Tiempo de lectura: 7 minutos y 51 segundos | Publicado: 1 de octubre de 2025
VXLAN ¿Qué es VXLAN?
Las redes de área local extensibles virtuales, o VXLAN (Virtual Extensible Local-Area Network), son un estándar de tecnología de virtualización de redes del Grupo de trabajo de ingeniería de Internet (IETF). Permiten que una única red física sea compartida por varias organizaciones diferentes, o "inquilinos", sin que ninguno de estos pueda ver el tráfico de red de los demás.
Las VXLAN son análogas a las unidades individuales de un edificio de apartamentos, donde cada una es una vivienda privada separada dentro de una estructura común, al igual que cada VXLAN es un segmento de red privado independiente, dentro de una red física compartida.
Explicación de la VXLAN
Una VXLAN permite segmentar una red física en hasta 16 millones de redes virtuales o lógicas. Encapsula tramas Ethernet de capa 2 en un paquete de Protocolo de datagramas de usuario (UDP) de capa 4, junto con un encabezado VXLAN. Cuando se combina con una VPN Ethernet (EVPN), que transporta tráfico Ethernet en redes virtualizadas mediante protocolos WAN, VXLAN permite que las redes de capa 2 se extiendan a través de una red IP o MPLS de capa 3.
Ventajas clave de VXLAN
Debido a que las VXLAN están encapsuladas dentro de un paquete UDP, pueden ejecutarse en cualquier red capaz de transmitir paquetes UDP. La disposición física y distancia geográfica entre los nodos de la red subyacente no importan, siempre que los datagramas UDP se envíen desde el punto final del túnel VXLAN (VTEP) de encapsulación al VTEP de desencapsulación.
Cuando VXLAN se combina con EVPN, los operadores pueden crear redes virtuales a partir de puertos de red físicos en cualquier conmutador de red físico que admita el estándar y que sea parte de la misma red de capa 3. Por ejemplo, podrías tomar un puerto del conmutador A, dos puertos del conmutador B y otro puerto del conmutador C y construir una red virtual que aparezca para todos los dispositivos conectados como una única red física. Los dispositivos que participan en esta red virtual no pueden ver el tráfico en ninguna otra VXLAN ni en la estructura de red subyacente.
Problemas que resuelve VXLAN
Así como la rápida adopción de la virtualización de servidores ha impulsado aumentos espectaculares en la agilidad y la flexibilidad, las redes virtuales desacopladas de la infraestructura física son más fáciles, más rápidas y más asequibles de operar. Por ejemplo, permiten que varios inquilinos compartan una única red física de forma segura, lo que facilita a los operadores de red escalar rápida y económicamente sus infraestructuras para cubrir la creciente demanda. Las razones principales para segmentar las redes son la privacidad y la seguridad; para evitar que un inquilino vea o acceda al tráfico que pertenece a otro.
Los operadores segmentan sus redes de forma lógica, tal y como han implementado durante mucho tiempo las redes LAN virtuales (VLAN) tradicionales. Mientras las VLAN presentan limitaciones de escalabilidad, las VXLAN tienen formas de superarlas.
- En primer lugar, teóricamente se pueden crear hasta 16 millones de VXLAN en un dominio administrativo, frente al máximo de 4094 VLAN tradicionales. Esto proporciona una segmentación de red a la escala requerida por los proveedores de servicios y de la nube para admitir una gran cantidad de inquilinos.
- En segundo lugar, las VXLAN habilitan segmentos de red que se extienden entre centros de datos. La segmentación de red tradicional basada en VLAN crea dominios de difusión, pero tan pronto como un paquete que contiene etiquetas VLAN llega a un enrutador, se elimina toda esa información de VLAN. Esto significa que las VLAN solo viajan hasta donde puede alcanzar tu red de capa 2 subyacente. Constituye un problema para casos de uso como la migración de máquinas virtuales (VM), que prefieren no cruzar los límites de la capa 3.
- Por el contrario, la segmentación de red VXLAN encapsula el paquete original dentro de un paquete UDP. Siempre que todos los conmutadores y enrutadores en la ruta admitan VXLAN, los segmentos de red pueden extenderse hasta donde la red enrutada de capa 3 física pueda alcanzar sin que las aplicaciones que se ejecutan en la red superpuesta virtual tengan que cruzar ningún límite de capa 3. En lo que respecta a los servidores conectados a la red, son parte de la misma red de capa 2, aunque los paquetes UDP subyacentes pueden haber transitado por uno o más enrutadores.
- Por último, la capacidad de proporcionar segmentación de capa 2 sobre una red de capa 3 subyacente, combinada con la gran cantidad de segmentos de red admitidos, permite que los servidores sean parte de la misma VXLAN, incluso si están alejados unos de otros, al tiempo que permite a los administradores de red mantener las redes de capa 2 con un tamaño reducido. Contar con redes de capa 2 más pequeñas ayuda a evitar el desbordamiento de la tabla MAC en los conmutadores.
