Trong kiến trúc mạng hiện đại, VLAN (Mạng cục bộ ảo) và VXLAN (Mạng cục bộ mở rộng ảo) là hai công nghệ ảo hóa mạng phổ biến nhất. Chúng có vẻ tương tự nhau, nhưng thực tế lại có một số điểm khác biệt quan trọng.
VLAN (Mạng cục bộ ảo)
VLAN là viết tắt của Mạng cục bộ ảo (Virtual Local Area Network). Đây là kỹ thuật chia các thiết bị vật lý trong mạng LAN thành nhiều mạng con dựa trên mối quan hệ logic. VLAN được cấu hình trên các thiết bị chuyển mạch mạng để chia các thiết bị mạng thành các nhóm logic khác nhau. Mặc dù các thiết bị này có thể nằm ở các vị trí vật lý khác nhau, VLAN cho phép chúng thuộc cùng một mạng về mặt logic, giúp quản lý và cách ly linh hoạt hơn.
Cốt lõi của công nghệ VLAN nằm ở việc phân chia các cổng của switch. Switch quản lý lưu lượng truy cập dựa trên ID VLAN (mã định danh VLAN). ID VLAN có phạm vi từ 1 đến 4095 và thường gồm 12 chữ số nhị phân (tức là phạm vi từ 0 đến 4095), điều này có nghĩa là một switch có thể hỗ trợ tối đa 4096 VLAN.
Quy trình làm việc
○ Nhận dạng VLAN: Khi một gói tin đi vào thiết bị chuyển mạch, thiết bị chuyển mạch sẽ quyết định gói tin đó nên được chuyển tiếp đến VLAN nào dựa trên thông tin ID VLAN trong gói tin. Thông thường, giao thức IEEE 802.1Q được sử dụng để gắn thẻ VLAN cho khung dữ liệu.
○ Miền phát sóng VLAN: Mỗi VLAN là một miền phát sóng độc lập. Ngay cả khi có nhiều VLAN trên cùng một switch vật lý, các bản tin phát sóng của chúng vẫn được cách ly với nhau, giảm lưu lượng phát sóng không cần thiết.
○ Chuyển tiếp dữ liệu: Thiết bị chuyển mạch chuyển tiếp gói dữ liệu đến cổng tương ứng dựa trên các thẻ VLAN khác nhau. Nếu các thiết bị giữa các VLAN khác nhau cần giao tiếp, chúng phải được chuyển tiếp thông qua các thiết bị lớp 3, chẳng hạn như bộ định tuyến.
Giả sử công ty của bạn có nhiều phòng ban, mỗi phòng ban sử dụng một VLAN khác nhau. Với bộ chuyển mạch, bạn có thể chia tất cả các thiết bị trong phòng tài chính vào VLAN 10, các thiết bị trong phòng bán hàng vào VLAN 20 và các thiết bị trong phòng kỹ thuật vào VLAN 30. Bằng cách này, mạng giữa các phòng ban được cách ly hoàn toàn.
Thuận lợi
○ Tăng cường bảo mật: VLAN có thể ngăn chặn hiệu quả việc truy cập trái phép giữa các VLAN khác nhau bằng cách phân chia các dịch vụ khác nhau thành các mạng riêng biệt.
○ Quản lý lưu lượng mạng: Bằng cách phân bổ VLAN, có thể tránh được hiện tượng bão phát sóng và giúp mạng hoạt động hiệu quả hơn. Các gói tin phát sóng sẽ chỉ được truyền đi trong phạm vi VLAN, giúp giảm thiểu việc sử dụng băng thông.
○ Tính linh hoạt của mạng: VLAN có thể phân chia mạng một cách linh hoạt theo nhu cầu kinh doanh. Ví dụ, các thiết bị trong bộ phận tài chính có thể được gán vào cùng một VLAN ngay cả khi chúng được đặt ở các tầng khác nhau.
