Aby omówić bramy VXLAN, musimy najpierw omówić samą sieć VXLAN. Przypomnijmy, że tradycyjne sieci VLAN (Virtual Local Area Networks) używają 12-bitowych identyfikatorów VLAN do podziału sieci, obsługując do 4096 sieci logicznych. Działa to dobrze w przypadku małych sieci, ale w nowoczesnych centrach danych, z tysiącami maszyn wirtualnych, kontenerów i środowisk wielodostępnych, sieci VLAN są niewystarczające. Sieć VXLAN powstała, zdefiniowana przez Internet Engineering Task Force (IETF) w dokumencie RFC 7348. Jej celem jest rozszerzenie domeny rozgłoszeniowej warstwy 2 (Ethernet) na sieci warstwy 3 (IP) za pomocą tuneli UDP.
Mówiąc najprościej, VXLAN kapsułkuje ramki Ethernet w pakietach UDP i dodaje 24-bitowy identyfikator sieci VXLAN (VNI), teoretycznie obsługując 16 milionów sieci wirtualnych. To tak, jakby dać każdej sieci wirtualnej „kartę identyfikacyjną”, umożliwiającą im swobodne poruszanie się w sieci fizycznej bez zakłócania się nawzajem. Głównym elementem VXLAN jest punkt końcowy tunelu VXLAN (VTEP), który odpowiada za enkapsulację i dekapsulację pakietów. VTEP może być programowy (np. Open vSwitch) lub sprzętowy (np. układ ASIC w przełączniku).
Dlaczego VXLAN jest tak popularny? Ponieważ idealnie wpisuje się w potrzeby przetwarzania w chmurze i sieci definiowanych programowo (SDN). W chmurach publicznych, takich jak AWS i Azure, VXLAN umożliwia płynną rozbudowę wirtualnych sieci użytkowników. W prywatnych centrach danych obsługuje architektury sieci nakładkowych, takie jak VMware NSX lub Cisco ACI. Wyobraź sobie centrum danych z tysiącami serwerów, z których każdy obsługuje dziesiątki maszyn wirtualnych (VM). VXLAN pozwala tym maszynom wirtualnym postrzegać siebie jako część tej samej sieci warstwy 2, zapewniając płynną transmisję rozgłoszeń ARP i żądań DHCP.
Jednak VXLAN nie jest panaceum. Działanie w sieci L3 wymaga konwersji L2 do L3, do czego właśnie służy brama. Brama VXLAN łączy wirtualną sieć VXLAN z sieciami zewnętrznymi (takimi jak tradycyjne sieci VLAN lub sieci routingu IP), zapewniając przepływ danych ze świata wirtualnego do rzeczywistego. Mechanizm przekazywania jest sercem i duszą bramy, określając sposób przetwarzania, trasowania i dystrybucji pakietów.
Proces przekazywania VXLAN przypomina delikatny balet, w którym każdy krok od źródła do celu jest ściśle powiązany. Omówmy go krok po kroku.
Najpierw z hosta źródłowego (np. maszyny wirtualnej) wysyłany jest pakiet. Jest to standardowa ramka Ethernet zawierająca źródłowy adres MAC, docelowy adres MAC, znacznik VLAN (jeśli istnieje) oraz ładunek. Po odebraniu tej ramki źródłowy procesor VTEP sprawdza docelowy adres MAC. Jeśli docelowy adres MAC znajduje się w jego tablicy MAC (uzyskanej poprzez uczenie się lub rozpływ), procesor wie, do którego zdalnego procesora VTEP przekazać pakiet.
Proces enkapsulacji jest kluczowy: VTEP dodaje nagłówek VXLAN (w tym VNI, flagi itd.), następnie zewnętrzny nagłówek UDP (z portem źródłowym opartym na hashu ramki wewnętrznej i stałym portem docelowym 4789), nagłówek IP (ze źródłowym adresem IP lokalnego VTEP i docelowym adresem IP zdalnego VTEP) i na końcu zewnętrzny nagłówek Ethernet. Cały pakiet wygląda teraz jak pakiet UDP/IP, wygląda jak normalny ruch i może być kierowany w sieci L3.
