Lesezeit: 7 Minuten 51 Sekunden | Veröffentlicht: 1. Oktober 2025
VXLAN Was ist VXLAN?
Virtual Extensible Local-Area Networks (VXLANs) sind ein Technologiestandard für die Netzwerkvirtualisierung der Internet Engineering Task Force (IETF). Sie ermöglichen die gemeinsame Nutzung eines einzigen physischen Netzwerks durch mehrere verschiedene Unternehmen oder „Mandanten“, ohne dass ein Mandant den Netzwerkverkehr eines anderen sehen kann.
VXLANs sind vergleichbar mit einzelnen Einheiten in einem Mehrfamilienhaus, in dem jede Wohnung eine separate, private Wohnung innerhalb einer gemeinsamen Struktur ist, genauso wie jedes VXLAN ein separates, privates Netzwerksegment innerhalb eines gemeinsam genutzten physischen Netzwerks ist.
VXLAN erklärt
Ein VXLAN ermöglicht die Segmentierung eines physischen Netzwerks in bis zu 16 Millionen virtuelle, oder logische, Netzwerke. Es schließt Layer 2-Ethernet-Frames zusammen mit einem VXLAN-Header in ein Layer 4-UDP-Paket (User Datagram Protocol) ein. In Kombination mit einem Ethernet-VPN (EVPN), das den Ethernet-Verkehr in virtualisierten Netzwerken mithilfe von WAN-Protokollen transportiert, ermöglicht VXLAN die Erweiterung von Layer 2-Netzwerken über ein Layer 3-IP- oder MPLS-Netzwerk.
Hauptvorteile von VXLAN
Da VXLANs in einem UDP-Paket eingeschlossen sind, können sie in jedem Netzwerk ausgeführt werden, das UDP-Pakete übertragen kann. Das physische Layout und die geografische Entfernung zwischen den Knoten des zugrunde liegenden Netzwerks spielen keine Rolle, solange die UDP-Datagramme vom verpackenden VXLAN Tunnel Endpoint (VTEP) an den entpackenden VTEP weitergeleitet werden.
Wird VXLAN mit EVPN kombiniert, können Betreiber virtuelle Netzwerke aus physischen Netzwerkports auf allen physischen Netzwerk-Switches erstellen, die den Standard unterstützen und Teil desselben Layer 3-Netzwerks sind. Sie könnten beispielsweise einen Port von Switch A, zwei Ports von Switch B und einen weiteren Port von Switch C nehmen und ein virtuelles Netzwerk erstellen, das allen angeschlossenen Geräten als ein einziges physisches Netzwerk erscheint. Geräte, die an diesem virtuellen Netzwerk teilnehmen, können den Datenverkehr in anderen VXLANs oder der zugrunde liegenden Netzwerk-Fabric nicht sehen.
Probleme, die VXLAN löst
So wie die schnelle Einführung der Servervirtualisierung zu einer enormen Steigerung der Agilität und Flexibilität geführt hat, sind virtuelle Netzwerke, die von der physischen Infrastruktur entkoppelt sind, einfacher, schneller und kostengünstiger zu betreiben. Sie ermöglichen beispielsweise mehreren Mandanten die sichere gemeinsame Nutzung eines einzigen physischen Netzwerks, sodass Netzwerkbetreiber ihre Infrastrukturen schnell und kostengünstig skalieren können, um der wachsenden Nachfrage gerecht zu werden. Die Hauptgründe für die Segmentierung von Netzwerken sind Datenschutz und Sicherheit. Sie sollen verhindern, dass ein Mandant den Datenverkehr eines anderen Mandanten sieht oder darauf zugreift.
Betreiber segmentieren ihre Netzwerke logisch, so wie sie schon lange herkömmliche virtuelle LANs (VLANs) einsetzen. Obwohl VLANs Skalierungsbeschränkungen unterliegen, gibt es bei VXLANs Möglichkeiten, diese zu überwinden.
- Zum einen können Sie theoretisch bis zu 16 Millionen VXLANs in einer Verwaltungsdomäne erstellen, verglichen mit maximal 4094 herkömmlichen VLANs. Das ermöglicht eine Netzwerksegmentierung in dem von Cloud- und Service-Providern benötigten Umfang, um eine sehr große Anzahl von Mandanten zu unterstützen.
- Zweitens sind mit VXLANs Netzwerksegmente möglich, die sich zwischen Rechenzentren erstrecken. Bei der herkömmlichen VLAN-basierten Netzwerksegmentierung werden Broadcast-Domänen erstellt. Sobald jedoch ein Paket mit VLAN-Tags einen Router erreicht, werden sämtliche VLAN-Informationen entfernt. Das bedeutet, dass VLANs nur so weit reichen, wie Ihr zugrunde liegendes Layer 2-Netzwerk reichen kann. Das ist ein Problem für Anwendungsfälle wie die Migration virtueller Maschinen (VM), bei denen die Grenzen von Layer 3 möglichst nicht überschritten werden.