Hạn chế
○ Khả năng mở rộng hạn chế: Do VLAN dựa trên các thiết bị chuyển mạch truyền thống và chỉ hỗ trợ tối đa 4096 VLAN, điều này có thể trở thành nút thắt cổ chai đối với các mạng lớn hoặc môi trường ảo hóa quy mô lớn.
○ Vấn đề kết nối liên miền: VLAN là mạng cục bộ, việc giao tiếp liên VLAN cần được thực hiện thông qua bộ chuyển mạch hoặc bộ định tuyến lớp ba, điều này có thể làm tăng độ phức tạp của mạng.
Kịch bản ứng dụng
○ Phân lập và bảo mật trong mạng doanh nghiệp: VLAN được sử dụng rộng rãi trong mạng doanh nghiệp, đặc biệt là trong các tổ chức lớn hoặc môi trường liên phòng ban. Bảo mật và kiểm soát truy cập mạng có thể được đảm bảo bằng cách phân chia các phòng ban hoặc hệ thống kinh doanh khác nhau thông qua VLAN. Ví dụ, phòng tài chính thường sẽ nằm trong một VLAN khác với phòng nghiên cứu và phát triển để tránh truy cập trái phép.
○ Giảm thiểu hiện tượng bão phát sóng: VLAN giúp hạn chế lưu lượng phát sóng. Thông thường, các gói tin phát sóng sẽ được phân tán khắp mạng, nhưng trong môi trường VLAN, lưu lượng phát sóng sẽ chỉ được phân tán trong phạm vi VLAN, điều này giúp giảm thiểu hiệu quả gánh nặng mạng do hiện tượng bão phát sóng gây ra.
○ Mạng cục bộ (LAN) quy mô nhỏ hoặc trung bình: Đối với một số doanh nghiệp nhỏ và vừa, VLAN cung cấp một cách đơn giản và hiệu quả để xây dựng một mạng được cách ly về mặt logic, giúp quản lý mạng linh hoạt hơn.
VXLAN (Mạng cục bộ mở rộng ảo)
VXLAN (Virtual Extensible LAN) là một công nghệ mới được đề xuất để giải quyết những hạn chế của VLAN truyền thống trong trung tâm dữ liệu quy mô lớn và môi trường ảo hóa. Nó sử dụng công nghệ đóng gói để truyền các gói dữ liệu lớp 2 (L2) thông qua mạng lớp 3 (L3) hiện có, giúp phá vỡ giới hạn về khả năng mở rộng của VLAN.
Thông qua công nghệ đường hầm và cơ chế đóng gói, VXLAN "gói" các gói dữ liệu lớp 2 ban đầu vào các gói dữ liệu IP lớp 3, nhờ đó các gói dữ liệu có thể được truyền tải trong mạng IP hiện có. Cốt lõi của VXLAN nằm ở cơ chế đóng gói và giải đóng gói, tức là khung dữ liệu L2 truyền thống được đóng gói bằng giao thức UDP và truyền qua mạng IP.
Quy trình làm việc
○ Đóng gói tiêu đề VXLAN: Trong quá trình triển khai VXLAN, mỗi gói tin lớp 2 sẽ được đóng gói thành một gói tin UDP. Việc đóng gói VXLAN bao gồm: mã định danh mạng VXLAN (VNI), tiêu đề UDP, tiêu đề IP và các thông tin khác.
○ Thiết bị đầu cuối đường hầm (VTEP): VXLAN sử dụng công nghệ đường hầm và các gói tin được đóng gói và giải mã thông qua một cặp thiết bị VTEP. VTEP, VXLAN Tunnel Endpoint, là cầu nối giữa VLAN và VXLAN. VTEP đóng gói các gói tin L2 nhận được thành các gói tin VXLAN và gửi chúng đến VTEP đích, sau đó VTEP đích sẽ giải mã các gói tin đã đóng gói trở lại thành các gói tin L2 ban đầu.
○ Quy trình đóng gói VXLAN: Sau khi gắn tiêu đề VXLAN vào gói dữ liệu gốc, gói dữ liệu sẽ được truyền đến VTEP đích thông qua mạng IP. VTEP đích sẽ giải mã gói tin và chuyển tiếp đến người nhận chính xác dựa trên thông tin VNI.
