Zuletzt aktualisiert am 06.12.2025 7 Minuten Lesezeit

VXLAN

VXLAN (Virtual Extensible LAN) ist ein Netzwerk-Virtualisierungsprotokoll, das Layer-2-Ethernet-Frames in Layer-4-UDP-Pakete kapselt. Dadurch lassen sich virtuelle Layer-2-Netzwerke über eine bestehende IP-Infrastruktur (Layer 3) aufspannen. Der Standard wurde im RFC 7348 definiert und von VMware, Cisco, Arista und anderen Unternehmen gemeinsam entwickelt.

Das Hauptproblem, das VXLAN löst, ist die Begrenzung klassischer VLANs auf maximal 4.094 Segmente. Mit einem 24-Bit-Identifier ermöglicht VXLAN rund 16 Millionen isolierte Netzwerksegmente. Das macht es besonders attraktiv für große Rechenzentren und Cloud-Umgebungen, in denen viele Mandanten (Tenants) voneinander getrennte Netzwerke benötigen.

Das Konzept des Overlay-Netzwerks

VXLAN basiert auf dem Prinzip eines Overlay-Netzwerks. Dabei wird ein virtuelles Netzwerk über ein bestehendes physisches Netzwerk gelegt. Man unterscheidet zwei Schichten:

  • Underlay-Netzwerk: Das physische IP-Netzwerk (Layer 3), das die eigentliche Datenübertragung übernimmt. Es besteht aus Routern, Switches und der vorhandenen Netzwerkinfrastruktur.
  • Overlay-Netzwerk: Das virtuelle Layer-2-Netzwerk, das durch VXLAN-Tunnel über das Underlay aufgespannt wird. Für die Endgeräte im Overlay erscheint es so, als befänden sie sich im selben lokalen Netzwerk.

Der große Vorteil dieser Trennung liegt in der Flexibilität. Du kannst das Overlay-Netzwerk unabhängig vom physischen Netzwerk gestalten. Virtuelle Maschinen oder Container können ihre IP-Adresse behalten, selbst wenn sie auf einen anderen physischen Server migriert werden – solange beide Server Teil desselben VXLAN-Segments sind.

Funktionsweise von VXLAN

VXLAN kapselt komplette Ethernet-Frames in UDP-Pakete. Dieser Vorgang wird als MAC-in-UDP-Kapselung bezeichnet. Der ursprüngliche Frame bleibt dabei vollständig erhalten und wird durch zusätzliche Header erweitert.

Der VXLAN-Tunnel-Endpoint (VTEP)

Die zentrale Komponente in einer VXLAN-Architektur ist der VTEP (VXLAN Tunnel Endpoint). Er bildet die Schnittstelle zwischen dem lokalen Layer-2-Netzwerk und dem VXLAN-Overlay. Ein VTEP kann in einem physischen Switch, in einem Hypervisor oder als Software-Appliance implementiert sein.

Jeder VTEP besitzt zwei Schnittstellen: eine zum lokalen Netzwerk (Layer 2) und eine zum Underlay-Netzwerk (Layer 3). Auf der lokalen Seite empfängt er Ethernet-Frames von virtuellen Maschinen oder physischen Geräten. Diese Frames kapselt er in VXLAN-Pakete und sendet sie über das IP-Netzwerk an den Ziel-VTEP.

Der Kapselungsprozess

Wenn ein Gerät innerhalb eines VXLAN-Segments Daten an ein anderes Gerät im selben Segment senden möchte, läuft folgender Prozess ab:

