가상 로컬 영역 네트워크(VLAN)는 격리 및 관리를 위해 물리적 네트워크를 여러 논리적 서브넷으로 분할하는 전통적인 네트워크 가상화 방법입니다. 그러나 VLAN은 여러 영역에서 주목할 만한 제한이 있습니다.
- 확장성 제약: VLAN은 12비트 식별자(VLAN ID)를 사용하여 최대 4,096개의 VLAN을 지원합니다. 이러한 제한은 대규모 데이터 센터와 멀티 테넌트 환경에서 분명해지며 증가하는 네트워크 수요를 충족하지 못합니다.
- 물리적 네트워크 간 연결의 복잡성: VLAN은 주로 단일 브로드캐스트 도메인을 위해 설계되었습니다. 물리적 네트워크 간 연결에는 복잡한 구성과 VLAN Trunking Protocol(VTP) 또는 Multiple Spanning Tree Protocol(MSTP)과 같은 추가 프로토콜 지원이 필요합니다.
- 네트워크 격리 및 보안: 멀티 테넌트 환경에서 VLAN 격리는 VLAN ID를 관리하고 구성하는 데 의존합니다. 잘못된 구성은 다른 테넌트 간에 트래픽 누출이나 보안 취약성으로 이어질 수 있습니다.
- 유연성 부족: VLAN의 정적 구성은 동적 네트워크 조정과 변화하는 비즈니스 요구 사항 및 네트워크 토폴로지에 대한 신속한 대응을 제한합니다.
확장성, 유연성 및 물리적 네트워크 간 연결 측면에서 기존 VLAN의 한계를 해결하기 위해 VXLAN(Virtual Extensible LAN)이 개발되었습니다.
VXLAN은 기존 2계층 네트워크 인프라에 가상의 3계층 네트워크를 구축하여 대규모, 유연하고 효율적인 네트워크 아키텍처를 구현하도록 설계된 네트워크 가상화 기술입니다.
VXLAN 기본 사항
VXLAN 또는 Virtual Extensible LAN은 대규모 데이터 센터와 멀티 테넌트 환경에서 기존 VLAN의 확장성 및 유연성 제한을 해결합니다. VXLAN은 기존 Layer 2 인프라 위에 가상 Layer 3 네트워크를 생성하여 물리적 네트워크 경계를 넘나드는 가상 머신(VM) 연결을 가능하게 합니다.
VXLAN의 핵심 개념은 원래 2계층 네트워크에서 전송된 이더넷 프레임을 3계층 UDP(User Datagram Protocol) 패킷 내에 캡슐화하는 것을 포함합니다. 이를 통해 VM은 서로 다른 물리적 서버, 스위치, 심지어 데이터 센터에서도 통신할 수 있습니다. 이 캡슐화 메커니즘은 네트워크 확장성을 향상시킬 뿐만 아니라 멀티 테넌트 환경에서 네트워크 격리 및 보안도 개선합니다.
VXLAN 작동 원리
VXLAN(Virtual Extensible LAN)의 핵심 메커니즘은 캡슐화 및 캡슐화 해제 기술을 포함하며, 전송을 위해 레이어 2 UDP 패킷 내에 레이어 3 이더넷 프레임을 캡슐화합니다. 자세한 프로세스는 다음과 같습니다.
캡슐화 :
- 출처: 가상 머신(VM1)이 이더넷 프레임을 보내면 프레임은 먼저 VXLAN 터널 엔드포인트(VTEP)로 전송됩니다.
- VTEP 처리: VTEP는 원래 레이어 2 이더넷 프레임을 VXLAN 헤더에 캡슐화합니다. VXLAN 헤더에는 다양한 VXLAN 네트워크를 식별하기 위한 24비트 VXLAN 네트워크 식별자(VNI)가 포함됩니다.
- UDP 캡슐화: VXLAN 헤더는 일반적으로 포트 4789(VXLAN의 기본 포트)를 사용하여 UDP 패킷에 캡슐화됩니다.
- 3층 전송: 캡슐화된 UDP 패킷은 기존의 3계층 네트워크 인프라(예: IP 네트워크)를 통해 전송됩니다.
탈캡슐화:
- 목적지: 목적지 VTEP에 도착하면 VTEP는 UDP 패킷의 캡슐화를 해제하여 원래의 2계층 이더넷 프레임을 추출합니다.
