読了所要時間: 7分51秒 | 公開日: 2025年10月1日
VXLAN VXLANとは
VXLAN (Virtual eXtensible Local-Area Network) は、Internet Engineering Task Force (IETF) のネットワーク仮想化テクノロジー標準です。単一の物理ネットワークを複数の異なる組織 (「テナント」) で共有することが可能になりますが、どのテナントも、他のテナントのネットワークトラフィックを見ることはできません。
VXLANは集合住宅の住戸に似ています。集合住宅では各部屋が共通の構造内で独立したプライベートな住居であるように、各VXLANは、共有物理ネットワーク内で独立したプライベートネットワークセグメントとなっています。
VXLANの説明
VXLANを使用すると、物理ネットワークを最大1,600万の仮想 (論理) ネットワークに分割できます。レイヤー2イーサーネットフレームを、VXLANヘッダーとともにレイヤー4 User Datagram Protocol (UDP) パケットにカプセル化します。WANプロトコルを使用して仮想化ネットワークでイーサーネットトラフィックを転送するイーサーネットVPN (EVPN) と組み合わせて使用すると、VXLANにより、レイヤー2ネットワークをレイヤー3 IPまたはMPLSネットワーク全体に拡張できます。
VXLANの主なメリット
VXLANはUDPパケット内にカプセル化されるため、UDPパケットを送信できるすべてのネットワーク上で実行できます。UDPデータグラムがカプセル化VXLANトンネルエンドポイント (VTEP) からカプセル化解除VTEPに転送されている限り、基盤となるネットワークの物理的なレイアウトとノード間の距離は問題になりません。
VXLANをEVPNと組み合わせて使用すると、オペレーターは、標準をサポートし、同じレイヤー3ネットワークの一部である任意の物理ネットワークスイッチ上の物理ネットワークポートから仮想ネットワークを作成できます。たとえば、スイッチAから1つのポート、スイッチBから2つのポート、スイッチCから別のポートを選択して、接続されているすべてのデバイスに単一の物理ネットワークとして表示される仮想ネットワークを構築できます。この仮想ネットワークに参加しているデバイスは、他のVXLANまたは基盤となるネットワークファブリック内のトラフィックを認識できません。
VXLANによって解決される問題
サーバー仮想化の急速な導入によってアジリティと柔軟性が劇的に向上したのと同様に、物理インフラストラクチャから分離された仮想ネットワークは、運用がより簡単で迅速、かつ低コストになります。たとえば、複数のテナントが単一の物理ネットワークを安全に共有できるため、ネットワークオペレータは、需要の増大に応じてインフラストラクチャを迅速に、かつ低コストで拡張できるようになります。ネットワークをセグメント化する主な理由は、プライバシーとセキュリティであり、テナントが別のテナントに属するトラフィックを見たりアクセスしたりできないようにするためです。
オペレーターは、これまで従来の仮想LAN (VLAN) を展開してきたのと同じように、ネットワークを論理的にセグメント化します。VLANにはスケーリングの制限がありますが、VXLANにはそうした制限を克服する方法があります。
- たとえば、従来のVLANが最大4094個であるのに対し、管理ドメインでは理論上、最大1600万個のVXLANを作成できます。これにより、クラウドプロバイダーやサービスプロバイダーが膨大な数のテナントをサポートするために必要となる規模でのネットワークセグメンテーションが実現します。
- 次に、VXLANはデータセンター間にまたがるネットワークセグメントを有効にします。従来のVLANベースのネットワークセグメンテーションではブロードキャストドメインが作成されますが、VLANタグを含むパケットがルーターに到達するとすぐに、そのVLAN情報はすべて削除されます。つまり、VLANは、基盤となるレイヤー2ネットワークが到達できる範囲までしか伝送されません。これは、レイヤー3の境界を越えたくない仮想マシン (VM) の移行などのユースケースで問題になります。
- 対照的に、VXLANネットワーク セグメンテーションでは、元のパケットがUDPパケット内にカプセル化されます。パス内のすべてのスイッチとルーターがVXLANをサポートしている限り、物理レイヤー3ルーティングネットワークが到達できる範囲までネットワークセグメントを拡張でき、仮想オーバーレイネットワーク上で実行されているアプリケーションがレイヤー3の境界を越える必要はありません。ネットワークに接続されているサーバーに関しては、基盤となるUDPパケットが1台以上のルーターを通過したとしても、同じレイヤー2ネットワークの一部です。
- 最後に、基盤となるレイヤー3ネットワークの上にレイヤー2セグメンテーションを提供する機能に、サポートされるネットワークセグメントの数の多さを組み合わせることで、サーバーが互いに離れていても同じVXLANの一部になることができ、ネットワーク管理者はレイヤー2ネットワークを小規模に保つことができます。レイヤー2ネットワークを小さくしておくと、スイッチ上のMACテーブルのオーバーフローを回避できます。
