Trong kiến trúc mạng hiện đại, VLAN (Mạng cục bộ ảo) và VXLAN (Mạng cục bộ mở rộng ảo) là hai công nghệ ảo hóa mạng phổ biến nhất. Chúng có vẻ giống nhau, nhưng thực tế có một số điểm khác biệt chính.
VLAN (Mạng cục bộ ảo)
VLAN là viết tắt của Virtual Local Area Network (Mạng cục bộ ảo). Đây là một kỹ thuật chia các thiết bị vật lý trong mạng LAN thành nhiều mạng con theo các mối quan hệ logic. VLAN được cấu hình trên các bộ chuyển mạch mạng để chia các thiết bị mạng thành các nhóm logic khác nhau. Mặc dù các thiết bị này có thể được đặt ở những nơi khác nhau về mặt vật lý, VLAN cho phép chúng về mặt logic thuộc về cùng một mạng, cho phép quản lý và cô lập linh hoạt.
Cốt lõi của công nghệ VLAN nằm ở việc phân chia các cổng chuyển mạch. Các bộ chuyển mạch quản lý lưu lượng dựa trên VLAN ID (mã định danh VLAN). ID VLAN nằm trong khoảng từ 1 đến 4095 và thường là 12 chữ số nhị phân (tức là trong khoảng từ 0 đến 4095), điều này có nghĩa là một bộ chuyển mạch có thể hỗ trợ tới 4.096 VLans.
Quy trình làm việc
○ Nhận dạng VLAN: Khi một gói tin đi vào một bộ chuyển mạch, bộ chuyển mạch sẽ quyết định gói tin sẽ được chuyển tiếp đến VLAN nào dựa trên thông tin VLAN ID trong gói tin. Thông thường, giao thức IEEE 802.1Q được sử dụng để gắn thẻ VLAN cho khung dữ liệu.
○ Miền phát sóng VLAN: Mỗi VLAN là một miền phát sóng độc lập. Ngay cả khi nhiều VLans nằm trên cùng một bộ chuyển mạch vật lý, các chương trình phát sóng của chúng vẫn được tách biệt với nhau, giúp giảm lưu lượng phát sóng không cần thiết.
○ Chuyển tiếp dữ liệu: Bộ chuyển mạch chuyển tiếp gói dữ liệu đến cổng tương ứng theo các thẻ VLAN khác nhau. Nếu các thiết bị giữa các VLans khác nhau cần giao tiếp, chúng phải được chuyển tiếp qua các thiết bị lớp 3, chẳng hạn như bộ định tuyến.
Giả sử bạn có một công ty có nhiều phòng ban, mỗi phòng ban sử dụng một VLAN khác nhau. Với bộ chuyển mạch, bạn có thể chia tất cả các thiết bị trong phòng tài chính thành VLAN 10, các thiết bị trong phòng bán hàng thành VLAN 20 và các thiết bị trong phòng kỹ thuật thành VLAN 30. Theo cách này, mạng giữa các phòng ban được cô lập hoàn toàn.
Thuận lợi
○ Cải thiện bảo mật: VLAN có thể ngăn chặn hiệu quả việc truy cập trái phép giữa các VLan khác nhau bằng cách chia các dịch vụ khác nhau thành các mạng khác nhau.
○ Quản lý lưu lượng mạng: Bằng cách phân bổ VLans, có thể tránh được bão phát sóng và mạng có thể hiệu quả hơn. Các gói phát sóng sẽ chỉ được truyền trong VLAN, giảm việc sử dụng băng thông.
○ Tính linh hoạt của mạng: VLAN có thể phân chia mạng một cách linh hoạt theo nhu cầu kinh doanh. Ví dụ, các thiết bị trong phòng tài chính có thể được chỉ định vào cùng một VLAN ngay cả khi chúng được đặt ở các tầng khác nhau.
