Aby sme mohli hovoriť o bránach VXLAN, musíme sa najprv venovať samotnej sieti VXLAN. Pripomeňme si, že tradičné siete VLAN (virtuálne lokálne siete) používajú 12-bitové identifikátory VLAN na rozdelenie sietí a podporujú až 4096 logických sietí. Toto funguje dobre pre malé siete, ale v moderných dátových centrách s tisíckami virtuálnych počítačov, kontajnerov a prostredí s viacerými nájomníkmi sú siete VLAN nedostatočné. Zrodila sa sieť VXLAN, ktorú definovala skupina Internet Engineering Task Force (IETF) v dokumente RFC 7348. Jej účelom je rozšíriť vysielaciu doménu vrstvy 2 (Ethernet) cez siete vrstvy 3 (IP) pomocou tunelov UDP.
Jednoducho povedané, VXLAN zapuzdruje ethernetové rámce do paketov UDP a pridáva 24-bitový identifikátor siete VXLAN (VNI), ktorý teoreticky podporuje 16 miliónov virtuálnych sietí. Je to ako keby ste každej virtuálnej sieti dali „identifikačnú kartu“, ktorá im umožňuje voľne sa pohybovať po fyzickej sieti bez toho, aby sa navzájom rušili. Základnou súčasťou VXLAN je koncový bod tunela VXLAN (VTEP), ktorý je zodpovedný za zapuzdrenie a dekapsuláciu paketov. VTEP môže byť softvérový (napríklad Open vSwitch) alebo hardvérový (napríklad čip ASIC na prepínači).
Prečo je VXLAN taký populárny? Pretože dokonale zodpovedá potrebám cloud computingu a SDN (softvérovo definovaných sietí). Vo verejných cloudoch, ako sú AWS a Azure, umožňuje VXLAN bezproblémové rozširovanie virtuálnych sietí nájomníkov. V súkromných dátových centrách podporuje prekrývajúce sa sieťové architektúry, ako sú VMware NSX alebo Cisco ACI. Predstavte si dátové centrum s tisíckami serverov, z ktorých každý prevádzkuje desiatky virtuálnych strojov (VM). VXLAN umožňuje týmto virtuálnym strojom vnímať sa ako súčasť tej istej siete Layer 2, čo zabezpečuje plynulý prenos ARP vysielaní a DHCP požiadaviek.
VXLAN však nie je všeliekom. Prevádzka v sieti L3 vyžaduje konverziu z L2 na L3, a tu prichádza na rad brána. Brána VXLAN spája virtuálnu sieť VXLAN s externými sieťami (ako sú tradičné VLAN alebo IP smerovacie siete) a zabezpečuje tok údajov z virtuálneho sveta do reálneho sveta. Mechanizmus preposielania je srdcom a dušou brány, ktorý určuje, ako sa pakety spracovávajú, smerujú a distribuujú.
Proces presmerovania VXLAN je ako jemný balet, kde každý krok od zdroja k cieľu je úzko prepojený. Rozoberme si ho krok za krokom.
Najprv sa zo zdrojového hostiteľa (napríklad virtuálneho počítača) odošle paket. Ide o štandardný ethernetový rámec obsahujúci zdrojovú MAC adresu, cieľovú MAC adresu, značku VLAN (ak existuje) a užitočné zaťaženie. Po prijatí tohto rámca zdrojový VTEP skontroluje cieľovú MAC adresu. Ak sa cieľová MAC adresa nachádza v jeho MAC tabuľke (získanej učením alebo zahltením), vie, na ktorý vzdialený VTEP má paket preposlať.
Proces zapuzdrenia je kľúčový: VTEP pridá hlavičku VXLAN (vrátane VNI, príznakov atď.), potom vonkajšiu hlavičku UDP (so zdrojovým portom založeným na haši vnútorného rámca a pevným cieľovým portom 4789), hlavičku IP (so zdrojovou IP adresou lokálneho VTEP a cieľovou IP adresou vzdialeného VTEP) a nakoniec vonkajšiu hlavičku Ethernetu. Celý paket sa teraz javí ako paket UDP/IP, vyzerá ako bežná prevádzka a možno ho smerovať v sieti L3.