  1. Das Quellgerät sendet einen normalen Ethernet-Frame an den lokalen VTEP
  2. Der VTEP prüft die Ziel-MAC-Adresse und ermittelt den zuständigen Remote-VTEP
  3. Der ursprüngliche Frame wird mit einem VXLAN-Header versehen, der die VNI enthält
  4. Ein UDP-Header wird hinzugefügt (Standard-Port 4789)
  5. Ein äußerer IP-Header mit Quell- und Ziel-VTEP-Adresse wird ergänzt
  6. Ein äußerer Ethernet-Header für das Underlay-Netzwerk komplettiert das Paket
  7. Das gekapselte Paket wird über das IP-Netzwerk zum Ziel-VTEP gesendet
  8. Der Ziel-VTEP entfernt alle äußeren Header und liefert den Original-Frame aus

Das VXLAN-Paketformat

Ein VXLAN-Paket besteht aus mehreren Schichten von Headern, die den ursprünglichen Ethernet-Frame umschließen. Der VXLAN-Header selbst ist 8 Byte groß und enthält wichtige Steuerinformationen.

+----------------------------------+
| Äußerer Ethernet-Header          |
+----------------------------------+
| Äußerer IP-Header                |
| (Quell-VTEP → Ziel-VTEP)        |
+----------------------------------+
| UDP-Header (Port 4789)           |
+----------------------------------+
| VXLAN-Header (8 Byte)            |
| - Flags (8 Bit)                  |
| - Reserved (24 Bit)              |
| - VNI (24 Bit)                   |
| - Reserved (8 Bit)               |
+----------------------------------+
| Originaler Ethernet-Frame        |
| (innerer Frame)                  |
+----------------------------------+

Die VNI (VXLAN Network Identifier)

Die VNI (auch VNID genannt) ist das Herzstück der VXLAN-Segmentierung. Mit 24 Bit Länge ermöglicht sie bis zu 16.777.216 eindeutige Netzwerksegmente. Jedes VXLAN-Segment verhält sich wie ein eigenständiges LAN mit eigener Broadcast-Domäne.

Die VNI erfüllt eine ähnliche Funktion wie die VLAN-ID bei klassischen VLANs, bietet aber eine deutlich höhere Skalierbarkeit. In Multi-Tenant-Umgebungen erhält jeder Mandant eine oder mehrere eigene VNIs, wodurch eine vollständige Isolation der Netzwerke gewährleistet wird.

Vergleich: VXLAN vs. VLAN

VXLAN und VLAN dienen beide der Netzwerksegmentierung, unterscheiden sich aber grundlegend in Architektur und Einsatzbereich. Während VLANs auf Layer 2 arbeiten und physisch an die Switch-Infrastruktur gebunden sind, nutzt VXLAN IP-Routing und kann damit geografisch verteilte Standorte verbinden.

Aspekt VLAN VXLAN
Segment-ID 12 Bit (4.094) 24 Bit (16 Mio.)
Protokollschicht Layer 2 Layer 2 über Layer 3
Reichweite Lokales Netzwerk Über IP-Netzwerke hinweg
Standard IEEE 802.1Q RFC 7348
Kapselung VLAN-Tag im Frame MAC-in-UDP
Typischer Einsatz Campus-Netzwerke Rechenzentren, Cloud

VXLAN ersetzt VLANs nicht, sondern ergänzt sie. In vielen Architekturen werden lokale VLANs verwendet und über VXLAN zwischen Standorten verbunden. Die VNI kann dabei direkt einer VLAN-ID zugeordnet werden, was die Konfiguration vereinfacht.

Control-Plane-Optionen

RFC 7348 definiert nur das Datenformat (Data Plane), nicht aber die Steuerungsmechanismen (Control Plane). Für das Lernen der MAC-Adressen und die Zuordnung zu VTEPs gibt es verschiedene Ansätze:

Multicast-basiertes Flood-and-Learn

Bei diesem Verfahren wird jeder VNI einer Multicast-Gruppe zugeordnet. Broadcast-, Unknown-Unicast- und Multicast-Traffic (BUM) wird an diese Gruppe gesendet. VTEPs lernen die MAC-zu-VTEP-Zuordnungen aus dem Datenverkehr. Dieser Ansatz ist einfach zu implementieren, erfordert aber Multicast-Unterstützung im Underlay-Netzwerk.