Hạn chế
○ Khả năng mở rộng hạn chế: Vì VLans dựa vào các thiết bị chuyển mạch truyền thống và hỗ trợ tới 4096 VLans nên điều này có thể trở thành điểm nghẽn đối với các mạng lớn hoặc môi trường ảo hóa quy mô lớn.
○ Vấn đề kết nối xuyên miền: VLAN là mạng cục bộ, giao tiếp xuyên VLAN cần được thực hiện thông qua bộ chuyển mạch hoặc bộ định tuyến ba lớp, điều này có thể làm tăng độ phức tạp của mạng.
Kịch bản ứng dụng
○ Cô lập và bảo mật trong mạng doanh nghiệp: VLans được sử dụng rộng rãi trong mạng doanh nghiệp, đặc biệt là trong các tổ chức lớn hoặc môi trường liên phòng ban. Bảo mật và kiểm soát truy cập của mạng có thể được đảm bảo bằng cách phân chia các phòng ban hoặc hệ thống kinh doanh khác nhau thông qua VLAN. Ví dụ, phòng tài chính thường sẽ ở một VLAN khác với phòng R&D để tránh truy cập trái phép.
○ Giảm Broadcast Storm: VLAN giúp hạn chế lưu lượng phát sóng. Thông thường, các gói tin phát sóng sẽ được phân tán khắp mạng, nhưng trong môi trường VLAN, lưu lượng phát sóng sẽ chỉ được phân tán trong VLAN, điều này làm giảm hiệu quả gánh nặng mạng do Broadcast Storm gây ra.
○ Mạng cục bộ vừa và nhỏ: Đối với một số doanh nghiệp vừa và nhỏ, VLAN cung cấp một giải pháp đơn giản và hiệu quả để xây dựng một mạng lưới được phân tách hợp lý, giúp việc quản lý mạng linh hoạt hơn.
VXLAN (Mạng cục bộ mở rộng ảo)
VXLAN (Virtual Extensible LAN) là công nghệ mới được đề xuất để giải quyết những hạn chế của VLAN truyền thống trong môi trường trung tâm dữ liệu và ảo hóa quy mô lớn. Công nghệ này sử dụng công nghệ đóng gói để truyền các gói dữ liệu lớp 2 (L2) qua mạng Lớp 3 (L3) hiện có, phá vỡ giới hạn về khả năng mở rộng của VLAN.
Thông qua công nghệ đường hầm và cơ chế đóng gói, VXLAN "gói" các gói dữ liệu lớp 2 gốc trong các gói dữ liệu IP lớp 3, do đó các gói dữ liệu có thể được truyền trong mạng IP hiện có. Cốt lõi của VXLAN nằm ở cơ chế đóng gói và giải đóng gói của nó, tức là khung dữ liệu L2 truyền thống được đóng gói bằng giao thức UDP và truyền qua mạng IP.
Quy trình làm việc
○ Đóng gói tiêu đề VXLAN: Trong quá trình triển khai VXLAN, mỗi gói tin lớp 2 sẽ được đóng gói dưới dạng gói tin UDP. Đóng gói VXLAN bao gồm: Mã định danh mạng VXLAN (VNI), tiêu đề UDP, tiêu đề IP và các thông tin khác.
○ Thiết bị đầu cuối đường hầm (VTEP): VXLAN sử dụng công nghệ đường hầm và các gói tin được đóng gói và không đóng gói thông qua một cặp thiết bị VTEP. VTEP, Điểm cuối đường hầm VXLAN, là cầu nối kết nối VLAN và VXLAN. VTEP đóng gói các gói tin L2 đã nhận dưới dạng các gói tin VXLAN và gửi chúng đến đích VTEP, sau đó VTEP sẽ giải nén các gói tin đã đóng gói thành các gói tin L2 gốc.
○ Quá trình đóng gói của VXLAN: Sau khi gắn header VXLAN vào gói dữ liệu gốc, gói dữ liệu sẽ được truyền đến đích VTEP thông qua mạng IP. VTEP đích sẽ giải nén gói và chuyển tiếp đến đúng người nhận dựa trên thông tin VNI.
