虚拟区域网路扩展（Virtual Extensible LAN：VXLAN）

虚拟区域网路 (VLAN)

-VLAN 组（来源：Cisco Press）

虚拟 LAN (VLAN) 是在数据链路层（OSI 第 2 层）的计算机网络中划分和隔离的任何广播域。
资料来源：维基百科
目前的VLAN数量有限，为4094，无法满足数据中心或云计算的需求，具有基於租户隔离网络的共同特点。例如，Azure 或 AWS 的客户远多於 4094。

私有VLAN

-酒店专用 VLAN
专用 VLAN，也称为端口隔离，是计算机网络中的一种技术，其中 VLAN 包含受限制的交换机端口，因此它们只能与给定的上行链路进行通信。受限端口称为专用端口。每个专用 VLAN 通常包含许多专用端口和一个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中央资源的端口（或链路聚合组）。
专用 VLAN 的典型应用是酒店或乙太网到家庭网络，其中每个房间或公寓都有一个用於 Internet 访问的端口。
资料来源：维基百科

VXLAN 问题陈述(VXLAN Problem Statement)
VXLAN (RFC 7348) 就是为了解决这个问题而设计的。VXLAN 问题陈述突出了以下问题：

1. 生成树(Spanning Tree)和 VLAN 范围施加的限制
2. 多租户环境(Multi-tenant)
3. ToR（架顶式）交换机的表尺寸不足
   它还写道：“VXLAN（虚拟可扩展区域网路）解决了在多租户环境中存在虚拟机的情况下第 2 层和第 3 层数据中心网络基础设施的上述要求。”

VXLAN 作为覆盖网络（VXLAN as Overlay Network）
VXLAN 将传统的 VLAN 帧封装为 IP 负载或 MAC-over-IP，以支持主干交换机和叶交换机之间的通信。所述叶脊架构采用叶片开关和主干交换机组成的两层的网络拓扑。

覆盖和底层网络（Overlay and Underlay Networks）
底层网络 或所谓的 物理网络 ，传统协议在其中发挥作用。底层网络是物理基础设施，在其上构建覆盖网络。它是负责跨网络传输数据包的底层网络。
 底层协议：BGP、OSPF、IS-IS、EIGRP
一个 覆盖网络 是一个 虚拟的网络 被路由在底层网络基础设施之上，路由决定将发生在软件的帮助。
 覆盖协议：VXLAN、NVGRE、GRE、OTV、OMP、mVPN
覆盖网络是一种使用软件创建网络抽象层的方法，可用於在物理网络之上运行多个独立的、离散的虚拟化网络层，通常提供新的应用程序或安全优势。
来源：Underlay Network 和 Overlay Network

攻击向量（Attack Vector）
VXLAN 是一个 MAC-over-IP 覆盖网络，它继承了第 2 层和第 3 层攻击向量，因此它扩展了第 2 层网络的攻击向量。
传统上， 第 2 层网络 只能被恶意端点从“内部”攻击——要么：
. 通过不当访问 LAN 和窥探流量，
. 通过注入欺骗性数据包来“接管”另一个 MAC 地址，或
. 通过泛滥并导致拒绝服务。
用於传送第 2 层流量的 MAC-over-IP 机制显着扩展了此攻击面。 这可能是由於流氓将自己注入网络而发生的：
. 通过 订阅一个或多个 承载 VXLAN 网段广播流量的多播组，以及
. 通过将 MAC-over-UDP 帧发送 到传输网络以注入虚假流量，可能是为了劫持 MAC 地址。
本文档不包含针对此类攻击的具体措施，而是依赖於 IP 之上的其他传统机制。相反，本节概述了 VXLAN 环境中一些可能的安全方法。
. 通过限制在 VXLAN 环境中部署和管理虚拟机/网关的人员的管理和管理范围，可以减轻流氓端点的传统第 2 层攻击。此外，此类管理措施可能会通过 802.1X 之类的方案得到加强，以对单个端点进行准入控制。此外，使用基於 UDP 的 VXLAN 封装可以在物理交换机中配置和使用基於 5 元组的 ACL（访问控制列表）功能。
. 可以使用 IPsec 等传统安全机制保护 IP 网络上的隧道流量，这些机制对 VXLAN 流量进行身份验证和可选加密。当然，这需要与授权端点的身份验证基础设施相结合，以获取和分发凭据。
. VXLAN 覆盖网络是在现有 LAN 基础设施上指定和运行的。为确保 VXLAN 端点及其 VTEP 在 LAN 上获得授权，建议为 VXLAN 流量指定一个 VLAN，服务器/VTEP 通过此 VLAN 发送 VXLAN 流量以提供安全措施。
. 此外，VXLAN 需要在这些覆盖网络中正确映射 VNI 和 VM 成员资格。期望使用现有安全方法完成此映射并将其传送到 VTEP 和网关上的管理实体。
来源：RFC 7348

区域网路上的 EAP（EAP over LAN）

-EAP 和 802.1X
IEEE 802.1X 是基於端口的网络访问控制 (PNAC) 的 IEEE 标准。它是 IEEE 802.1 网络协议组的一部分。它为希望连接到 LAN 或 WLAN 的设备提供身份验证机制。
IEEE 802.1X 定义了基於 IEEE 802.11 的可扩展身份验证协议 (EAP) 的封装，称为“EAP over LAN”或 EAPOL。EAPOL 最初是为 802.1X-2001 中的 IEEE 802.3 以太网设计的，但在 802.1X-2001 中被阐明以适合其他 IEEE 802 LAN 技术，例如 IEEE 802.11 无线和光纤分布式数据接口（ANSI X3T9.5/X3T12 和 ISO 9314） . 在 802.1X-2010 中，EAPOL 也经过修改以与 IEEE 802.1AE（“MACsec”）和 IEEE 802.1AR（安全设备身份，DevID）一起使用，以支持内部 LAN 段上的服务识别和可选的点对点加密。
资料来源：维基百科

参考
. 虚拟可扩展区域网路 (VXLAN)：在第 3 层网络上覆盖虚拟化第 2 层网络的框架 (RFC 7348)
. 虚拟可扩展 LAN（维基百科）
. 什麽是 VXLAN？（Juniper）
. 底层网络和覆盖网络
. 网络工程师对虚拟可扩展区域网路 (VXLAN) 的看法
. TOR、EOR 和 MOR 是什麽意思？
. 数据中心架构中流行的 ToR 和 ToR 交换机
. 虚拟区域网路 | 第 1 部分 – VxLAN 的工作原理 (YouTube)
. VXLAN 介绍 (YouTube)
. SD-WAN 的基础知识
. 私有VLAN
. 虚拟可扩展区域网路
. RFC 7348：虚拟可扩展区域网路 (VXLAN)：在第 3 层网络上覆盖虚拟化第 2 层网络的框架

资料来源： Wentz Wu QOTD-20210804
My Blog: https://choson.lifenet.com.tw/