La segmentazione della rete svolge un ruolo importante nella gestione e nella protezione delle moderne infrastrutture IT.
Due tecnologie popolari per un’efficace segmentazione della rete sono VXLAN e VLAN.
Immergiamoci e comprendiamo le caratteristiche di VXLAN e VLAN e come possono modellare la tua architettura di rete.
Sommario:
Che cos’è la VLAN?
Fonte immagine: Wikipedia
VLAN è l’acronimo di Virtual Local Area Network.
È una tecnologia utilizzata nelle reti di computer per dividere una singola rete fisica in più reti logiche.
Consideriamo un esempio per comprendere facilmente il concetto.
Immagina di lavorare in un grande edificio per uffici con più dipartimenti: Ingegneria, Marketing e Contabilità.
Ogni dipartimento ha il proprio set di computer, stampanti e altri dispositivi di rete.
Tuttavia, l’edificio per uffici dispone di una sola infrastruttura di rete fisica.
Senza VLAN, tutti i dispositivi nell’edificio degli uffici farebbero parte di un unico dominio di trasmissione. Ciò significa che riceverebbero tutto il traffico di rete. Ciò potrebbe causare problemi di sicurezza e una gestione inefficiente del traffico di rete.
Le VLAN vengono implementate per superare questi problemi. Ogni VLAN funge da dominio di trasmissione separato che consente una migliore gestione e prestazioni della rete.
Fonte immagine: fibra ottica
Diciamo che crei tre VLAN per corrispondere ai diversi reparti.
VLAN 1: ingegneria
VLAN 2: marketing
VLAN 3: Contabilità
Quando un computer o qualsiasi altro dispositivo di rete è connesso alla rete, può essere assegnato a una di queste VLAN.
Ad esempio: tutti i computer e i dispositivi del reparto Ingegneria sono assegnati alla VLAN 1.
Se un computer del reparto tecnico desidera inviare un messaggio a un altro computer all’interno della stessa VLAN, il messaggio rimarrà all’interno della VLAN 1 e non verrà trasmesso ai dispositivi in altre VLAN come Marketing o Contabilità.
Questa separazione assicura che le informazioni sensibili siano accessibili solo ai dispositivi autorizzati all’interno della stessa VLAN.
Cos’è VXLAN?
VXLAN è l’acronimo di Virtual Extensible LAN.
È una tecnologia di virtualizzazione della rete utilizzata per estendere i segmenti di rete Layer 2 (livello di collegamento dati) su una rete IP. È stato introdotto per risolvere i limiti delle VLAN tradizionali negli ambienti di data center su larga scala.
Fonte immagine: fibra ottica
Viene comunemente utilizzato nei data center e negli ambienti cloud per creare sovrapposizioni di rete logiche che possono estendersi su più segmenti di rete fisica.
VXLAN incapsula frame Ethernet di livello 2 all’interno di pacchetti UDP di livello 3 che ne consentono la trasmissione su una rete IP.
Come funziona VXLAN?
Immagina di avere un data center di grandi dimensioni con più server fisici e macchine virtuali (VM) in esecuzione su tali server.
In una rete tradizionale basata su VLAN, ogni VM verrebbe assegnata a una VLAN specifica. E la comunicazione tra macchine virtuali in diverse VLAN richiederebbe il routing a livello 3.
Questo approccio può diventare complesso e presentare problemi di scalabilità a causa del numero limitato di ID VLAN disponibili.
Fonte immagine: ginepro.net
Consideriamo uno scenario per capire come funziona questa VXLAN.
Ci sono 2 host fisici. Nell’host 1 ci sono VM1 e VM2 e nell’host2 ci sono VM3 e VM4.
Si supponga che l’Host 1 e l’Host 2 facciano parte di una rete abilitata per VXLAN e che la VM1 voglia comunicare con la VM3.
Configurazione VXLAN
Host 1 e Host 2 sono configurati come VXLAN Tunnel Endpoints (VTEP). Ciò significa che dispongono dei componenti software o hardware necessari per gestire l’incapsulamento e il decapsulamento di VXLAN.