- 대상 VM으로 전송: 캡슐화가 해제된 이더넷 프레임은 대상 가상 머신(VM2)으로 전송되어 물리적 네트워크 간 통신이 가능해집니다.
VXLAN 헤더 구조
- 플래그: 일반적으로 0x08로 설정되어 VXLAN 캡슐화를 나타냅니다.
- VNI: 다양한 VXLAN 네트워크를 식별하여 다중 테넌트 환경에서 네트워크를 격리할 수 있습니다.
VXLAN 터널 엔드포인트(VTEP)
VTEP는 VXLAN 아키텍처에서 VXLAN 캡슐화 및 캡슐화 해제 작업을 담당하는 중요한 구성 요소입니다. VTEP는 물리적 스위치, 가상 스위치 또는 전용 네트워크 장치에 배포할 수 있습니다. 각 VTEP에는 물리적 네트워크와 통신하는 데 필요한 하나 이상의 레이어 3 인터페이스(예: 루프백 인터페이스)가 있으며, 레이어 2 네트워크 트래픽을 처리하기 위해 가상 스위치 또는 가상 머신에 연결됩니다.
VTEP의 주요 기능은 다음과 같습니다.
- 캡슐화 및 캡슐화 해제: 2계층 전송을 위해 3계층 이더넷 프레임을 VXLAN 헤더에 캡슐화하고 수신단에서 캡슐화를 해제하여 원래 이더넷 프레임을 복원합니다.
- 네트워크 식별자 관리: VNI를 기반으로 다양한 VXLAN 네트워크를 식별하고 격리합니다.
- 라우팅 및 포워딩: 3계층 VXLAN(L3 VXLAN)에서 VTEP는 라우팅 프로토콜을 기반으로 서브넷이나 데이터 센터 간 통신도 처리합니다.
VXLAN 제어 평면
VXLAN 제어 평면은 VTEP(VXLAN Tunnel Endpoints) 간에 네트워크 정보를 관리하고 배포하여 가상 네트워크의 연결성과 일관성을 보장하는 역할을 합니다. 일반적인 VXLAN 제어 평면 프로토콜은 다음과 같습니다.
IGMP(인터넷 그룹 관리 프로토콜) 기반 멀티캐스트 모드:
- VXLAN 트래픽을 분산하기 위해 IP 멀티캐스트를 사용하며, 간단한 네트워크 환경에 적합합니다.
- 비교적 간단한 구성이지만 대규모 배포 시 멀티캐스트 그룹 관리에 복잡성이 발생할 수 있습니다.
EVPN(이더넷 VPN):
- EVPN은 BGP(Border Gateway Protocol) 기반의 제어 평면 프로토콜로, 보다 효율적이고 유연한 VXLAN 트래픽 관리를 제공합니다.
- 멀티 테넌트 환경에서 MAC 주소 학습 및 경로 선택을 지원하므로 대규모 및 복잡한 네트워크 아키텍처에 적합합니다.
VXLAN의 핵심 장점
높은 확장 성: VXLAN은 24비트 네트워크 식별자(VXLAN 네트워크 식별자, VNI)를 사용하여 최대 16,777,216개의 VXLAN 네트워크를 지원하여 대규모 데이터 센터와 멀티 테넌트 환경의 요구 사항을 충족할 수 있는 확장성을 크게 향상시킵니다.
물리적 네트워크 전반에 걸친 유연한 연결성: VXLAN은 기존 3계층 네트워크 인프라를 통해 트래픽을 캡슐화함으로써 서로 다른 물리적 서버, 스위치 또는 데이터 센터에서 가상 머신의 원활한 연결을 제공합니다.
강화된 네트워크 격리 및 보안: VXLAN은 VNI 기반의 보다 세분화된 격리 메커니즘을 제공하여 서로 다른 테넌트 또는 사업부 간의 트래픽 간섭과 보안 위험을 줄여줍니다.
다중 테넌트 환경 지원: VXLAN은 다중 테넌트 환경을 염두에 두고 설계되었으며, 유연한 네트워크 분할 및 격리 메커니즘을 제공하여 다양한 테넌트에 독립적이고 안전한 가상 네트워크를 제공합니다.