VXLANの主な使用事例
サービスプロバイダーやクラウドプロバイダーにおけるVXLANの使用事例は単純です。こうしたオペレーターは多数のテナント (または顧客) を抱えており、プロバイダーが顧客ごとにネットワークトラフィックを分割しなければならない法律上、プライバシー上、倫理上の理由が複数あります。
エンタープライズ環境では、テナントは、ユーザーグループ、部門、またはその他の内部セキュリティ上の理由で作成され、ネットワークセグメント化されたユーザーまたはデバイスのセットである場合があります。たとえば、データセンターの環境センサーなどのIoTデバイスは侵害されやすいため、IoTのネットワークトラフィックを本番環境ネットワークのアプリケーショントラフィックから分離することがセキュリティ対策として有効です。
VXLANの仕組み
VXLANトンネリングプロトコルは、レイヤー2イーサーネットフレームをレイヤー4 UDPパケット内でカプセル化し、物理レイヤー3のネットワークにまたがる仮想化レイヤー2サブネットを作成できるようにします。セグメント化された各サブネットは、VXLANネットワーク識別子 (VNI) によって一意に識別されます。
パケットのカプセル化とカプセル化解除を実行するエンティティは、VXLANトンネルエンドポイント (VTEP) と呼ばれます。VTEPは、物理ルーターやスイッチなどの独立したネットワークデバイスか、サーバー上に展開された仮想スイッチになります。VTEPはイーサーネットフレームをVXLANパケットにカプセル化し、IPなどのレイヤー3ネットワーク経由で宛先VTEPに送信します。そこでカプセル化が解除され、宛先サーバーに転送されます。
ベアメタルサーバーなど、単独ではVTEPとして使用できないデバイスをサポートするために、一部のHPE Juniper NetworkingスイッチおよびルーターなどのハードウェアVTEPは、データパケットのカプセル化とカプセル化解除が行えます。さらに、VTEPがカーネルベースの仮想マシン (KVM) などのハイパーバイザーホストに常駐し、仮想化ワークロードを直接サポートすることもできます。このタイプのVTEPは、ソフトウェアVTEPと呼ばれます。
上記はハードウェアVTEPとソフトウェアVTEPの図です。
上の図では、VTEP1が仮想マシン1 (VM1) から仮想マシン3 (VM3) 宛てのイーサーネットフレームを受信すると、VNIと宛先MACを使用して、パケットの送信先となるVTEPを転送テーブルから検索します。VTEP1は、VNIを含むVXLANヘッダーをイーサーネットフレームに追加し、レイヤー3 UDPパケット内でフレームをカプセル化し、そのパケットをレイヤー3ネットワーク経由でVTEP2にルーティングします。VTEP2は元のイーサーネットフレームのカプセル化を解除して、VM3に転送します。VM1とVM3は、その間のVXLANトンネルとレイヤー3ネットワークをまったく認識しません。
HPEのVXLANソリューション
HPE Juniper Networking MXシリーズのルーター、QFXシリーズのスイッチ、EXシリーズのスイッチ、HPE Aruba Networks CXシリーズのスイッチはEVPN-VXLANをサポートしており、VTEPゲートウェイとして使用できるため、VXLANパケットをカプセル化/カプセル化解除し、異なるVXLAN間をルーティングできます。
VXLANについてよくあるご質問
VXLANの用途は何ですか
VXLANを使用すると、従来のVLANの機能を上回るネットワークセグメンテーションを実現できます。従来のVLANでは仮想ネットワークが4094個しか提供されませんが、VXLANでは最大1600万個が提供されます。ネットワークセグメンテーションには主に2つの用途があります。複数のテナントが互いのトラフィックを見ることなく単一の物理ネットワークを共有できるようにすることと、IPアドレス空間の再利用を可能にすることです。独自のサービス品質 (QoS) ポリシーとサービスレベルアグリーメント (SLA) を使用してネットワークセグメントを構成することも可能です。
VXLANを主に使用しているのは、従来のVLANの4094個という仮想ネットワークの上限数では厳しすぎる大規模なデータセンター、サービスプロバイダーネットワーク、クラウドオペレーターネットワークです。とは言え、VXLANがより低コストのスイッチプロセッサーでサポートされるようになると、それはデータセンターからキャンパスネットワークに広がり始めています。
VXLAN標準は2014年にIETFによって策定され、RFC 7348で規定されています。
VXLANはレイヤー3標準ですか
VXLANは、IP (レイヤー3) トランスポートネットワークを利用するため、レイヤー3プロトコルとみなされることがあります。また、UDP内でイーサーネットフレームをカプセル化し、操作によってレイヤー4 UDPに影響を与えるため、レイヤー4標準とみなされることもあります。
VXLANはVLANに代わるものですか
VXLANは、VLANを完全に置き換えるものではありません。大規模なサービスプロバイダーのデータセンターなど、状況によっては両方の標準が使用される場合があります。VXLANを使用すると、サービスプロバイダーのグローバルネットワークをセグメント化し、各顧客がそれぞれのVXLAN内にプライベートVLANを作成できるようにしながら、そのVXLANで各顧客を分離することができます。