Thuận lợi
○ Khả năng mở rộng: VXLAN hỗ trợ tới 16 triệu mạng ảo (VNI), nhiều hơn đáng kể so với 4096 định danh của VLAN, lý tưởng cho các trung tâm dữ liệu quy mô lớn và môi trường điện toán đám mây.
○ Hỗ trợ kết nối nhiều trung tâm dữ liệu: VXLAN có thể mở rộng mạng ảo giữa nhiều trung tâm dữ liệu ở các vị trí địa lý khác nhau, phá vỡ những hạn chế của VLAN truyền thống và phù hợp với môi trường điện toán đám mây và ảo hóa hiện đại.
○ Đơn giản hóa mạng trung tâm dữ liệu: Thông qua VXLAN, các thiết bị phần cứng từ các nhà sản xuất khác nhau có thể tương thích với nhau, hỗ trợ môi trường đa người dùng và đơn giản hóa thiết kế mạng của các trung tâm dữ liệu quy mô lớn.
Hạn chế
○ Độ phức tạp cao: Cấu hình VXLAN tương đối phức tạp, bao gồm mã hóa đường hầm, cấu hình VTEP, v.v., đòi hỏi sự hỗ trợ kỹ thuật bổ sung từ phía hệ thống và làm tăng độ phức tạp trong vận hành và bảo trì.
○ Độ trễ mạng: Do quá trình xử lý bổ sung cần thiết cho việc đóng gói và giải mã dữ liệu, VXLAN có thể gây ra một số độ trễ mạng, mặc dù độ trễ này thường nhỏ, nhưng vẫn cần được lưu ý trong môi trường đòi hỏi hiệu năng cao.
Kịch bản ứng dụng VXLAN
○ Ảo hóa mạng trung tâm dữ liệu: VXLAN được sử dụng rộng rãi trong các trung tâm dữ liệu quy mô lớn. Các máy chủ trong trung tâm dữ liệu thường sử dụng công nghệ ảo hóa, VXLAN có thể giúp tạo ra một mạng ảo giữa các máy chủ vật lý khác nhau, tránh được hạn chế về khả năng mở rộng của VLAN.
○ Môi trường đám mây đa người dùng: Trong đám mây công cộng hoặc riêng tư, VXLAN có thể cung cấp mạng ảo độc lập cho mỗi người dùng và xác định mạng ảo của mỗi người dùng bằng VNI. Tính năng này của VXLAN rất phù hợp với điện toán đám mây hiện đại và môi trường đa người dùng.
○ Mở rộng mạng lưới trên nhiều trung tâm dữ liệu: VXLAN đặc biệt phù hợp với các trường hợp cần triển khai mạng ảo trên nhiều trung tâm dữ liệu hoặc khu vực địa lý khác nhau. Vì VXLAN sử dụng mạng IP để đóng gói dữ liệu, nó có thể dễ dàng trải rộng trên nhiều trung tâm dữ liệu và vị trí địa lý khác nhau để mở rộng mạng ảo trên quy mô toàn cầu.
VLAN so với VxLAN
VLAN và VXLAN đều là các công nghệ ảo hóa mạng, nhưng chúng phù hợp với các kịch bản ứng dụng khác nhau. VLAN phù hợp với môi trường mạng quy mô nhỏ hoặc trung bình, và có thể cung cấp khả năng cách ly và bảo mật mạng cơ bản. Ưu điểm của nó nằm ở sự đơn giản, dễ cấu hình và khả năng hỗ trợ rộng rãi.
VXLAN là công nghệ được thiết kế để đáp ứng nhu cầu mở rộng mạng lưới quy mô lớn trong các trung tâm dữ liệu hiện đại và môi trường điện toán đám mây. Điểm mạnh của VXLAN nằm ở khả năng hỗ trợ hàng triệu mạng ảo, giúp nó phù hợp cho việc triển khai mạng ảo hóa trên khắp các trung tâm dữ liệu. Nó khắc phục được hạn chế về khả năng mở rộng của VLAN và phù hợp với thiết kế mạng phức tạp hơn.