기존 네트워크 아키텍처와의 호환성: VXLAN은 광범위한 물리적 네트워크 수정 없이 기존 3계층 네트워크 인프라에서 작동하므로 배포 비용과 복잡성이 줄어듭니다.
VXLAN 기술은 주로 Layer 2 VXLAN(L2 VXLAN)과 Layer 3 VXLAN(L3 VXLAN)으로 나뉩니다. 이 두 가지 유형의 VXLAN은 기능, 아키텍처 및 애플리케이션 시나리오에서 상당히 다르며 각각 다른 네트워크 요구 사항과 환경에 적합합니다.
2계층 VXLAN(L2 VXLAN)
레이어 2 가상 확장 가능 LAN(L2 VXLAN)은 기존 레이어 2 인프라에 가상 레이어 3 네트워크를 생성하도록 설계된 네트워크 가상화 기술로, 가상 머신(VM) 간의 레이어 2 통신을 가능하게 합니다. L2 VXLAN은 여러 가상 네트워크(브로드캐스트 도메인)가 동일한 물리적 네트워크 인프라에 공존할 수 있도록 하여 기존 LAN(Local Area Network)과 유사한 기능을 제공하지만 확장성과 유연성이 더 높습니다.
L2 VXLAN의 핵심 기능
- 가상 네트워크 격리: VXLAN 네트워크 식별자(VNI)를 사용하여 서로 다른 가상 네트워크를 격리함으로써 서로 다른 테넌트나 사업부 간에 트래픽이 누출되지 않도록 보장합니다.
- 물리적 네트워크에서의 2계층 연결: 기존 VLAN에 의존하지 않고도 VM이 여러 물리적 서버와 스위치에서 2계층에서 통신할 수 있도록 합니다.
- 다중 테넌트 환경 지원: 각 테넌트가 독립적인 가상 네트워크를 갖도록 하여 테넌트 간의 트래픽 격리 및 보안을 보장합니다.
- 높은 확장성: 24비트 VNI를 사용하여 최대 16,777,216개의 가상 네트워크를 지원하여 기존 VLAN에 비해 확장성이 크게 향상되었습니다.
- 간소화된 네트워크 관리: 중앙 집중식 제어 평면(예: EVPN)은 대규모 가상 네트워크의 관리와 구성을 간소화합니다.
L2 VXLAN의 아키텍처 설계
L2 VXLAN의 아키텍처에는 다음과 같은 몇 가지 주요 구성 요소가 포함됩니다.
- VXLAN 터널 엔드포인트(VTEP): VXLAN 캡슐화 및 캡슐화 해제를 담당하고 가상 네트워크를 물리적 네트워크에 연결합니다. VTEP는 물리적 스위치, 가상 스위치 또는 전용 네트워크 장치에 배포할 수 있습니다.
- 물리 계층 3 네트워크: 캡슐화된 VXLAN 패킷을 운반하고 전송을 위해 기존 IP 네트워크 인프라를 활용합니다.
- VXLAN 네트워크 식별자(VNI): 네트워크 격리를 달성하기 위해 다양한 가상 네트워크를 구별합니다.
- 제어 평면 프로토콜(EVPN 등): VTEP 간의 네트워크 정보를 관리하고 배포하여 가상 네트워크의 연결성과 일관성을 보장합니다.
일반적인 L2 VXLAN 아키텍처에서 VTEP1과 VTEP2는 물리적인 3계층 네트워크를 통해 연결되어 VM1과 VM2가 동일한 VLAN(VLAN 2) 및 VNI(10) 내의 5000계층에서 통신할 수 있습니다.
2계층 VXLAN에 대한 구성 예
아래는 Cisco Nexus 스위치 기반 L2 VXLAN에 대한 구성 예시로, VNI를 생성하고, VTEP 인터페이스를 구성하고, VLAN을 VNI에 매핑하고, VLAN에 물리적 인터페이스를 추가하는 방법을 보여줍니다. 각각 VTEP(VTEP1 및 VTEP2)가 있는 두 개의 데이터 센터가 있고, 이러한 데이터 센터 간에 L2 VXLAN을 생성하여 다른 데이터 센터의 VM(VM1 및 VM2)이 동일한 가상 네트워크(VNI 5000) 내에서 통신할 수 있도록 한다고 가정합니다.
