Home » Network Virtualization: VRF, VLAN และ Overlay Networks
Network Virtualization: VRF, VLAN และ Overlay Networks
Network Virtualization: VRF, VLAN และ Overlay Networks
Network Virtualization คือการสร้าง logical networks หลายตัวบน physical infrastructure เดียวกัน ทำให้แต่ละ tenant/department มี network ที่แยกจากกันโดยสมบูรณ์ VLANs แยก Layer 2, VRFs แยก Layer 3 routing tables และ overlay networks (VXLAN, GRE) ขยาย virtual networks ข้าม physical boundaries
องค์กรที่มี หลาย departments หรือ tenants ที่ใช้ physical network เดียวกัน ต้องการ isolation ระหว่างกัน เช่น HR ไม่ควรเห็น traffic ของ Finance Network virtualization ให้ isolation นี้โดยไม่ต้องซื้อ hardware แยก ลดค่าใช้จ่ายและเพิ่ม flexibility
Virtualization Technologies
| Technology |
Layer |
แยกอะไร |
Scale |
| VLAN |
L2 |
Broadcast domains |
4094 VLANs max |
| VRF (Virtual Routing and Forwarding) |
L3 |
Routing tables |
Hundreds per device |
| VXLAN |
Overlay (L2 over L3) |
L2 segments over L3 network |
16 million VNIs |
| GRE |
Overlay (L3 over L3) |
Tunnel ระหว่าง 2 points |
Per tunnel |
| MPLS VPN |
L3 overlay |
Customer VPNs over SP network |
Thousands of VRFs |
| SR-MPLS/SRv6 |
Overlay |
Modern segment-based overlay |
Scalable |
VLAN (Virtual LAN)
| Feature |
รายละเอียด |
| หน้าที่ |
แบ่ง switch ports เป็น broadcast domains แยกกัน |
| 802.1Q Tag |
12-bit VLAN ID (1-4094) ใน Ethernet frame header |
| Access Port |
Port ที่อยู่ใน VLAN เดียว (สำหรับ end devices) |
| Trunk Port |
Port ที่ carry หลาย VLANs (ระหว่าง switches) |
| Native VLAN |
VLAN สำหรับ untagged traffic บน trunk |
| Inter-VLAN Routing |
ต้องใช้ L3 device (router/L3 switch) route ระหว่าง VLANs |
| ข้อจำกัด |
4094 VLANs max, ไม่ข้าม L3 boundary, STP required |
VRF (Virtual Routing and Forwarding)
| Feature |
รายละเอียด |
| หน้าที่ |
สร้าง routing table แยกบน router เดียวกัน (L3 isolation) |
| VRF Instance |
แต่ละ VRF มี routing table, FIB, interfaces ของตัวเอง |
| VRF-Lite |
VRF บน single device (ไม่มี MPLS) |
| MPLS VRF |
VRF + MPLS labels สำหรับ carry VPN traffic ข้าม SP network |
| Route Distinguisher (RD) |
ทำให้ overlapping prefixes unique ใน BGP |
| Route Target (RT) |
กำหนดว่า VRF ไหน import/export routes ของใคร |
| Use Case |
Multi-tenant, shared services, management VRF แยก |
VRF-Lite vs MPLS VPN
| Feature |
VRF-Lite |
MPLS L3VPN |
| Scope |
Single device หรือ point-to-point |
End-to-end across SP network |
| MPLS Required |
ไม่ |
ใช่ |
| Scalability |
จำกัด (ต้อง config ทุก hop) |
สูง (PE-CE, P routers transparent) |
| Trunk Links |
Sub-interface per VRF per link |
ไม่จำเป็น (MPLS labels) |
| Complexity |
ต่ำ (simple, no MPLS) |
สูง (MPLS + MP-BGP + RD/RT) |
| ใช้เมื่อ |
Campus segmentation, small-scale |
Service provider, large enterprise WAN |
Overlay Networks
| Technology |
Encapsulation |
Use Case |
| VXLAN |
L2 frame → VXLAN → UDP → IP |
Data center fabric (EVPN-VXLAN) |
| GRE |
Original packet → GRE → IP |
Site-to-site tunnels, simple overlay |
| IPsec |
Original → ESP/AH → IP |
Encrypted tunnels (VPN) |
| GENEVE |
Similar to VXLAN + extensible |
Cloud (AWS, Azure uses GENEVE internally) |
| NVGRE |
L2 frame → GRE → IP |
Microsoft Hyper-V (legacy) |
| WireGuard |
Original → WireGuard → UDP → IP |
Modern VPN (simple, fast) |
Shared Services with VRF
| Method |
วิธีทำงาน |
| Route Leaking |
Import routes จาก shared VRF เข้า tenant VRFs (ผ่าน RT import) |
| Static Route Leaking |
Static route ชี้ไป next-hop ใน VRF อื่น |
| Shared Services VRF |
VRF เฉพาะสำหรับ shared services (DNS, DHCP, NTP, internet) |
| Firewall Inter-VRF |
Traffic ระหว่าง VRFs ผ่าน firewall (inspect + control) |
Design Considerations
| Consideration |
คำแนะนำ |
| Isolation Level |
VLAN = L2, VRF = L3, Overlay = L2 over L3 — เลือกตามความต้องการ |
| Scale |
VLAN ≤ 4094, VRF ≤ hundreds, VXLAN ≤ 16M |
| Management |
แยก management VRF (out-of-band) จาก production |
| Shared Services |
Route leaking สำหรับ DNS/DHCP/NTP/internet |
| Inter-VRF Security |
ใช้ firewall สำหรับ traffic ระหว่าง VRFs |
| Monitoring |
Monitor ทุก VRF (SNMP per VRF, NetFlow per VRF) |
ทิ้งท้าย: Virtualization = Multiple Networks, One Infrastructure
Network Virtualization สร้าง logical networks บน physical เดียวกัน VLAN = L2 isolation, VRF = L3 routing isolation VRF-Lite สำหรับ campus, MPLS VPN สำหรับ WAN VXLAN overlay สำหรับ data center (16M segments) Shared services ผ่าน route leaking + firewall inter-VRF
อ่านเพิ่มเติมเกี่ยวกับ EVPN-VXLAN Data Center และ Network Segmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
