Да бисмо разговарали о VXLAN пролазним мрежама, прво морамо разговарати о самој VXLAN мрежи. Подсетимо се да традиционалне VLAN мреже (виртуелне локалне мреже) користе 12-битне VLAN ID-ове за поделу мрежа, подржавајући до 4096 логичких мрежа. Ово функционише добро за мале мреже, али у модерним центрима података, са хиљадама виртуелних машина, контејнера и окружења са више закупаца, VLAN мреже нису довољне. VXLAN је настао, дефинисан од стране Радне групе за интернет инжењеринг (IETF) у RFC 7348. Његова сврха је проширење домена емитовања слоја 2 (Ethernet) преко мрежа слоја 3 (IP) користећи UDP тунеле.
Једноставно речено, VXLAN енкапсулира Ethernet оквире унутар UDP пакета и додаје 24-битни VXLAN мрежни идентификатор (VNI), теоретски подржавајући 16 милиона виртуелних мрежа. Ово је као да свакој виртуелној мрежи дате „личну карту“, омогућавајући им да се слободно крећу по физичкој мрежи без међусобног ометања. Основна компонента VXLAN-а је VXLAN тунелска крајња тачка (VTEP), која је одговорна за енкапсулацију и декапсулацију пакета. VTEP може бити софтверски (као што је Open vSwitch) или хардверски (као што је ASIC чип на прекидачу).
Зашто је VXLAN толико популаран? Зато што се савршено усклађује са потребама cloud computing-а и SDN-а (софтверски дефинисаних мрежа). У јавним облацима попут AWS-а и Azure-а, VXLAN омогућава беспрекорно проширење виртуелних мрежа закупаца. У приватним дата центрима, подржава архитектуре преклапајућих мрежа попут VMware NSX-а или Cisco ACI-ја. Замислите дата центар са хиљадама сервера, од којих сваки покреће десетине VM-ова (виртуелних машина). VXLAN омогућава овим VM-овима да себе доживљавају као део исте Layer 2 мреже, обезбеђујући несметан пренос ARP емитовања и DHCP захтева.
Међутим, VXLAN није панацеја. Рад на L3 мрежи захтева конверзију из L2 у L3, где долази до изражаја гејтвеј. VXLAN гејтвеј повезује виртуелну VXLAN мрежу са спољним мрежама (као што су традиционалне VLAN мреже или IP мреже за рутирање), осигуравајући проток података из виртуелног света у стварни свет. Механизам прослеђивања је срце и душа гејтвеја, одређујући како се пакети обрађују, рутирају и дистрибуирају.
Процес прослеђивања VXLAN-а је попут деликатно организованог балета, где је сваки корак од извора до одредишта уско повезан. Хајде да га разложимо корак по корак.
Прво, пакет се шаље са изворног хоста (као што је виртуелна машина). То је стандардни Ethernet оквир који садржи изворну MAC адресу, одредишну MAC адресу, VLAN ознаку (ако постоји) и корисни терет. По пријему овог оквира, изворни VTEP проверава одредишну MAC адресу. Ако се одредишна MAC адреса налази у његовој MAC табели (добијеној учењем или преплављивањем), он зна ком удаљеном VTEP-у да проследи пакет.
Процес енкапсулације је кључан: VTEP додаје VXLAN заглавље (укључујући VNI, заставице итд.), затим спољашње UDP заглавље (са изворним портом заснованим на хешу унутрашњег оквира и фиксним одредишним портом 4789), IP заглавље (са изворном IP адресом локалног VTEP-а и одредишном IP адресом удаљеног VTEP-а) и коначно спољашње Ethernet заглавље. Читав пакет се сада појављује као UDP/IP пакет, изгледа као нормалан саобраћај и може се усмерити на L3 мрежу.
На физичкој мрежи, пакет прослеђује рутер или свич док не стигне до одредишног VTEP-а. Одредишни VTEP уклања спољашњи заглавље, проверава VXLAN заглавље како би се осигурало да се VNI подудара, а затим испоручује унутрашњи Ethernet оквир одредишном хосту. Ако је пакет непознати unicast, broadcast или multicast (BUM) саобраћај, VTEP реплицира пакет на све релевантне VTEP-ове користећи преплављивање (flooding), ослањајући се на multicast групе или репликацију unicast заглавља (HER).
Суштина принципа прослеђивања је раздвајање контролне равни и равни података. Контролна раван користи Ethernet VPN (EVPN) или механизам „Flood and Learn“ за учење MAC и IP мапирања. EVPN је базиран на BGP протоколу и омогућава VTEP-овима да размењују информације о рутирању, као што су MAC-VRF (виртуелно рутирање и прослеђивање) и IP-VRF. Раван података је одговорна за стварно прослеђивање, користећи VXLAN тунеле за ефикасан пренос.
