VXLAN frente a VLAN: cuál elegir para la segmentación de redes

La segmentación de la red desempeña un papel importante en la gestión y la seguridad de las infraestructuras informáticas modernas.

Dos tecnologías populares para una segmentación eficaz de la red son la VXLAN y la VLAN.

Sumerjámonos en el tema y comprendamos las características tanto de la VXLAN como de la VLAN y cómo pueden dar forma a su arquitectura de red.

¿Qué es una VLAN?

VLAN son las siglas de Virtual Local Area Network (red de área local virtual).

Es una tecnología utilizada en redes informáticas para dividir una única red física en varias redes lógicas.

Veamos un ejemplo para entender el concepto fácilmente.

Imagine que trabaja en un gran edificio de oficinas con varios departamentos: Ingeniería, Marketing y Contabilidad.

Cada departamento tiene su propio conjunto de ordenadores, impresoras y otros dispositivos de red.

Sin embargo, el edificio de oficinas sólo dispone de una infraestructura de red física.

Sin las VLAN, todos los dispositivos del edificio de oficinas formarían parte de un único dominio de difusión. Eso significa que recibirían todo el tráfico de red. Esto podría dar lugar a problemas de seguridad y a una gestión ineficaz del tráfico de red.

Las VLAN se implementan para superar estos problemas. Cada VLAN actúa como un dominio de difusión independiente que permite una mejor gestión y rendimiento de la red.

Supongamos que crea tres VLAN para que correspondan a los distintos departamentos.

VLAN 1: Ingeniería
VLAN 2: Marketing
VLAN 3: Contabilidad

Cuando un ordenador o cualquier otro dispositivo de red se conecta a la red, puede asignarse a una de estas VLAN.

Por ejemplo: todos los ordenadores y dispositivos del departamento de Ingeniería están asignados a la VLAN 1.

Si un ordenador del departamento de ingeniería quiere enviar un mensaje a otro ordenador dentro de la misma VLAN, el mensaje permanecerá dentro de la VLAN 1 y no se emitirá a los dispositivos de otras VLAN como Marketing o Contabilidad.

Esta separación garantiza que la información sensible sólo sea accesible para los dispositivos autorizados dentro de la misma VLAN.

¿Qué es la VXLAN?

VXLAN son las siglas de Virtual Extensible LAN.

Es una tecnología de virtualización de redes que se utiliza para extender segmentos de red de capa 2 (capa de enlace de datos) sobre una red IP. Se introdujo para abordar las limitaciones de las VLAN tradicionales en entornos de centros de datos a gran escala.

Se utiliza habitualmente en centros de datos y entornos de nube para crear superposiciones de red lógicas que pueden abarcar varios segmentos de red físicos.

La VXLAN encapsula tramas Ethernet de capa 2 dentro de paquetes UDP de capa 3 que permiten su transmisión a través de una red IP.

¿Cómo funciona la VXLAN?

Imagine que tiene un gran centro de datos con múltiples servidores físicos y máquinas virtuales (VM) ejecutándose en esos servidores.

En una red tradicional basada en VLAN, cada VM estaría asignada a una VLAN específica. Y la comunicación entre las VM en diferentes VLAN requeriría enrutamiento en la Capa 3.

Este enfoque puede llegar a ser complejo y sufrir problemas de escalabilidad debido al número limitado de ID de VLAN disponibles.

Consideremos un escenario para entender cómo funciona esta VXLAN.

Hay 2 hosts físicos. En el host 1 hay VM1 & VM2, y en el host2 hay VM3 & VM4.

Supongamos que el host 1 y el host 2 forman parte de una red habilitada para VXLAN, y que VM1 quiere comunicarse con VM3.

Configuración VXLAN

El Host 1 y el Host 2 están configurados como terminales de túnel VXLAN (VTEPs). Esto significa que disponen de los componentes de software o hardware necesarios para manejar la encapsulación y desencapsulación VXLAN.

Identificador de red VXLAN (VNI)

Se asigna un VNI único a la red virtual. Digamos que el VNI de esta red es 1001.

Encapsulación

VM1, que reside en el Host 1 – quiere comunicarse con VM3, que se encuentra en el Host 2.

Cuando VM1 envía un paquete a VM3, lo encapsula con una cabecera VXLAN.

La cabecera VXLAN incluye las direcciones VTEP de origen y destino (direcciones IP del Host 1 y del Host 2) y el VNI (1001).

Red IP subyacente

El paquete encapsulado se transmite a través de la red IP subyacente – Puede ser IPv4 o IPv6. La red IP sirve como infraestructura de transporte para los paquetes VXLAN.

Desencapsulación

Al recibir el paquete, el VTEP del Host 2 desencapsula la cabecera VXLAN, lo que revela la trama Ethernet de capa 2 original.

Entrega a VM3

Tras la decapsulación, el VTEP entrega la trama Ethernet de Capa 2 a VM3 en el Host 2.

La VM1 en el Host 1 puede comunicarse con la VM3 en el Host 2 como si estuvieran conectadas a la misma red Ethernet de Capa 2, aunque se encuentren en hosts físicos diferentes.

La VXLAN permite esta comunicación encapsulando y tunelizando el tráfico de Capa 2 sobre redes de Capa 3, lo que permite ampliar la conectividad de Capa 2 más allá de los límites de la red.

Ventajas de la VLAN

Control de la difusión

El tráfico de difusión está contenido dentro de cada VLAN, lo que reduce el tamaño total del dominio de difusión y mitiga el impacto del tráfico que puede degradar el rendimiento de la red.

