阅读时长:7 分 51 秒 | 发布日期:2025 年 10 月 1 日
VXLAN 什么是 VXLAN?
虚拟可扩展局域网 (VXLAN) 是互联网工程任务组 (IETF) 制定的一项网络虚拟化技术标准。这些网络使得多个不同的组织或“租户”能够共享单个物理网络,且任何租户都无法查看其他租户的网络流量。
VXLAN 就像公寓楼里的独立单元,每个公寓都是在公共结构内的独立私密居所,正如每个 VXLAN 都是在共享物理网络中的私有网络分段。
VXLAN 释义
VXLAN 能够将物理网络分割为多达 1600 万个虚拟网络或逻辑网络。该技术将二层以太网帧与 VXLAN 头部共同封装在四层用户数据报协议 (UDP) 数据包中。以太网虚拟专用网 (EVPN) 通过广域网协议在虚拟化网络中传输以太网流量,当 EVPN 与 VXLAN 结合使用时能够将二层网络扩展到三层 IP 或 MPLS 网络之上。
VXLAN 的主要优势
由于 VXLAN 封装在 UDP 数据包内,因此可在任何能够传输 UDP 数据包的网络上运行。底层网络节点间的物理布局和地理距离并不重要,只要 UDP 数据报能从封装的 VXLAN 隧道端点 (VTEP) 转发至解封装的 VTEP 即可。
当 VXLAN 与 EVPN 结合使用时,运维人员可借助支持该标准且同属一个三层网络的物理网络交换机上的物理网络端口来创建虚拟网络。例如,您可以选取交换机 A 的一个端口、交换机 B 的两个端口以及交换机 C 的另一个端口,构建出一个虚拟网络,而该网络对所有连接设备而言都如同一个单一的物理网络。并且接入该虚拟网络的设备无法查看其他 VXLAN 或底层网络结构中的流量。
VXLAN 解决的问题
正如服务器虚拟化的快速普及显著提升了敏捷性与灵活性一样,从物理基础设施中解耦出来的虚拟网络同样使运营更简便、更快捷且更经济。例如,它们允许多个租户安全地共享单一物理网络,使网络运营商能够快速且经济地扩展基础设施以满足不断增长的需求。实施分段网络的主要原因是确保隐私和安全性,防止某一租户查看或访问其他租户的流量。
运维人员对网络进行逻辑分段的方式,类似于他们长期以来部署传统虚拟局域网 (VLAN) 的方式。尽管 VLAN 存在扩展局限,但 VXLAN 有办法克服这些限制。
- 首先,在单个管理域中,理论上您可以创建多达 1600 万个 VXLAN,而传统 VLAN 最多仅能创建 4094 个。这为云和服务提供商提供了支持海量租户所需规模的网络分段。
- 其次,VXLAN 支持在数据中心之间建立网络分段。传统基于 VLAN 的网络分段虽然能够创建广播域,但一旦携带 VLAN 标签的数据包抵达路由器,所有 VLAN 信息都将被移除。这意味着 VLAN 的传输距离只能达到底层二层网络所能达到的范围。对于通常希望避免跨越三层边界的虚拟机 (VM) 迁移等用例而言,这是一个难题。
- 相比之下,VXLAN 网络分段则将原始数据包封装在 UDP 数据包内部。只要路径中的所有交换机和路由器都支持 VXLAN,网络分段就能延伸至物理三层路由网络所能覆盖的范围,而运行在虚拟叠加网络上的应用无需跨越任何三层边界。对于连接到该网络的服务器而言,它们属于同一个二层网络,即使底层 UDP 数据包可能已经穿越了一个或多个路由器。
- 最终,这种在底层三层网络之上实现二层分段的能力,结合对海量网络分段的支持,使得服务器即使相距遥远,也能归属于同一 VXLAN,同时让网络管理员能够保持二层网络规模的精简。而拥有较小规模的二层网络有助于防止交换机上的 MAC 表溢出。
VXLAN 的主要应用
对服务提供商与云服务商而言,VXLAN 的用例非常明确:这些运营商拥有大量租户或客户,且出于法律、隐私和道德等多种原因,供应商必须将不同客户的网络流量进行分区隔离。