- Im Gegensatz dazu fasst die VXLAN-Netzwerksegmentierung das ursprüngliche Paket in einem UDP-Paket zusammen. Solange alle Switches und Router im Pfad VXLAN unterstützen, können sich die Netzwerksegmente so weit erstrecken, wie das physische Layer 3-geroutete Netzwerk reicht, ohne dass die auf dem virtuellen Overlay-Netzwerk ausgeführten Anwendungen irgendwelche Layer 3-Grenzen überschreiten müssen. Was die mit dem Netzwerk verbundenen Server betrifft, sind sie Teil desselben Layer 2-Netzwerks, auch wenn die zugrunde liegenden UDP-Pakete möglicherweise einen oder mehrere Router durchlaufen haben.
- Und schließlich ermöglicht die Fähigkeit, eine Layer 2-Segmentierung über einem darunterliegenden Layer 3-Netzwerk bereitzustellen, in Kombination mit der hohen Anzahl unterstützter Netzwerksegmente, dass Server Teil desselben VXLAN sind, auch wenn sie voneinander entfernt sind, während Netzwerkadministratoren Layer 2-Netzwerke gleichzeitig klein halten können. Durch kleinere Layer 2-Netzwerke lässt sich ein Überlauf der MAC-Tabellen auf Switches vermeiden.
Primäre VXLAN-Anwendungen
Die Anwendungsfälle für VXLAN bei Dienstleistern und Cloud-Anbietern liegen auf der Hand: Diese Betreiber haben viele Mandanten bzw. Kunden, und es gibt zahlreiche rechtliche, datenschutzrechtliche und ethische Gründe, warum Anbieter den Netzwerkverkehr eines Kunden von dem eines anderen trennen müssen.
In Unternehmensumgebungen kann ein Mandant eine Benutzergruppe, Abteilung oder eine andere Gruppe von Benutzern oder Geräten im Netzwerk sein, die aus internen Sicherheitsgründen erstellt wurde. Beispielsweise sind Geräte des Internets der Dinge (IoT), wie etwa Umgebungssensoren in Rechenzentren, anfällig für Kompromittierungen. Daher ist es eine sinnvolle Sicherheitsmaßnahme, den IoT-Netzwerkverkehr vom Anwendungsverkehr des Produktionsnetzwerks zu trennen.
So funktioniert VXLAN
Das VXLAN-Tunneling-Protokoll fasst Layer 2-Ethernet-Frames in Layer 4-UDP-Paketen zusammen und ermöglicht Ihnen so die Erstellung virtualisierter Layer 2-Subnetze, die sich über physische Layer 3-Netzwerke erstrecken. Jedes segmentierte Subnetz wird eindeutig durch einen VXLAN Network Identifier (VNI) identifiziert.
Die Entität, die das Zusammenfassen und Entpacken von Paketen durchführt, wird als VXLAN Tunnel Endpoint (VTEP) bezeichnet. Ein VTEP kann ein unabhängiges Netzwerkgerät sein, beispielsweise ein physischer Router oder Switch, oder ein auf einem Server bereitgestellter virtueller Switch. VTEPs fasst die Ethernet-Frames in VXLAN-Pakete zusammen, die dann über ein IP- oder anderes Layer 3-Netzwerk an das Ziel-VTEP gesendet werden, wo sie entpackt und an den Zielserver weitergeleitet werden.
Zur Unterstützung von Geräten, die nicht allein als VTEP fungieren können, wie etwa Bare Metal-Server, können Hardware-VTEPs wie ausgewählte Switches und Router von HPE Juniper Networking Datenpakete zusammenfassen und entpacken. Darüber hinaus können VTEPs in Hypervisor-Hosts wie beispielsweise kernelbasierten virtuellen Maschinen (KVMs) untergebracht werden, um virtualisierte Workloads direkt zu unterstützen. Dieser VTEP-Typ wird als Software-VTEP bezeichnet.
Hardware- und Software-VTEPs sind oben aufgeführt.
