За да ги дискутираме VXLAN порталите, прво мора да го дискутираме самиот VXLAN. Да потсетиме дека традиционалните VLAN (Виртуелни локални мрежи) користат 12-битни VLAN ID-а за да ги поделат мрежите, поддржувајќи до 4096 логички мрежи. Ова функционира добро за мали мрежи, но во современите центри за податоци, со нивните илјадници виртуелни машини, контејнери и повеќеслојни средини, VLAN-ите се недоволни. VXLAN е роден, дефиниран од Internet Engineering Task Force (IETF) во RFC 7348. Неговата цел е да го прошири доменот за емитување од Слој 2 (Ethernet) преку мрежи од Слој 3 (IP) користејќи UDP тунели.
Едноставно кажано, VXLAN ги енкапсулира Ethernet рамките во UDP пакетите и додава 24-битен VXLAN мрежен идентификатор (VNI), теоретски поддржувајќи 16 милиони виртуелни мрежи. Ова е како да им се даде на секоја виртуелна мрежа „лична карта“, дозволувајќи им слободно да се движат по физичката мрежа без да се мешаат едни со други. Основната компонента на VXLAN е VXLAN Tunnel End Point (VTEP), која е одговорна за енкапсулирање и декапсулирање на пакетите. VTEP може да биде софтвер (како што е Open vSwitch) или хардвер (како што е ASIC чипот на прекинувачот).
Зошто VXLAN е толку популарен? Бидејќи совршено се усогласува со потребите на cloud computing и SDN (Software-Defined Networking). Во јавни облаци како AWS и Azure, VXLAN овозможува непречено проширување на виртуелните мрежи на станарите. Во приватни центри за податоци, поддржува преклопни мрежни архитектури како VMware NSX или Cisco ACI. Замислете центар за податоци со илјадници сервери, од кои секој работи со десетици виртуелни машини (VM). VXLAN им овозможува на овие виртуелни машини да се перцепираат себеси како дел од истата мрежа од втор слој, обезбедувајќи непречен пренос на ARP емитувања и DHCP барања.
Сепак, VXLAN не е лек за сите проблеми. Работата на L3 мрежа бара конверзија од L2 во L3, каде што влегува во игра портата. VXLAN портата ја поврзува виртуелната мрежа VXLAN со надворешни мрежи (како што се традиционалните VLAN или IP рутирачки мрежи), обезбедувајќи проток на податоци од виртуелниот свет во реалниот свет. Механизмот за пренасочување е срцето и душата на портата, одредувајќи како пакетите се обработуваат, насочуваат и дистрибуираат.
Процесот на пренасочување на VXLAN е како деликатен балет, при што секој чекор од изворот до дестинацијата е тесно поврзан. Ајде да го разложиме чекор по чекор.
Прво, пакет се испраќа од изворниот домаќин (како што е виртуелна машина). Ова е стандардна Ethernet рамка што ги содржи изворната MAC адреса, одредишната MAC адреса, VLAN ознаката (доколку ја има) и товарот. По приемот на оваа рамка, изворниот VTEP ја проверува одредишната MAC адреса. Ако одредишната MAC адреса е во неговата MAC табела (добиена преку учење или поплавување), тој знае до кој оддалечен VTEP да го препрати пакетот.
Процесот на енкапсулација е клучен: VTEP додава VXLAN заглавие (вклучувајќи го VNI, знамиња и така натаму), потоа надворешен UDP заглавие (со изворен порт базиран на хеш на внатрешната рамка и фиксен одредишен порт од 4789), IP заглавие (со изворната IP адреса на локалниот VTEP и одредишната IP адреса на далечинскиот VTEP) и конечно надворешен Ethernet заглавие. Целиот пакет сега се појавува како UDP/IP пакет, изгледа како нормален сообраќај и може да се насочи на L3 мрежата.
На физичката мрежа, пакетот се препраќа преку рутер или прекинувач сè додека не стигне до одредишниот VTEP. Одредишниот VTEP го отстранува надворешниот заглавие, го проверува VXLAN заглавието за да се осигури дека VNI се совпаѓа, а потоа ја доставува внатрешната Ethernet рамка до одредишниот домаќин. Ако пакетот е непознат unicast, broadcast или multicast (BUM) сообраќај, VTEP го реплицира пакетот до сите релевантни VTEP користејќи поплавување, потпирајќи се на multicast групи или unicast репликација на заглавие (HER).
Јадрото на принципот на пренасочување е одвојувањето на контролната рамнина и рамнината на податоци. Контролната рамнина користи Ethernet VPN (EVPN) или механизмот Flood and Learn за учење на MAC и IP мапирања. EVPN е базиран на протоколот BGP и им овозможува на VTEP-ите да разменуваат информации за рутирање, како што се MAC-VRF (Виртуелно рутирање и пренасочување) и IP-VRF. Рамнината на податоци е одговорна за вистинското пренасочување, користејќи VXLAN тунели за ефикасен пренос.