在企业环境中,租户可能是用户组、部门或其他因内部安全原因创建的网络分段用户或设备集合。例如,物联网 (IoT) 设备(如数据中心环境传感器)容易遭到入侵,因此将 IoT 网络流量与生产网络应用流量隔离是一种合理的安全措施。
VXLAN 的工作原理
VXLAN 隧道协议将二层以太网帧封装在四层 UDP 数据包中,使您能够创建跨越物理三层网络的虚拟二层子网。每个分段子网由 VXLAN 网络标识符 (VNI) 进行单独区分。
执行数据包封装和解封装的实体称为 VXLAN 隧道端点 (VTEP)。VTEP 既可以是独立的网络设备(例如物理路由器或交换机),也可以是部署在服务器上的虚拟交换机。VTEP 将以太网帧封装成 VXLAN 数据包,通过 IP 或其他三层网络发送到目标 VTEP 后,经解封装处理然后转发到目标服务器。
为支持无法独立作为 VTEP 运行的设备(如裸机服务器),硬件 VTEP(如特定的 HPE Juniper Networking 交换机和路由器)可以对数据包进行封装与解封装。此外,VTEP 还可驻留在基于内核的虚拟机 (KVM) 等虚拟机监控程序主机中,实现对虚拟工作负载的直接支持。此类 VTEP 被称为软件 VTEP。
硬件和软件 VTEP 如上所示。
如上图所示,当 VTEP1 接收到从虚拟机 1 (VM1) 发往虚拟机 3 (VM3) 的以太网帧时,它会利用 VNI 和目标 MAC 地址在其转发表中查找应将数据包转发至哪个 VTEP。VTEP1 将包含 VNI 的 VXLAN 报头添加到以太网帧中,并将该帧封装在三层 UDP 数据包中,然后通过三层网络将数据包路由到 VTEP2。随后,VTEP2 对原始以太网帧进行解封装,并将其转发至 VM3。VM1 和 VM3 完全无法感知彼此之间的 VXLAN 隧道和三层网络。
HPE VXLAN 解决方案
HPE Juniper Networking MX 系列路由器、QFX 系列交换机、EX 系列交换机以及 HPE Aruba Networks CX 系列交换机均支持 EVPN-VXLAN 协议,既能作为 VTEP 网关执行 VXLAN 数据包的封装/解封装,也可实现不同 VXLAN 之间的路由。
VXLAN 常见问题解答
VXLAN 有哪些应用场景?
VXLAN 可用于实现超越传统 VLAN 能力的网络分段。传统 VLAN 仅支持 4094 个虚拟网络,而 VXLAN 可提供多达 1600 万个虚拟网络。网络分段有两个主要用途:允许多租户在共享单一物理网络时保持彼此流量不可见,同时支持 IP 地址空间的重复利用。另外,还可以配置采用差异化服务质量 (QoS) 策略和服务级别协议 (SLA) 的网络分段。
VXLAN 主要应用于大型数据中心、服务提供商网络和云运营商网络,而在这些场景中,传统 VLAN 仅能提供 4094 个虚拟网络,大大增添了局限性。话虽如此,但随着越来越多价格低廉的交换机处理器开始支持 VXLAN,该技术正逐渐从数据中心转向园区网络。
VXLAN 标准于 2014 年由 IETF 制定,并在 RFC 7348 中进行了规范。
VXLAN 是三层标准吗?
由于 VXLAN 依赖于 IP(三层)传输网络,有时会将其视作三层协议。此外,由于 VXLAN 将以太网帧封装在 UDP 中,而该操作会影响四层 UDP,因此有时也被视为四层标准。
VXLAN 会取代 VLAN 吗?
VXLAN 并不能完全取代 VLAN;在某些情况下,例如大型服务提供商的数据中心,两种标准都可能被采用。VXLAN 可用于分割服务提供商的全球网络,将每个客户隔离在其专属的 VXLAN 中,同时允许每个客户在其 VXLAN 内创建私有 VLAN。
VXLAN、VLAN 和 QinQ 技术的本质区别是什么?