Thuận lợi
○ Có khả năng mở rộng: VXLAN hỗ trợ tới 16 triệu mạng ảo (VNI), nhiều hơn nhiều so với 4096 mã định danh của VLAN, khiến nó trở nên lý tưởng cho các trung tâm dữ liệu và môi trường đám mây quy mô lớn.
○ Hỗ trợ nhiều trung tâm dữ liệu: VXLAN có thể mở rộng mạng ảo giữa nhiều trung tâm dữ liệu ở nhiều vị trí địa lý khác nhau, phá vỡ những hạn chế của VLAN truyền thống và phù hợp với môi trường điện toán đám mây và ảo hóa hiện đại.
○ Đơn giản hóa mạng trung tâm dữ liệu: Thông qua VXLAN, các thiết bị phần cứng từ các nhà sản xuất khác nhau có thể tương tác với nhau, hỗ trợ môi trường nhiều người thuê và đơn giản hóa thiết kế mạng của các trung tâm dữ liệu quy mô lớn.
Hạn chế
○ Độ phức tạp cao: Cấu hình VXLAN tương đối phức tạp, bao gồm đóng gói đường hầm, cấu hình VTEP, v.v., đòi hỏi hỗ trợ kỹ thuật bổ sung và làm tăng độ phức tạp của hoạt động và bảo trì.
○ Độ trễ mạng: Do quá trình đóng gói và giải nén cần xử lý bổ sung nên VXLAN có thể gây ra một số độ trễ mạng, mặc dù độ trễ này thường nhỏ nhưng vẫn cần lưu ý trong các môi trường đòi hỏi hiệu suất cao.
Kịch bản ứng dụng VXLAN
○ Ảo hóa mạng trung tâm dữ liệu: VXLAN được sử dụng rộng rãi trong các trung tâm dữ liệu quy mô lớn. Các máy chủ trong trung tâm dữ liệu thường sử dụng công nghệ ảo hóa, VXLAN có thể giúp tạo ra một mạng ảo giữa các máy chủ vật lý khác nhau, tránh được hạn chế của VLAN về khả năng mở rộng.
○ Môi trường đám mây đa thuê bao: Trong đám mây công cộng hoặc riêng tư, VXLAN có thể cung cấp mạng ảo độc lập cho từng thuê bao và xác định mạng ảo của từng thuê bao theo VNI. Tính năng này của VXLAN rất phù hợp với điện toán đám mây hiện đại và môi trường đa thuê bao.
○ Mở rộng mạng lưới trên nhiều trung tâm dữ liệu: VXLAN đặc biệt phù hợp với các tình huống cần triển khai mạng ảo trên nhiều trung tâm dữ liệu hoặc khu vực địa lý. Vì VXLAN sử dụng mạng IP để đóng gói nên có thể dễ dàng mở rộng các trung tâm dữ liệu và vị trí địa lý khác nhau để đạt được mục tiêu mở rộng mạng ảo trên quy mô toàn cầu.
VLAN so với VxLAN
VLAN và VXLAN đều là công nghệ ảo hóa mạng, nhưng chúng phù hợp với các tình huống ứng dụng khác nhau. VLAN phù hợp với môi trường mạng quy mô vừa và nhỏ, có thể cung cấp khả năng cô lập và bảo mật mạng cơ bản. Điểm mạnh của nó nằm ở tính đơn giản, dễ cấu hình và hỗ trợ rộng rãi.
VXLAN là công nghệ được thiết kế để đáp ứng nhu cầu mở rộng mạng lưới quy mô lớn trong các trung tâm dữ liệu hiện đại và môi trường điện toán đám mây. Điểm mạnh của VXLAN nằm ở khả năng hỗ trợ hàng triệu mạng ảo, giúp nó phù hợp để triển khai các mạng ảo hóa trên khắp các trung tâm dữ liệu. Nó phá vỡ giới hạn của VLAN về khả năng mở rộng và phù hợp với thiết kế mạng phức tạp hơn.