VXLAN、VLAN、QinQテクノロジーの基本的な違いは何ですか
VLAN、QinQ、VXLANはいずれも、物理ネットワークを複数の仮想ネットワークに論理的に分割する際に使用される標準です。各標準はそれぞれ、前の標準よりも優れたスケーラビリティを備えています。ネットワークは通常、セキュリティ上の理由で、またSLAに含まれることが多い独自のQoS要件をサポートするためにセグメント化されます。
VLANは1998年に初めて標準化されました。QinQは、作成できる論理ネットワークの数を増やすために、VLANを基盤として構築されました。またQinQは、エンタープライズ/ビジネスVLANをパブリックWANサービス全体でサポートできます。VXLANは、3つのテクノロジーの中で最も優れた拡張性と柔軟性を備えています。
これらのテクノロジーの技術的な違いは、通信ネットワーク経由で送信する前にイーサーネットフレームをタグ付けしてカプセル化する方法にあります。
VXLAN、VLAN、QinQは、通常、一緒に使用されますか
仮定の話として、従来のVLAN、QinQ VLAN、VXLANをすべて同時に使用することもできます。これは、ネットワーク識別子がデータパケット内のどこに存在するかによります。VXLANは、カプセル化されているUDPパケットの形式を変更または拡張しません。また、そのUDPパケットが伝送される外部イーサーネットフレームを変更または拡張しません。これは、VXLANパケットがUDPパケットのヘッダーではなくペイロード内に含まれているためです。これには、VXLANヘッダーと、最終的に送信される完全な元のイーサーネットフレームが含まれます。VXLAN-in-UDPパケットは、LANとQinQの識別子も含む、外部イーサーネットフレームを持つことができます。
つまり、VXLANパケットには、仮想ネットワークを定義できる3つの場所 (外部イーサーネットフレーム、VXLANヘッダー、内部イーサーネットフレーム) があり、これらの仮想ネットワークセットはそれぞれ完全に区別できます。これによって生成されるパケットでは、外部イーサーネットフレームが1,600万の仮想ネットワークをサポートし、VLXANヘッダーがさらに1,600万の仮想ネットワークをサポートし、内部イーサーネットフレームがさらに1,600万の仮想ネットワークをサポートすることができます。
ただし、実際のエンタープライズネットワークでは、ネットワークがVLANまたはVXLANベースになる傾向があります。テクノロジーを組み合わせる場合、通常は、専用のVXLAN内でVLANを使用する機能を企業顧客に提供するネットワークプロバイダーやクラウドサービスプロバイダーが行います。このシナリオでは、内部イーサーネットフレーム上のVLANと、VXLANヘッダーの仮想ネットワーク機能を利用しますが、外部イーサーネットフレーム上のVLANは利用しません。
VXLANはVLANよりも優れていますか
VXLANとVLANは、表面的には似ていますが、同じ問題を異なる方法で解決します。つまり、VXLANとVLANは異なる状況で使用されており、相互排他的なものではないということです。
現在販売されているほぼすべてのスイッチが、少なくとも基本的なVLANをサポートしており、多くのコンシューマー向けスイッチを含むほとんどのスイッチがQinQをサポートしています。EVPN-VXLANのサポートは、通常、より高性能なエンタープライズまたはキャリアグレードのスイッチに限定されます。
VXLANはより効率的なテクノロジーであると考えられています。その理由は、VXLANベースのネットワークでは、VTEPを含むスイッチだけが追加のルックアップテーブル (LUT) の負荷を負いますが、その対象はネットワーク全体ではなく、VTEPを持つ仮想ネットワークに限定されるためです。これに対して、QinQなどのVLANベースのネットワークでは、VXLANと同様に最大1,600万の仮想ネットワークをサポートできるものの、すべてのスイッチが追加の負荷を負う必要があります。
VXLANとEVPNの違いは何ですか
すべてのタイプの仮想LANが、物理ネットワークを複数のプライベート仮想ネットワークに分割する手段となります。イーサーネットVPN (EPVN) とVXLANはよく一緒に使用されますが、技術的にはそれぞれ独立しており、 目的も異なります。
VXLANは、レイヤー2のアドレス空間を約4,000から約1,600万にまで拡大して、より広範なIPネットワーク全体にイーサーネットネットワークを拡張し、物理ネットワークを分割することで、複数のテナントが互いのトラフィックを見ることなくリソースを共有できるようにします。EVPNを使用すると、さまざまな機器やネットワークドメインのスイッチポートなどのリソースで構成される仮想ネットワークを構築できます。EVPNは基本的に、同じ物理ネットワークに接続されておらず、離れた場所にある可能性のあるコンピューターが、同じ物理スイッチに接続されているかのように動作できるようにする方法です。そのEVPNに含まれるすべてのノードは、従来のレイヤー2ローカルネットワークに接続されているかのようにデータブロードキャストを受信します。