VLAN、QinQ 和 VXLAN 都是用于将物理网络逻辑划分为多个虚拟网络的标准。其中每个标准相较于前一个标准都提供了更强的可扩展性。出于安全原因通常会对网络进行分段,同时也为支持差异化的 QoS 要求,这些要求通常是服务等级协议的一部分。
VLAN 于 1998 年首次实现标准化;QinQ 基于 VLAN 构建,从而扩展可创建的逻辑网络数量。QinQ 还能够跨公共广域网服务支持企业/业务 VLAN。在这三种技术中,VXLAN 具有最大的可扩展性和灵活性。
从技术层面看,这些技术差异体现在它们在通过通信网络传输之前如何标记和封装以太网帧。
VXLAN、VLAN 和 QinQ 通常会搭配使用吗?
理论上,您可以同时使用传统 VLAN、QinQ VLAN 和 VXLAN。这是因为网络标识符存在于数据包中。VXLAN 既不会改变或扩展其封装的 UDP 数据包格式,也不会改变或扩展承载该 UDP 数据包的外部以太网帧。这是因为 VXLAN 数据包实际包含在 UDP 数据包的有效负载内,而非其报头中。它们包括 VXLAN 报头和最终待传输的完整原始以太网帧。因此,VXLAN-in-UDP 数据包的外部以太网帧也可能包含 VLAN 和 QinQ 标识符。
换言之,在 VXLAN 数据包中,虚拟网络可在三个位置进行定义:外部以太网帧、VXLAN 报头以及内层以太网帧,这三组虚拟网络彼此之间可以完全不同。由此可能形成这样的数据包:外部以太网帧可支持 1600 万个虚拟网络,VXLAN 报头可额外支持 1600 万个虚拟网络,而内部以太网帧还能再支持 1600 万个虚拟网络。
然而,在企业联网实践中,网络往往基于 VLAN 或 VXLAN。当这些技术组合应用时,通常由网络和云服务提供商为企业客户提供在其自有 VXLAN 内部使用 VLAN 的能力。该场景同时利用了内部以太网帧的 VLAN 和 VXLAN 报头的虚拟网络功能,但未利用外部以太网帧的 VLAN。
VXLAN 比 VLAN 更好吗?
VXLAN 和 VLAN 虽然在表面上相似,但它们解决同一问题的方式却不尽相同。这意味着二者可适用于不同的应用场景,且彼此并不相互排斥。
当前几乎所有市售的交换机都至少支持基础的 VLAN 功能,大多数交换机(包括众多消费级交换机)还能支持 QinQ 技术。通常情况下,仅功能更强大的企业级或运营商级交换机才支持 EVPN-VXLAN 功能。
VXLAN 被认为是更高效的技术。其原因在于,在基于 VXLAN 的网络中,只有包含 VTEP 的交换机需要承担额外的查找表 (LUT) 负担,且只需针对具有 VTEP 的虚拟网络执行此操作,而非整个网络。这与基于 VLAN 的网络(如 QinQ)形成鲜明对比,虽然支持与 VXLAN 相同的 1600 万个潜在虚拟网络,但要求所有交换机承担额外负担。
VXLAN 和 EVPN 有何区别?
所有类型的虚拟局域网都是将物理网络分割为多个私有虚拟网络的一种方式。尽管以太网虚拟专用网 (EVPN) 和 VXLAN 经常搭配使用,但二者在技术上是独立的,且具有不同的目标。
VXLAN 能够将二层地址空间从约 4000 个扩展到约 1600 万个,从而将以太网扩展到更广泛的 IP 网络,并通过对物理网络进行切分,确保多租户在共享其资源的同时互不可见彼此的流量。EVPN 支持创建由不同设备和网络域中的交换机端口与其他资源组成的虚拟网络。EVPN 本质上是一种技术方法,能够让未连接到同一物理网络且可能地理位置相距甚远的计算机,如同插入到同一台物理交换机上那样运行,且该 EVPN 中的所有节点都能像连接到传统二层局域网一般接收数据广播。