בארכיטקטורת רשת מודרנית, VLAN (רשת מקומית וירטואלית) ו-VXLAN (רשת מקומית מורחבת וירטואלית) הן שתי טכנולוגיות הווירטואליזציה הנפוצות ביותר של רשתות. הן אולי נראות דומות, אך למעשה ישנם מספר הבדלים מרכזיים.
VLAN (רשת מקומית וירטואלית)
VLAN הוא קיצור של Virtual Local Area Network (רשת מקומית וירטואלית). זוהי טכניקה המחלקת את ההתקנים הפיזיים ברשת LAN למספר תת-רשתות בהתאם ליחסים לוגיים. VLAN מוגדר במתגי רשת לחלק התקני רשת לקבוצות לוגיות שונות. למרות שהתקנים אלה עשויים להיות ממוקמים פיזית במקומות שונים, VLAN מאפשר להם להשתייך לוגית לאותה רשת, מה שמאפשר ניהול ובידוד גמישים.
ליבת טכנולוגיית ה-VLAN טמונה בחלוקת פורטי המתג. מתגים מנהלים תעבורה על סמך מזהה ה-VLAN (VLAN ID). מזהי VLAN נעים בין 1 ל-4095 והם בדרך כלל בני 12 ספרות בינאריות (כלומר, הטווח בין 0 ל-4095), מה שאומר שמתג יכול לתמוך בעד 4,096 יציאות VLAN.
זרימת עבודה
○ זיהוי VLAN: כאשר חבילה נכנסת למתג, המתג מחליט לאיזה VLAN יש להעביר את החבילה בהתבסס על מידע מזהה ה-VLAN בחבילה. בדרך כלל, פרוטוקול IEEE 802.1Q משמש לתיוג VLAN של מסגרת הנתונים.
○ תחום שידור VLAN: כל VLAN הוא תחום שידור עצמאי. גם אם מספר VLANs נמצאים באותו מתג פיזי, השידורים שלהם מבודדים זה מזה, מה שמפחית תעבורת שידור מיותרת.
○ העברת נתונים: המתג מעביר את חבילת הנתונים לפורט המתאים בהתאם לתגי VLAN השונים. אם המכשירים בין VLANs שונים צריכים לתקשר, יש להעביר אותם דרך התקני שכבה 3, כגון נתבים.
נניח שיש לכם חברה עם מספר מחלקות, שכל אחת מהן משתמשת ב-VLAN שונה. בעזרת המתג, תוכלו לחלק את כל המכשירים במחלקת הכספים ל-VLAN 10, את אלו במחלקת המכירות ל-VLAN 20, ואת אלו במחלקה הטכנית ל-VLAN 30. בדרך זו, הרשת בין המחלקות מבודדת לחלוטין.
יתרונות
○ אבטחה משופרת: VLAN יכול למנוע ביעילות גישה לא מורשית בין VLAN שונים על ידי חלוקת שירותים שונים לרשתות שונות.
○ ניהול תעבורת רשת: על ידי הקצאת רשתות VLAN, ניתן למנוע סערות שידור והרשת יכולה להיות יעילה יותר. חבילות שידור יופצו רק בתוך ה-VLAN, מה שמפחית את השימוש ברוחב הפס.
○ גמישות רשת: VLAN יכול לחלק את הרשת באופן גמיש בהתאם לצרכים העסקיים. לדוגמה, ניתן להקצות מכשירים במחלקת הכספים לאותו VLAN גם אם הם ממוקמים פיזית בקומות שונות.
מגבלות
○ מדרגיות מוגבלת: מכיוון שרשתות VL מסתמכות על מתגים מסורתיים ותומכות בעד 4096 רשתות VL, דבר זה יכול להפוך לצוואר בקבוק עבור רשתות גדולות או סביבות וירטואליות בקנה מידה גדול.
○ בעיית חיבור בין-דומיינים: VLAN היא רשת מקומית, תקשורת בין-VLAN צריכה להתבצע דרך מתג או נתב תלת-שכבתי, דבר שעשוי להגביר את מורכבות הרשת.
תרחיש יישום
○ בידוד ואבטחה ברשתות ארגוניות: רשתות VLAN נמצאות בשימוש נרחב ברשתות ארגוניות, במיוחד בארגונים גדולים או בסביבות חוצות מחלקות. ניתן להבטיח את האבטחה ובקרת הגישה של הרשת על ידי חלוקת מחלקות או מערכות עסקיות שונות באמצעות VLAN. לדוגמה, מחלקת הכספים תהיה לעתים קרובות ב-VLAN שונה ממחלקת המחקר והפיתוח כדי למנוע גישה בלתי מורשית.
○ הפחתת סערת שידור: VLAN מסייע בהגבלת תעבורת השידור. בדרך כלל, חבילות השידור יפוזרו ברחבי הרשת, אך בסביבת VLAN, תעבורת השידור יפוזרה רק בתוך ה-VLAN, מה שמפחית ביעילות את עומס הרשת הנגרם על ידי סערת השידור.
