Phân đoạn mạng đóng vai trò quan trọng trong việc quản lý và bảo mật cơ sở hạ tầng CNTT hiện đại.
Hai công nghệ phổ biến để phân đoạn mạng hiệu quả là VXLAN và VLAN.
Hãy cùng tìm hiểu và tìm hiểu các đặc điểm của cả VXLAN và Vlan cũng như cách chúng có thể định hình kiến trúc mạng.
Vlan là gì?
Nguồn hình ảnh: Wikipedia
Vlan là viết tắt của Mạng cục bộ ảo.
Nó là một công nghệ được sử dụng trong mạng máy tính để chia một mạng vật lý thành nhiều mạng logic.
Hãy xem xét một ví dụ để dễ dàng hiểu khái niệm.
Hãy tưởng tượng bạn làm việc trong một tòa nhà văn phòng lớn có nhiều phòng ban: kỹ thuật, tiếp thị và kế toán.
Mỗi bộ phận có bộ máy tính, máy in và các thiết bị mạng khác.
Tuy nhiên, tòa nhà văn phòng chỉ có một cơ sở hạ tầng mạng vật lý.
Nếu không có VLAN, tất cả các thiết bị trong tòa nhà văn phòng sẽ là một phần của một miền quảng bá duy nhất. Điều này có nghĩa là họ sẽ nhận được tất cả lưu lượng truy cập mạng. Điều này có thể dẫn đến các vấn đề bảo mật và xử lý lưu lượng mạng không hiệu quả.
Vlan được triển khai để khắc phục những vấn đề này. Mỗi Vlan hoạt động như một miền quảng bá riêng biệt để quản lý và thực hiện mạng tốt hơn.
Nguồn hình ảnh – Fiber Opticshare
Giả sử bạn tạo ba VLAN tương ứng với các phòng ban khác nhau.
Vlan 1: Kỹ thuật
Vlan 2: Tiếp thị
Vlan 3: kế toán
Khi một máy tính hoặc thiết bị mạng khác được kết nối với mạng, nó có thể được gán cho một trong các Vlan này.
Ví dụ: tất cả máy tính và thiết bị trong bộ phận kỹ thuật đều được gán cho một VLAN 1.
Nếu một máy tính trong bộ phận kỹ thuật muốn gửi tin nhắn đến một máy tính khác trong cùng VLAN thì tin nhắn sẽ nằm trong VLAN 1 và sẽ không được phát tới các thiết bị trong các Vlan khác như Tiếp thị hoặc Kế toán.
Sự tách biệt này đảm bảo rằng thông tin nhạy cảm chỉ có thể được truy cập bởi các thiết bị được ủy quyền trong cùng một Vlan.
VXLAN là gì?
VXLAN là viết tắt của Mạng LAN có thể mở rộng ảo.
Nó là một công nghệ ảo hóa mạng được sử dụng để mở rộng các phân đoạn mạng lớp 2 (lớp liên kết dữ liệu) trong mạng IP. Nó được giới thiệu để giải quyết những hạn chế của Vlan truyền thống trong môi trường trung tâm dữ liệu quy mô lớn.
Nguồn hình ảnh – Fiber Opticshare
Nó thường được sử dụng trong các trung tâm dữ liệu và môi trường đám mây để tạo các lớp phủ mạng logic có thể trải rộng trên nhiều phân đoạn mạng vật lý.
VXLAN đóng gói các khung lớp Ethernet 2 trong các gói UDP lớp 3cho phép chúng được gửi qua mạng IP.
VXLAN hoạt động như thế nào?
Hãy tưởng tượng một trung tâm dữ liệu lớn với nhiều máy chủ vật lý và máy ảo chạy trên các máy chủ đó.
Trong Vlan truyền thống, mỗi VM sẽ được gán cho một Vlan cụ thể. Và giao tiếp giữa các VM trong các Vlan khác nhau sẽ yêu cầu định tuyến lớp 3.
Cách tiếp cận này có thể trở nên phức tạp và gây ra các vấn đề về khả năng mở rộng do số lượng VLAN ID có sẵn có hạn.
Nguồn hình ảnh – juniper.net
Hãy xem xét một kịch bản để hiểu cách thức hoạt động của VXLAN này.
Họ tồn tại 2 các máy chủ vật lý. trong máy chủ 1 có VM1 và VM2, và trong máy chủ 2 là VM3 và VM4.
Giả sử máy chủ 1 và chủ nhà 2 là một phần của mạng hỗ trợ VXLAN và VM1 muốn liên lạc với VM3.
Cấu hình VXLAN
chủ nhà 1 và chủ nhà 2 được cấu hình làm điểm cuối đường hầm VXLAN (VTEP). Điều này có nghĩa là họ có các thành phần phần cứng hoặc phần mềm cần thiết để hỗ trợ việc đóng gói và giải mã VXLAN.