구성 단계
- VNI(VXLAN 네트워크 식별자) 구성
먼저, 각 VTEP에서 VNI를 구성하여 다양한 VXLAN 네트워크를 식별합니다.
nve1
회원 vni 5000
인그레스-레플리케이션 프로토콜 bgp
- VTEP 인터페이스 구성
소스 인터페이스(일반적으로 루프백 인터페이스)와 VNI와의 연결을 포함하여 VTEP 인터페이스를 구성합니다.
인터페이스 nve1
셧다운 없음
소스 인터페이스 루프백0
회원 vni 5000
인그레스-레플리케이션 프로토콜 bgp
- VLAN을 VNI에 매핑
트래픽의 올바른 캡슐화 및 캡슐화 해제를 보장하기 위해 물리적 VLAN을 해당 VNI에 매핑합니다.
VLAN 10
이름 VM-Network
vn-세그먼트 5000
- VLAN에 물리적 인터페이스 추가
트렁크 모드에서 물리적 인터페이스를 구성하고 해당 VLAN이 통과할 수 있도록 허용합니다.
인터페이스 이더넷1/1
설명 몸통에서 척추까지
스위치 포트 모드 트렁크
switchport trunk 허용 vlan 10
- BGP 라우팅 프로토콜 구성
VTEP 간 트래픽 복제를 위해 Ingress Replication을 지원하도록 BGP를 구성합니다.
라우터 bgp 65000
주소 패밀리 l2vpn evpn
이웃 10.0.0.2 원격-65000
이웃 10.0.0.2 활성화
- 루프백 인터페이스 구성
VTEP에 대한 소스 인터페이스로 루프백 인터페이스를 구성하고 안정적인 3계층 IP 주소가 있는지 확인합니다.
인터페이스 Loopback0
IP 주소 192.168.0.1/32
전체 구성 예제
위의 단계를 통합한 전체 구성 예는 다음과 같습니다.
! 루프백 인터페이스 구성
인터페이스 Loopback0
IP 주소 192.168.0.1/32
! NVE 인터페이스 구성
인터페이스 nve1
셧다운 없음
소스 인터페이스 루프백0
회원 vni 5000
인그레스-레플리케이션 프로토콜 bgp
! VLAN을 VNI에 매핑
VLAN 10
이름 VM-Network
vn-세그먼트 5000
! 물리적 인터페이스 구성
인터페이스 이더넷1/1
설명 몸통에서 척추까지
스위치 포트 모드 트렁크
switchport trunk 허용 vlan 10
! BGP 라우팅 프로토콜 구성
라우터 bgp 65000
주소 패밀리 l2vpn evpn
이웃 10.0.0.2 원격-65000
이웃 10.0.0.2 활성화
장점과 단점
장점
- 높은 확장성: L2 VXLAN은 16,777,216비트 VNI를 사용하여 최대 24개의 가상 네트워크를 지원하여 4,096개의 VLAN 제한을 훌쩍 뛰어넘어 대규모 데이터 센터와 멀티 테넌트 환경에 적합합니다.
- 유연한 네트워크 격리: VNI를 사용하여 세분화된 네트워크 격리를 실현함으로써 서로 다른 가상 네트워크 간에 트래픽 간섭이 발생하지 않도록 하여 보안을 강화합니다.
- 물리적 네트워크에서의 2계층 연결: 기존 VLAN 프로토콜에 의존하지 않고도 VM이 여러 물리적 서버와 스위치에서 2계층에서 통신할 수 있도록 하여 구성을 간소화합니다.
- 다중 테넌트 환경 지원: 각 테넌트는 독립적인 가상 네트워크를 가질 수 있어 트래픽 격리 및 보안이 보장되며, 클라우드 서비스 공급업체와 대기업에 적합합니다.
- 간소화된 네트워크 관리: 중앙 집중식 제어 평면(예: EVPN)은 대규모 가상 네트워크의 관리와 구성을 간소화하여 인적 오류의 위험을 줄여줍니다.
단점
- 구성 복잡성 증가: 기존 VLAN에 비해 L2 VXLAN 구성에는 VNI 할당, VTEP 구성, 제어 평면 프로토콜(예: EVPN) 배포가 포함되어 관리 및 유지 보수가 더 복잡합니다.
- 제어 평면 프로토콜에 대한 종속성: L2 VXLAN은 일반적으로 EVPN과 같은 제어 평면 프로토콜을 사용하여 VTEP 간 네트워크 정보를 관리하므로 네트워크 아키텍처가 복잡해집니다.
