegelijkertijd gebruiken. Dit komt door de plaats van de netwerkidentifiers in het gegevenspakket. VXLANs veranderen of breiden het formaat van het UDP-pakket waarin ze zijn ingekapseld niet uit, noch veranderen of breiden ze het buitenste Ethernet-frame waarin dat UDP-pakket is ingekapseld uit. Dat komt omdat VXLAN-pakketten zijn opgenomen binnen de payload van een UDP-pakket (niet de header). Ze bevatten een VXLAN-header en het complete originele Ethernet-frame dat moest worden verzonden. VXLAN-in-UDP-pakketten kunnen dan buitenste Ethernet-frames hebben die ook VLAN- en QinQ-id's bevatten.

Met andere woorden, in een VXLAN-pakket zijn er drie plaatsen waar virtuele netwerken kunnen worden gedefinieerd: het buitenste Ethernet-frame, de VXLAN-header en het binnenste Ethernet-frame, en elk van deze sets virtuele netwerken kunnen volledig van elkaar verschillen. Dit kan resulteren in een pakket waarbij het buitenste Ethernet-frame 16 miljoen virtuele netwerken kan ondersteunen, de VLXAN-header nog eens 16 miljoen virtuele netwerken en vervolgens het binnenste Ethernet-frame dat ook nog 16 miljoen virtuele netwerken kan ondersteunen.

In de praktijk van bedrijfsnetwerken zijn netwerken echter meestal gebaseerd op VLAN of VXLAN. Wanneer technologieën worden gecombineerd, is dat meestal door netwerk- en cloudserviceproviders die zakelijke klanten de mogelijkheid bieden om VLAN's te gebruiken binnen hun eigen VXLAN. Dit scenario maakt gebruik van VLAN's op het binnenste Ethernet-frame, evenals de virtuele netwerkmogelijkheden van de VXLAN-header, maar maakt geen gebruik van VLAN's op het buitenste Ethernet-frame.

Is VXLAN beter dan VLAN?

VXLAN's en VLAN's, hoewel oppervlakkig vergelijkbaar, lossen hetzelfde probleem op verschillende manieren op. Dit betekent dat ze worden gebruikt in verschillende omstandigheden en dat ze elkaar niet uitsluiten.

Vandaag de dag kan bijna elke verkochte switch op zijn minst fundamentele VLAN's ondersteunen en de meeste, waaronder veel consumentenswitches, kunnen QinQ ondersteunen. EVPN-VXLAN-ondersteuning is meestal beperkt tot meer capabele switches voor ondernemingen of carrier-klasse.

VXLAN's worden beschouwd als de efficiëntere technologie. De reden hiervoor is dat alleen de switches die VTEP's bevatten een extra look-up-tabel (LUT)-last dragen in een VXLAN-gebaseerd netwerk, en ze hoeven dit alleen te doen voor de virtuele netwerken waarvoor ze VTEP's hebben, niet voor het hele netwerk. Dit staat in contrast met VLAN-gebaseerde netwerken, zoals QinQ, dat dezelfde 16 miljoen potentiële virtuele netwerken ondersteunt als VXLAN, maar vereist dat alle switches de extra last op zich nemen. 

Wat zijn de technische details van VXLAN-efficiëntie, in vergelijking met QinQ VLAN's?

QinQ VLAN's vereisen dat elk apparaat dat kan communiceren met een QinQ-pakket de uitgebreide Ethernet-header ondersteunt. VXLAN vereist dat elk apparaat dat kan werken met een VXLAN-pakket het langere Ethernet-frame ondersteunt, maar vereist alleen dat apparaten met VTEP's ontkapseling en het lezen van de VXLAN-header ondersteunen.

Omdat zowel het klassieke VLAN als de QinQ-extensie eenvoudig een tag toevoegen aan de Ethernet-frameheader, slaat elke switch die een VLAN- of QinQ-pakket ziet, metadata over elk pakket op. Dit resulteert in snel groeiende LUT's, omdat elke switch moet weten waar elk afzonderlijk apparaat in het hele netwerk is.

Omdat VXLAN's het originele Ethernet-frame inkapselen, scheiden ze het netwerk in een "underlay" en een "overlay". De underlay is het fysieke netwerk dat de UDP-pakketten verzendt waarin zich de VXLAN-header en het originele Ethernet-frame bevinden. De meerderheid van de fysieke switches die deze UDP-pakketten verzenden, hoeven geen informatie op te slaan over de VXLAN-header of het originele Ethernet-frame: het enige dat ze moeten weten is wat de bestemming van het UDP-pakket is.

