읽는 시간: 7분 51초 | 게시일: 2025년 10월 1일
VXLAN VXLAN이란?
VXLAN(가상 확장 근거리 통신망)은 IETF(Internet Engineering Task Force) 네트워크 가상화 기술 표준입니다. 이를 통해 단일 물리적 네트워크를 여러 다른 조직 즉, ‘테넌트’에서 공유할 수 있으며, 어떤 테넌트도 다른 테넌트의 네트워크 트래픽을 볼 수 없습니다.
VXLAN은 아파트 건물의 개별 유닛과 유사합니다. 각 아파트가 공통의 건물에서 독립된 사적인 공간인 것처럼 각 VXLAN도 공유되는 물리적 네트워크 내에서 개별적인 프라이빗 네트워크 세그먼트입니다.
VXLAN 설명
VXLAN을 사용하면 물리적 네트워크를 최대 1,600만 개의 가상 네트워크 또는 논리적 네트워크로 분할할 수 있습니다. 또한 VXLAN은 VXLAN 헤더와 함께 레이어 2 이더넷 프레임을 레이어 4 UDP(사용자 데이터그램 프로토콜) 패킷으로 캡슐화합니다. WAN 프로토콜을 사용하여 가상화된 네트워크에서 이더넷 트래픽을 전송하는 EVPN(이더넷 VPN)과 결합하면 VXLAN을 통해 레이어 2 네트워크를 레이어 3 IP 또는 MPLS 네트워크로 확장할 수 있습니다.
VXLAN의 주요 장점
VXLAN은 UDP 패킷 내부에 캡슐화되므로 UDP 패킷을 전송할 수 있는 모든 네트워크에서 실행될 수 있습니다. UDP 데이터그램이 캡슐화 VTEP(VXLAN 터널 엔드포인트)에서 캡슐화 해제 VTEP로 전달되는 한, 기본 네트워크의 노드 간 물리적 레이아웃과 지리적 거리는 중요하지 않습니다.
VXLAN이 EVPN과 결합되면 운영자가 표준을 지원하면서 동일한 레이어 3 네트워크에 속하는 모든 물리적 네트워크 스위치의 물리적 네트워크 포트에서 가상 네트워크를 만들 수 있습니다. 예를 들어, 스위치 A에서 포트 하나를 가져오고, 스위치 B에서 포트 두 개를 가져오고, 스위치 C에서 또 다른 포트를 가져와 연결된 모든 장치에 단일 물리적 네트워크로 나타나는 가상 네트워크를 구성할 수 있습니다. 이 가상 네트워크에 포함된 장치는 다른 VXLAN이나 기본 네트워크 패브릭의 트래픽을 볼 수 없습니다.
VXLAN으로 해결 가능한 문제
서버 가상화의 빠른 도입으로 민첩성과 유연성이 극적으로 향상된 것처럼, 물리적 인프라에서 분리된 가상 네트워크는 운영이 더 쉽고 빠르며 경제적입니다. 예를 들어 VXLAN을 통해 여러 테넌트가 단일 물리적 네트워크를 안전하게 공유할 수 있으므로 네트워크 운영자는 늘어나는 수요를 맞추기 위해 인프라를 빠르고 경제적으로 확장할 수 있습니다. 네트워크를 분할하는 주된 이유는 개인 정보 보호와 보안입니다. 한 테넌트가 다른 테넌트의 트래픽을 보거나 이에 액세스하는 것을 방지하기 위해서입니다.
운영자는 기존 VLAN(가상 LAN)을 오랫동안 구축해 온 방식대로 네트워크를 논리적으로 세분화합니다. VLAN에는 확장성 제한이 있지만 VXLAN에는 이를 극복할 방법이 있습니다.
- 첫째, 이론적으로 관리 도메인에 최대 1,600만 개의 VXLAN을 만들 수 있는 반면, 기존 VLAN은 최대 4,094개까지 가능합니다. 이를 통해 클라우드 공급자 및 서비스 공급자가 필요한 규모로 네트워크를 세분화하여 매우 많은 수의 테넌트를 지원할 수 있습니다.
- 둘째, VXLAN은 데이터 센터 간에 확장되는 네트워크 세그먼트를 지원합니다. 기존의 VLAN 기반 네트워크 세분화는 브로드캐스트 도메인을 생성하지만, VLAN 태그가 포함된 패킷이 라우터에 도달하는 즉시 모든 VLAN 정보가 제거됩니다. 즉 VLAN은 기본 레이어 2 네트워크가 도달할 수 있는 범위까지만 전송됩니다. 이는 레이어 3 경계를 넘지 않는 VM(가상 시스템) 마이그레이션과 같은 사용 사례에서 문제가 됩니다.