- 브로드캐스트 스톰 위험: L2 VXLAN은 레이어 2 브로드캐스트 트래픽을 지원하므로, 비효율적인 제어 메커니즘으로 인해 브로드캐스트 스톰이 발생하여 네트워크 성능과 안정성에 영향을 미칠 수 있습니다.
- 네트워크 가시성 및 문제 해결의 어려움: VXLAN은 추가 캡슐화 계층을 추가하여 네트워크 가시성과 문제 해결을 복잡하게 만들고, 전문적인 네트워크 모니터링 및 분석 도구가 필요합니다.
- 하드웨어 요구 사항: 효율적인 캡슐화 및 캡슐화 해제를 위해서는 일반적으로 VXLAN을 지원하는 고성능 네트워크 장비가 필요하므로 하드웨어 비용이 증가합니다.
3계층 VXLAN(L3 VXLAN)
레이어 3 가상 확장 가능 LAN(L3 VXLAN)은 기존 레이어 3 인프라에 가상 레이어 3 네트워크를 생성하도록 설계된 고급 네트워크 가상화 기술로, 서로 다른 서브넷, 데이터 센터 또는 지리적 위치에 있는 가상 머신(VM) 간의 통신을 가능하게 합니다. 레이어 2 VXLAN(L2 VXLAN)과 달리 L3 VXLAN은 라우팅 메커니즘을 도입하여 레이어 2와 레이어 3 통신을 모두 지원하여 VM이 서로 다른 브로드캐스트 도메인에서 효율적으로 통신할 수 있도록 합니다.
L3 VXLAN의 핵심 기능
- 서브넷 간 통신: L3 VXLAN을 사용하면 서로 다른 서브넷에 있는 VM이 라우팅을 통해 통신할 수 있으므로 서브넷 간 또는 위치 간 연결이 필요한 복잡한 네트워크 환경에 적합합니다.
- 높은 확장성: L3 VXLAN은 3계층 라우팅 메커니즘을 통합하여 대규모 멀티테넌트 네트워크 아키텍처를 지원하여 기업과 서비스 제공업체의 요구 사항을 충족합니다.
- 지리적 중복성 및 재해 복구: L3 VXLAN은 데이터 센터와 지역 간의 가상 네트워크 연결을 지원하여 네트워크 가용성과 재해 복구 기능을 향상시킵니다.
- 강화된 네트워크 격리 및 보안: 라우팅과 VNI를 결합한 L3 VXLAN은 보다 세분화된 네트워크 격리 및 보안 정책을 제공하여 다중 테넌트 환경에서 트래픽 격리를 보장합니다.
- 유연한 트래픽 엔지니어링: 라우팅 프로토콜과 정책을 도입하면 네트워크 관리자가 네트워크 트래픽을 유연하게 관리하고 최적화하여 네트워크 성능과 효율성을 개선할 수 있습니다.
L3 VXLAN의 아키텍처 설계
L3 VXLAN의 아키텍처는 L2 VXLAN보다 더 복잡하며 다음과 같은 주요 구성 요소를 포함합니다.
- VXLAN 터널 엔드포인트(VTEP): L3 VXLAN에서 VTEP는 VXLAN 캡슐화 및 캡슐화 해제뿐만 아니라 라우팅 기능, 서브넷 간 트래픽 전달 및 라우팅 결정도 담당합니다.
- 물리 계층 3 네트워크: 캡슐화된 VXLAN 패킷을 전달하고 기존 IP 네트워크 인프라를 활용하여 전송하고 효율적인 라우팅과 전달을 지원합니다.
- VXLAN 네트워크 식별자(VNI): 가상 네트워크를 구별하여 네트워크 격리 및 다중 테넌트 지원을 실현합니다.
- 제어 평면 프로토콜(EVPN 등): VTEP 간 라우팅 정보를 관리하고 배포하여 서브넷과 데이터 센터 간 연결성과 일관성을 보장합니다.
- 라우팅 프로토콜(BGP, OSPF 등): VTEP 간에 라우팅 정보를 전파하여 다양한 VNI 간의 트래픽 전달과 라우팅 결정을 용이하게 해줍니다.