Wenn VTEP1 in der obigen Abbildung einen Ethernet-Frame von der virtuellen Maschine 1 (VM1) empfängt, der an die virtuelle Maschine 3 (VM3) adressiert ist, verwendet es den VNI und die Ziel-MAC, um in seiner Weiterleitungstabelle nach dem VTEP zu suchen, an den das Paket gesendet werden soll. VTEP1 fügt dem Ethernet-Frame einen VXLAN-Header hinzu, der den VNI enthält, verpackt den Frame in ein Layer 3-UDP-Paket und leitet das Paket über das Layer 3-Netzwerk an VTEP2 weiter. VTEP2 entpackt den ursprünglichen Ethernet-Frame und leitet ihn an VM3 weiter. VM1 und VM3 sind sich des VXLAN-Tunnels und des Layer 3-Netzwerks zwischen ihnen überhaupt nicht bewusst.
HPE VXLAN-Lösungen
Router der MX-Serie, Switches der QFX-Serie und Switches der EX-Serie von HPE Juniper Networking sowie Switches der CX-Serie von HPE Aruba Networks unterstützen EVPN-VXLAN und können als VTEP-Gateways fungieren, VXLAN-Pakete kapseln/entkapseln und zwischen verschiedenen VXLANs leiten.
Häufig gestellte Fragen zu VXLAN
Wofür wird VXLAN verwendet?
VXLANs werden verwendet, um eine Netzwerksegmentierung zu erreichen, die über die Möglichkeiten klassischer VLANs hinausgeht. Klassische VLANs bieten nur 4094 virtuelle Netzwerke, während VXLANs bis zu 16 Millionen bieten. Die Netzwerksegmentierung hat zwei Hauptzwecke: Sie ermöglicht mehreren Mandanten, ein einziges physisches Netzwerk gemeinsam zu nutzen, ohne den Datenverkehr der anderen zu sehen, und sie ermöglicht die Wiederverwendung des IP-Adressbereichs. Es ist auch möglich, Netzwerksegmente mit differenzierten Quality-of-Service-Richtlinien (QoS) und Service Level Agreements (SLAs) zu konfigurieren.
VXLANs werden hauptsächlich in großen Rechenzentren, Dienstleisternetzwerken und Cloud-Betreibernetzwerken verwendet, wo die 4094 virtuellen Netzwerkgrenzen klassischer VLANs zu sehr einschränken. Da VXLAN jedoch von immer mehr und weniger teuren Switch-Prozessoren unterstützt wird, beginnt es, sich aus den Rechenzentren in die Campus-Netzwerke zu verlagern.
Der VXLAN-Standard wurde 2014 von der IETF erstellt und ist in RFC 7348 spezifiziert.
Ist VXLAN ein Layer 3-Standard?
VXLAN wird manchmal als Layer 3-Protokoll betrachtet, da es auf einem IP-Transportnetzwerk (Layer 3) basiert. Es wird manchmal auch als Layer 4-Standard betrachtet, da es Ethernet-Frames in UDP einfasst und sich betriebsmäßig auf Layer 4-UDP auswirkt.
Ersetzt VXLAN VLAN?
VXLANs ersetzen VLANs nicht vollständig. Unter bestimmten Umständen, beispielsweise in den Rechenzentren großer Dienstleister, können beide Standards verwendet werden. VXLANs können verwendet werden, um das globale Netzwerk des Dienstleisters zu segmentieren, indem jeder Kunde auf seinem eigenen VXLAN isoliert wird und gleichzeitig jedem Kunden die Möglichkeit gegeben wird, private VLANs innerhalb seines VXLAN zu erstellen.
Was ist der grundlegende Unterschied zwischen den Technologien VXLAN, VLAN und QinQ?
VLAN, QinQ und VXLAN sind alles Standards, die zur logischen Segmentierung physischer Netzwerke in mehrere virtuelle Netzwerke verwendet werden. Jeder Standard bietet jeweils eine größere Skalierbarkeit als der vorherige. Netzwerke werden normalerweise aus Sicherheitsgründen und zur Unterstützung differenzierter QoS-Anforderungen segmentiert, die normalerweise Teil von SLAs sind.
VLANs wurden 1998 als erste standardisiert. QinQ baute auf VLANs auf, um die Anzahl der erstellbaren logischen Netzwerke zu erweitern. QinQ ermöglicht außerdem die Unterstützung von Unternehmens-/Geschäfts-VLANs über öffentliche WAN-Services. Von den drei Technologien bietet VXLAN die größte Erweiterbarkeit und Flexibilität.
Technisch gesehen liegen die Unterschiede zwischen diesen Technologien darin, wie sie Ethernet-Frames vor der Übertragung über Kommunikationsnetzwerke markieren und verpacken.
Werden VXLAN, VLAN und QinQ normalerweise zusammen verwendet?