Vo fyzickej sieti je paket preposielaný smerovačom alebo prepínačom, kým nedosiahne cieľový VTEP. Cieľový VTEP odstráni vonkajšiu hlavičku, skontroluje hlavičku VXLAN, aby sa zabezpečila zhoda VNI, a potom doručí vnútorný ethernetový rámec cieľovému hostiteľovi. Ak je paket neznámou prevádzkou typu unicast, broadcast alebo multicast (BUM), VTEP replikuje paket na všetky relevantné VTEP pomocou zahltenia, pričom sa spolieha na skupiny multicast alebo replikáciu hlavičiek unicast (HER).
Jadrom princípu presmerovania je oddelenie riadiacej roviny a dátovej roviny. Riadiaca rovina používa Ethernet VPN (EVPN) alebo mechanizmus Flood and Learn na učenie mapovania MAC a IP adries. EVPN je založené na protokole BGP a umožňuje VTEP vymieňať si smerovacie informácie, ako napríklad MAC-VRF (virtuálne smerovanie a presmerovanie) a IP-VRF. Dátová rovina je zodpovedná za samotné presmerovanie a využíva tunely VXLAN pre efektívny prenos.
V reálnych nasadeniach však efektívnosť presmerovania priamo ovplyvňuje výkon. Tradičné zahltenie môže ľahko spôsobiť búrky vysielania, najmä vo veľkých sieťach. To vedie k potrebe optimalizácie brán: brány nielen spájajú interné a externé siete, ale fungujú aj ako proxy ARP agenti, spracovávajú úniky trás a zabezpečujú najkratšie cesty presmerovania.
Centralizovaná brána VXLAN
Centralizovaná brána VXLAN, nazývaná aj centralizovaná brána alebo brána L3, sa zvyčajne nasadzuje na okraji alebo na jadrovej vrstve dátového centra. Funguje ako centrálny uzol, cez ktorý musí prechádzať všetka prevádzka medzi VNI alebo podsieťami.
V princípe centralizovaná brána funguje ako predvolená brána a poskytuje smerovacie služby vrstvy 3 pre všetky siete VXLAN. Uvažujme dva virtuálne ...
Výhody sú zrejmé:
○ Jednoduchá správaVšetky konfigurácie smerovania sú centralizované na jednom alebo dvoch zariadeniach, čo umožňuje operátorom spravovať iba niekoľko brán na pokrytie celej siete. Tento prístup je vhodný pre malé a stredné dátové centrá alebo prostredia, ktoré nasadzujú VXLAN prvýkrát.
○Efektívne využívanie zdrojovBrány sú zvyčajne vysokovýkonný hardvér (ako napríklad Cisco Nexus 9000 alebo Arista 7050) schopný spracovať obrovské množstvo prevádzky. Riadiaca rovina je centralizovaná, čo uľahčuje integráciu s SDN kontrolérmi, ako je NSX Manager.
○Silná bezpečnostná kontrolaPrevádzka musí prechádzať cez bránu, čo uľahčuje implementáciu ACL (zoznamov riadenia prístupu), firewallov a NAT. Predstavte si scenár s viacerými nájomníkmi, kde centralizovaná brána dokáže ľahko izolovať prevádzku nájomníkov.
Nemožno však ignorovať nedostatky:
○ Jediný bod zlyhaniaAk brána zlyhá, komunikácia L3 v celej sieti je paralyzovaná. Hoci VRRP (Virtual Router Redundancy Protocol) možno použiť na redundanciu, stále to so sebou nesie riziká.
○Úzke miesto vo výkoneVšetka prevádzka medzi východom a západom (komunikácia medzi servermi) musí obísť bránu, čo vedie k suboptimálnej ceste. Napríklad v klastri s 1000 uzlami, ak je šírka pásma brány 100 Gb/s, je pravdepodobné, že počas špičky dôjde k preťaženiu.
