![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/00/31/0031258a77a126edd0f53f14a72de57c/0115276744.jpeg "Switches, Router, Gateways, Server, USVs, Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © didiksaputra - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/b5/3d/b53dbab3e40fd2303e7dfca51f1f7939/0114877960.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/24/8d24b8fc44bfb1954a36e41d768d0721/0115043465.jpeg "KI- und ML-Algorithmen für die Kommunikation mit 6G lassen sich in SystemVue von Keysight importieren. Damit können die per Funk übertragenen Informationen minimiert werden, um eine genaue Kanalzustandsinformation zur Basisstation zu erhalten. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/79/6c/796cb17faeac882eac2c1b3037a41e3e/0109117150.jpeg "Private 5G wird zum "heiligen Gral" für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/7f/c3/7fc39d164018ede761cc46c9b3a693dc/0115316025.jpeg "Der Mobilfunkrouter Digi TX40 5G bietet zwei Gigabit-Ethernet-Ports, Wi-Fi 6, USB 3.0 und eine serielle Schnittstelle. (Bild: Bressner Technology)")
:quality(80)/p7i.vogel.de/wcms/b8/eb/b8eb242798e302e33239560cd17b06cd/0115293814.jpeg "Arista und Zscaler vertiefen ihre Zusammenarbeit. (Bild: Arista / Zscaler)")
:quality(80)/p7i.vogel.de/wcms/56/73/5673c47f4cbb4ab27e3cc9de133c162f/0115266518.jpeg "Microsoft 365 Copilot ist ein KI-basierter Assistent für mehr Produktivität und Effizienz. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b3/70/b3706a8d690594f373620b79b1a31c36/0115395656.jpeg "Wir zeigen, wie Sie einen Domänencontroller mit Bordmitteln sichern und wiederherstellen können. (Bild: Joos - Microsoft)")
![Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet unser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])](https://cdn1.vogel.de/NDW7bMSL-DF6fVVvzkE2EtjLmZk=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ca/74/ca74fe6b45462e00ab74722166888301/0115412116.jpeg "Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet unser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])")
:quality(80)/p7i.vogel.de/wcms/d7/b6/d7b6b471d066cdd319561d7d2dbf2ab0/0115260548.jpeg "Professionelle Endpoint-Management-Systeme wie Aagon ACMP erlauben die Verknüpfung mit einem Software-Katalog und vereinfachen damit das Lizenzmanagement. (Bild: Thomas Bär - Aagon)")
:quality(80)/p7i.vogel.de/wcms/bf/64/bf64e78ac26cbe0e1daed5dfa4522b3b/0115165562.jpeg "LoadMaster 360 biete Nutzern eine konsolidierte Ansicht sämtlicher Daten aller Anwendungen und Prozesse. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/72/a1/72a148974e7a56fcc18b38db037e81ff/0115187980.jpeg "Übersicht über Bedrohungen in einer Mobile Threat Defence. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/e0/89/e0898f1014b6ba2beb23b44158f79040/0115099035.jpeg "Mit der zunehmenden Digitalisierung und dem Ausbau von leistungsfähigen Gigabitnetzen sind unsere Wirtschaft, die kritischen Infrastrukturen und nicht zuletzt unsere öffentliche Sicherheit substanziell von widerstandsfähigen Telekommunikationsdiensten abhängig. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/1f/401f3b163d16dd22079e81981e1210c2/0115028607.jpeg "Versa Secure SD-LAN implementiert die Versa-Software auf Ethernet-Switches und Access Points, um integrierte Switching-, Routing-, Sicherheits- und Netzwerkdienste bereitzustellen.
(Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/be/5cbe24f01d4a3e7f709886c90b78b562/0115266150.jpeg "Mit Universal ZTNA sei es möglich, eine Zero-Trust-Policy auf Identitätsebene für alle Benutzer zu managen und umzusetzen. (Bild: © – RareStock – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/25/26/25261bdef48903ea330ead23ac5718f4/0115095196.jpeg "Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/a9/9aa9f619b9cccaa303c7d625c2a79207/0115039586.jpeg "Die Lösungen und Services, rund um SASE variieren sehr stark, was Funktionalität und Qualität angeht. Eine sorgfältige Prüfung vor der Anschaffung einer SASE-Lösung ist daher wichtig. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
Definition Was ist VXLAN?