Theoretisch können Sie herkömmliche VLANs, QinQ-VLANs und VXLANs gleichzeitig verwenden. Das liegt daran, wo sich die Netzwerkkennungen innerhalb des Datenpakets befinden. VXLANs ändern oder erweitern weder das Format des UDP-Pakets, in dem sie zusammengefasst sind, noch ändern oder erweitern sie den äußeren Ethernet-Frame, in dem dieses UDP-Paket übertragen wird. Das liegt daran, dass VXLAN-Pakete in der Nutzlast eines UDP-Pakets enthalten sind (nicht im Header). Sie umfassen einen VXLAN-Header und den vollständigen ursprünglichen Ethernet-Frame, der letztendlich übertragen werden sollte. VXLAN-in-UDP-Pakete können dann äußere Ethernet-Frames haben, die auch VLAN- und QinQ-Kennungen enthalten.
Mit anderen Worten: In einem VXLAN-Paket gibt es drei Stellen, an denen virtuelle Netzwerke definiert werden können: der äußere Ethernet-Frame, der VXLAN-Header und der innere Ethernet-Frame. Und jeder dieser Sätze virtueller Netzwerke kann sich vollständig voneinander unterscheiden. Das kann zu einem Paket führen, bei dem der äußere Ethernet-Frame 16 Millionen virtuelle Netzwerke unterstützen kann, der VLXAN-Header weitere 16 Millionen und der innere Ethernet-Frame weitere 16 Millionen.
In der Praxis der Vernetzung im Unternehmen basieren die Netzwerke jedoch meist entweder auf VLAN oder VXLAN. Wenn Technologien kombiniert werden, geschieht das typischerweise durch Netzwerk- und Cloud-Dienstanbieter, die Geschäftskunden die Möglichkeit bieten, VLANs innerhalb ihres eigenen VXLAN zu verwenden. Dieses Szenario nutzt VLANs im inneren Ethernet-Frame sowie die virtuellen Netzwerkfunktionen des VXLAN-Headers, verwendet jedoch keine VLANs im äußeren Ethernet-Frame.
Ist VXLAN besser als VLAN?
VXLANs und VLANs sind sich zwar oberflächlich ähnlich, lösen das gleiche Problem jedoch auf unterschiedliche Weise. Das bedeutet, dass sie in unterschiedlichen Situationen eingesetzt werden und sich nicht gegenseitig ausschließen.
Heutzutage unterstützt fast jeder verkaufte Switch zumindest grundlegende VLANs, und die meisten, darunter auch viele Consumer-Switches, unterstützen QinQ. Die EVPN-VXLAN-Unterstützung ist normalerweise auf leistungsfähigere Enterprise- oder Carrier-Grade-Switches beschränkt.
VXLANs gelten als die effizientere Technologie. Der Grund dafür ist, dass in einem VXLAN-basierten Netzwerk nur die Switches, die VTEPs enthalten, eine zusätzliche Look-Up-Tabellenlast (LUT) tragen und das nur für die virtuellen Netzwerke tun müssen, für die sie VTEPs haben, nicht für das gesamte Netzwerk. Das steht im Gegensatz zu VLAN-basierten Netzwerken wie QinQ, das dieselben 16 Millionen potenziellen virtuellen Netzwerke wie VXLAN unterstützt, aber erfordert, dass alle Switches die zusätzliche Last übernehmen.
Was ist der Unterschied zwischen VXLAN und EVPN?
Alle Arten von virtuellen LANs sind eine Möglichkeit, physische Netzwerke in mehrere private virtuelle Netzwerke zu segmentieren. Ethernet VPN (EPVN) und VXLAN werden häufig zusammen verwendet, sind aber technisch unabhängig und haben unterschiedliche Ziele.
VXLANs erweitern den Layer 2-Adressbereich von etwa 4.000 auf etwa 16 Millionen, um Ethernet-Netzwerke über größere IP-Netzwerke auszudehnen. Dabei wird das physische Netzwerk so aufgeteilt, dass mehrere Mandanten ihre Ressourcen gemeinsam nutzen können, ohne den Datenverkehr der anderen zu sehen. EVPN ermöglicht die Erstellung virtueller Netzwerke, die Switch-Ports und andere Ressourcen aus verschiedenen Geräten und Netzwerkdomänen umfassen. EVPN ist im Grunde eine Möglichkeit, Computern, die nicht mit demselben physischen Netzwerk verbunden sind und möglicherweise geografisch weit voneinander entfernt sind, das Verhalten zu ermöglichen, als wären sie an denselben physischen Switch angeschlossen. Dabei empfangen alle Knoten, die Teil dieses EVPN sind, Datenübertragungen, als wären sie mit einem herkömmlichen lokalen Layer 2-Netzwerk verbunden.