○ רשת מקומית קטנה או בינונית: עבור חלק מהעסקים הקטנים והבינוניים, VLAN מספק דרך פשוטה ויעילה לבניית רשת מבודדת לוגית, מה שהופך את ניהול הרשת לגמיש יותר.
VXLAN (רשת מקומית מורחבת וירטואלית)
VXLAN (Virtual Extensible LAN) היא טכנולוגיה חדשה המוצעת לפתרון המגבלות של VLAN מסורתי במרכזי נתונים בקנה מידה גדול ובסביבות וירטואליזציה. היא משתמשת בטכנולוגיית אנקפסולציה להעברת חבילות נתונים בשכבה 2 (L2) דרך רשת שכבה 3 (L3) הקיימת, מה שפורץ את מגבלות המדרגיות של VLAN.
באמצעות טכנולוגיית מנהור ומנגנון אנקפסולציה, VXLAN "עוטף" את חבילות הנתונים המקוריות משכבה 2 בחבילות נתונים IP משכבה 3, כך שניתן להעביר את חבילות הנתונים ברשת ה-IP הקיימת. ליבת VXLAN טמונה במנגנון האנקפסולציה והאי-אנקפסולציה שלה, כלומר, מסגרת הנתונים המסורתית של L2 עטופה בפרוטוקול UDP ומועברת דרך רשת IP.
זרימת עבודה
○ אנקפסולציה של כותרת VXLAN: במימוש של VXLAN, כל חבילת שכבה 2 תעטוף כחבילת UDP. אנקפסולציה של VXLAN כוללת: מזהה רשת VXLAN (VNI), כותרת UDP, כותרת IP ומידע נוסף.
○ מסוף מנהרה (VTEP): VXLAN משתמש בטכנולוגיית מנהור וחבילות נתונים עוברות אנקפסולציה ויציאה מהקפסולה באמצעות זוג התקני VTEP. VTEP, VXLAN Tunnel Endpoint, הוא הגשר המחבר בין VLAN ל-VXLAN. ה-VTEP עוטף את חבילות L2 שהתקבלו כחבילות VXLAN ושולח אותן ל-VTEP היעד, אשר בתורו פותח את החבילות האנקפסולות לחבילות L2 המקוריות.
○ תהליך אנקפסולציה של VXLAN: לאחר חיבור כותרת ה-VXLAN לחבילת הנתונים המקורית, חבילת הנתונים תועבר ל-VTEP היעד דרך רשת ה-IP. VTEP היעד מפרק את החבילת נתונים ומעביר אותה למקלט הנכון בהתבסס על מידע ה-VNI.
יתרונות
○ ניתן להרחבה: VXLAN תומך בעד 16 מיליון רשתות וירטואליות (VNI), הרבה יותר מ-4096 המזהים של VLAN, מה שהופך אותו לאידיאלי עבור מרכזי נתונים גדולים וסביבות ענן.
○ תמיכה בין מרכזי נתונים: VXLAN יכולה להרחיב את הרשת הווירטואלית בין מרכזי נתונים מרובים במיקומים גיאוגרפיים שונים, לשבור את המגבלות של VLAN מסורתי, ומתאים לסביבות מחשוב ענן ווירטואליזציה מודרניות.
○ פישוט רשת מרכזי נתונים: באמצעות VXLAN, התקני חומרה מיצרנים שונים יכולים להיות ניתנים לפעולה הדדית, לתמוך בסביבות מרובות דיירים ולפשט את תכנון הרשת של מרכזי נתונים בקנה מידה גדול.
מגבלות
○ מורכבות גבוהה: תצורת VXLAN מורכבת יחסית, וכוללת אנקפסולציה של מנהרות, תצורת VTEP וכו', דבר הדורש תמיכה טכנית נוספת במחסנית ומגדיל את מורכבות התפעול והתחזוקה.
○ השהיית רשת: עקב העיבוד הנוסף הנדרש בתהליך האנקפסולציה והפירוק, VXLAN עשוי ליצור השהיית רשת מסוימת, אם כי השהייה זו היא בדרך כלל קטנה, אך עדיין יש לשים לב אליה בסביבות תובעניות ביצועים גבוהים.
תרחיש יישום VXLAN
○ וירטואליזציה של רשת מרכז נתונים: VXLAN נמצא בשימוש נרחב במרכזי נתונים בקנה מידה גדול. שרתים במרכז הנתונים משתמשים בדרך כלל בטכנולוגיית וירטואליזציה, VXLAN יכול לסייע ביצירת רשת וירטואלית בין שרתים פיזיים שונים, תוך הימנעות ממגבלות ה-VLAN מבחינת יכולת ההרחבה.
○ סביבת ענן מרובת דיירים: בענן ציבורי או פרטי, VXLAN יכולה לספק רשת וירטואלית עצמאית לכל דייר ולזהות את הרשת הווירטואלית של כל דייר לפי VNI. תכונה זו של VXLAN מתאימה היטב למחשוב ענן מודרני ולסביבות מרובות דיירים.