Mặc dù tên gọi VXLAN có vẻ như là một giao thức mở rộng của VLAN, nhưng trên thực tế, VXLAN khác biệt đáng kể so với VLAN ở khả năng xây dựng các đường hầm ảo. Những điểm khác biệt chính giữa chúng như sau:
Tính năng | VLAN | VXLAN |
|---|---|---|
| Tiêu chuẩn | IEEE 802.1Q | RFC 7348 (IETF) |
| Lớp | Lớp 2 (Liên kết dữ liệu) | Lớp 2 trên lớp 3 (L2oL3) |
| Đóng gói | Đầu cắm Ethernet 802.1Q | MAC-in-UDP (được đóng gói trong IP) |
| Kích thước ID | 12 bit (0-4095 VLAN) | 24-bit (16,7 triệu VNI) |
| Khả năng mở rộng | Giới hạn (4094 VLAN có thể sử dụng) | Khả năng mở rộng cao (hỗ trợ điện toán đám mây đa người dùng) |
| Xử lý phát sóng | Phương pháp tấn công tràn ngập truyền thống (trong phạm vi VLAN) | Sử dụng IP multicast hoặc sao chép đầu cuối |
| Trên không | Thấp (thẻ VLAN 4 byte) | Cao (~50 byte: tiêu đề UDP + IP + VXLAN) |
| Cách ly giao thông | Có (cho mỗi VLAN) | Đúng vậy (theo VNI) |
| Đào hầm | Không đào hầm (mặt phẳng L2) | Sử dụng VTEP (VXLAN Tunnel Endpoints) |
| Các trường hợp sử dụng | Mạng LAN quy mô nhỏ/trung bình, mạng doanh nghiệp | Trung tâm dữ liệu đám mây, SDN, VMware NSX, Cisco ACI |
| Sự phụ thuộc của cây bao trùm (STP) | Có (để tránh vòng lặp) | Không (sử dụng định tuyến lớp 3, tránh các vấn đề của STP) |
| Hỗ trợ phần cứng | Được hỗ trợ trên tất cả các thiết bị chuyển mạch. | Yêu cầu các thiết bị chuyển mạch/card mạng hỗ trợ VXLAN (hoặc các VTEP phần mềm). |
| Hỗ trợ di chuyển | Giới hạn (trong cùng miền L2) | Tốt hơn (Máy ảo có thể di chuyển giữa các mạng con) |
Mylinking™ Network Packet Broker có thể làm gì cho công nghệ mạng ảo?
VLAN được gắn thẻ, VLAN không được gắn thẻ, VLAN đã được thay thế:
Hỗ trợ khớp bất kỳ trường khóa nào trong 128 byte đầu tiên của gói tin. Người dùng có thể tùy chỉnh giá trị bù, độ dài và nội dung trường khóa, đồng thời xác định chính sách đầu ra lưu lượng truy cập theo cấu hình của người dùng.
Bóc tách lớp bọc đường hầm:
Hỗ trợ VxLAN, VLAN, GRE, GTP, MPLS, IPIP với phần tiêu đề được loại bỏ trong gói dữ liệu gốc và được chuyển tiếp đến đầu ra.
Nhận dạng giao thức đường hầm
Hỗ trợ tự động nhận diện nhiều giao thức đường hầm khác nhau như GTP/GRE/PPTP/L2TP/PPPOE/IPIP. Tùy thuộc vào cấu hình của người dùng, chiến lược đầu ra lưu lượng có thể được thực hiện theo lớp bên trong hoặc bên ngoài của đường hầm.
Bạn có thể xem thêm thông tin chi tiết về các vấn đề liên quan tại đây.Bộ môi giới gói mạng.
Thời gian đăng bài: 25 tháng 6 năm 2025