일반적인 L3 VXLAN 아키텍처에서 VTEP1과 VTEP2는 물리적 레이어 3 네트워크와 라우터를 통해 연결됩니다. VM(VM1과 VM2)은 서로 다른 서브넷(서브넷 A와 서브넷 B)에 상주하며 L3 VXLAN을 통해 서브넷 간에 통신합니다.
3계층 VXLAN에 대한 구성 예
아래는 Cisco Nexus 스위치 기반 L3 VXLAN에 대한 구성 예시로, VNI를 생성하고, VTEP 인터페이스를 구성하고, VLAN을 VNI에 매핑하고, 라우팅 프로토콜을 구성하고, 서브넷 간 통신을 달성하는 방법을 보여줍니다. 각각 VTEP(VTEP1 및 VTEP2)가 있는 두 개의 데이터 센터가 있고, 이러한 데이터 센터 간에 L3 VXLAN을 생성하여 서로 다른 서브넷(서브넷 A 및 서브넷 B)에 있는 VM(VM1 및 VM2)이 통신할 수 있도록 한다고 가정합니다.
구성 단계
- VNI(VXLAN 네트워크 식별자) 구성
먼저, 각 VTEP에서 VNI를 구성하여 다양한 VXLAN 네트워크를 식별합니다.
nve1
회원 vni 6000
인그레스-레플리케이션 프로토콜 bgp
- VTEP 인터페이스 구성
소스 인터페이스(일반적으로 루프백 인터페이스)와 VNI와의 연결을 포함하여 VTEP 인터페이스를 구성합니다.
인터페이스 nve1
셧다운 없음
소스 인터페이스 루프백0
회원 vni 6000
인그레스-레플리케이션 프로토콜 bgp
- VLAN을 VNI에 매핑
트래픽의 올바른 캡슐화 및 캡슐화 해제를 보장하기 위해 물리적 VLAN을 해당 VNI에 매핑합니다.
VLAN 20
이름 DMZ-Network
vn-세그먼트 6000
- VLAN에 물리적 인터페이스 추가
트렁크 모드에서 물리적 인터페이스를 구성하고 해당 VLAN이 통과할 수 있도록 허용합니다.
인터페이스 이더넷1/2
설명 몸통에서 척추까지
스위치 포트 모드 트렁크
switchport trunk 허용 vlan 20
- 라우팅 프로토콜(예: BGP) 구성
VTEP 간 트래픽 복제와 라우팅 정보 교환을 위한 Ingress Replication을 지원하도록 BGP를 구성합니다.
라우터 bgp 65000
주소 패밀리 l2vpn evpn
이웃 10.0.0.2 원격-65000
이웃 10.0.0.2 활성화
- 루프백 인터페이스 구성
VTEP에 대한 소스 인터페이스로 루프백 인터페이스를 구성하고 안정적인 3계층 IP 주소가 있는지 확인합니다.
인터페이스 Loopback0
IP 주소 192.168.0.1/32
- 라우팅을 위한 SVI(스위치 가상 인터페이스) 구성
SVI 인터페이스를 구성하고 각 서브넷에 IP 주소를 할당하여 서로 다른 서브넷 간 라우팅을 활성화합니다.
인터페이스 Vlan20
설명 DMZ 네트워크 SVI
IP 주소 192.168.20.1/24
vxlan 캡슐화 vxlan6000
- 정적 또는 동적 라우팅 프로토콜 구성
네트워크 요구 사항에 따라 정적 경로나 동적 라우팅 프로토콜(예: OSPF, BGP)을 구성하여 서로 다른 VNI 간 통신이 가능하도록 합니다.
라우터 ospf 1
네트워크 192.168.0.0 0.0.0.255 영역 0
네트워크 192.168.20.0 0.0.0.255 영역 0
- 전체 구성 예제
위의 단계를 통합한 전체 구성 예는 다음과 같습니다.