Сепак, во реалните распоредувања, ефикасноста на пренасочувањето директно влијае на перформансите. Традиционалното пренасочување лесно може да предизвика бури од емитување, особено во големи мрежи. Ова води до потреба од оптимизација на порталите: порталите не само што ги поврзуваат внатрешните и надворешните мрежи, туку дејствуваат и како прокси ARP агенти, се справуваат со протекување на рутите и обезбедуваат најкратки патеки за пренасочување.
Централизиран VXLAN портал
Централизираниот VXLAN портал, исто така наречен централизиран портал или L3 портал, обично се распоредува на работ или јадрото на центарот за податоци. Тој делува како централен центар, низ кој мора да помине целиот сообраќај преку VNI или преку подмрежи.
Во принцип, централизираниот портал делува како стандарден портал, обезбедувајќи услуги за рутирање од Слој 3 за сите VXLAN мрежи. Разгледајте два VNI: VNI 10000 (подмрежа 10.1.1.0/24) и VNI 20000 (подмрежа 10.2.1.0/24). Ако VM A во VNI 10000 сака да пристапи до VM B во VNI 20000, пакетот прво стигнува до локалниот VTEP. Локалниот VTEP детектира дека IP адресата на дестинацијата не е на локалната подмрежа и ја препраќа до централизираниот портал. Порталот го декапсулира пакетот, донесува одлука за рутирање, а потоа повторно го капсулира пакетот во тунел до VNI на дестинацијата.
Предностите се очигледни:
○ Едноставно управувањеСите конфигурации за рутирање се централизирани на еден или два уреди, што им овозможува на операторите да одржуваат само неколку портали за да ја покријат целата мрежа. Овој пристап е погоден за мали и средни центри за податоци или средини каде што се имплементира VXLAN за прв пат.
○Ефикасно користење на ресурсиГејтвејите се типично високо-перформансен хардвер (како што се Cisco Nexus 9000 или Arista 7050) способен за справување со огромни количини на сообраќај. Контролната рамнина е централизирана, што олеснува интеграција со SDN контролери како што е NSX Manager.
○Силна безбедносна контролаСообраќајот мора да поминува низ порталот, олеснувајќи ја имплементацијата на ACL (листи за контрола на пристап), firewall-ови и NAT. Замислете сценарио со повеќе станари каде што централизиран портал може лесно да го изолира сообраќајот на станарите.
Но, недостатоците не можат да се игнорираат:
○ Единствена точка на грешкаАко портата откаже, комуникацијата L3 низ целата мрежа е парализирана. Иако VRRP (Virtual Router Redundancy Protocol - Протокол за редундантност на виртуелен рутер) може да се користи за редундантност, тој сè уште носи ризици.
○Тесно грло за перформансиЦелиот сообраќај исток-запад (комуникација меѓу серверите) мора да го заобиколи порталот, што резултира со неоптимална патека. На пример, во кластер од 1000 јазли, ако пропусниот опсег на порталот е 100 Gbps, веројатно е дека ќе се појави застој во текот на шпицот.
○Слаба скалабилностКако што расте обемот на мрежата, оптоварувањето на порталот се зголемува експоненцијално. Во пример од реалниот свет, видов центар за финансиски податоци кој користи централизиран портал. Првично, работеше непречено, но откако бројот на виртуелни машини се удвои, латенцијата се зголеми од микросекунди на милисекунди.
Сценарио на апликација: Погодно за средини кои бараат висока едноставност во управувањето, како што се приватни облаци на претпријатија или тест мрежи. ACI архитектурата на Cisco често користи централизиран модел, во комбинација со топологија leaf-spine, за да се обезбеди ефикасно работење на основните портали.
Дистрибуиран VXLAN портал
Дистрибуирана VXLAN порта, позната и како дистрибуирана порта или anycast порта, ја префрла функционалноста на порта на секој leaf switch или хипервизор VTEP. Секој VTEP делува како локална порта, ракувајќи со L3 пренасочување за локалната подмрежа.
Принципот е пофлексибилен: секој VTEP е конфигуриран со истата виртуелна IP адреса (VIP) како и стандардниот портал, користејќи го механизмот Anycast. Пакетите од вкрстена подмрежа испратени од виртуелните машини се насочуваат директно кон локалниот VTEP, без да мора да поминуваат низ централна точка. EVPN е особено корисен овде: преку BGP EVPN, VTEP ги учи рутите на оддалечените домаќини и користи MAC/IP поврзување за да избегне ARP поплавување.
На пример, VM A (10.1.1.10) сака да пристапи до VM B (10.2.1.10). Стандардната порта на VM A е VIP на локалниот VTEP (10.1.1.1). Локалниот VTEP насочува кон дестинациската подмрежа, го капсулира VXLAN пакетот и го испраќа директно до VTEP на VM B. Овој процес ја минимизира патеката и латенцијата.
