什么是 VXLAN？

VXLAN 可用于实现传统 VLAN 无法实现的网络分段。传统 VLAN 仅提供 4094 个虚拟网络，而 VXLAN 可提供多达 1600 万个。网络分段有两个主要用途：支持多个租户共享一个物理网络，而无法查看彼此的流量，并允许重复使用 IP 地址空间。此外，还可以根据差异化服务质量 (OoS) 策略和服务级别协议 (SLA) 配置网络分段。

VXLAN 主要用于大型数据中心、服务提供商网络和云运营商网络，在这些环境中，传统 VLAN 的 4094 个虚拟网络上限过少。不过，随着越来越多且越来越便宜的交换机处理器支持 VXLAN，它开始不局限于数据中心，也适用于园区网络。 

是的，VXLAN 标准由 IETF 于 2014 年制定，并在 RFC 7348 中载明。 

VXLAN 有时被视作第 3 层协议，因为它依赖 IP（第 3 层）传输网络。有时候，它还被视作第 4 层标准，因为它将以太网帧封装在 UDP 中，通过运维影响第 4 层 UDP。 

VXLAN 并不能完全取代 VLAN；在某些情况下（如大型服务提供商数据中心），两种标准可能都适用。VXLAN 可用来为服务提供商的全球网络进行分段，将每个客户隔离在各自的 VXLAN 中，同时支持每个客户在各自的 VXLAN 中创建专用 VLAN。

VLAN、QinQ 和 VXLAN 都是用来将物理网络从逻辑上分段为多个虚拟网络的标准。每个标准都比前一个标准提供更强的可扩展性。对网络进行分段通常是出于安全因素考量以及为了满足不同的 OoS 要求（通常是 SLA 的一部分）。

VLAN 于 1998 年率先实现标准化；QinQ 以 VLAN 为基础，增加了可创建的逻辑网络数量。QinQ 还使企业/商业 VLAN 得到了公共 WAN 服务的支持。QinQ 还使企业/商业 VLAN 得到了公共 WAN 服务的支持。

理论上来讲，这些技术之间的区别在于它们通过通信网络进行传输之前如何标记和封装以太网帧。  

要认识这些不同的虚拟化技术，就需要对以太网的运维方式有基本的认识。以太网帧由含有数据转发信息（如源以及目的 MAC 和 IP 地址）的标头以及包含待传输实际数据的有效负载组成。若要将这些帧从一个位置成功转发到另一个位置，通信链中涉及的每个网络元素（如网络接口卡、交换机和路由器）必须理解所涉及的以太网和虚拟化标准。

VLAN 和 QinQ 都扩展了基本以太网帧头的长度，要求所有网络设备（两头端点和所有中间设备）支持这些标准。相比之下，VXLAN 并未扩展以太网帧头，因此仅要求作为 VTEP 的设备支持该标准。

VLAN 标准于 1998 年推出，将以太网帧头扩展了 4 个字节，使以太网帧可以被“标记”为多达 4094 个虚拟网络中的一个。QinQ 扩展了 VLAN 标准，可以在 4094 个“公共”VLAN 中的每个 VLAN 上创建 4094 个“私有”VLAN，即总共 1600 万个 VLAN。为满足需求，它还将以太网帧头扩展了 4 个字节。

与 QinQ 一样，于 2014 年推出的 VXLAN 标准支持多达 1600 万个虚拟网络。虽然它没有扩展以太网帧头，但要求提高 IP 数据包最大容量，将 IPv4 数据包从 1518 个字节扩展到 1554 个字节。VXLAN 数据包将原始以太网帧封装在 UDP 数据包中。新 UDP 数据包的有效负载中含有 VXLAN 标头和完整的原始以太网帧。UDP 通常用于对延迟敏感的流量，是核心互联网协议套件中的无连接第 4 层通信协议，也是面向连接的 TCP 的低延迟替代协议。  

假设您可以同时使用传统 VLAN、QinQ VLAN 和 VXLAN。这是因为网络标识符存在于数据包中的位置。VXLAN 不会更改或扩展在其中封装的 UDP 数据包的格式，也不会更改或扩展携带 UDP 数据包的外层以太网帧。这是因为 VXLAN 数据包包含在 UDP 数据包（而非标头）的有效负载中。它们包括一个 VXLAN 标头和最终要传输的完整原始以太网帧。然后，UDP 数据包中的 VXLAN 就可以包含也包含 VLAN 和 QinQ 标识符的外层以太网帧。

换言之，在 VXLAN 数据包中，有三个位置可以定义虚拟网络：外层以太网帧、VXLAN 标头和内层以太网帧，每组虚拟网络都可能完全互不相同。这可能产生一个数据包，其中外层以太网帧可支持 1600 万个虚拟网络，VLXAN 标头可支持 1600 万个额外虚拟网络，内层以太网帧可支持另外 1600 万个虚拟网络。

然而在企业网络实践中，网络往往基于 VLAN 或 VXLAN。当多种技术配合使用时，通常由网络和云服务提供商为企业客户提供在各自 VXLAN 中使用 VLAN 的能力。在此场景中，内层以太网帧使用 VALN，以及 VXLAN 标头的虚拟网络功能，但未在外层以太网帧上使用 VLAN。