! 루프백 인터페이스 구성
인터페이스 Loopback0
IP 주소 192.168.0.1/32
! NVE 인터페이스 구성
인터페이스 nve1
셧다운 없음
소스 인터페이스 루프백0
회원 vni 6000
인그레스-레플리케이션 프로토콜 bgp
! VLAN을 VNI에 매핑
VLAN 20
이름 DMZ-Network
vn-세그먼트 6000
! 물리적 인터페이스 구성
인터페이스 이더넷1/2
설명 몸통에서 척추까지
스위치 포트 모드 트렁크
switchport trunk 허용 vlan 20
! SVI 인터페이스 구성
인터페이스 Vlan20
설명 DMZ 네트워크 SVI
IP 주소 192.168.20.1/24
vxlan 캡슐화 vxlan6000
! BGP 라우팅 프로토콜 구성
라우터 bgp 65000
주소 패밀리 l2vpn evpn
이웃 10.0.0.2 원격-65000
이웃 10.0.0.2 활성화
! OSPF 라우팅 프로토콜 구성
라우터 ospf 1
네트워크 192.168.0.0 0.0.0.255 영역 0
네트워크 192.168.20.0 0.0.0.255 영역 0
3계층 VXLAN의 장단점
장점
- 높은 확장성: L3 VXLAN은 레이어 3 라우팅 메커니즘을 통합하여 서브넷과 데이터 센터 간 가상 네트워크 연결을 지원하므로 대규모 멀티 테넌트 네트워크 아키텍처에 적합합니다.
- 지리적 중복성 및 재해 복구: 지리적으로 분산된 데이터 센터 간 연결을 지원하여 네트워크 가용성과 재해 복구 기능을 향상시킵니다.
- 강화된 네트워크 격리 및 보안: VNI와 라우팅 정책을 결합하여 보다 세분화된 네트워크 격리 및 보안 제어를 제공함으로써 멀티 테넌트 환경의 보안을 향상시킵니다.
- 유연한 트래픽 엔지니어링: 라우팅 프로토콜과 정책을 도입하여 네트워크 관리자가 네트워크 트래픽을 유연하게 관리하고 최적화하여 성능과 효율성을 개선할 수 있도록 합니다.
- 멀티 테넌트 및 하이브리드 클라우드 환경 지원: 멀티 테넌트 및 하이브리드 클라우드 환경의 복잡한 네트워크 요구 사항을 충족하여 서로 다른 테넌트와 클라우드 환경 간의 유연한 연결과 격리를 가능하게 합니다.
단점
- 구성 복잡성 증가: L2 VXLAN에 비해 L3 VXLAN을 구성하려면 라우팅 프로토콜을 배포하고 관리해야 하므로 네트워크 구성과 유지 관리의 복잡성이 증가합니다.
- 제어 평면 프로토콜에 대한 종속성: L3 VXLAN은 일반적으로 EVPN과 같은 고급 제어 평면 프로토콜에 의존하므로 네트워크 아키텍처의 복잡성과 관리의 어려움이 커집니다.
- 잠재적인 지연 및 성능 오버헤드: 교차 라우터 전송은 추가적인 지연을 초래할 수 있으며, 캡슐화 및 캡슐화 해제 프로세스는 특히 트래픽이 많은 환경에서 성능 오버헤드를 초래할 수 있습니다.
- 더 높은 하드웨어 요구 사항: 효율적인 라우팅과 VXLAN 처리에는 일반적으로 더 높은 성능의 네트워크 장치가 필요하므로 하드웨어 비용이 증가합니다.
- 네트워크 가시성 및 문제 해결 과제: L3 VXLAN은 추가 캡슐화 계층과 라우팅 메커니즘을 도입하여 네트워크 가시성과 문제 해결을 복잡하게 만들고, 전문적인 네트워크 모니터링 및 분석 도구가 필요합니다.
2계층과 3계층 VXLAN 비교
기능 비교
성능 비교
배포 복잡성 비교
적합한 시나리오 비교
2계층 VXLAN과 3계층 VXLAN은 각각 고유한 기능과 장점을 가지고 있으며, 다양한 네트워크 요구 사항과 환경에 적합합니다. 네트워크 관리자는 VXLAN 네트워크를 설계하고 배포할 때 특정 비즈니스 요구 사항, 네트워크 규모 및 환경적 특성을 고려해야 합니다.
L2 VXLAN을 선택하세요: 단일 데이터 센터 내에서 대규모 레이어 2 VM 통신에 중점을 두는 경우 L2 VXLAN은 네트워크 관리와 구성을 간소화하는 효율적이고 지연 시간이 짧은 솔루션을 제공합니다.
L3 VXLAN을 선택하세요: 가상 머신을 데이터 센터, 서브넷 또는 지리적으로 연결해야 하는 경우