BGP EVPN als moderne Control Plane

EVPN (Ethernet VPN) mit BGP hat sich als bevorzugte Control-Plane-Lösung etabliert. Dabei tauschen die VTEPs MAC-Adressinformationen über BGP aus. Das eliminiert Flooding und ermöglicht effizientes Routing zwischen verschiedenen VNIs. Die Kombination VXLAN + BGP EVPN ist heute der De-facto-Standard in modernen Leaf-Spine-Rechenzentren.

VXLAN in der Praxis

VXLAN kommt primär in drei Szenarien zum Einsatz:

  • Cloud-Rechenzentren: Große Cloud-Anbieter nutzen VXLAN, um Tausende von Kunden auf gemeinsamer Hardware zu isolieren. Jeder Kunde erhält eigene VNIs und damit ein vollständig separates virtuelles Netzwerk.
  • Rechenzentrum-Verbindungen: VXLAN ermöglicht die Ausdehnung von Layer-2-Segmenten über mehrere Standorte hinweg. Das ist wichtig für Disaster Recovery und Live-Migration von virtuellen Maschinen.
  • Software Defined Networking (SDN): SDN-Plattformen wie VMware NSX oder OpenStack Neutron setzen VXLAN für die Netzwerkvirtualisierung ein.

Ein typisches Anwendungsbeispiel: Eine virtuelle Maschine in Rechenzentrum A soll in Rechenzentrum B migriert werden. Mit VXLAN behält die VM ihre IP-Adresse und MAC-Adresse. Für Anwendungen und andere VMs im gleichen VXLAN-Segment ändert sich nichts – der Netzwerkverkehr wird automatisch zum neuen Standort umgeleitet.

Vorteile und Herausforderungen

VXLAN bietet gegenüber klassischen Netzwerkarchitekturen erhebliche Vorteile, bringt aber auch spezifische Herausforderungen mit sich.

Vorteile

  • Massive Skalierbarkeit: Bis zu 16 Millionen Segmente statt nur 4.094 bei VLANs
  • Standortunabhängigkeit: Layer-2-Konnektivität über beliebige IP-Netzwerke
  • Workload-Mobilität: VMs und Container können ohne Netzwerkänderungen migriert werden
  • Multi-Tenancy: Perfekte Isolation zwischen Mandanten in Cloud-Umgebungen
  • Nutzung bestehender Infrastruktur: Das Underlay-Netzwerk benötigt nur IP-Routing

Herausforderungen

  • Erhöhter Overhead: Die zusätzlichen Header vergrößern jedes Paket um 50 Byte
  • MTU-Problematik: Die MTU muss im Underlay entsprechend erhöht werden (Jumbo Frames empfohlen)
  • Komplexität: Fehlersuche ist schwieriger, da zwei Netzwerkschichten zu berücksichtigen sind
  • Control-Plane-Konfiguration: Ohne BGP EVPN ist die Skalierung begrenzt

Trotz dieser Herausforderungen hat sich VXLAN als Industriestandard für Netzwerkvirtualisierung durchgesetzt. Die Vorteile überwiegen in den typischen Einsatzszenarien deutlich.

VXLAN in der IT-Praxis

Als Fachinformatiker für Systemintegration begegnest du VXLAN vor allem in modernen Rechenzentrumsumgebungen und bei Cloud-Projekten. Die Technologie wird häufig zusammen mit SDN-Lösungen wie VMware NSX, Cisco ACI oder Open vSwitch eingesetzt.

Für die Fehleranalyse in VXLAN-Umgebungen ist ein gutes Verständnis der Kapselungsmechanismen wichtig. Tools wie Wireshark können VXLAN-Pakete dekodieren und sowohl die äußeren als auch die inneren Header anzeigen. Das hilft bei der Diagnose von Verbindungsproblemen zwischen VTEPs.

Quellen und weiterführende Links

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.