VXLAN 和 VLAN 虽然表面上相似，但以不同的方式解决同一个问题。这意味着，它们适用于不同的情形，并不互相排斥。

如今，几乎每台售出的交换机至少可支持基本 VLAN，大多数（包括许多消费级交换机）可支持 QinQ。EVPN-VXLAN 支持通常仅限于功能更强大的企业或运营商等级交换机。

VXLAN 是公认更高效的技术。原因在于，在基于 VXLAN 的网络中，只有包含 VTEP 的交换机才能承载额外查找表 (LUT) 负担，且它们仅需要为具有 VTEP 的虚拟网络承载这一负担，而非整个网络。这与基于 VLAN 的网络（如 QinQ）形成鲜明对比，QinQ 也与 VXLAN 一样支持 1600 万潜在虚拟网络，但要求所有交换机承载额外负担。 

QinQ VLAN 要求可能与 QinQ 数据包交互的每台设备都支持扩展的以太网标头。VXLAN 要求可能与 VXLAN 数据包交互的设备支持更长的以太网帧，但仅要求具有 VTEP 的设备支持 VXLAN 标头解封装和读取。

由于传统的 VLAN 及其 QinQ 扩展都只在以太网帧标头中添加标记，因此检测到 VLAN 或 QinQ 数据包的每台交换机都将存储每个数据包的元数据。这导致 LUT 迅速扩大，因为每台交换机都需要掌握整个网络中每台设备的位置。

由于 VXLAN 封装原始以太网帧，因此它们将网络分为“底层”网络和“叠加”网络。底层网络是传输 UDP 数据包的物理网络，是 VXLAN 标头和原始以太网帧驻留的位置。大多数传输这些 UDP 数据包的物理交换机不需要存储有关 VXLAN 标头或原始以太网帧的信息。它们只需要了解向哪里传输 UDP 数据包。

当 UDP 数据包到达具有相关 VTEP 的交换机时，UDP 数据包被解封装，包含 VTEP 的交换机会读取 VXLAN 标头和封装的以太网帧头信息，从而将该数据添加到其 LUT 中。因此，在基于 VXLAN 的网络中，只有包含 VTEP 的交换机才能承载额外 LUT 负担，且它们仅需要为具有 VTEP 的虚拟网络承载这一负担，而非整个网络。这与基于 VLAN 的网络形成鲜明对比，后者中的所有交换机必须为整个网络承载额外 LUT 负担。

因此，从 LUT 资源使用的角度来看，基于 VXLAN 的大型网络比基于 VLAN/QinQ 的网络高效得多。但是，基于 VXLAN 的网络需要支持 VTEP 的交换机，而目前这仅限于更高端的交换机。

所有类型的虚拟 LAN 都是将物理网络分段为多个专用虚拟网络的一种方式。以太网 VPN (EVPN) 和 VXLAN 经常配合使用，但它们在技术上相互独立，目标不同。

VXLAN 将第 2 层地址空间从约 4000 个扩展至约 1600 万个，从而将以太网扩展到更广泛的 IP 网络，对物理网络进行切片，以便多个租户可以共享资源，而不会看到彼此的流量。EVPN 支持创建由交换机端口以及来自不同设备和网域的其他资源组成的虚拟网络。EVPN 基本上就是一种让未连接到同一物理网络且地理位置可能互相远离的计算机如同插入同一物理交换机运行一般的方式，该 EVPN 的所有节点都能像连接到传统的第 2 层本地网络一样接收数据广播。 

将这些技术综合到 EVPN-VXLAN 中，即可获得终极网络配置灵活性；一台计算机的物理位置对其所连接的网络没有影响。一台 32 端口交换机的每个端口可能接入不同的 VXLAN，这意味着如果没有路由器提供连接，插入任何端口的计算机都无法与插入同一交换机其他端口的另一台计算机进行通信。但是，您可以通过 EVPN 构建虚拟以太网，如果配置正确，位于两个不同城市的计算机可以接入同一子网。

瞻博网络在多款交换机和路由器中提供 VXLAN VTEP 支持，并提供配置和管理 VXLAN 和 EVPN-VXLAN 数据中心交换矩阵的方案：

• 部分瞻博网络设备，包括 QFX 系列交换机、EX 系列交换机和 MX 系列通用路由器，可充当 VTEP，转发含有 VXLAN 标头和封装以太网帧的 UDP 数据包，因为它们不需要了解 VXLAN 内容。
• EVPN-VXLAN 数据中心交换矩阵可通过 Junos 操作系统 CLI、Junos OS API 或 Juniper Apstra 数据中心交换中心管理器进行手动管理。
• 瞻博网络的人工智能驱动型园区交换矩阵基于 EVPN 控制平面的 VXLAN 叠加网络，可以高效、可扩展、一致的方式构建和互连企业网络。
• 部分瞻博网络 SRX 系列防火墙支持 VXLAN 隧道安全检测。