W sieci fizycznej pakiet jest przesyłany przez router lub przełącznik, aż dotrze do docelowego punktu VTEP. Docelowy punkt VTEP usuwa zewnętrzny nagłówek, sprawdza nagłówek VXLAN, aby upewnić się, że VNI jest zgodny, a następnie dostarcza wewnętrzną ramkę Ethernet do hosta docelowego. Jeśli pakiet jest nieznanym ruchem jednokierunkowym, rozgłoszeniowym lub wielokierunkowym (BUM), punkt VTEP replikuje go do wszystkich odpowiednich punktów VTEP za pomocą rozlewania, opierając się na grupach wielokierunkowych lub replikacji nagłówków jednokierunkowych (HER).
Podstawą zasady przekazywania pakietów jest oddzielenie płaszczyzny sterowania od płaszczyzny danych. Płaszczyzna sterowania wykorzystuje Ethernet VPN (EVPN) lub mechanizm Flood and Learn do uczenia się mapowań adresów MAC i IP. EVPN opiera się na protokole BGP i umożliwia platformom VTEP wymianę informacji o routingu, takich jak MAC-VRF (Virtual Routing and Forwarding) oraz IP-VRF. Płaszczyzna danych odpowiada za faktyczne przekazywanie pakietów, wykorzystując tunele VXLAN dla zapewnienia wydajnej transmisji.
Jednak w rzeczywistych wdrożeniach efektywność przekazywania pakietów bezpośrednio wpływa na wydajność. Tradycyjne rozlewanie pakietów (flooding) może łatwo wywołać burze rozgłoszeniowe, szczególnie w dużych sieciach. Prowadzi to do konieczności optymalizacji bram: bramy nie tylko łączą sieci wewnętrzne i zewnętrzne, ale także działają jako agenci proxy ARP, obsługują wycieki tras i zapewniają najkrótsze ścieżki przekazywania.
Centralna brama VXLAN
Scentralizowana brama VXLAN, zwana również bramą scentralizowaną lub bramą L3, jest zazwyczaj wdrażana na krawędzi lub w warstwie rdzeniowej centrum danych. Działa jako centralny hub, przez który musi przechodzić cały ruch między sieciami VNI lub między podsieciami.
Zasadniczo scentralizowana brama działa jako brama domyślna, zapewniając usługi routingu warstwy 3 dla wszystkich sieci VXLAN. Rozważmy dwie maszyny wirtualne (VNI): VNI 10000 (podsieć 10.1.1.0/24) i VNI 20000 (podsieć 10.2.1.0/24). Jeśli maszyna wirtualna A w VNI 10000 chce uzyskać dostęp do maszyny wirtualnej B w VNI 20000, pakiet najpierw dociera do lokalnego punktu dostępowego (VTEP). Lokalny punkt dostępowy (VTEP) wykrywa, że docelowy adres IP nie znajduje się w lokalnej podsieci i przekazuje go do scentralizowanej bramy. Brama dekapsuluje pakiet, podejmuje decyzję o routingu, a następnie ponownie kapsułkuje pakiet w tunelu do docelowego punktu dostępowego (VNI).
Zalety są oczywiste:
○ Proste zarządzanieWszystkie konfiguracje routingu są scentralizowane na jednym lub dwóch urządzeniach, co pozwala operatorom utrzymywać tylko kilka bram, aby objąć całą sieć. Takie podejście jest odpowiednie dla małych i średnich centrów danych lub środowisk wdrażających VXLAN po raz pierwszy.
○Efektywne wykorzystanie zasobówBramy to zazwyczaj wydajne urządzenia sprzętowe (takie jak Cisco Nexus 9000 lub Arista 7050), zdolne do obsługi ogromnego ruchu. Płaszczyzna sterowania jest scentralizowana, co ułatwia integrację z kontrolerami SDN, takimi jak NSX Manager.
○Silna kontrola bezpieczeństwaRuch musi przechodzić przez bramę, co ułatwia implementację list kontroli dostępu (ACL), zapór sieciowych i NAT. Wyobraź sobie scenariusz z wieloma dzierżawcami, w którym scentralizowana brama może łatwo odizolować ruch dzierżawców.
Ale nie można ignorować niedociągnięć:
○ Pojedynczy punkt awariiW przypadku awarii bramy komunikacja L3 w całej sieci zostaje sparaliżowana. Chociaż protokół VRRP (Virtual Router Redundancy Protocol) może być używany do zapewnienia redundancji, nadal wiąże się to z ryzykiem.