Mã định danh mạng VXLAN (VNI)
Một VNI duy nhất được gán cho mạng ảo. Giả sử VNI của mạng này là 1001.
Đóng gói
VM1, nằm trên máy chủ 1 – muốn giao tiếp với VM3 nằm trên máy chủ 2.
Khi VM1 gửi một gói đến VM3, nó được đóng gói bằng tiêu đề VXLAN.
Tiêu đề VXLAN chứa địa chỉ VTEP nguồn và đích (Địa chỉ IP máy chủ 1 và chủ nhà 2) và VNI (1001).
Mạng IP cơ bản
Gói được đóng gói được gửi qua mạng IP cơ bản, có thể là IPv4 hoặc IPv6. Mạng IP đóng vai trò là cơ sở hạ tầng truyền tải cho các gói VXLAN.
sự bóc vỏ
Khi nhận được gói VTEP trên máy chủ 2 giải mã tiêu đề VXLAN, hiển thị khung Ethernet ban đầu của lớp 2.
Giao hàng tới VM3
Sau khi giải mã, VTEP cung cấp khung Ethernet lớp 2 đến VM3 trên máy chủ 2.
VM1 trên máy chủ 1 có thể giao tiếp với VM3 trên máy chủ 2như thể chúng được kết nối với cùng một lớp Ethernet 2 – ngay cả khi chúng ở trên các máy chủ vật lý khác nhau.
VXLAN cho phép giao tiếp này bằng cách đóng gói và tạo đường hầm lưu lượng lớp 2 thông qua các mạng lớp 3cho phép bạn mở rộng khả năng kết nối của lớp 2 vượt ra ngoài ranh giới của mạng.
Lợi ích của VLAN
Điều khiển truyền động
Lưu lượng phát sóng được chứa trong mỗi Vlan, giúp giảm kích thước tổng thể của miền phát sóng và giảm thiểu tác động của lưu lượng truy cập có thể làm giảm hiệu suất mạng.
Bảo vệ
Nó cho phép cách ly mạng và tăng cường bảo mật bằng cách tách các nhóm người dùng hoặc thiết bị khác nhau thành các miền phát sóng riêng biệt. Sự cô lập này làm giảm phạm vi xảy ra các vi phạm bảo mật tiềm ẩn hoặc truy cập trái phép, giúp cải thiện an ninh mạng tổng thể.
Chất lượng dịch vụ (QoS)
Vlan có thể được sử dụng để triển khai các cơ chế Chất lượng dịch vụ cho phép quản trị viên mạng ưu tiên một số loại lưu lượng truy cập nhất định hoặc áp dụng các chính sách cụ thể.
Họ có thể đặt giới hạn trong đó ứng dụng sẽ nhận được băng thông cao.
Quản lý mạng đơn giản
Đơn giản hóa việc quản lý mạng bằng cách phân chia hợp lý một mạng vật lý lớn thành các mạng ảo nhỏ hơn. Việc phân đoạn này giúp tổ chức các thiết bị và đơn giản hóa các tác vụ quản trị mạng.
Lợi ích của VXLAN
Khả năng mở rộng
VXLAN khắc phục những hạn chế của Vlan truyền thống bằng cách cho phép lên tới 16 triệu mạng ảo – so với số lượng giới hạn 4096 Vlan. Khả năng mở rộng này đạt được nhờ Bộ nhận dạng mạng VXLAN (VNI) 24 bit.
Phân đoạn mạng
Cho phép phân đoạn mạng hiệu quả bằng cách đóng gói các khung Ethernet lớp 2 trong các gói UDP. Điều này cho phép bạn tạo các mạng ảo biệt lập có thể vượt qua các ranh giới vật lý, chẳng hạn như trung tâm dữ liệu hoặc môi trường đám mây.
Nhiều người thuê
Nó hỗ trợ mô hình nhiều người thuê cho phép các tổ chức khác nhau chia sẻ cùng một cơ sở hạ tầng vật lý trong khi vẫn duy trì các mạng ảo riêng biệt của họ.
Phần mở rộng lớp 2 trong mạng lớp 3
VXLAN giúp dễ dàng mở rộng kết nối lớp 2 trong mạng lớp 3.
Điều này rất quan trọng khi xây dựng các trung tâm dữ liệu phân tán về mặt địa lý và cho phép di chuyển máy ảo giữa các địa điểm mà không cần các công nghệ mở rộng lớp phức tạp. 2chẳng hạn như Dịch vụ mạng LAN riêng ảo (VPLS).
bảng so sánh
Và đây là bảng so sánh giữa VXLAN và VLAN.