Међутим, у стварним применама, ефикасност прослеђивања директно утиче на перформансе. Традиционално преплављивање може лако изазвати емитовање олуја, посебно у великим мрежама. То доводи до потребе за оптимизацијом пролазних мрежа: пролазне мреже не само да повезују интерне и екстерне мреже, већ делују и као прокси ARP агенти, обрађују цурење рута и обезбеђују најкраће путање прослеђивања.
Централизовани VXLAN пролаз
Централизовани VXLAN гејтвеј, такође назван централизовани гејтвеј или L3 гејтвеј, обично се поставља на рубу или основном слоју дата центра. Он делује као централно чвориште, кроз које мора да прође сав унакрсни VNI или унакрсни подмрежни саобраћај.
У принципу, централизовани гејтвеј делује као подразумевани гејтвеј, пружајући услуге рутирања слоја 3 за све VXLAN мреже. Размотримо два VNI-ја: VNI 10000 (подмрежа 10.1.1.0/24) и VNI 20000 (подмрежа 10.2.1.0/24). Ако VM A у VNI 10000 жели да приступи VM B у VNI 20000, пакет прво стиже до локалног VTEP-а. Локални VTEP детектује да одредишна IP адреса није у локалној подмрежи и прослеђује је централизованом гејтвеју. Гејтвеј декапсулира пакет, доноси одлуку о рутирању, а затим поново енкапсулира пакет у тунел до одредишног VNI-ја.
Предности су очигледне:
○ Једноставно управљањеСве конфигурације рутирања су централизоване на једном или два уређаја, што омогућава оператерима да одржавају само неколико гејтвеја како би покрили целу мрежу. Овај приступ је погодан за мале и средње центре података или окружења која први пут примењују VXLAN.
○Ефикасно коришћење ресурсаГејтвеји су обично високоперформансни хардвер (као што су Cisco Nexus 9000 или Arista 7050) способан да обрађује огромне количине саобраћаја. Контролна раван је централизована, што олакшава интеграцију са SDN контролерима као што је NSX Manager.
○Јака безбедносна контролаСаобраћај мора да пролази кроз гејтвеј, што олакшава имплементацију ACL-ова (листа контроле приступа), заштитних зидова и NAT-а. Замислите сценарио са више закупаца где централизовани гејтвеј може лако да изолује саобраћај закупаца.
Али недостаци се не могу игнорисати:
○ Једна тачка отказаАко гејтвеј откаже, L3 комуникација у целој мрежи је парализована. Иако се VRRP (Virtual Router Redundancy Protocol - протокол за редундантност виртуелног рутера) може користити за редундантност, он и даље носи ризике.
○Уско грло перформансиСав саобраћај исток-запад (комуникација између сервера) мора да заобиђе пролаз, што резултира неоптималном путањом. На пример, у кластеру од 1000 чворова, ако је пропусни опсег пролаза 100 Gbps, вероватно је да ће доћи до загушења током шпица.
○Слаба скалабилностКако расте обим мреже, оптерећење пролаза расте експоненцијално. У једном примеру из стварног света, видео сам финансијски центар података који користи централизовани пролаз. У почетку је радио глатко, али након што се број виртуелних машина удвостручио, латенција је скочила са микросекунди на милисекунде.
Сценарио примене: Погодно за окружења која захтевају високу једноставност управљања, као што су приватни облаци предузећа или тестне мреже. Cisco-ова ACI архитектура често користи централизовани модел, комбинован са топологијом „лисак-кичма“, како би се осигурао ефикасан рад основних мрежних пролаза.
Дистрибуирани VXLAN пролаз
Дистрибуирани VXLAN гејтвеј, такође познат као дистрибуирани гејтвеј или anycast гејтвеј, преноси функционалност гејтвеја на сваки листни прекидач или хипервизор VTEP. Сваки VTEP делује као локални гејтвеј, обрађујући L3 прослеђивање за локалну подмрежу.
Принцип је флексибилнији: сваки VTEP је конфигурисан са истом виртуелном IP адресом (VIP) као и подразумевани гејтвеј, користећи Anycast механизам. Пакети између подмрежа које шаљу виртуелне машине се усмеравају директно на локални VTEP, без потребе да пролазе кроз централну тачку. EVPN је овде посебно користан: путем BGP EVPN-а, VTEP учи руте удаљених хостова и користи MAC/IP повезивање како би избегао ARP преплављивање.
На пример, виртуелна машина А (10.1.1.10) жели да приступи виртуелној машини Б (10.2.1.10). Подразумевани гејтвеј виртуелне машине А је VIP локалног VTEP-а (10.1.1.1). Локални VTEP усмерава пакет до одредишне подмреже, капсулира VXLAN пакет и шаље га директно на VTEP виртуелне машине Б. Овај процес минимизира путању и латенцију.