Seguridad

Permite aislar la red y mejorar la seguridad al separar distintos grupos de usuarios o dispositivos en dominios de difusión independientes. Este aislamiento restringe el alcance de posibles brechas de seguridad o accesos no autorizados, lo que mejora la seguridad general de la red.

Calidad de servicio (QoS)

Las VLAN pueden utilizarse para implementar mecanismos de calidad de servicio que permitan a los administradores de red priorizar determinados tipos de tráfico o aplicar políticas específicas.
Pueden establecer el límite sobre qué aplicación debe recibir un ancho de banda elevado.

Gestión simplificada de la red

Simplifica la gestión de la red dividiendo lógicamente una gran red física en redes virtuales más pequeñas. Esta segmentación ayuda a organizar los dispositivos y simplifica las tareas de administración de la red.

Ventajas de VXLAN

Escalabilidad

VXLAN aborda las limitaciones de las VLAN tradicionales permitiendo la creación de hasta 16 millones de redes virtuales, frente a las limitadas 4.096 VLAN. Esta escalabilidad se consigue gracias al identificador de red VXLAN (VNI) de 24 bits.

Segmentación de red

Permite una segmentación eficaz de la red mediante el encapsulamiento de tramas Ethernet de capa 2 dentro de paquetes UDP. Esto permite crear redes virtuales aisladas que pueden atravesar fronteras físicas, como centros de datos o entornos en la nube.

Arrendamiento múltiple

Admite el modelo de multiarrendamiento, que permite a distintas organizaciones compartir la misma infraestructura física al tiempo que mantienen sus propias redes virtuales aisladas.

Extensión de capa 2 sobre redes de capa 3

VXLAN facilita la extensión de la conectividad de Capa 2 sobre redes de Capa 3.

Esto es importante para construir centros de datos distribuidos geográficamente y permite la movilidad de las máquinas virtuales a través de diferentes sitios sin necesidad de complejas tecnologías de extensión de Capa 2 como el Servicio de LAN Privada Virtual (VPLS).

Tabla comparativa

He aquí una tabla comparativa entre la VXLAN y la VLAN.

La correcta implementación de VXLAN requiere dispositivos con capacidad VXLAN que admitan los protocolos y técnicas de encapsulación necesarios.

Las redes VXLAN pueden crearse y gestionarse con la ayuda de estos dispositivos.

Por otro lado, las redes VLAN son más utilizadas y sencillas de implantar en las infraestructuras de red actuales porque la mayoría de los dispositivos de red las soportan sin necesidad de hardware adicional ni soporte especializado.

Casos de uso de las VLAN

Virtualización de servidores

Las VLAN permiten una gestión eficaz de la red al proporcionar aislamiento entre las máquinas virtuales que residen en el mismo servidor físico en entornos virtualizados.

Centros de datos

Se utiliza en granjas de servidores y centros de datos para gestionar un gran número de servidores. Permite a los administradores agrupar servidores en función de su función o aplicación.

Redes de invitados

Crean redes de invitados independientes en entornos como hoteles u oficinas corporativas, que pueden proporcionar acceso a Internet a los visitantes manteniéndolos aislados de la red interna de la organización.

Redes privadas virtuales

Las redes privadas virtuales se utilizan junto con las redes privadas virtuales para crear conexiones seguras entre sitios dispersos geográficamente. Las organizaciones pueden extender su red privada a varias ubicaciones manteniendo la separación lógica.

Pruebas y desarrollo

Proporcione un entorno aislado para pruebas y desarrollo. Los desarrolladores pueden crear VLAN dedicadas a probar nuevas aplicaciones o servicios sin afectar a la red de producción.

Casos prácticos de VXLAN

Interconexión de centros de datos

La VXLAN se utiliza para interconectar varios centros de datos a través de una WAN. Amplía la conectividad de capa 2 entre centros de datos, lo que permite migrar máquinas virtuales y cargas de trabajo entre sitios manteniendo su configuración de red.

Infraestructura de nube

Se utiliza habitualmente en entornos de nube para proporcionar virtualización de red para servicios y aplicaciones basados en la nube. Permite una distribución eficaz de la carga de trabajo a través de la infraestructura de nube.

Redes superpuestas

VXLAN sirve de base para las redes superpuestas, lo que permite a los ingenieros de red asignar recursos de forma dinámica y adaptarse a las cambiantes demandas de carga de trabajo.

Recuperación ante desastres

Se utiliza en escenarios de recuperación ante desastres para proporcionar conectividad de red y conmutación por error (modo operativo de reserva) entre los centros de datos primario y secundario.

Autor Note✍️

La elección entre VXLAN y VLAN depende de las necesidades específicas de su infraestructura de red. Ambas tecnologías tienen sus ventajas y consideraciones que deben tenerse en cuenta.

Si necesita una solución escalable que pueda gestionar un gran número de máquinas virtuales o segmentos de red, VXLAN es la opción recomendada. Proporciona un espacio de direcciones mayor y permite una movilidad más sencilla de la carga de trabajo.

Si su red tiene una escala menor y unos requisitos más sencillos – entonces la VLAN puede ser la mejor opción. Las VLAN están bien establecidas y son ampliamente compatibles con la mayoría de los equipos de red. Son fáciles de configurar y gestionar.

Espero que este artículo le haya resultado útil para conocer la diferencia entre VXLAN y VLAN. Puede que también le interese saber más sobre el control de acceso a la red y cómo implementarlo.