○Slabá škálovateľnosťS rastúcou sieťou sa zaťaženie brány exponenciálne zvyšuje. V reálnom príklade som videl finančné dátové centrum používajúce centralizovanú bránu. Spočiatku fungovalo hladko, ale po zdvojnásobení počtu virtuálnych počítačov sa latencia prudko zvýšila z mikrosekúnd na milisekundy.
Aplikačný scenár: Vhodné pre prostredia vyžadujúce vysokú jednoduchosť správy, ako sú napríklad podnikové súkromné cloudy alebo testovacie siete. Architektúra ACI od spoločnosti Cisco často využíva centralizovaný model v kombinácii s topológiou leaf-spine na zabezpečenie efektívnej prevádzky hlavných brán.
Distribuovaná brána VXLAN
Distribuovaná brána VXLAN, známa aj ako distribuovaná brána alebo brána anycast, prenáša funkčnosť brány na každý koncový prepínač alebo hypervízor VTEP. Každý VTEP funguje ako lokálna brána a spracováva presmerovanie L3 pre lokálnu podsieť.
Princíp je flexibilnejší: každý VTEP je nakonfigurovaný s rovnakou virtuálnou IP adresou (VIP) ako predvolená brána pomocou mechanizmu Anycast. Pakety medzi podsieťami odoslané virtuálnymi počítačmi sú smerované priamo na lokálny VTEP bez toho, aby museli prechádzať cez centrálny bod. EVPN je tu obzvlášť užitočná: prostredníctvom BGP EVPN sa VTEP naučí trasy vzdialených hostiteľov a používa väzbu MAC/IP, aby sa predišlo zahlteniu ARP.
Napríklad, virtuálny počítač A (10.1.1.10) chce získať prístup k virtuálnemu počítaču B (10.2.1.10). Predvolenou bránou virtuálneho počítača A je VIP lokálneho VTEP (10.1.1.1). Lokálny VTEP smeruje do cieľovej podsiete, zapuzdruje paket VXLAN a odosiela ho priamo do VTEP virtuálneho počítača B. Tento proces minimalizuje cestu a latenciu.
Vynikajúce výhody:
○ Vysoká škálovateľnosťDistribúcia funkcií brány do každého uzla zväčšuje veľkosť siete, čo je výhodné pre väčšie siete. Veľkí poskytovatelia cloudových služieb, ako napríklad Google Cloud, používajú podobný mechanizmus na podporu miliónov virtuálnych počítačov.
○Vynikajúci výkonPrevádzka medzi východom a západom sa spracováva lokálne, aby sa predišlo úzkym miestam. Testovacie údaje ukazujú, že priepustnosť sa v distribuovanom režime môže zvýšiť o 30 % – 50 %.
○Rýchle odstránenie porúchJedno zlyhanie VTEP postihuje iba lokálneho hostiteľa a ostatné uzly zostávajú nedotknuté. V kombinácii s rýchlou konvergenciou EVPN je čas obnovy v sekundách.
○Dobré využitie zdrojovVyužite existujúci ASIC čip prepínača Leaf na hardvérovú akceleráciu s rýchlosťami presmerovania dosahujúcimi úroveň Tbps.
Aké sú nevýhody?
○ Komplexná konfiguráciaKaždý VTEP vyžaduje konfiguráciu smerovania, EVPN a ďalších funkcií, čo robí počiatočné nasadenie časovo náročným. Prevádzkový tím musí byť oboznámený s BGP a SDN.
○Vysoké hardvérové požiadavkyDistribuovaná brána: Nie všetky prepínače podporujú distribuované brány; sú potrebné čipy Broadcom Trident alebo Tomahawk. Softvérové implementácie (ako napríklad OVS na KVM) nefungujú tak dobre ako hardvér.
