Da bi razpravljali o prehodih VXLAN, moramo najprej razpravljati o samem VXLAN-u. Spomnimo se, da tradicionalna omrežja VLAN (virtualna lokalna omrežja) uporabljajo 12-bitne ID-je VLAN za delitev omrežij in podpirajo do 4096 logičnih omrežij. To deluje dobro za majhna omrežja, vendar v sodobnih podatkovnih centrih s tisoči virtualnih strojev, vsebnikov in večnajemniških okoljih VLAN-i niso zadostni. Rodil se je VXLAN, ki ga je opredelila Projektna skupina za internetno inženirstvo (IETF) v RFC 7348. Njegov namen je razširiti domeno oddajanja 2. plasti (Ethernet) prek omrežij 3. plasti (IP) z uporabo tunelov UDP.
Preprosto povedano, VXLAN enkapsulira ethernetne okvirje znotraj paketov UDP in doda 24-bitni omrežni identifikator VXLAN (VNI), ki teoretično podpira 16 milijonov virtualnih omrežij. To je kot da bi vsakemu virtualnemu omrežju dali "osebno izkaznico", ki jim omogoča prosto gibanje po fizičnem omrežju, ne da bi se medsebojno motili. Osrednja komponenta VXLAN-a je končna točka tunela VXLAN (VTEP), ki je odgovorna za enkapsulacijo in dekapsulacijo paketov. VTEP je lahko programski (kot je Open vSwitch) ali strojni (kot je čip ASIC na stikalu).
Zakaj je VXLAN tako priljubljen? Ker se popolnoma ujema s potrebami računalništva v oblaku in SDN (programsko določenih omrežij). V javnih oblakih, kot sta AWS in Azure, VXLAN omogoča nemoteno razširitev virtualnih omrežij najemnikov. V zasebnih podatkovnih centrih podpira arhitekture prekrivnih omrežij, kot sta VMware NSX ali Cisco ACI. Predstavljajte si podatkovni center s tisoči strežniki, od katerih vsak poganja na ducate VM-jev (virtualnih strojev). VXLAN omogoča tem VM-jem, da se zaznavajo kot del istega omrežja 2. plasti, kar zagotavlja nemoten prenos ARP-oddaj in DHCP-zahtev.
Vendar VXLAN ni čarobno zdravilo. Delovanje v omrežju L3 zahteva pretvorbo iz L2 v L3, pri čemer pride v poštev prehod. Prehod VXLAN povezuje virtualno omrežje VXLAN z zunanjimi omrežji (kot so tradicionalni VLAN-i ali omrežja za usmerjanje IP) in zagotavlja pretok podatkov iz virtualnega sveta v resnični svet. Mehanizem posredovanja je srce in duša prehoda, ki določa, kako se paketi obdelujejo, usmerjajo in distribuirajo.
Postopek posredovanja VXLAN je kot občutljiv balet, kjer je vsak korak od vira do cilja tesno povezan. Razčlenimo ga korak za korakom.
Najprej se iz izvornega gostitelja (kot je na primer virtualni stroj) pošlje paket. To je standardni ethernetni okvir, ki vsebuje izvorni MAC naslov, ciljni MAC naslov, oznako VLAN (če obstaja) in koristni tovor. Ko izvorni VTEP prejme ta okvir, preveri ciljni MAC naslov. Če je ciljni MAC naslov v njegovi tabeli MAC (pridobljeni z učenjem ali preplavljanjem), ve, kateremu oddaljenemu VTEP-u naj posreduje paket.
Postopek enkapsulacije je ključnega pomena: VTEP doda glavo VXLAN (vključno z VNI, zastavicami itd.), nato zunanjo glavo UDP (z izvornimi vrati na podlagi zgoščene vrednosti notranjega okvirja in fiksnimi ciljnimi vrati 4789), glavo IP (z izvornim naslovom IP lokalnega VTEP in ciljnim naslovom IP oddaljenega VTEP) in na koncu še zunanjo glavo Ethernet. Celoten paket je zdaj prikazan kot paket UDP/IP, je videti kot običajen promet in ga je mogoče usmeriti v omrežje L3.