VXLAN (Virtual Extensible LAN) ist eine Overlay-Netzwerktechnik für die Abbildung logischer Layer-2-Netzwerke in Layer-3-Technologien und über IP-Netzwerkstrukturen hinweg. Die Beschränkungen klassischer VLANs mit maximal 4096 virtuellen LANs sind dabei aufgehoben. Die Technik lässt sich für große virtualisierte Rechenzentren und Cloud-Computing-Umgebungen einsetzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/77/647721ee50adf/f220119-logo-icp-rgbgruen-grau.png "f220119-logo-icp-rgbgruen-grau (ICP)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
Die Abkürzung VXLAN steht für Virtual Extensible LAN und bezeichnet eine Netzwerktechnik, mit der sich virtuelle Layer-2-Strukturen in Layer-3-Technologien abbilden lassen. Virtual Extensible LANs kommen in virtualisierten Rechenzentren, großen Cloud-Computing-Umgebungen und für das Software-Defined Networking zum Einsatz. Sie verbessern die Skalierbarkeit der Architekturen und heben die Beschränkungen klassischer, reiner Layer-2-Umgebungen mit begrenzter Anzahl an VLANs auf.
Gleichzeitig lassen sich mit Virtual Extensible LANs einzelne Netzwerkbereiche voneinander isolieren. VXLAN löst Probleme großer Netzwerke, die Aufgrund der beschränkten Anzahl von maximal möglichen VLANs auftreten. Die Layer-2-Frames werden in UDP-Pakete gekapselt und über ein Layer-3-IP-Netzwerk übertragen. Insgesamt stellt ein VXLAN 24 Bit für die Kennzeichnung von 16.777.215 verschiedenen Layer-2-Umgebungen bereit. Pro Layer-2-Umgebung sind wiederum 4096 verschiedene VLANs möglich.
Ursprünglich entwickelten VMware, Cisco Systems und Arista Networks das Virtual Extensible LAN. Es ist im RFC 7348 spezifiziert. Auch andere Unternehmen wie Dell, OpenBSD, Red Hat, Citrix oder Broadcom unterstützen die Layer-2-Virtualisierungstechnik. Auf UDP-Protokollebene ist dem Virtual Extensible LAN der Port 4789 zugewiesen. Einige Implementierungen nutzen allerdings andere UDP-Ports, weshalb der Standard die Konfigurierbarkeit des Ports vorsieht.
Aufbau, Funktionsweise und wichtige Komponenten des VXLANs
So genannte VTEPs (Virtual Tunnel Endpoints) bilden die Endpunkte im Virtual Extensible LAN und terminieren die Layer-3-Tunnel-Verbindungen des gerouteten IP-Netzwerks. Ein VTEP hat ein Interface für die lokalen Switching-Funktionen einzelner VLAN-Segmente und ein Interface Richtung Core-IP-Netzwerk für die Übertragung der enkapsulierten Datenpakete. Die VTEP-Tunnelendpunkte kommunizieren über geroutete IP-Netzwerke mit beliebigen Routing-Protokollen. Über das Layer-3-Netzwerk sind verschiedene Topologien realisierbar. Für eine besonders gute Skalierbarkeit der virtuellen Layer-2-Strukturen sorgt die Spine-Leaf-Architekur.
Die in UDP enkapsulierten VXLAN-Pakete enthalten einen so genannten Virtual Extensible LAN Network Identifier (VNI) mit einer Länge von 24 Bit. Er ermöglicht es, bis zu 16.777.215 verschiedene Segmente abzubilden. Das Mapping von VLAN zu VNI findet an den Virtual Tunnel Endpoints statt. Das Routing zwischen verschiedenen VNI-Segmenten kann je nach Architektur dezentral oder zentral erfolgen.
Das Frameformat des Virtual Extensible VLANs und der VXLAN-Header
Ein Frame in einem Virtual Extensible LAN besteht aus dem äußeren Ethernet-Header, dem Internet-Protokoll-Header, dem User-Datagram-Protocol-Header, dem VXLAN-Header und dem enkapsulierten Ethernet-Frame. Abgeschlossen ist der komplette Datenframe mit einem Prüfsummenfeld.
Der Header des Virtual Extensible VLANs besteht aus insgesamt acht Bytes, von denen der VNI 24 Bit belegt. Das UDP-Paket ist an den VXLAN-Port, in der Regel der Port 4789, adressiert. Der äußere IP-Header enthält die IP-Adressen der jeweiligen Virtual Tunnel Endpoints, an denen die Enkapsulierung der Layer-2-Daten stattfindet. Auch IP-Multicast-Gruppen können im IP-Paket adressiert sein.
Das Virtual Extensible VLAN erzeugt insgesamt einen Overhead von 50 Bytes. Um Probleme mit der MTU (Maximum Transmission Unit) zu vermeiden und eine zusätzliche Fragmentierung der übertragenen Pakete zu verhindern, sollten alle an der VXLAN-Struktur beteiligten Geräte den Overhead berücksichtigen und eine einheitliche MTU unterstützen.