○ קנה מידה של רשת על פני מרכזי נתונים: VXLAN מתאים במיוחד לתרחישים בהם יש לפרוס רשתות וירטואליות על פני מרכזי נתונים או אזורים גיאוגרפיים מרובים. מכיוון ש-VXLAN משתמש ברשתות IP לצורך אנקפסולציה, הוא מסוגל להתפרש בקלות על פני מרכזי נתונים ומיקומים גיאוגרפיים שונים כדי להשיג הרחבת רשת וירטואלית בקנה מידה עולמי.
VLAN לעומת VxLAN
VLAN ו-VXLAN הן שתיהן טכנולוגיות וירטואליזציה של רשת, אך הן מתאימות לתרחישי יישום שונים. VLAN מתאים לסביבות רשת בקנה מידה קטן או בינוני, ויכול לספק בידוד ואבטחה בסיסיים של הרשת. כוחו טמון בפשטותו, קלות התצורה שלו ותמיכה רחבה.
VXLAN היא טכנולוגיה שנועדה להתמודד עם הצורך בהרחבת רשת בקנה מידה גדול במרכזי נתונים מודרניים ובסביבות מחשוב ענן. כוחה של VXLAN טמון ביכולתה לתמוך במיליוני רשתות וירטואליות, מה שהופך אותה למתאימה לפריסת רשתות וירטואליות במרכזי נתונים. היא פורצת את המגבלות של VLAN מבחינת יכולת ההרחבה, ומתאימה לתכנון רשת מורכב יותר.
למרות שנראה ששמו של VXLAN הוא פרוטוקול הרחבה של VLAN, למעשה, VXLAN שונה באופן מהותי מ-VLAN ביכולתו לבנות מנהרות וירטואליות. ההבדלים העיקריים ביניהם הם כדלקמן:
תכונה | VLAN | VXLAN |
|---|---|---|
| תֶקֶן | IEEE 802.1Q | RFC 7348 (IETF) |
| שִׁכבָה | שכבה 2 (קישור נתונים) | שכבה 2 מעל שכבה 3 (L2oL3) |
| אנקפסולציה | כותרת אתרנט 802.1Q | MAC-in-UDP (עטוף ב-IP) |
| גודל תעודת הזהות | 12 סיביות (VLAN 0-4095) | 24 סיביות (16.7 מיליון VNIs) |
| מדרגיות | מוגבל (4094 רשתות VLAN שמישות) | ניתן להרחבה גבוהה (תומך בעננים מרובי דיירים) |
| טיפול בשידור | הצפה מסורתית (בתוך VLAN) | משתמש ב-IP multicast או שכפול Head-End |
| מִמַעַל | נמוך (תג VLAN של 4 בתים) | גבוה (~50 בתים: כותרות UDP + IP + VXLAN) |
| בידוד תנועה | כן (לכל VLAN) | כן (לפי VNI) |
| מנהור | ללא מנהור (L2 שטוח) | משתמש ב-VTEPs (נקודות קצה של מנהרת VXLAN) |
| מקרי שימוש | רשתות LAN קטנות/בינוניות, רשתות ארגוניות | מרכזי נתונים בענן, SDN, VMware NSX, Cisco ACI |
| תלות עץ פורש (STP) | כן (כדי למנוע לולאות) | לא (משתמש בניתוב שכבה 3, נמנע מבעיות STP) |
| תמיכה בחומרה | נתמך בכל המתגים | דורש מתגים/כרטיסי רשת התומכים ב-VXLAN (או כרטיסי VTEP תוכניים) |
| תמיכה בניידות | מוגבל (בתוך אותו תחום L2) | טוב יותר (מכונות וירטואליות יכולות לנוע בין תת-רשתות) |
מה Mylinking™ Network Packet Broker יכול לעשות עבור טכנולוגיית רשת וירטואלית?
VLAN מתויג, VLAN לא מתויג, VLAN הוחלף:
תמיכה בהתאמה של כל שדה מפתח ב-128 הבייטים הראשונים של חבילה. המשתמש יכול להתאים אישית את ערך ההיסט ואת אורך ותוכנו של שדה המפתח, ולקבוע את מדיניות פלט התעבורה בהתאם לתצורת המשתמש.
הסרת אנקפסולציה של מנהרה:
תמיכה בכותרת VxLAN, VLAN, GRE, GTP, MPLS, IPIP שהופשטה בחבילת הנתונים המקורית והועברה לפלט.
זיהוי פרוטוקול מנהור
תמיכה בזיהוי אוטומטי של פרוטוקולי מנהור שונים כגון GTP / GRE / PPTP / L2TP / PPPOE/IPIP. בהתאם לתצורת המשתמש, ניתן ליישם את אסטרטגיית פלט התעבורה בהתאם לשכבה הפנימית או החיצונית של המנהרה.
ניתן לבדוק כאן פרטים נוספים על הנושאים הרלוונטייםמתווך חבילות רשת.
זמן פרסום: 25 ביוני 2025
