VXLAN vs. VLAN: Was ist der Unterschied?

Was ist ein VLAN?

Ein VLAN (Virtual Local Area Network) ist ein logisch getrenntes Teilnetz innerhalb eines physischen Netzwerks. Es gruppiert Geräte so, als befänden sie sich im selben lokalen Netzwerk – selbst wenn sie physisch an unterschiedlichen Standorten angeschlossen sind. VLANs arbeiten typischerweise auf der zweiten Schicht (Data Link Layer oder Sicherungsschicht) des  OSI-Modells und ermöglichen die Trennung von Broadcast-Domänen, ohne dass zusätzliche physische Infrastruktur benötigt wird.

Hauptmerkmale von VLANs:

• Virtuelle Segmentierung: VLANs unterteilen ein physisches LAN in mehrere logische Netzwerke.
• Traffic-Isolation: Geräte in verschiedenen VLANs können nur über einen Layer-3-Router oder Layer-3-Switch miteinander kommunizieren.
• VLAN-ID: Jedes VLAN besitzt eine eindeutige Kennung (VLAN-ID), meist im Bereich von 1 bis 4094.
• Standortunabhängigkeit: Geräte können ortsunabhängig einem VLAN zugewiesen werden. Das ist ideal für mobile oder dynamische Umgebungen.

So funktionieren VLANs

Ein VLAN schafft ein Overlay-Netzwerk über einem physischen LAN. Netzwerkadministratoren können VLANs einrichten, um Datenverkehr und Ressourcen für bestimmte Geräte und Abteilungen zu segmentieren.

VLANs bieten eine verbesserte Sicherheit und Verkehrsverwaltung für Unternehmensnetzwerke. Der IEEE 802.1Q-Standard begrenzt jedoch die Anzahl der unterstützten VLANs auf maximal 4.096, was auf die im Standard beschriebene 12-Bit-VLAN-Tagging-Methode zurückzuführen ist. Diese Beschränkung wird besonders in folgenden Szenarien problematisch:

• Multi-Tenant-Cloud-Umgebungen
• Microservices-Architekturen
• IoT-Netzwerke mit tausenden Geräten

In großen Rechenzentren können ausführbare Komponenten, die eine Anwendung bilden oder einen Service bereitstellen, auf mehreren virtuellen Maschinen (VM) ausgeführt werden, die über mehrere Server verteilt sind - in einer einzigen Einrichtung oder in geografisch entfernten Zentren. Da VLANs auf Layer 2 arbeiten, können Anwendungskomponenten nicht in verschiedene Subnetze oder über das Netzwerk geroutet werden.

Was ist ein VXLAN?

VXLAN (Virtual Extensible LAN) ist eine Overlay-Technologie zur Netzwerkvirtualisierung, die entwickelt wurde, um die Skalierbarkeits- und Segmentierungsgrenzen herkömmlicher VLANs zu überwinden. VXLAN kapselt Layer-2-Ethernet-Frames in UDP-Datenpakete (Layer 4) und ermöglicht so die Schaffung virtueller Netzwerke über bestehende Layer-3-Infrastrukturen hinweg.

Hauptmerkmale von VXLANs:

• Hohe Skalierbarkeit: VXLAN nutzt einen 24-Bit-VXLAN-Network-Identifier (VNI), der bis zu 16,7 Millionen isolierte Netzwerke erlaubt, also weit mehr als die 4.096 VLANs mit 12-Bit-ID.
• Overlay-Netzwerke: Ermöglicht virtuelle Layer-2-Netzwerke über ein Layer-3-IP-Backbone, zum Beispiel zwischen Rechenzentren.
• Standortunabhängigkeit: Virtuelle Maschinen und Geräte können netzwerkübergreifend kommunizieren, unabhängig vom physischen Standort.
• Kapselung: Ethernet-Frames werden in UDP-Paketen (Port 4789) verpackt, um die Durchquerung von IP-Netzwerken zu ermöglichen.
• Multitenancy und Isolation: Ideal für Cloud-Umgebungen und Mandantenfähigkeit durch starke Trennung der Netzwerke.