Aplicaciones VXLAN primarias
Los casos de uso de VXLAN de proveedores de servicios y proveedores de nube son sencillos: estos operadores tienen un gran número de inquilinos o clientes, y existen numerosas razones legales, de privacidad y éticas por las que los proveedores deben separar el tráfico de red de un cliente del de los demás.
En entornos empresariales, un inquilino puede ser un grupo de usuarios, un departamento u otro conjunto de usuarios o dispositivos segmentados en red, creados por razones de seguridad interna. Por ejemplo, los dispositivos de Internet de las cosas (IoT), como los sensores ambientales de los centros de datos, son propensos a verse comprometidos, por lo que es una buena práctica de seguridad aislar el tráfico de la red de IoT del tráfico de las aplicaciones de la red de producción.
Cómo funciona VXLAN
El protocolo de tunelización VXLAN encapsula tramas Ethernet de capa 2 en paquetes UDP de capa 4, lo que le permite crear subredes de capa 2 virtualizadas que abarcan redes físicas de capa 3. Cada subred segmentada está identificada de forma única por un identificador de red VXLAN (VNI).
La entidad que realiza la encapsulación y desencapsulación de paquetes se denomina Punto final del túnel VXLAN (VTEP). Un VTEP puede ser un dispositivo de red independiente, como un enrutador o conmutador físico, o un conmutador virtual implementado en un servidor. Los VTEP encapsulan tramas Ethernet en paquetes VXLAN, que se envían a continuación al VTEP de destino a través de IP o de alguna otra red de capa 3, donde se desencapsulan y se reenvían al servidor de destino.
Para dar soporte a dispositivos que no pueden operar como VTEP por sí solos, como los servidores físicos, los VTEP de hardware, como determinados conmutadores y enrutadores HPE Juniper Networking, pueden encapsular y desencapsular paquetes de datos. Además, los VTEP pueden residir en hosts de hipervisor, como máquinas virtuales basadas en kernel (KVM), para admitir directamente cargas de trabajo virtualizadas. Este tipo de VTEP se conoce como VTEP de software.
Arriba se muestran los VTEP de hardware y software.
En la figura anterior, cuando VTEP1 recibe una trama Ethernet de la máquina virtual 1 (VM1) dirigida a la máquina virtual 3 (VM3), utiliza el VNI y la MAC de destino para buscar en su tabla de reenvío a qué VTEP debe enviar el paquete. VTEP1 añade un encabezado VXLAN que contiene el VNI a la trama Ethernet, encapsula la trama en un paquete UDP de capa 3 y enruta el paquete a VTEP2 a través de la red de capa 3. VTEP2 desencapsula la trama Ethernet original y la reenvía a VM3. VM1 y VM3 desconocen por completo el túnel VXLAN y la red de capa 3 entre ellos.
Soluciones HPE VXLAN
Los enrutadores de la serie MX de HPE Juniper Networking, los conmutadores de la serie QFX y los conmutadores de la serie EX, así como los conmutadores de la serie CX de HPE Aruba Networks, admiten EVPN-VXLAN y pueden actuar como puertas de enlace VTEP, encapsulando/desencapsulando paquetes VXLAN y enrutando entre diferentes VXLAN.
Preguntas frecuentes sobre VXLAN
¿Para qué se utiliza VXLAN?
Las VXLAN se utilizan para lograr una segmentación de red más allá de lo que pueden ofrecer las VLAN clásicas. Las VLAN clásicas ofrecen solo 4094 redes virtuales, mientras que las VXLAN ofrecen hasta 16 millones. La segmentación de red tiene dos usos principales: permitir que varios inquilinos compartan una única red física sin ver el tráfico de los demás y permitir la reutilización del espacio de direcciones IP. También es posible configurar segmentos de red con políticas de calidad de servicio (QoS) diferenciadas y acuerdos de nivel de servicio (SLA).
Las VXLAN se utilizan principalmente en grandes centros de datos, redes de proveedores de servicios y redes de operadores de nube, donde los límites de 4094 redes virtuales de las VLAN clásicas son demasiado restrictivos. Dicho esto, a medida que aumenta la compatibilidad de VXLAN con más procesadores de conmutación y menos costosos, está empezando a salir del centro de datos y a entrar en las redes de campus.
El estándar VXLAN fue creado en 2014 por el IETF y está especificado en RFC 7348.
¿Es VXLAN un estándar de capa 3?
En ocasiones, se considera que VXLAN es un protocolo de capa 3, porque se basa en una red de transporte IP (capa 3). A veces también se considera un estándar de capa 4, porque encapsula los marcos Ethernet en UDP, lo que afecta al UDP de capa 4 mediante su funcionamiento.
¿VXLAN reemplaza a VLAN?
Las VXLAN no reemplazan por completo a las VLAN; en algunas circunstancias, como en los centros de datos de grandes proveedores de servicios, se pueden utilizar ambos estándares. Las VXLAN se pueden utilizar para segmentar la red global del proveedor de servicios, aislando a cada cliente en su propia VXLAN y permitiendo al mismo tiempo que cada cliente cree VLAN privadas dentro de su VXLAN.