Die Vorteile durch den Einsatz eines Virtual Extensible LANs
Durch ein Virtual Extensible LAN und die IP-Enkapsulierung der Layer-2-Frames ergeben sich für bestimmten Anwendungen und Netzstrukturen zahlreiche Vorteile. Ein Layer-2-Netzwerk lässt sich über ein geroutetes IP-Netzwerk aufspannen und bietet eine hohe Flexibilität, Stabilität und Skalierbarkeit. Layer-2-Frames lassen sich problemlos über Router-Grenzen hinweg übertragen.
Durch die Spezifikation des Virtual Extensible LANs im RFC 7348 und die Unterstützung durch verschiedene Hersteller sind herstellerübergreifende Lösungen realisierbar. Bisherige Beschränkungen hinsichtlich MAC-Adress-Tabellen und maximaler Anzahl an VLANs sind aufgehoben. Über höhere Protokollebenen und Lösungen wie IPSec und TLS können die IP-Transportverbindungen zusätzlich verschlüsselt werden. Für die Implementierung eines mit Virtual Extensible LANs realisierten Software-Defined Networks ist existierende Hard- und Software weiter verwendbar. Die Kosten und der Aufwand für das SDN reduzieren sich.
Gründe für die Einführung eines VXLANs und die verschiedenen Einsatzmöglichkeiten
VXLAN wurde entwickelt, um die bestehenden Beschränkungen herkömmlicher Layer-2-Strukturen aufzuheben. Es werden über 16 Millionen VXLAN-Layer-2-Netzwerke möglich, die die Realisierung sehr großer Ethernet-Installationen gestatten. Vor allem Betreiber großer virtueller Netzwerk- und Cloud-Computing-Umgebungen sind ohne ein Virtual Extensible LAN stark in ihren Möglichkeiten eingeschränkt.
Virtuelle Maschinen sind über große Netzwerkstrukturen transportierbar. Für das Software-Defined Networking (SDN) stellt das Virtual Extensible LAN neben anderen Technologien grundsätzliche Funktionen zur Verfügung. Die steigenden Anforderungen bei der Virtualisierung von Servern machen Virtual Extensible LANs für viele Provider und Rechenzentrumsbetreiber unumgänglich.
Ein weiteres häufiges Einsatzgebiet des Virtual Extensible LANs sind Testumgebungen für Netzwerkdienste und virtualisierte Umgebungen. Layer-2-Netzwerke lassen sich trotz der Verwendung gemeinsamer Netzwerkkomponenten und -strukturen vollständig voneinander isolieren. Innerhalb dieser isolierten Layer-2-Netzwerke beeinflussen Konfigurationen und Services die weiteren Netzwerkstrukturen nicht. Der volle Zugriff auf alle Layer-2-Funktionen für Tests bleibt dennoch erhalten.
Das Virtual Extensible LAN bietet darüber hinaus Lösungen für die Migration von virtuellen Maschinen über große Netzwerkentfernungen hinweg. Aus Layer-2-Sicht ergeben sich für die virtuellen Maschinen keine Veränderungen, obwohl Interfaces eventuell über große Distanzen in einem IP-Netzwerk verschoben werden.
NVGRE als konkurrierender Standard für das Virtual Extensible LAN
In Konkurrenz zum Virtual Extensible LAN entwickelten Microsoft, Intel, HP und Dell den NVGRE-Standard. Die Abkürzung NVGRE steht für Network Virtualization using Generic Routing Encapsulation. NVGRE stellt eine Lösung für die Netzwerkvirtualisierung über Layer-2- und Layer-3-Strukturen hinweg zur Verfügung.
Wie VXLAN kann auch mit NVGRE eine große Anzahl VLANs über geroutete Layer-3-Netzwerke abgebildet werden. NVGRE beseitigt das Problem der begrenzten Anzahl von VLANs der Spezifikation IEEE-802.1q und erweitert die räumliche Ausdehnbarkeit und Skalierbarkeit des Layer 2. Die Adressierung erfolgt bei NVGRE über den 24-Bit langen so genannten TNI (Tenant Network Identifier). Er erfüllt ähnliche Funktion wie der VNI in einem Virtual Extensible LAN.
(ID:45365257)
:quality(80)/p7i.vogel.de/wcms/c1/78/c178285c6912802a7166b3ed33e9bbf8/0111525684.jpeg "Die Switches der XGS2220-Serie können im Stand-alone-Modus oder über die Cloud gemanagt werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/c2/8b/c28b1c32367ec5e91a8faa573998fe4f/0111633933.jpeg "Der Trendnet-Switch TL2-F7120 besitzt zwölf 10G-SFP+-Steckplätze. (Bild: Trendnet)")