So funktionieren VXLANs

Das ursprüngliche Konzept des Virtual Extensible LAN (VXLAN) gibt es schon seit einigen Jahren. VXLAN ist seit 2014 durch die IETF im RFC 7348 offiziell standardisiert und hat sich zum De-facto-Standard für Overlay-Netzwerke in modernen Rechenzentren entwickelt. Ursprünglich führten VMware und Cisco VXLANs ein, aber andere Gerätehersteller haben sie schließlich übernommen, um die Einschränkungen von VLANs zu überwinden. VXLANs bieten ein Layer-3-Overlay-Netzwerk, das die Unfähigkeit von VLANs, geroutet zu werden, und die begrenzte Reichweite von 4.096 VLANs pro Switching-Domäne überwindet.

Die Anwendungen verwenden weiterhin VLANs, aber VXLANs verpacken die VLANs einer Anwendung in UDP-Pakete (User Datagram Protocol), die geroutet werden können. VXLANs sind für Anwendungskomponenten nicht sichtbar, sodass Administratoren keine Änderungen an den Anwendungen vornehmen müssen. Jede Anwendung erhält einen vollständigen Satz von 4.096 verfügbaren VLANs.

VTEP

Ein virtueller Tunnelendpunkt (VTEP) leitet Daten zwischen Subnetzen oder über das Netzwerk. VTEPs befinden sich häufig innerhalb eines virtuellen System-Hypervisors, können aber auch in einem Router untergebracht sein. Moderne VTEPs sind heute oft direkt in physische Leaf- oder Spine-Switches integriert, die Teil einer SDN-Fabric sind. Der VTEP, der ein VXLAN unterstützt, muss Zugriff auf die VLANs haben, die eine Anwendung verwendet. Außerdem muss er Schnittstellen zu allen Netzwerkverbindungen unterhalten, die erforderlich sind, um die Systeme zu erreichen, in denen sich Anwendungskomponenten befinden.

Vor der Übertragung von Daten verpackt der VTEP die Daten in ein UDP-Paket. Der Paketkopf beinhaltet die Ziel-IP-Adresse und einen 8-Byte-VXLAN-Header. Der VXLAN-Header enthält die folgenden Informationen:

• eine 24-Bit-VNI
• ein 8-Bit-Flag-Feld, bei dem ein einziges Bit auf eins gesetzt ist
• zwei weitere Felder mit insgesamt 32 Bit, die für die zukünftige Verwendung reserviert sind

Der empfangende VTEP entfernt die UDP- und VTEP-Header, bevor er die VLAN-Daten an die entsprechenden Anwendungskomponenten weiterleitet. Keiner der beiden VTEP verändert die Daten, so dass die empfangenen Daten identisch mit denen sind, die die sendende Anwendungskomponente übermittelt hat.

Multicast zur Kommunikation über das Netzwerk

Anstatt jedes Paket mehrmals zu senden, verwenden VTEPs Multicast-Routing, um jedes ausgehende Paket einmal zu senden und mehrere Ziele zu erreichen. Das Netzwerkmanagement überwacht die Zuweisung von Multicast-Gruppen und entsprechenden Multicast-Adressen. Multicast-IP-Adressen liegen im Bereich von 224.0.0.0 bis 239.255.255.255. Einem VTEP wird für jede von ihm unterstützte Anwendung eine Adresse zugewiesen.

In modernen VXLAN-Implementierungen wird Multicast meist nicht mehr verwendet. Stattdessen nutzen viele Netzwerke effizientere Verfahren wie Head-End Replication (HER) oder EVPN-VXLAN mit BGP, um die Verbindungen zu steuern. MP-BGP EVPN (Multiprotocol Border Gateway Protocol Ethernet VPN) hat sich als effizientes Protokoll für die Handhabung von Unicast-Verkehr in VXLAN-Umgebungen etabliert. Diese Kombination reduziert oder eliminiert die Notwendigkeit für Multicast-Replikation im Overlay-Netzwerk, was besonders in großen Implementierungen die Netzwerklast erheblich verringern kann. Für BUM-Verkehr (Broadcast, Unknown nicast and Multicast) wird jedoch weiterhin ein Multicast-Underlay oder statische Ingress-Replikation benötigt.