Tính năngVXLANVLANEncapsulationSử dụng UDP để đóng gói và vận chuyển góiKhông đóng gói – dựa vào gắn thẻ 802.1QKhả năng mở rộngHỗ trợ lên tới 16 triệu mạng ảoGiới hạn ở 4096 Vlan Cách ly mạngCho phép các mạng lớp bị cô lập 2 xuyên qua ranh giới của Lớp 3 Cung cấp sự cách ly trong các mạng Lớp 3 2 lưu lượng được truyền đến tất cả các cổng trong Vlan Trải rộng trên nhiều vị trí Cho phép bạn mở rộng mạng lớp 2 cho các vị trí phân tán về mặt địa lýGiới hạn ở một miền quảng báQuản lýYêu cầu cổng VXLAN để kết nối mạng ảo và vật lýCó thể được quản lý bằng các thiết bị chuyển mạch hỗ trợ Vlan
Việc triển khai VXLAN đúng cách yêu cầu các thiết bị hỗ trợ VXLAN hỗ trợ các giao thức và kỹ thuật đóng gói cần thiết.
Các thiết bị này có thể được sử dụng để tạo và quản lý VXLAN.
Mặt khác, Vlan được sử dụng rộng rãi hơn và triển khai đơn giản hơn trong cơ sở hạ tầng mạng hiện tại, vì hầu hết các thiết bị mạng đều hỗ trợ chúng mà không cần thêm phần cứng hoặc hỗ trợ chuyên biệt.
Các trường hợp sử dụng VLAN
Ảo hóa máy chủ
Vlan cho phép quản lý mạng hiệu quả bằng cách cung cấp sự cách ly giữa các máy ảo nằm trên cùng một máy chủ vật lý trong môi trường ảo hóa.
Các trung tâm dữ liệu
Được sử dụng trong các trang trại máy chủ và trung tâm dữ liệu để quản lý số lượng lớn máy chủ. Cho phép quản trị viên nhóm các máy chủ dựa trên vai trò hoặc mục đích sử dụng của họ.
Mạng khách
Họ tạo các mạng riêng cho khách trong các môi trường như khách sạn hoặc văn phòng công ty có thể cung cấp quyền truy cập Internet cho khách trong khi cách ly họ khỏi mạng nội bộ của tổ chức.
Mạng riêng ảo
Vlan được kết hợp với VPN để tạo kết nối an toàn giữa các vị trí phân tán về mặt địa lý. Các tổ chức có thể mở rộng mạng riêng của mình đến nhiều địa điểm trong khi vẫn duy trì sự tách biệt hợp lý.
Thử nghiệm và phát triển
Cung cấp một môi trường biệt lập để thử nghiệm và phát triển. Các nhà phát triển có thể tạo Vlan để thử nghiệm các ứng dụng hoặc dịch vụ mới mà không ảnh hưởng đến mạng sản xuất.
Các trường hợp sử dụng VXLAN
Kết nối trung tâm dữ liệu
VXLAN được sử dụng để kết nối nhiều trung tâm dữ liệu trong mạng WAN. Mở rộng kết nối lớp 2 giữa các trung tâm dữ liệu, cho phép bạn di chuyển các máy ảo và khối lượng công việc giữa các vị trí trong khi vẫn duy trì cấu hình mạng của chúng.
Cơ sở hạ tầng đám mây
Nó thường được sử dụng trong môi trường đám mây để cung cấp ảo hóa mạng cho các dịch vụ và ứng dụng dựa trên đám mây. Nó cho phép phân phối tải hiệu quả trên toàn bộ cơ sở hạ tầng đám mây.
Mạng lớp phủ
VXLAN đóng vai trò là nền tảng cho các mạng lớp phủ cho phép các kỹ sư mạng phân bổ tài nguyên một cách linh hoạt và thích ứng với các yêu cầu khối lượng công việc thay đổi.
Khắc phục thảm họa
Được sử dụng trong các tình huống khắc phục thảm họa để cung cấp kết nối mạng và chuyển đổi dự phòng (chế độ hoạt động dự phòng) giữa các trung tâm dữ liệu chính và phụ.
Lưu ý từ tác giả✍️
Việc lựa chọn giữa VXLAN và VLAN tùy thuộc vào nhu cầu cụ thể của cơ sở hạ tầng mạng của bạn. Cả hai công nghệ đều có những ưu điểm và những cân nhắc cần được tính đến.
Nếu bạn cần một giải pháp có khả năng mở rộng có thể xử lý số lượng lớn máy ảo hoặc phân đoạn mạng – VXLAN là lựa chọn được khuyến nghị. Nó cung cấp một không gian địa chỉ lớn hơn và cho phép di chuyển khối lượng công việc dễ dàng hơn.
Nếu mạng của bạn có quy mô nhỏ hơn và yêu cầu đơn giản hơn – VLAN có thể là lựa chọn tốt nhất. Vlan được thiết lập tốt và được hỗ trợ rộng rãi trong hầu hết các thiết bị mạng. Chúng rất dễ thiết lập và quản lý.
Tôi hy vọng bạn thấy bài viết này hữu ích khi biết sự khác biệt giữa VXLAN và VLAN. Bạn cũng có thể muốn tìm hiểu về kiểm soát truy cập web và cách triển khai nó.