Mặc dù tên của VXLAN có vẻ như là một giao thức mở rộng của VLAN, nhưng trên thực tế, VXLAN đã khác biệt đáng kể so với VLAN ở khả năng xây dựng đường hầm ảo. Những điểm khác biệt chính giữa chúng như sau:
Tính năng | Mạng LAN ảo | VXLAN |
|---|---|---|
| Tiêu chuẩn | Tiêu chuẩn IEEE 802.1Q | Tiêu chuẩn RFC 7348 (IETF) |
| Lớp | Lớp 2 (Liên kết dữ liệu) | Lớp 2 trên Lớp 3 (L2oL3) |
| Đóng gói | Tiêu đề Ethernet 802.1Q | MAC-in-UDP (được đóng gói trong IP) |
| Kích thước ID | 12-bit (0-4095 VLAN) | 24-bit (16,7 triệu VNI) |
| Khả năng mở rộng | Giới hạn (4094 VLAN có thể sử dụng) | Có khả năng mở rộng cao (hỗ trợ đám mây đa thuê bao) |
| Xử lý phát sóng | Lũ lụt truyền thống (trong VLAN) | Sử dụng IP multicast hoặc sao chép đầu cuối |
| Trên không | Thấp (thẻ VLAN 4 byte) | Cao (~50 byte: tiêu đề UDP + IP + VXLAN) |
| Cô lập giao thông | Có (mỗi VLAN) | Có (theo VNI) |
| Đào hầm | Không có đường hầm (L2 phẳng) | Sử dụng VTEP (Điểm cuối đường hầm VXLAN) |
| Các trường hợp sử dụng | Mạng LAN vừa và nhỏ, mạng doanh nghiệp | Trung tâm dữ liệu đám mây, SDN, VMware NSX, Cisco ACI |
| Sự phụ thuộc của cây bao trùm (STP) | Có (để tránh vòng lặp) | Không (sử dụng định tuyến Lớp 3, tránh các vấn đề về STP) |
| Hỗ trợ phần cứng | Được hỗ trợ trên tất cả các thiết bị chuyển mạch | Yêu cầu các thiết bị chuyển mạch/NIC có khả năng VXLAN (hoặc VTEP phần mềm) |
| Hỗ trợ di chuyển | Có giới hạn (trong cùng miền L2) | Tốt hơn (VM có thể di chuyển qua các mạng con) |
Mylinking™ Network Packet Broker có thể làm gì cho Công nghệ ảo mạng?
VLAN được gắn thẻ, VLAN không được gắn thẻ, VLAN đã thay thế:
Hỗ trợ việc khớp bất kỳ trường khóa nào trong 128 byte đầu tiên của gói tin. Người dùng có thể tùy chỉnh giá trị bù trừ và độ dài và nội dung của trường khóa, đồng thời xác định chính sách đầu ra lưu lượng theo cấu hình của người dùng.
Tách lớp bao phủ đường hầm:
Hỗ trợ VxLAN, VLAN, GRE, GTP, MPLS, tiêu đề IPIP bị loại bỏ trong gói dữ liệu gốc và chuyển tiếp đầu ra.
Nhận dạng giao thức đường hầm
Hỗ trợ tự động nhận dạng nhiều giao thức đường hầm khác nhau như GTP / GRE / PPTP / L2TP / PPPOE/IPIP. Theo cấu hình của người dùng, chiến lược đầu ra lưu lượng có thể được triển khai theo lớp bên trong hoặc bên ngoài của đường hầm
Bạn có thể kiểm tra ở đây để biết thêm chi tiết về các thông tin liên quanMôi giới gói tin mạng.
Thời gian đăng: 25-06-2025