V fizičnem omrežju paket posreduje usmerjevalnik ali stikalo, dokler ne doseže ciljnega VTEP-a. Ciljni VTEP odstrani zunanjo glavo, preveri glavo VXLAN, da se prepriča, ali se VNI ujema, in nato dostavi notranji ethernetni okvir ciljnemu gostitelju. Če je paket neznan promet unicast, broadcast ali multicast (BUM), VTEP replicira paket vsem ustreznim VTEP-om z uporabo poplavljanja, pri čemer se zanaša na skupine multicast ali replikacijo glave unicast (HER).
Jedro načela posredovanja je ločitev nadzorne ravnine in podatkovne ravnine. Nadzorna ravnina uporablja Ethernet VPN (EVPN) ali mehanizem Flood and Learn za učenje preslikav MAC in IP. EVPN temelji na protokolu BGP in omogoča VTEP-om izmenjavo usmerjevalnih informacij, kot sta MAC-VRF (virtualno usmerjanje in posredovanje) in IP-VRF. Podatkovna ravnina je odgovorna za dejansko posredovanje, pri čemer se za učinkovit prenos uporabljajo tuneli VXLAN.
Vendar pa v dejanskih uvedbah učinkovitost posredovanja neposredno vpliva na zmogljivost. Tradicionalno preplavljanje lahko zlahka povzroči nevihte oddajanja, zlasti v velikih omrežjih. To vodi do potrebe po optimizaciji prehodov: prehodi ne povezujejo le notranjih in zunanjih omrežij, temveč delujejo tudi kot posredniški ARP agenti, obravnavajo puščanje poti in zagotavljajo najkrajše poti posredovanja.
Centraliziran prehod VXLAN
Centraliziran prehod VXLAN, imenovan tudi centraliziran prehod ali prehod L3, je običajno nameščen na robu ali jedrni plasti podatkovnega centra. Deluje kot centralno vozlišče, skozi katerega mora potekati ves promet med VNI ali podomrežji.
Načeloma centraliziran prehod deluje kot privzeti prehod in zagotavlja storitve usmerjanja 3. plasti za vsa omrežja VXLAN. Razmislite o dveh virtuálnih nišah (VNI): VNI 10000 (podomrežje 10.1.1.0/24) in VNI 20000 (podomrežje 10.2.1.0/24). Če želi virtualni stroj A v VNI 10000 dostopati do virtualnega stroja B v VNI 20000, paket najprej doseže lokalni VTEP. Lokalni VTEP zazna, da ciljni IP-naslov ni v lokalnem podomrežju, in ga posreduje centraliziranemu prehodu. Prehod dekapsulira paket, sprejme odločitev o usmerjanju in nato ponovno enkapsulira paket v predor do ciljnega VNI.
Prednosti so očitne:
○ Preprosto upravljanjeVse konfiguracije usmerjanja so centralizirane na eni ali dveh napravah, kar operaterjem omogoča, da vzdržujejo le nekaj prehodov za pokrivanje celotnega omrežja. Ta pristop je primeren za majhne in srednje velike podatkovne centre ali okolja, ki prvič uvajajo VXLAN.
○Učinkovito z viriPrehodi so običajno visokozmogljiva strojna oprema (kot je Cisco Nexus 9000 ali Arista 7050), ki je sposobna obvladovati ogromne količine prometa. Nadzorna ravnina je centralizirana, kar omogoča integracijo s krmilniki SDN, kot je NSX Manager.
○Močan varnostni nadzorPromet mora potekati skozi prehod, kar olajša implementacijo ACL-jev (seznamov za nadzor dostopa), požarnih zidov in NAT-a. Predstavljajte si scenarij z več najemniki, kjer lahko centraliziran prehod enostavno izolira promet najemnikov.
Vendar pa ni mogoče prezreti pomanjkljivosti:
○ Ena točka odpovediČe prehod odpove, je komunikacija L3 po celotnem omrežju paralizirana. Čeprav se VRRP (Virtual Router Redundancy Protocol) lahko uporablja za redundanco, še vedno nosi tveganja.