Identificatore di rete VXLAN (VNI)
Alla rete virtuale viene assegnata una VNI univoca. Supponiamo che il VNI per questa rete sia 1001.
Incapsulamento
VM1, residente su Host 1 – vuole comunicare con VM3, che si trova su Host 2.
Quando VM1 invia un pacchetto a VM3, viene incapsulato con un’intestazione VXLAN.
L’intestazione VXLAN include gli indirizzi VTEP di origine e destinazione (indirizzi IP di Host 1 e Host 2) e VNI (1001).
Rete IP sottostante
Il pacchetto incapsulato viene trasmesso sulla rete IP sottostante: può essere IPv4 o IPv6. La rete IP funge da infrastruttura di trasporto per i pacchetti VXLAN.
Decapsulazione
Dopo aver ricevuto il pacchetto, il VTEP sull’Host 2 decapsula l’intestazione VXLAN, che rivela il frame Ethernet Layer 2 originale.
Consegna a VM3
Dopo il decapsulamento, il VTEP consegna il frame Ethernet di livello 2 alla VM3 sull’host 2.
VM1 su Host 1 può comunicare con VM3 su Host 2 come se fossero connessi alla stessa rete Ethernet Layer 2, anche se si trovano su host fisici diversi.
VXLAN consente questa comunicazione incapsulando e incanalando il traffico di livello 2 sulle reti di livello 3 che consente l’estensione della connettività di livello 2 oltre i confini della rete.
Vantaggi della VLAN
Controllo della trasmissione
Il traffico di trasmissione è contenuto all’interno di ogni VLAN, il che riduce la dimensione complessiva del dominio di trasmissione e mitiga l’impatto del traffico che può degradare le prestazioni della rete.
Sicurezza
Consente l’isolamento della rete e migliora la sicurezza separando diversi gruppi di utenti o dispositivi in domini di trasmissione separati. Questo isolamento limita l’ambito di potenziali violazioni della sicurezza o accessi non autorizzati, il che migliora la sicurezza complessiva della rete.
Qualità del servizio (QoS)
Le VLAN possono essere utilizzate per implementare meccanismi di qualità del servizio che consentono agli amministratori di rete di assegnare la priorità a determinati tipi di traffico o applicare criteri specifici.
Possono impostare il limite su cui l’applicazione deve ricevere una larghezza di banda elevata.
Gestione della rete semplificata
Semplifica la gestione della rete suddividendo logicamente una grande rete fisica in reti virtuali più piccole. Questa segmentazione aiuta a organizzare i dispositivi e semplifica le attività di amministrazione della rete.
Vantaggi di VXLAN
Scalabilità
VXLAN risolve i limiti delle VLAN tradizionali consentendo la creazione di un massimo di 16 milioni di reti virtuali, rispetto alle limitate 4.096 VLAN. Questa scalabilità è ottenuta tramite il VXLAN Network Identifier (VNI) a 24 bit.
Segmentazione della rete
Consente un’efficiente segmentazione della rete incapsulando frame Ethernet di livello 2 all’interno di pacchetti UDP. Ciò consente la creazione di reti virtuali isolate che possono estendersi oltre i confini fisici, come data center o ambienti cloud.
Multilocazione
Supporta il modello multi-tenancy, che consente a diverse organizzazioni di condividere la stessa infrastruttura fisica mantenendo le proprie reti virtuali isolate.
Estensione Layer 2 su reti Layer 3
VXLAN facilita l’estensione della connettività Layer 2 su reti Layer 3.
Questo è importante per la creazione di data center geograficamente distribuiti e consente la mobilità delle macchine virtuali tra diversi siti senza la necessità di complesse tecnologie di estensione Layer 2 come Virtual Private LAN Service (VPLS).
Tavola di comparazione
Ed ecco una tabella di confronto tra VXLAN e VLAN.