- 이와 대조적으로 VXLAN 네트워크 세분화는 원래 패킷을 UDP 패킷 내부에 캡슐화합니다. 경로에 있는 모든 스위치와 라우터가 VXLAN을 지원하는 한, 가상 오버레이 네트워크에서 실행되는 애플리케이션이 레이어 3 경계를 넘을 필요 없이 물리적 레이어 3 라우팅 네트워크가 도달할 수 있는 만큼 네트워크 세그먼트를 확장할 수 있습니다. 네트워크에 연결된 서버의 관점에서 보면, 기본 UDP 패킷이 하나 이상의 라우터를 통과했을지라도 이들은 동일한 2계층 네트워크의 일부로 간주됩니다.
- 마지막으로, 기본 레이어 3 네트워크 위에 레이어 2 세분화를 제공하는 기능과 함께 지원되는 네트워크 세그먼트의 수가 많으면 서버가 서로 멀리 떨어져 있더라도 동일한 VXLAN에 속할 수 있으며, 네트워크 관리자는 레이어 2 네트워크를 작게 유지할 수 있습니다. 더 작은 레이어 2 네트워크를 사용하면 스위치에서 MAC 테이블 오버플로를 방지하는 데 도움이 됩니다.
기본 VXLAN 애플리케이션
서비스 공급자와 클라우드 공급자의 VXLAN 사용 사례는 간단합니다. 이러한 운영자는 많은 수의 테넌트 또는 고객을 보유하고 있으며, 공급자가 한 고객의 네트워크 트래픽을 다른 고객의 네트워크 트래픽과 분리해야 하는 데에는 여러 가지 법적, 개인 정보 보호 및 윤리적 이유가 있습니다.
엔터프라이즈 환경에서 테넌트는 내부 보안상의 이유로 생성된 사용자 그룹, 부서 또는 기타 네트워크 세분화된 사용자나 장치의 집합일 수 있습니다. 예를 들어, 데이터 센터 환경 센서와 같은 IoT(사물 인터넷) 장치는 손상될 가능성이 높으므로 IoT 네트워크 트래픽을 프로덕션 네트워크 애플리케이션 트래픽으로부터 분리하는 것이 안전한 보안 방식입니다.
VXLAN 작동 방식
VXLAN 터널링 프로토콜은 레이어 2 이더넷 프레임을 레이어 4 UDP 패킷으로 캡슐화하여 물리적 레이어 3 네트워크에 걸쳐 있는 가상화된 레이어 2 서브넷을 생성할 수 있도록 합니다. 분할된 각 서브넷은 VNI(VXLAN 네트워크 식별자)로 고유하게 식별됩니다.
패킷의 캡슐화 및 캡슐화 해제를 수행하는 엔터티를 VTEP(VXLAN 터널 엔드포인트)라고 합니다. VTEP는 물리적 라우터나 스위치와 같은 독립적인 네트워크 장치이거나 서버에 배포된 가상 스위치가 될 수도 있습니다. VTEP가 이더넷 프레임을 VXLAN 패킷으로 캡슐화한 다음, 이 패킷은 IP 또는 기타 레이어 3 네트워크를 통해 대상 VTEP로 전송되고 여기서 캡슐화가 해제되어 대상 서버로 전달됩니다.
베어 메탈 서버와 같이 자체적으로 VTEP로 작동할 수 없는 장치를 지원하기 위해 일부 HPE Juniper Networking 스위치 및 라우터와 같은 하드웨어 VTEP가 데이터 패킷을 캡슐화했다가 캡슐화를 해제할 수 있습니다. 또한 VTEP는 가상화된 워크로드를 직접 지원하기 위해 KVM(커널 기반 가상 시스템)과 같은 하이퍼바이저 호스트에 상주할 수 있습니다. 이러한 유형의 VTEP를 소프트웨어 VTEP라고 합니다.
하드웨어 및 소프트웨어 VTEP는 위의 그림과 같습니다.
위 그림에서 VTEP1이 VM1(가상 시스템 1)에서 VM3(가상 시스템 3)으로 전송된 이더넷 프레임을 수신하면 VNI와 대상 MAC을 사용하여 전달 테이블에서 패킷을 보낼 VTEP를 찾습니다. VTEP1은 VNI를 포함하는 VXLAN 헤더를 이더넷 프레임에 추가하고 프레임을 레이어 3 UDP 패킷으로 캡슐화하며 해당 패킷을 레이어 3 네트워크를 통해 VTEP2로 라우팅합니다. VTEP2는 원래 이더넷 프레임의 캡슐화를 해제하고 VM3으로 전달합니다. VM1과 VM3은 VXLAN 터널과 그사이의 레이어 3 네트워크를 전혀 인지하지 못합니다.
