VXLAN (Virtual Extensible Local Area Network) es un protocolo de superposición de redes ideado para transportar tráfico de capa de enlace de datos sobre la capa de red, concretamente tráfico Ethernet sobre redes IP empleando encapsulación MAC-in-UDP.
1. Introducción a VXLAN
1.1 ¿Qué es VXLAN?
VXLAN (Virtual Extensible LAN) es un protocolo de encapsulamiento de red diseñado para superar las limitaciones de las VLAN tradicionales, permitiendo crear redes virtuales superpuestas sobre infraestructuras IP estándares.
VLAN tradicional: 12 bits para el identificador (VLAN ID), soportando hasta 4,096 redes lógicas.
VXLAN: 24 bits para el identificador (VNI), soportando hasta 16 millones de redes virtuales.
VXLAN se utiliza en centros de datos, nubes públicas y privadas, y virtualización de redes, siendo fundamental en arquitecturas SDN (Software Defined Networking).
2. Necesidad de VXLAN: Limitaciones de VLAN
2.1 Escalabilidad
Las VLAN tradicionales presentan dos grandes limitaciones:
Tope de 4,096 VLANs (por la longitud de 12 bits del campo VLAN ID).
Dependencia de la infraestructura física: Para extender una VLAN (Layer 2), necesitas puentes (trunk ports) y configuraciones directas en switches.
2.2 Casos reales donde VLAN se queda corta:
Grandes centros de datos con miles de clientes y aplicaciones.
Arquitecturas multi-tenant (multiempresa) donde cada cliente necesita su propio aislamiento de red.
Machine-to-Machine industrial: múltiples células, robots o PLCs que requieren segmentación avanzada.
3. Fundamentos técnicos de VXLAN
3.1 ¿Cómo funciona VXLAN?
VXLAN encapsula tramas Ethernet originales en paquetes UDP sobre IP, permitiendo transportar tráfico de capa 2 sobre redes IP (capa 3):
Original (Ethernet)→VXLAN Encapsulation→UDP/IP PacketOriginal (Ethernet)→VXLAN Encapsulation→UDP/IP Packet
La encapsulación agrega una cabecera VXLAN (8 bytes) y una cabecera UDP/IP, permitiendo atravesar redes IP convencionales.
3.2 Estructura del paquete VXLAN
Payload: Trama Ethernet original.
VXLAN Header: Incluye el VNI (Virtual Network Identifier).
UDP Header: Utiliza normalmente el puerto 4789 (IANA).
IP Header: Puede ser IPv4 o IPv6.
3.3 Componentes clave
VTEPs (VXLAN Tunnel Endpoints): Dispositivos que encapsulan/desencapsulan las tramas. Pueden ser switches físicos, routers, servidores virtuales o appliances industriales.
VNI (VXLAN Network Identifier): Identificador único de red virtual (como un VLAN ID extendido).
4. Arquitectura VXLAN
4.1 Topología básica
Imagina dos servidores virtuales en redes físicas separadas, cada uno conectado a un switch capaz de operar como VTEP:
text[Server A]---[VTEP A]=====(IP WAN)=====[VTEP B]---[Server B]
Server A envía un paquete a Server B
VTEP A encapsula el paquete Ethernet en VXLAN y lo transmite sobre UDP/IP
VTEP B recibe el paquete, lo desencapsula y lo pasa a Server B como si fuera Layer 2
4.2 Segmentación lógica
Cada red virtual creada por VXLAN es totalmente aislada y puede tener su propio espacio de direcciones, como las VLAN, pero a mayor escala.
Ejemplo:
VNI 10001: Red virtual del cliente ACME.
VNI 10002: Red virtual para robots de una fábrica.
5. Proceso de Encapsulación y Desencapsulación
Origen: El host envía una trama Ethernet (como haría en una LAN típica).
VTEP de entrada: El switch/servidor identifica a qué VNI pertenece el tráfico y lo encapsula en VXLAN.
Transporte: El paquete VXLAN viaja sobre UDP/IP por la infraestructura existente, incluso atravesando routers.
VTEP de destino: Recibe el paquete, lo desencapsula y lo entrega al host destino como trama Ethernet tradicional.
Diagrama simplificado
textHost A --VTEP--> [Trama Ethernet] -> [VXLAN-UDP/IP] -> [Trama Ethernet] --VTEP--> Host B
6. Tabla comparativa: VLAN vs VXLAN
Característica | VLAN | VXLAN |
|---|---|---|
Identificador | VLAN ID (12 bits, 4096 redes) | VNI (24 bits, 16 millones de redes) |
Encapsulamiento | Ninguno (trama Ethernet) | UDP/IP (over Layer 3) |
Extensión | Limitada a Layer 2 | Extiende a Layer 3 (IP WAN/Internet) |
Multi-tenancy | Limitada | Escalable, ideal para grandes cloud/fábricas |
Aislamiento | VLAN tagging | VXLAN tagging (mucho más espacio) |
Flexibilidad | Infraestructura física | Overlay virtual sobre IP |
7. Beneficios de VXLAN
Escalabilidad masiva: Hasta 16 millones de redes virtuales.