○Ozko grlo zmogljivostiVes promet vzhod-zahod (komunikacija med strežniki) mora zaobiti prehod, kar povzroči neoptimalno pot. Na primer, če je v gruči s 1000 vozlišči pasovna širina prehoda 100 Gb/s, bo v času prometnih konic verjetno prišlo do preobremenitve.
○Slaba skalabilnostZ naraščanjem obsega omrežja se obremenitev prehoda eksponentno povečuje. V resničnem primeru sem videl finančni podatkovni center, ki je uporabljal centraliziran prehod. Sprva je deloval gladko, a ko se je število virtualnih strojev podvojilo, se je zakasnitev močno povečala z mikrosekund na milisekunde.
Scenarij uporabe: Primerno za okolja, ki zahtevajo visoko stopnjo preprostosti upravljanja, kot so zasebni oblaki v podjetjih ali testna omrežja. Ciscova arhitektura ACI pogosto uporablja centraliziran model v kombinaciji s topologijo leaf-spine, da zagotovi učinkovito delovanje osrednjih prehodov.
Porazdeljeni prehod VXLAN
Porazdeljeni prehod VXLAN, znan tudi kot porazdeljeni prehod ali prehod anycast, prenese funkcionalnost prehoda na vsako listno stikalo ali hipervizor VTEP. Vsak VTEP deluje kot lokalni prehod, ki obravnava posredovanje L3 za lokalno podomrežje.
Načelo je bolj prilagodljivo: vsak VTEP je konfiguriran z istim virtualnim IP-naslovom (VIP) kot privzeti prehod, z uporabo mehanizma Anycast. Paketi med podomrežji, ki jih pošiljajo virtualni stroji, so usmerjeni neposredno na lokalni VTEP, ne da bi morali iti skozi centralno točko. EVPN je tukaj še posebej uporaben: prek BGP EVPN se VTEP nauči poti oddaljenih gostiteljev in uporablja vezavo MAC/IP, da se izogne poplavljanju ARP.
Na primer, VM A (10.1.1.10) želi dostopati do VM B (10.2.1.10). Privzeti prehod VM A je VIP lokalnega VTEP (10.1.1.1). Lokalni VTEP usmeri paket do ciljnega podomrežja, enkapsulira paket VXLAN in ga pošlje neposredno VTEP-u VM B. Ta postopek zmanjša pot in zakasnitev.
Izjemne prednosti:
○ Visoka skalabilnostPorazdelitev funkcionalnosti prehoda na vsako vozlišče poveča velikost omrežja, kar je koristno za večja omrežja. Veliki ponudniki storitev v oblaku, kot je Google Cloud, uporabljajo podoben mehanizem za podporo milijonom navideznih strojev.
○Vrhunska zmogljivostPromet vzhod-zahod se obdeluje lokalno, da se izognemo ozkim grlom. Testni podatki kažejo, da se lahko prepustnost v porazdeljenem načinu poveča za 30–50 %.
○Hitro odpravljanje napakPosamezna napaka VTEP vpliva samo na lokalnega gostitelja, druga vozlišča pa ostanejo nespremenjena. V kombinaciji s hitro konvergenco EVPN je čas obnovitve nekaj sekund.
○Dobra uporaba virovZa strojno pospeševanje uporabite obstoječi čip ASIC stikala Leaf, s hitrostmi posredovanja, ki dosežejo raven Tbps.
Katere so slabosti?
○ Kompleksna konfiguracijaVsak VTEP zahteva konfiguracijo usmerjanja, EVPN in drugih funkcij, zaradi česar je začetna uvedba zamudna. Operativna ekipa mora biti seznanjena z BGP in SDN.
○Visoke zahteve glede strojne opremePorazdeljeni prehod: Vsa stikala ne podpirajo porazdeljenih prehodov; potrebni so čipi Broadcom Trident ali Tomahawk. Programske implementacije (kot je OVS na KVM) ne delujejo tako dobro kot strojna oprema.
