IPAから情報セキュリティ技術動向調査（2011 年下期）が公開された。
情報セキュリティ技術動向調査（2011 年下期）：IPA 独立行政法人 情報処理推進機構
報告書全体のPDFはこちら
http://www.ipa.go.jp/security/fy23/reports/tech1-tg/documents/2011b-013.pdf

この中で特に、
「6. クラウドコンピューティングセキュリティ- VXLAN／NVGREによるネットワーク分離」
のドキュメントが、それぞれをざっくり学ぶのに適した記事だったのでメモ。
情報セキュリティ技術動向調査（2011 年下期）：IPA 独立行政法人 情報処理推進機構

クラウドコンピューティングという言葉が大流行りしている現在だが、
クラウド化に伴い複数テナントを1つのDCで収容するという要件が増える。
それに伴い、VLAN ID（最大4094個）の枯渇と、
L3デバイスがある環境でL2のライブマイグレーションのニーズが高まり、
従来のL2,L3技術だけだと実現が困難となる。
それらを解決するための技術として期待されている、VXLANとNVGREの解説が分かりやすく書いてある。

要はデータセンタ内のL2拡張技術なので、これを「セキュリティ」の切り口で語る事に
個人的には疑問を感じるが、もともとVLANも、論理分割＝セキュリティみたいな切り口で
語られていたりするので、そういうものなのだろうか。

上記事を個人的にまとめると、
VXLANとNVGREを比較した際に、同じと言えるポイントは以下。

• ヘッダのオーバーヘッド分、MTUサイズの考慮が必要。両技術ともVLAN拡張のため24bitの拡張ヘッダを利用。IDはVNIまたはTNI。タグのオーバーヘッドはVXLAN:48byte、NVGRE:40byte
• 仮想スイッチ間でトンネリングするため、途中経路のデバイスは各技術に対応している必要なし。
• 途中のインフラでマルチキャスト(&ブロードキャスト)対応の必要あり

違いは以下。

• カプセル化方式の違い。VXLAN:独自(UDP)、NVGRE:GRE
• NVGREはECMP（Equal-Cost Multi-Path）でロードバランシングに偏りが生じる場合がある
• 実装された製品が出るスピードの違い。VXLANはVMWareのvSwitch,Ciscoの仮想スイッチであるNexus1000Vで対応予定。既に対応済み。(2012/3/16追記)
• IETFドラフトを書いている連合軍の違い。VXLANはVMware、Cisco、Arista、Broadcom、Citrix、Red Hat。NVGREはMicrosoft、Arista、Intel、Dell、HP、Broadcom、Emulex。