Agilidad: Fácil despliegue, modificación y desmantelamiento de redes virtuales sin cambios físicos.
Movilidad de cargas: VMs o dispositivos pueden moverse entre racks, centros de datos o fábricas sin perder conectividad Layer 2.
Seguridad: Aislamiento completo por VNI.
Interoperabilidad: Funciona sobre infraestructuras IP estándares (conmutadores, routers, SDN).
8. Caso práctico: Crear una red VXLAN entre dos sedes
8.1 Requisitos
Dos sedes con infraestructura de red IP (pueden ser ubicaciones industriales, oficinas o centros de datos).
Switches o routers capaces de funcionar como VTEP (ej.: Cisco, Arista, Teltonika, Robustel, Linux con FRR/OpenVSwitch).
Puertos TCP/UDP 4789 abiertos en firewalls.
8.2 Configuración básica en Linux (OpenVSwitch, ejemplo):
Instalar paquetes
bashsudo apt-get update sudo apt-get install openvswitch-switch
Crear bridge y interfaz VXLAN
bashsudo ovs-vsctl add-br brvxlan sudo ovs-vsctl add-port brvxlan vxlan0 -- set interface vxlan0 type=vxlan \ options:remote_ip=<IP_remoto> options:key=10001
<IP_remoto>: Dirección IP del VTEP remoto.key: VNI de la red virtual.
Enlazar VTEPs por IP WAN
Ambos extremos deben tener interfaces VXLAN configuradas apuntando al VTEP remoto, con el mismo VNI.
9. Integración con dispositivos industriales y SDN
En ambientes industriales (PLCs, robots, aplicaciones IoT):
Ventaja: VXLAN permite segmentar eficientemente diferentes áreas, células de robots, líneas de producción.
SDN: La programación de red (controladores SDN) puede gestionar dinámicamente los VNIs, asignando recursos virtuales dependiendo de la demanda.
10. Desafíos y consideraciones
10.1 MTU
La encapsulación VXLAN agrega cabeceras, por lo que el MTU efectivo disminuye (generalmente, por debajo de 1500 bytes).
Es recomendable aumentar el MTU en enlaces relevantes a 1600-9000 bytes si la infraestructura lo permite.
10.2 Seguridad
VXLAN no cifra por defecto; el tráfico puede ser encapsulado pero está sujeto a inspección por cualquier dispositivo intermedio.
Recomendada combinación con IPsec o VPNs para tráfico sensible entre VTEPs.
10.3 Multicast y Flooding
El aprendizaje de direcciones MAC puede requerir multicast o controladores centralizados (EVPN).
Para entornos industriales, mejor usar Headend Replication o controladores SDN para evitar saturación por multicast.
11. Automatización y despliegue en ambientes empresariales
Ansible: Puede automatizar la configuración de VXLAN en switches y routers.
EVPN (Ethernet VPN): Extiende VXLAN para aprendizaje distribuido de direcciones MAC, evitando usos de multicast.
SDN Controllers: Permiten gestionar miles de VNIs, migrar máquinas virtuales o segmentos IoT de manera flexible.
12. Ejemplo de configuración Cisco NX-OS
textfeature nv overlay interface nve1 no shutdown source-interface loopback0 host-reachability protocol bgp member vni 10001 ingress-replication protocol bgp
La configuración depende del modelo y fabricante, pero la lógica VXLAN es universal.
13. Diagnóstico y monitoreo
Herramientas como tcpdump, Wireshark y logs de switches permiten monitorizar el tráfico VXLAN.
Busca paquetes UDP con destino/puerto 4789.
Ejemplo en Linux:
bashsudo tcpdump -nn -i eth0 udp port 4789
14. Resumen de mejores prácticas
Documenta cada red virtual/VNI y su uso.
Ajusta el MTU para evitar fragmentación.
Usa automatización (Ansible/SDN) para despliegues masivos o frecuentemente cambiantes.
Paraleliza redes virtuales para mantener seguridad y segmentación en ambientes de alta densidad.
Monitoriza tráfico UDP/4789 y verifica la estabilidad de enlaces IP.
15. Conclusión
VXLAN llegó para quedarse y es fundamental en redes modernas, tanto empresariales como industriales. Permite escalar, segmentar, aislar y gestionar redes virtuales de forma flexible, eficiente y segura, superando las limitaciones de VLAN en todos los aspectos.
Si trabajabas solo con VLAN, con VXLAN abres la puerta a crear arquitecturas overlay mucho más complejas y potentes, extendiendo tus capacidades hacia el mundo de la virtualización, la automatización y la segmentación avanzada típica en sectores industriales, cloud y multi-tenancy.
En el siguiente enlace puedes ver cómo configurar un túnel VxLAN con dos routers Teltonika https://wiki.teltonika-networks.com/view/VXLAN_Configuration_Example