○Izzivi doslednostiPorazdeljeno pomeni, da sinhronizacija stanja temelji na EVPN. Če seja BGP niha, lahko to povzroči črno luknjo v usmerjanju.
Scenarij uporabe: Idealen za hiperskalirane podatkovne centre ali javne oblake. Tipičen primer je porazdeljeni usmerjevalnik VMware NSX-T. V kombinaciji s Kubernetes brezhibno podpira mreženje vsebnikov.
Centraliziran prehod VxLAN v primerjavi z distribuiranim prehodom VxLAN
Zdaj pa k vrhuncu: kaj je boljše? Odgovor je "odvisno", vendar se moramo poglobiti v podatke in študije primerov, da vas prepričamo.
Z vidika zmogljivosti so porazdeljeni sistemi očitno boljši. V tipičnem primerjalnem testu podatkovnega centra (na podlagi testne opreme Spirent) je bila povprečna latenca centraliziranega prehoda 150 μs, medtem ko je bila pri porazdeljenem sistemu le 50 μs. Kar zadeva prepustnost, lahko porazdeljeni sistemi zlahka dosežejo posredovanje na linijski hitrosti, ker izkoriščajo usmerjanje Spine-Leaf Equal Cost Multi-Path (ECMP).
Skalabilnost je še eno bojišče. Centralizirana omrežja so primerna za omrežja s 100–500 vozlišči; nad tem obsegom prevladajo porazdeljena omrežja. Vzemimo za primer Alibaba Cloud. Njihov VPC (virtualni zasebni oblak) uporablja porazdeljene prehode VXLAN za podporo milijonom uporabnikov po vsem svetu, z zakasnitvijo v eni regiji pod 1 ms. Centraliziran pristop bi se že zdavnaj sesul.
Kaj pa stroški? Centralizirana rešitev ponuja nižjo začetno naložbo, saj zahteva le nekaj vrhunskih prehodov. Porazdeljena rešitev zahteva, da vsa končna vozlišča podpirajo razbremenitev VXLAN, kar vodi do višjih stroškov nadgradnje strojne opreme. Vendar pa dolgoročno porazdeljena rešitev ponuja nižje stroške delovanja in vzdrževanja, saj orodja za avtomatizacijo, kot je Ansible, omogočajo paketno konfiguracijo.
Varnost in zanesljivost: Centralizirani sistemi omogočajo centralizirano zaščito, vendar predstavljajo veliko tveganje za napad z ene same točke. Distribuirani sistemi so bolj odporni, vendar zahtevajo robustno nadzorno ravnino za preprečevanje napadov DDoS.
Študija primera iz resničnega sveta: Podjetje za e-trgovino je za izgradnjo svoje spletne strani uporabilo centralizirano omrežje VXLAN. V obdobjih največje obremenitve se je poraba procesorja prehoda povzpela na 90 %, kar je povzročilo pritožbe uporabnikov glede zakasnitve. Prehod na porazdeljeni model je težavo rešil in podjetju omogočil enostavno podvojitev obsega poslovanja. Nasprotno pa je majhna banka vztrajala pri centraliziranem modelu, ker so dajali prednost revizijam skladnosti in so menili, da je centralizirano upravljanje lažje.
Na splošno velja, da če iščete izjemno zmogljivost in obseg omrežja, je porazdeljen pristop prava pot. Če je vaš proračun omejen in vaša vodstvena ekipa nima izkušenj, je centraliziran pristop bolj praktičen. V prihodnosti bodo z vzponom 5G in robnega računalništva porazdeljena omrežja postala bolj priljubljena, vendar bodo centralizirana omrežja še vedno dragocena v posebnih scenarijih, kot je medsebojno povezovanje podružnic.
Posredniki omrežnih paketov Mylinking™podpora za VxLAN, VLAN, GRE, odstranjevanje glave MPLS
Podpiralo je odstranitev glave VxLAN, VLAN, GRE in MPLS iz izvirnega podatkovnega paketa in posredovanje izhoda.
Čas objave: 9. oktober 2025