○Výzvy týkajúce sa konzistencieDistribuované znamená, že synchronizácia stavov sa spolieha na EVPN. Ak relácia BGP kolíše, môže to spôsobiť smerovaciu čiernu dieru.
Aplikačný scenár: Ideálne pre hyperscale dátové centrá alebo verejné cloudy. Distribuovaný router VMware NSX-T je typickým príkladom. V kombinácii s Kubernetes bezproblémovo podporuje kontajnerové siete.
Centralizovaná brána VxLAN vs. distribuovaná brána VxLAN
A teraz k záveru: čo je lepšie? Odpoveď znie „záleží na tom“, ale musíme sa ponoriť do údajov a prípadových štúdií, aby sme vás presvedčili.
Z hľadiska výkonu distribuované systémy jednoznačne prekonávajú očakávania. V typickom benchmarku dátového centra (na základe testovacieho zariadenia Spirent) bola priemerná latencia centralizovanej brány 150 μs, zatiaľ čo latencia distribuovaného systému bola iba 50 μs. Pokiaľ ide o priepustnosť, distribuované systémy dokážu ľahko dosiahnuť presmerovanie na úrovni linkovej rýchlosti, pretože využívajú smerovanie Spine-Leaf Equal Cost Multi-Path (ECMP).
Škálovateľnosť je ďalším bojovým polem. Centralizované siete sú vhodné pre siete so 100 – 500 uzlami; nad touto hranicou získavajú navrch distribuované siete. Vezmime si napríklad Alibaba Cloud. Ich VPC (virtuálny súkromný cloud) využíva distribuované brány VXLAN na podporu miliónov používateľov na celom svete s latenciou v jednej oblasti pod 1 ms. Centralizovaný prístup by už dávno skolaboval.
A čo náklady? Centralizované riešenie ponúka nižšie počiatočné investície a vyžaduje si len niekoľko špičkových brán. Distribuované riešenie vyžaduje, aby všetky koncové uzly podporovali odľahčenie VXLAN, čo vedie k vyšším nákladom na modernizáciu hardvéru. Z dlhodobého hľadiska však distribuované riešenie ponúka nižšie náklady na prevádzku a údržbu, pretože automatizačné nástroje ako Ansible umožňujú dávkovú konfiguráciu.
Bezpečnosť a spoľahlivosť: Centralizované systémy umožňujú centralizovanú ochranu, ale predstavujú vysoké riziko útoku z jedného bodu. Distribuované systémy sú odolnejšie, ale vyžadujú robustnú riadiacu rovinu, aby sa zabránilo útokom DDoS.
Prípadová štúdia z reálneho sveta: Spoločnosť elektronického obchodu použila na vytvorenie svojej stránky centralizovanú sieť VXLAN. Počas špičky sa využitie CPU brány vyšplhalo na 90 %, čo viedlo k sťažnostiam používateľov na latenciu. Prechod na distribuovaný model problém vyriešil a umožnil spoločnosti ľahko zdvojnásobiť svoj rozsah. Naopak, malá banka trvala na centralizovanom modeli, pretože uprednostňovala audity súladu a považovala centralizovanú správu za jednoduchšiu.
Vo všeobecnosti, ak hľadáte extrémny výkon a škálovateľnosť siete, distribuovaný prístup je tou správnou cestou. Ak je váš rozpočet obmedzený a vášmu manažérskemu tímu chýbajú skúsenosti, centralizovaný prístup je praktickejší. V budúcnosti, s nástupom 5G a edge computingu, sa distribuované siete stanú populárnejšími, ale centralizované siete budú stále cenné v špecifických scenároch, ako je napríklad prepojenie pobočiek.
Brokeri sieťových paketov Mylinking™podpora odstraňovania záhlaví VxLAN, VLAN, GRE, MPLS
Podporovala odstránenie hlavičky VxLAN, VLAN, GRE a MPLS z pôvodného dátového paketu a presmerovaný výstup.
Čas uverejnenia: 9. októbra 2025