Wenn eine Anwendungskomponente eine Kommunikation mit einer anderen Komponente einleitet, arbeitet sie genauso wie in einer Nicht-VXLAN-Umgebung. Befindet sich das Ziel im gleichen Subnetz, verwendet sie eine ARP-Broadcast-Nachricht (Address Resolution Protocol), um die andere Komponente zu finden. Befindet sich das Ziel in einem anderen Subnetz, sendet die Anwendung ARP-Nachrichten für den First Hop Router, der auch als VTEP dienen kann. Wenn der Router nicht eingeschaltet ist, sendet die Anwendung ARP-Nachrichten an einen VTEP.

Der VTEP kapselt die ARP-Anfrage in UDP- und VXLAN-Header ein und sendet das Paket an die IP-Multicast-Gruppe, die dem VXLAN-Segment zugeordnet ist, zu dem die kommunizierenden Komponenten gehören.

Der VTEP, der die Zielanwendungskomponente unterstützt, entfernt die UDP- und VXLAN-Header und belässt die VLAN-Daten so, wie sie von der übertragenden Komponente gesendet wurden. Der VTEP lokalisiert dann das Ziel mit einem ARP-Paket, so wie er es tun würde, wenn das Netzwerk auf ein einziges System beschränkt wäre. Datenpakete und Antwortnachrichten werden mit denselben Methoden übertragen wie bei der ursprünglichen Übertragung.

Kommunikation außerhalb des VXLANs

In manchen Fällen müssen Anwendungen außerhalb der VXLAN-Umgebung kommunizieren. In diesem Zusammenhang entfernt ein VXLAN-Gateway die VXLAN- und UDP-Header und leitet die Pakete an die Ziele weiter. Die Antworten gehen an das Gateway. VXLAN- und UDP-Header werden angehängt, und die Nachricht wird auf demselben Weg zurückgeschickt, auf dem sie gekommen ist. Weder die Quell-VM noch die Ziel-VM müssen geändert werden, um an dem Austausch teilzunehmen.

Diese Gateways sind heute oft Bestandteil moderner Border Leaf Switches oder SDN-Fabrics, die eine nahtlose Übergabe zwischen Overlay und Legacy-Netz ermöglichen.

VXLANs sind für große Umgebungen nützlich

Es gibt viele Netzwerk-Overlay-Optionen, die jeweils für bestimmte Anwendungsumgebungen geeignet sind, aber VXLANs bewähren sich weiterhin in großen Rechenzentren und Cloud-Umgebungen. Wenn Unternehmen Netzwerkänderungen oder -erweiterungen vornehmen, können sie VXLANs entsprechend einbinden.

VXLAN ist heute ein integraler Bestandteil moderner Netzwerkarchitekturen, beispielsweise Cisco ACI, VMware NSX oder EVPN-Fabrics, und wird zunehmend auch in Container-Umgebungen wie Kubernetes über CNI-Plug-ins eingesetzt. Mit der zunehmenden Unterstützung durch kostengünstigere Switch-Prozessoren breitet sich VXLAN mittlerweile auch über Rechenzentren hinaus in Campus-Netzwerke aus. Zudem entwickelt sich der Standard weiter, wie etwa durch die Generic Protocol Extension for VXLAN (VXLAN-GPE), die in Internet-Drafts dokumentiert wird und zusätzliche Funktionalitäten bietet.

Dieser Artikel von David Jacobs wurde von der ComputerWeekly-Redaktion aktualisiert, um neue Entwicklungen widerzuspiegeln und das Leseerlebnis zu verbessern.