Извонредни предности:
○ Висока скалабилностДистрибуцијата на функционалноста на порталот до секој јазол ја зголемува големината на мрежата, што е корисно за поголемите мрежи. Големите даватели на услуги во облак како Google Cloud користат сличен механизам за поддршка на милиони виртуелни машини.
○Супериорни перформансиСообраќајот исток-запад се обработува локално за да се избегнат тесни грла. Податоците од тестовите покажуваат дека пропусноста може да се зголеми за 30%-50% во дистрибуиран режим.
○Брзо обновување на дефектиЕден VTEP дефект влијае само на локалниот хост, оставајќи ги другите јазли незасегнати. Во комбинација со брзата конвергенција на EVPN, времето за обновување е во секунди.
○Добра употреба на ресурсиКористете го постоечкиот ASIC чип на Leaf switch за хардверско забрзување, при што стапките на пренасочување достигнуваат ниво од Tbps.
Кои се недостатоците?
○ Комплексна конфигурацијаСекој VTEP бара конфигурација на рутирање, EVPN и други функции, што го прави почетното распоредување одзема многу време. Оперативниот тим мора да биде запознаен со BGP и SDN.
○Високи барања за хардверДистрибуиран портал: Не сите прекинувачи поддржуваат дистрибуирани портали; потребни се чипови Broadcom Trident или Tomahawk. Софтверските имплементации (како што е OVS на KVM) не работат толку добро како хардверот.
○Предизвици за конзистентностДистрибуирано значи дека синхронизацијата на состојбата се потпира на EVPN. Ако BGP сесијата флуктуира, тоа може да предизвика црна дупка за рутирање.
Сценарио на апликација: Идеално за хиперскални центри за податоци или јавни облаци. Дистрибуираниот рутер на VMware NSX-T е типичен пример. Во комбинација со Kubernetes, тој беспрекорно поддржува мрежно поврзување со контејнери.
Централизиран VxLAN Gateway наспроти дистрибуиран VxLAN Gateway
Сега да преминеме на кулминацијата: што е подобро? Одговорот е „зависи“, но мораме длабоко да ги разгледаме податоците и студиите на случаи за да ве убедиме.
Од аспект на перформанси, дистрибуираните системи очигледно ги надминуваат. Во типичен бенчмарк на центарот за податоци (врз основа на опремата за тестирање на Spirent), просечната латенција на централизиран портал беше 150 μs, додека онаа на дистрибуиран систем беше само 50 μs. Во однос на пропусноста, дистрибуираните системи лесно можат да постигнат пренасочување со брзина на линијата бидејќи го користат рутирањето Spine-Leaf Equal Cost Multi-Path (ECMP).
Скалабилноста е уште едно бојно поле. Централизираните мрежи се погодни за мрежи со 100-500 јазли; над оваа скала, дистрибуираните мрежи добиваат предност. Земете го за пример Alibaba Cloud. Нивниот VPC (Virtual Private Cloud) користи дистрибуирани VXLAN портали за поддршка на милиони корисници ширум светот, со латенција во еден регион под 1ms. Централизираниот пристап одамна би пропаднал.
А што е со трошоците? Централизираното решение нуди пониска почетна инвестиција, барајќи само неколку врвни порти. Дистрибуираното решение бара сите leaf јазли да поддржуваат VXLAN растоварување, што доведува до повисоки трошоци за надградба на хардверот. Сепак, на долг рок, дистрибуираното решение нуди пониски трошоци за работа и одржување, бидејќи алатките за автоматизација како Ansible овозможуваат групна конфигурација.
Безбедност и сигурност: Централизираните системи овозможуваат централизирана заштита, но претставуваат висок ризик од единечни точки на напад. Дистрибуираните системи се поотпорни, но бараат робусна контролна рамнина за да се спречат DDoS напади.
Студија на случај од реалниот свет: Компанија за е-трговија користеше централизиран VXLAN за да ја изгради својата страница. Во периодите на врв, користењето на процесорот на порталот скокна на 90%, што доведе до поплаки од корисниците за латентност. Преминувањето на дистрибуиран модел го реши проблемот, дозволувајќи им на компанијата лесно да го удвои својот обем. Спротивно на тоа, мала банка инсистираше на централизиран модел бидејќи им даде приоритет на ревизиите за усогласеност и сметаше дека централизираното управување е полесно.
Генерално, ако барате екстремни мрежни перформанси и големина, дистрибуираниот пристап е вистинскиот избор. Ако вашиот буџет е ограничен, а вашиот менаџерски тим нема искуство, централизираниот пристап е попрактичен. Во иднина, со подемот на 5G и edge computing, дистрибуираните мрежи ќе станат попопуларни, но централизираните мрежи сè уште ќе бидат вредни во специфични сценарија, како што е меѓусебното поврзување на филијали.
Брокери за мрежни пакети Mylinking™поддршка за отстранување на заглавија од VxLAN, VLAN, GRE, MPLS
Поддржано е заглавјето VxLAN, VLAN, GRE, MPLS отстрането од оригиналниот пакет податоци и пренасочен излез.
Време на објавување: 09.10.2025