FunzionalitàVXLANVLANIncapsulamentoUtilizza UDP per l’incapsulamento e il trasporto dei pacchettiNessuna incapsulazione: si basa sul tagging 802.1QScalabilitàSupporta fino a 16 milioni di reti virtualiLimitato a 4.096 VLANIsolamento della reteAbilita reti di livello 2 isolate oltre i limiti di livello 3Fornisce l’isolamento all’interno di una rete di livello 2Gestione del traffico di trasmissioneUtilizza la replica multicast o unicast per ottimizzare il traffico di trasmissioneBroadcast il traffico viene propagato a tutte le porte all’interno della VLANSpanning di più sitiConsente l’estensione delle reti di livello 2 in posizioni geograficamente disperseLimitato a un singolo dominio di trasmissioneGestioneRichiede un gateway VXLAN per l’interconnessione di reti virtuali e fisichePuò essere gestito tramite switch VLAN-aware
La corretta implementazione di VXLAN richiede dispositivi compatibili con VXLAN che supportino i protocolli e le tecniche di incapsulamento necessari.
Le reti VXLAN possono essere create e gestite con l’aiuto di questi dispositivi.
D’altra parte, le VLAN sono più diffuse e semplici da implementare nelle attuali infrastrutture di rete perché la maggior parte dei dispositivi di rete le supporta senza la necessità di hardware aggiuntivo o supporto specializzato.
Casi d’uso di VLAN
Virtualizzazione del server
Le VLAN consentono una gestione efficiente della rete fornendo l’isolamento tra le macchine virtuali che risiedono sullo stesso server fisico in ambienti virtualizzati.
Centri dati
Utilizzato in server farm e data center per gestire un gran numero di server. Consente agli amministratori di raggruppare i server in base al loro ruolo o applicazione.
Reti ospiti
Creano reti ospiti separate in ambienti come hotel o uffici aziendali, che possono fornire l’accesso a Internet ai visitatori mantenendoli isolati dalla rete interna dell’organizzazione.
Reti private virtuali
Le VLAN sono in combinazione con le VPN per creare connessioni sicure tra siti geograficamente dispersi. Le organizzazioni possono estendere la propria rete privata su più sedi mantenendo la separazione logica.
Test e sviluppo
Fornire un ambiente isolato per scopi di test e sviluppo. Gli sviluppatori possono creare VLAN dedicate al test di nuove applicazioni o servizi senza influire sulla rete di produzione.
Casi d’uso di VXLAN
Interconnessione del centro dati
VXLAN viene utilizzato per interconnettere più data center su una WAN. Estende la connettività di livello 2 tra i data center, consentendo la migrazione di macchine virtuali e carichi di lavoro tra i siti mantenendone la configurazione di rete.
Infrastruttura cloud
È comunemente utilizzato negli ambienti cloud per fornire la virtualizzazione della rete per servizi e applicazioni basati su cloud. Consente una distribuzione efficiente del carico di lavoro nell’infrastruttura cloud.
Reti sovrapposte
VXLAN funge da base per le reti overlay che consentono ai tecnici di rete di allocare dinamicamente le risorse e adattarsi alle mutevoli esigenze del carico di lavoro.
Ripristino di emergenza
Utilizzato in scenari di ripristino di emergenza per fornire connettività di rete e failover (modalità operativa di backup) tra data center primari e secondari.
Nota dell’autore✍️
La scelta tra VXLAN e VLAN dipende dalle esigenze specifiche della tua infrastruttura di rete. Entrambe le tecnologie hanno i loro vantaggi e considerazioni che dovrebbero essere prese in considerazione.
Se hai bisogno di una soluzione scalabile in grado di gestire un numero elevato di macchine virtuali o segmenti di rete, VXLAN è la scelta consigliata. Fornisce uno spazio di indirizzi più ampio e consente una più facile mobilità dei carichi di lavoro.
Se la tua rete ha una scala ridotta e requisiti più semplici, allora la VLAN può essere l’opzione migliore. Le VLAN sono consolidate e ampiamente supportate nella maggior parte delle apparecchiature di rete. Sono facili da configurare e gestire.
Spero che questo articolo ti sia stato utile per conoscere la differenza tra VXLAN e VLAN. Potresti anche essere interessato a conoscere il controllo dell’accesso alla rete e come implementarlo.