HPE VXLAN 솔루션
HPE Juniper Networking MX 시리즈 라우터, QFX 시리즈 스위치, EX 시리즈 스위치, HPE Aruba Networks CX 시리즈 스위치는 EVPN-VXLAN을 지원하고, VTEP 게이트웨이 역할을 하여 VXLAN 패킷을 캡슐화/캡슐화 해제하고 서로 다른 VXLAN 간에 라우팅할 수 있습니다.
VXLAN FAQ
VXLAN의 용도는 무엇입니까?
VXLAN은 기존 VLAN으로 가능한 범위를 넘어 네트워크 세분화하는 경우에 사용됩니다. 기존 VLAN은 4,094개의 가상 네트워크만 제공하는 반면, VXLAN은 최대 1,600만 개의 가상 네트워크를 제공합니다. 네트워크 세분화의 주요 용도는 두 가지입니다. 여러 테넌트가 서로의 트래픽을 보지 않고도 단일 물리적 네트워크를 공유할 수 있도록 하는 것과 IP 주소 공간을 재사용할 수 있도록 하는 것입니다. 또한 차별화된 QoS(서비스 품질) 정책과 SLA(서비스 수준 계약)를 적용하여 네트워크 세그먼트를 구성하는 것도 가능합니다.
VXLAN은 주로 대규모 데이터 센터, 서비스 공급자 네트워크, 클라우드 운영자 네트워크에서 사용되는데, 이는 기존 VLAN의 4,094개 가상 네트워크 제한이 너무 제약적이기 때문입니다. 그런데 VXLAN이 점점 더 다양하고 저렴한 스위치 프로세서에서 지원됨에 따라 데이터 센터에서 벗어나 캠퍼스 네트워크로 확장되기 시작했습니다.
VXLAN 표준은 2014년 IETF에서 만들어졌으며 RFC 7348에 명시되어 있습니다.
VXLAN은 레이어 3 표준입니까?
VXLAN은 IP(레이어 3) 전송 네트워크에 의존하기 때문에 레이어 3 프로토콜로 간주되기도 합니다. 레이어 4 표준으로 간주되는 경우도 있는데, 이는 이더넷 프레임을 UDP로 캡슐화하여 운영상 레이어 4 UDP에 영향을 미치기 때문입니다.
VXLAN이 VLAN을 대체합니까?
VXLAN은 VLAN을 완전히 대체하지 않습니다. 대규모 서비스 공급자의 데이터 센터와 같은 일부 환경에서는 두 표준을 모두 사용할 수 있습니다. VXLAN은 서비스 공급자의 글로벌 네트워크를 분할하여 각 고객을 자체 VXLAN에 격리하는 동시에 각 고객이 VXLAN 내에서 프라이빗 VLAN을 생성하도록 지원하는 용도로 사용할 수 있습니다.
VXLAN, VLAN, QinQ 기술의 기본적인 차이점은 무엇입니까?
VLAN, QinQ, VXLAN은 모두 물리적 네트워크를 논리적으로 여러 개의 가상 네트워크로 분할하는 데 사용되는 표준입니다. 각 표준은 이전 표준보다 더 높은 확장성을 제공합니다. 일반적으로 네트워크는 보안상의 이유와 SLA의 일부인 차별화된 QoS 요건을 지원하기 위해 분할됩니다.
VLAN은 1998년에 처음 표준화되었으며, VLAN을 기반으로 구축된 QinQ는 생성 가능한 논리적 네트워크의 수를 확장했습니다. QinQ를 사용하면 엔터프라이즈/비즈니스 VLAN을 퍼블릭 WAN 서비스 전반에서 지원할 수도 있습니다. VXLAN은 세 가지 기술 중에서 가장 큰 확장성과 유연성을 제공합니다.
기술적인 측면에서 이러한 기술 간 차이는 통신 네트워크를 통해 전송하기 전에 이더넷 프레임을 태그하고 캡슐화하는 방식에 있습니다.
VXLAN, VLAN, QinQ는 일반적으로 함께 사용됩니까?