¿Cuál es la diferencia básica entre las tecnologías VXLAN, VLAN y QinQ?
VLAN, QinQ y VXLAN son estándares utilizados para segmentar lógicamente redes físicas en varias redes virtuales. Cada estándar proporciona, respectivamente, mayor escalabilidad que el anterior. Generalmente, las redes se segmentan por razones de seguridad y para admitir requisitos de QoS diferenciados, que suelen ser parte de los acuerdos de nivel de servicio.
Las VLAN fueron las primeras en estandarizarse en 1998; QinQ se basó en las VLAN para ampliar la cantidad de redes lógicas que se pueden crear. QinQ también permite que las VLAN empresariales/comerciales sean compatibles con servicios WAN públicos. VXLAN ofrece la mayor capacidad de extensión y flexibilidad de las tres tecnologías.
Técnicamente, las diferencias entre estas tecnologías radican en cómo etiquetan y encapsulan las tramas Ethernet antes de su transmisión a través de las redes de comunicaciones.
¿Se suelen utilizar juntos VXLAN, VLAN y QinQ?
Hipotéticamente, puedes utilizar VLAN tradicionales, VLAN QinQ y VXLAN, todas al mismo tiempo. Esto se debe a la ubicación de los identificadores de red dentro del paquete de datos. Las VXLAN no cambian ni amplían el formato del paquete UDP en el que están encapsuladas, ni tampoco cambian ni amplían la trama Ethernet externa en la que se transporta ese paquete UDP. Esto se debe a que los paquetes VXLAN están contenidos dentro de la carga útil de un paquete UDP (no en el encabezado). Incluyen un encabezado VXLAN y la trama Ethernet original completa que finalmente se iba a transmitir. Los paquetes VXLAN en UDP pueden entonces tener tramas Ethernet externas que también contienen identificadores VLAN y QinQ.
En otras palabras, en un paquete VXLAN, hay tres lugares donde se pueden definir redes virtuales: la trama Ethernet externa, el encabezado VXLAN y la trama Ethernet interna, y cada uno de estos conjuntos de redes virtuales puede ser completamente de los otros. Esto puede generar un paquete en el que la trama Ethernet externa puede soportar 16 millones de redes virtuales, el encabezado VLXAN puede soportar 16 millones de redes virtuales adicionales y luego la trama Ethernet interna puede soportar otros 16 millones de redes virtuales.
Sin embargo, en la práctica de redes empresariales, las redes tienden a estar basadas en VLAN o VXLAN. Cuando se combinan tecnologías, generalmente son los proveedores de servicios de red y de nube los que ofrecen a los clientes empresariales la posibilidad de utilizar VLAN dentro de su propia VXLAN. Este escenario hace uso de VLAN en la trama Ethernet interna, así como de las capacidades de red virtual del encabezado VXLAN, pero no hace uso de VLAN en la trama Ethernet externa.
¿Es VXLAN mejor que VLAN?
Las VXLAN y las VLAN, aunque superficialmente similares, resuelven el mismo problema de diferentes maneras. Esto significa que se utilizan en diferentes circunstancias y que no son mutuamente excluyentes.
Hoy en día, casi todos los conmutadores que se venden son compatibles al menos con las VLAN básicas, y la mayoría, incluidos muchos conmutadores de consumo, admiten QinQ. La compatibilidad con EVPN-VXLAN generalmente está limitada a conmutadores empresariales o de nivel de operador más capaces.
Las VXLAN se consideran la tecnología más eficiente. El motivo es que solo los conmutadores que contienen VTEP llevan una carga de tabla de búsqueda (LUT) adicional en una red basada en VXLAN, y solo necesitan hacerlo para las redes virtuales para las que tienen VTEP, no para toda la red. Esto contrasta con las redes basadas en VLAN, como QinQ, que admite los mismos 16 millones de redes virtuales potenciales que VXLAN, pero requiere que todos los conmutadores asuman la carga adicional.
¿Cuál es la diferencia entre VXLAN y EVPN?
Todos los tipos de LAN virtuales son un medio para segmentar redes físicas en varias redes virtuales privadas. Ethernet VPN (EPVN) y VXLAN se utilizan frecuentemente juntas, pero técnicamente son independientes y tienen diferentes objetivos.
Las VXLAN amplían el espacio de direcciones de capa 2 de alrededor de 4000 a aproximadamente 16 millones para extender las redes Ethernet a través de redes IP más amplias, dividiendo la red física para que varios inquilinos puedan compartir sus recursos sin ver el tráfico de los demás. EVPN permite la creación de redes virtuales que comprenden puertos de conmutación y otros recursos de diferentes equipos y dominios de red. EVPN es básicamente una forma de permitir que los equipos que no están conectados a la misma red física y que pueden estar geográficamente alejados unos de otros se comporten como si estuvieran conectados al mismo conmutador físico, y todos los nodos que forman parte de ese EVPN reciben transmisiones de datos como si estuvieran conectados a una red local tradicional de capa 2.