Wanneer het UDP-pakket aankomt bij een switch met een relevant VTEP, wordt het UDP-pakket ontkapseld en leest de switch met het VTEP de VXLAN-header en de headerinformatie van het ingekapselde Ethernet-frame en voegt die gegevens toe aan zijn LUT. Als gevolg daarvan dragen alleen de switches die VTEP's bevatten de extra LUT-last van virtuele netwerken in een VXLAN-gebaseerd netwerk, en ze hoeven die last alleen te dragen voor de virtuele netwerken waarvoor ze VTEP's hebben, niet voor het hele netwerk. Dit staat in contrast met VLAN-gebaseerde netwerken, waar alle switches dit zouden moeten doen.

Een groot VXLAN-gebaseerd netwerk is dus veel efficiënter vanuit het oogpunt van het gebruik van LUT-bronnen dan een VLAN/QinQ-netwerk. Het VXLAN-gebaseerde netwerk vereist echter switches die VTEP's ondersteunen, iets dat momenteel beperkt is tot switches in het hogere segment.

Wat is het verschil tussen VXLAN en EVPN?

Alle soorten virtuele LAN's zijn een manier om fysieke netwerken te segmenteren in meerdere, particuliere, virtuele netwerken. Ethernet VPN (EPVN) en VXLAN worden vaak samen gebruikt, maar ze zijn technisch onafhankelijk met verschillende doelstellingen.

XLAN's breiden de Layer 2-adresruimte uit van ongeveer 4000 naar ongeveer 16 miljoen om Ethernet-netwerken uit te breiden over bredere IP-netwerken, waarbij het fysieke netwerk wordt opgedeeld zodat meerdere tenants de bronnen kunnen delen zonder elkaars verkeer te zien. EVPN maakt het mogelijk om virtuele netwerken aan te maken die bestaan uit switchpoorten en andere bronnen van verschillende apparatuur en netwerkdomeinen. EVPN is in feite een manier om computers die niet op hetzelfde fysieke netwerk zijn aangesloten en geografisch ver van elkaar verwijderd kunnen zijn, zich te laten gedragen alsof ze op dezelfde fysieke switch zijn aangesloten, waarbij alle knooppunten die deel uitmaken van dat EVPN gegevensbroadcasts ontvangen alsof ze op een traditioneel Layer 2 lokaal netwerk zijn aangesloten. 

Waarom zou ik VXLAN en EVPN samen gebruiken?

Wanneer u deze technologieën combineert in een EVPN-VXLAN, krijgt u ultieme flexibiliteit in de netwerkconfiguratie; de fysieke locatie van een computer heeft geen invloed op het netwerk waarmee deze is verbonden. Een enkele 32-poorts switch kan elke poort een ander VXLAN laten zien, wat betekent dat een computer die op een poort is aangesloten niet kan praten met een andere computer die op een andere poort van diezelfde switch is aangesloten, zonder dat een router zorgt voor connectiviteit. Met EVPN kunt u echter virtuele Ethernet-netwerken bouwen zodat computers in twee verschillende steden met de juiste configuratie deel kunnen uitmaken van hetzelfde subnet.

Welke VXLAN-oplossingen biedt Juniper?

Juniper biedt VXLAN VTEP-ondersteuning in verschillende van onze switches en routers, samen met opties voor het configureren en beheren van VXLAN en EVPN-VXLAN-datacenterfabrics:

  • Bepaalde netwerkapparaten van Juniper, waaronder QFX-serie switches, EX-serie switches en MX-serie universele routers, kunnen dienen als VTEP's en UDP-pakketten doorsturen die VXLAN-headers en het ingekapselde Ethernet-frame bevatten, omdat ze niet op de hoogte hoeven te zijn van de VXLAN-inhoud.
  • EVPN-VXLAN-datacenterfabrics kunnen handmatig worden beheerd via het Junos-besturingssysteem CLI, de Junos OS API of de Juniper Apstra-datacenterfabric-manager.
  • Juniper's AI-gestuurde campusfabrics, gebaseerd op een VXLAN-overlay met een EVPN-controlelaag, leveren een efficiënte en schaalbare manier om bedrijfsnetwerken consistent te bouwen en te verbinden.
  • Bepaalde Juniper SRX-serie firewalls ondersteunen beveiligingsinspectie van VXLAN-tunnels.