○Wąskie gardło wydajnościCały ruch wschód-zachód (komunikacja między serwerami) musi omijać bramę, co skutkuje nieoptymalną ścieżką. Na przykład, w klastrze 1000 węzłów, jeśli przepustowość bramy wynosi 100 Gb/s, przeciążenie prawdopodobnie wystąpi w godzinach szczytu.
○Słaba skalowalnośćWraz ze wzrostem skali sieci obciążenie bramy rośnie wykładniczo. W realnym przykładzie widziałem centrum danych finansowych korzystające ze scentralizowanej bramy. Początkowo działało płynnie, ale po podwojeniu liczby maszyn wirtualnych opóźnienie gwałtownie wzrosło z mikrosekund do milisekund.
Scenariusz zastosowania: Odpowiedni dla środowisk wymagających wysokiego poziomu prostoty zarządzania, takich jak prywatne chmury korporacyjne lub sieci testowe. Architektura ACI firmy Cisco często wykorzystuje model scentralizowany w połączeniu z topologią Leaf-Spine, aby zapewnić wydajne działanie bram sieciowych.
Rozproszona brama VXLAN
Rozproszona brama VXLAN, znana również jako brama rozproszona lub brama anycast, przekazuje funkcjonalność bramy do każdego przełącznika-liścia lub hiperwizora VTEP. Każdy VTEP działa jako brama lokalna, obsługując przekazywanie pakietów L3 dla lokalnej podsieci.
Zasada jest bardziej elastyczna: każdy VTEP jest konfigurowany z tym samym wirtualnym adresem IP (VIP) co brama domyślna, wykorzystując mechanizm Anycast. Pakiety między podsieciami wysyłane przez maszyny wirtualne są kierowane bezpośrednio do lokalnego VTEP, bez konieczności przechodzenia przez punkt centralny. EVPN jest tutaj szczególnie przydatny: poprzez BGP EVPN, VTEP uczy się tras zdalnych hostów i wykorzystuje powiązanie MAC/IP, aby uniknąć rozlewania ARP.
Na przykład maszyna wirtualna A (10.1.1.10) chce uzyskać dostęp do maszyny wirtualnej B (10.2.1.10). Domyślną bramą maszyny wirtualnej A jest adres VIP lokalnego punktu dostępowego VTEP (10.1.1.1). Lokalny punkt dostępowy VTEP kieruje pakiet do podsieci docelowej, hermetyzuje pakiet VXLAN i wysyła go bezpośrednio do punktu dostępowego VTEP maszyny wirtualnej B. Ten proces minimalizuje długość ścieżki i opóźnienie.
Wyjątkowe zalety:
○ Wysoka skalowalnośćDystrybucja funkcjonalności bramy do każdego węzła zwiększa rozmiar sieci, co jest korzystne w przypadku większych sieci. Duzi dostawcy usług w chmurze, tacy jak Google Cloud, używają podobnego mechanizmu do obsługi milionów maszyn wirtualnych.
○Wyższa wydajnośćRuch wschód-zachód jest przetwarzany lokalnie, aby uniknąć wąskich gardeł. Dane testowe pokazują, że przepustowość może wzrosnąć o 30–50% w trybie rozproszonym.
○Szybkie odzyskiwanie błędówPojedyncza awaria VTEP wpływa tylko na hosta lokalnego, pozostawiając inne węzły bez zmian. W połączeniu z szybką konwergencją EVPN, czas odzyskiwania danych wynosi kilka sekund.
○Dobre wykorzystanie zasobówWykorzystaj istniejący układ ASIC przełącznika Leaf do przyspieszenia sprzętowego, z szybkością przekazywania danych sięgającą poziomu Tbps.
Jakie są wady?
○ Konfiguracja złożonaKażdy VTEP wymaga konfiguracji routingu, EVPN i innych funkcji, co sprawia, że początkowe wdrożenie jest czasochłonne. Zespół operacyjny musi znać protokoły BGP i SDN.
○Wysokie wymagania sprzętoweBrama rozproszona: Nie wszystkie przełączniki obsługują bramy rozproszone; wymagane są układy Broadcom Trident lub Tomahawk. Implementacje programowe (takie jak OVS na KVM) nie działają tak dobrze, jak sprzętowe.