이론적으로는 기존 VLAN, QinQ VLAN, VXLAN을 모두 동시에 사용할 수 있습니다. 이는 네트워크 식별자가 데이터 패킷 내에 존재하는 위치와 관련이 있기 때문입니다. VXLAN은 캡슐화된 UDP 패킷의 형식을 변경하거나 확장하지 않으며, 해당 UDP 패킷이 전송되는 외부 이더넷 프레임을 변경하거나 확장하지도 않습니다. 이는 VXLAN 패킷이 UDP 패킷의 페이로드(헤더가 아님)에 포함되어 있기 때문입니다. 여기에는 VXLAN 헤더와 함께 최종적으로 전송될 원래 이더넷 프레임 전체가 포함됩니다. 따라서 VXLAN-in-UDP 패킷의 외부 이더넷 프레임에는 VLAN 및 QinQ 식별자가 함께 포함될 수도 있습니다.
다시 말해, VXLAN 패킷에는 가상 네트워크를 정의할 수 있는 세 곳이 있습니다. 바로 외부 이더넷 프레임, VXLAN 헤더, 내부 이더넷 프레임입니다. 이러한 가상 네트워크 세트는 서로 완전히 독립적일 수 있습니다. 이에 따라 한 패킷에서 외부 이더넷 프레임이 1,600만 개의 가상 네트워크를 지원하고 VLXAN 헤더가 추가로 1,600만 개의 가상 네트워크를 지원하며 내부 이더넷 프레임이 또 다른 1,600만 개의 가상 네트워크를 지원할 수 있습니다.
그러나 엔터프라이즈 네트워킹 실무에서는 네트워크가 VLAN 또는 VXLAN 기반인 경우가 많습니다. 기술이 결합되는 경우는 주로 네트워크 서비스 공급자 및 클라우드 서비스 공급자가 기업 고객에게 자체 VXLAN 내에서 VLAN을 사용할 수 있는 기능을 제공할 때입니다. 이 시나리오에서는 내부 이더넷 프레임의 VLAN과 VXLAN 헤더의 가상 네트워크 기능을 사용하지만, 외부 이더넷 프레임의 VLAN은 사용하지 않습니다.
VXLAN이 VLAN보다 더 나은가요?
VXLAN과 VLAN은 표면적으로 유사하지만 서로 다른 방식으로 동일한 문제를 해결합니다. 즉 서로 다른 상황에서 사용되며 상호 배타적이지 않습니다.
오늘날 판매되는 거의 모든 스위치는 최소한 기본 VLAN을 지원하며, 많은 소비자용 스위치를 포함한 대부분의 스위치는 QinQ를 지원합니다. EVPN-VXLAN 지원은 일반적으로 성능이 더 뛰어난 엔터프라이즈급 스위치나 캐리어급 스위치로 제한됩니다.
VXLAN은 더 효율적인 기술로 간주됩니다. 그 이유는 VXLAN 기반 네트워크에서 VTEP를 포함하는 스위치만이 추가적인 LUT(조회 테이블) 부담을 지고, 전체 네트워크가 아닌 VTEP가 있는 가상 네트워크에 대해서만 이러한 처리를 수행하면 됩니다. 이는 QinQ와 같은 VLAN 기반 네트워크와 대조적입니다. QinQ도 VXLAN과 동일하게 1,600만 개의 잠재적 가상 네트워크를 지원하지만 모든 스위치가 추가 부담을 감당해야 한다는 점에서 차이가 있습니다.
VXLAN과 EVPN의 차이점은 무엇인가요?
모든 유형의 가상 LAN은 물리적 네트워크를 여러 개의 프라이빗 가상 네트워크로 세분화하는 수단입니다. EPVN(이더넷 VPN)과 VXLAN은 종종 함께 사용되지만 기술적으로는 서로 독립적이며 목적도 다릅니다.
VXLAN은 레이어 2 주소 공간을 약 4,000개에서 약 1,600만 개로 확장하여 이더넷 네트워크를 더 광범위한 IP 네트워크로 확장하고, 여러 테넌트가 서로의 트래픽을 보지 않고도 리소스를 공유할 수 있도록 물리적 네트워크를 세분화합니다. EVPN을 사용하면 다양한 장비와 네트워크 도메인의 스위치 포트와 기타 리소스를 포함하는 가상 네트워크를 만들 수 있습니다. EVPN은 기본적으로 동일한 물리적 네트워크에 연결되지 않고 지리적으로 멀리 떨어져 있는 컴퓨터가 마치 동일한 물리적 스위치에 연결된 것처럼 작동하게 하는 방식입니다. 해당 EVPN에 속한 모든 노드는 마치 기존의 레이어 2 로컬 네트워크에 연결된 것처럼 데이터 브로드캐스트를 수신합니다.