Изузетне предности:
○ Висока скалабилностДистрибуција функционалности пролаза на сваки чвор повећава величину мреже, што је корисно за веће мреже. Велики добављачи услуга у облаку попут Google Cloud-а користе сличан механизам за подршку милионима виртуелних машина.
○Супериорне перформансеСаобраћај исток-запад се обрађује локално како би се избегла уска грла. Подаци тестирања показују да се пропусни опсег може повећати за 30%-50% у дистрибуираном режиму.
○Брз опоравак од грешакаЈедан квар VTEP-а утиче само на локални хост, остављајући остале чворове нетакнутим. У комбинацији са брзом конвергенцијом EVPN-а, време опоравка је у секундама.
○Добро коришћење ресурсаКористите постојећи ASIC чип Leaf switch-а за хардверско убрзање, са брзинама прослеђивања које достижу ниво од Tbps.
Који су недостаци?
○ Сложена конфигурацијаСваки VTEP захтева конфигурацију рутирања, EVPN-а и других функција, што почетно имплементирање чини дуготрајним. Оперативни тим мора бити упознат са BGP-ом и SDN-ом.
○Високи хардверски захтевиДистрибуирани гејтвеј: Не подржавају сви прекидачи дистрибуиране гејтвеје; потребни су Broadcom Trident или Tomahawk чипови. Софтверске имплементације (као што је OVS на KVM-у) не раде тако добро као хардвер.
○Изазови конзистентностиДистрибуирано значи да синхронизација стања зависи од EVPN-а. Ако BGP сесија флуктуира, то може изазвати црну рупу у рутирању.
Сценарио примене: Идеално за хиперскалиране центре података или јавне облаке. Дистрибуирани рутер VMware NSX-T је типичан пример. У комбинацији са Kubernetes-ом, беспрекорно подржава умрежавање контејнера.
Централизовани VxLAN гејтвеј у односу на дистрибуирани VxLAN гејтвеј
А сада о врхунцу: шта је боље? Одговор је „зависи“, али морамо дубоко да се упустимо у податке и студије случаја да бисмо вас убедили.
Са становишта перформанси, дистрибуирани системи очигледно надмашују очекивања. У типичном тесту дата центра (заснованом на Spirent тест опреми), просечна латенција централизованог гејтвеја била је 150μs, док је код дистрибуираног система била само 50μs. Што се тиче пропусног опсега, дистрибуирани системи могу лако постићи прослеђивање на нивоу линијске брзине јер користе ECMP (Spine-Leaf Equal Cost Multi-Path) рутирање.
Скалабилност је још једно поље борбе. Централизоване мреже су погодне за мреже са 100-500 чворова; изнад ове скале, дистрибуиране мреже добијају предност. Узмимо за пример Alibaba Cloud. Њихов VPC (Виртуелни приватни облак) користи дистрибуиране VXLAN пролазе за подршку милионима корисника широм света, са латенцијом у једном региону испод 1ms. Централизовани приступ би одавно пропао.
Шта је са трошковима? Централизовано решење нуди нижа почетна улагања, захтевајући само неколико врхунских gateway-а. Дистрибуирано решење захтева да сви листни чворови подржавају растерећење VXLAN-а, што доводи до већих трошкова надоградње хардвера. Међутим, на дужи рок, дистрибуирано решење нуди ниже трошкове рада и одржавања, јер алати за аутоматизацију попут Ansible-а омогућавају групну конфигурацију.
Безбедност и поузданост: Централизовани системи олакшавају централизовану заштиту, али представљају висок ризик од напада са појединачних тачака. Дистрибуирани системи су отпорнији, али захтевају робусну контролну раван како би се спречили DDoS напади.
Студија случаја из стварног света: Компанија за електронску трговину користила је централизовану VXLAN мрежу за изградњу своје веб странице. Током вршних периода, коришћење процесора мрежног пролаза је скочило на 90%, што је довело до жалби корисника на латенцију. Прелазак на дистрибуирани модел решио је проблем, омогућавајући компанији да лако удвостручи свој обим. Насупрот томе, мала банка је инсистирала на централизованом моделу јер су давали приоритет ревизијама усклађености и сматрали су да је централизовано управљање лакше.
Генерално, ако тражите екстремне перформансе и скалирање мреже, дистрибуирани приступ је прави пут. Ако је ваш буџет ограничен, а вашем менаџерском тиму недостаје искуства, централизовани приступ је практичнији. У будућности, са порастом 5G и edge computing-а, дистрибуиране мреже ће постати популарније, али централизоване мреже ће и даље бити вредне у одређеним сценаријима, као што је међусобно повезивање филијала.
Mylinking™ мрежни пакетни брокериподржава VxLAN, VLAN, GRE, MPLS скидање заглавља
Подржавао је VxLAN, VLAN, GRE, MPLS заглавље уклоњено из оригиналног пакета података и прослеђени излаз.
Време објаве: 09. окт. 2025.