○Wyzwania związane ze spójnościąRozproszony oznacza, że synchronizacja stanu opiera się na EVPN. Jeśli sesja BGP ulega wahaniom, może to spowodować czarną dziurę w routingu.
Scenariusz zastosowania: Idealny dla hiperskalowalnych centrów danych lub chmur publicznych. Typowym przykładem jest rozproszony router VMware NSX-T. W połączeniu z Kubernetes, bezproblemowo obsługuje on sieci kontenerowe.
Centralna brama VxLAN kontra rozproszona brama VxLAN
A teraz kulminacja: co jest lepsze? Odpowiedź brzmi: „to zależy”, ale musimy zagłębić się w dane i studia przypadków, żeby Cię przekonać.
Z punktu widzenia wydajności, systemy rozproszone zdecydowanie przewyższają je pod względem wydajności. W typowym benchmarku centrum danych (opartym na sprzęcie testowym Spirent), średnie opóźnienie scentralizowanej bramy wyniosło 150 μs, podczas gdy w systemie rozproszonym zaledwie 50 μs. Pod względem przepustowości, systemy rozproszone mogą z łatwością realizować przekazywanie z prędkością łącza, ponieważ wykorzystują routing wielościeżkowy o równym koszcie (ECMP) typu Spine-Leaf.
Skalowalność to kolejne pole bitwy. Sieci scentralizowane sprawdzają się w sieciach liczących 100–500 węzłów; powyżej tej skali przewagę zyskują sieci rozproszone. Weźmy na przykład Alibaba Cloud. Ich VPC (wirtualna chmura prywatna) wykorzystuje rozproszone bramy VXLAN do obsługi milionów użytkowników na całym świecie, z opóźnieniem w jednym regionie poniżej 1 ms. Scentralizowane podejście dawno by upadło.
A co z kosztami? Rozwiązanie scentralizowane oferuje niższe początkowe nakłady inwestycyjne, wymagając jedynie kilku zaawansowanych bram. Rozwiązanie rozproszone wymaga, aby wszystkie węzły liściowe obsługiwały odciążenie VXLAN, co prowadzi do wyższych kosztów modernizacji sprzętu. Jednak w dłuższej perspektywie rozwiązanie rozproszone oferuje niższe koszty eksploatacji i utrzymania (O&M), ponieważ narzędzia automatyzacji, takie jak Ansible, umożliwiają konfigurację wsadową.
Bezpieczeństwo i niezawodność: Systemy scentralizowane ułatwiają scentralizowaną ochronę, ale stwarzają wysokie ryzyko pojedynczych punktów ataku. Systemy rozproszone są bardziej odporne, ale wymagają solidnej płaszczyzny sterowania, aby zapobiegać atakom DDoS.
Studium przypadku z życia wzięte: Firma e-commerce wykorzystała scentralizowaną sieć VXLAN do budowy swojej witryny. W okresach szczytowych obciążenie procesora bramy wzrosło do 90%, co doprowadziło do skarg użytkowników na opóźnienia. Przejście na model rozproszony rozwiązało ten problem, umożliwiając firmie łatwe podwojenie skali działalności. Z kolei mały bank nalegał na model scentralizowany, ponieważ priorytetowo traktował audyty zgodności i uznał scentralizowane zarządzanie za łatwiejsze.
Ogólnie rzecz biorąc, jeśli zależy Ci na ekstremalnej wydajności i skalowalności sieci, najlepszym rozwiązaniem będzie podejście rozproszone. Jeśli Twój budżet jest ograniczony, a zespół zarządzający nie ma doświadczenia, bardziej praktyczne jest podejście scentralizowane. W przyszłości, wraz z rozwojem technologii 5G i przetwarzania brzegowego, sieci rozproszone staną się bardziej popularne, ale sieci scentralizowane nadal będą przydatne w określonych scenariuszach, takich jak łączność między oddziałami.
Brokerzy pakietów sieciowych Mylinking™obsługa VxLAN, VLAN, GRE, usuwania nagłówków MPLS
Obsługiwano nagłówek VxLAN, VLAN, GRE, MPLS usunięty z oryginalnego pakietu danych i przekazanego wyjścia.
Czas publikacji: 09.10.2025
