За да обсъдим VXLAN шлюзовете, първо трябва да обсъдим самата VXLAN. Припомнете си, че традиционните VLAN (виртуални локални мрежи) използват 12-битови VLAN идентификатори за разделяне на мрежи, поддържайки до 4096 логически мрежи. Това работи добре за малки мрежи, но в съвременните центрове за данни, с техните хиляди виртуални машини, контейнери и многонаемателни среди, VLAN са недостатъчни. VXLAN е роден, дефиниран от Internet Engineering Task Force (IETF) в RFC 7348. Неговата цел е да разшири домейна за излъчване на Layer 2 (Ethernet) върху Layer 3 (IP) мрежи, използвайки UDP тунели.
Казано по-просто, VXLAN капсулира Ethernet кадри в UDP пакети и добавя 24-битов VXLAN мрежов идентификатор (VNI), теоретично поддържащ 16 милиона виртуални мрежи. Това е все едно да дадете на всяка виртуална мрежа „лична карта“, позволявайки им да се движат свободно във физическата мрежа, без да се намесват една в друга. Основният компонент на VXLAN е крайната точка на тунела VXLAN (VTEP), която е отговорна за капсулирането и декапсулирането на пакети. VTEP може да бъде софтуерен (като Open vSwitch) или хардуерен (като ASIC чипът на комутатора).
Защо VXLAN е толкова популярен? Защото е идеално съобразен с нуждите на облачните изчисления и SDN (софтуерно-дефинирани мрежи). В публични облаци като AWS и Azure, VXLAN позволява безпроблемно разширяване на виртуалните мрежи на наемателите. В частни центрове за данни, той поддържа наслагващи се мрежови архитектури като VMware NSX или Cisco ACI. Представете си център за данни с хиляди сървъри, всеки от които работи с десетки VM (виртуални машини). VXLAN позволява на тези VM да се възприемат като част от една и съща мрежа от слой 2, осигурявайки безпроблемно предаване на ARP излъчвания и DHCP заявки.
VXLAN обаче не е панацея. Работата в L3 мрежа изисква преобразуване от L2 към L3, където се намесва шлюзът (gateway). VXLAN шлюзът свързва виртуалната VXLAN мрежа с външни мрежи (като традиционни VLAN или IP маршрутизиращи мрежи), осигурявайки потоци от данни от виртуалния свят към реалния свят. Механизмът за пренасочване е сърцето и душата на шлюза, определяйки как пакетите се обработват, маршрутизират и разпределят.
Процесът на пренасочване на VXLAN е като деликатен балет, като всяка стъпка от източника до местоназначението е тясно свързана. Нека го разгледаме стъпка по стъпка.
Първо, от хоста източник (като например виртуална машина) се изпраща пакет. Това е стандартен Ethernet кадър, съдържащ MAC адреса на източника, MAC адреса на получателя, VLAN тага (ако има такъв) и полезен товар. След получаване на този кадър, VTEP източника проверява MAC адреса на получателя. Ако MAC адресът на получателя е в неговата MAC таблица (получена чрез обучение или претоварване), той знае към кой отдалечен VTEP да препрати пакета.
Процесът на капсулиране е от решаващо значение: VTEP добавя VXLAN заглавка (включително VNI, флагове и т.н.), след това външна UDP заглавка (с изходен порт, базиран на хеш на вътрешния кадър и фиксиран дестинационен порт 4789), IP заглавка (с изходния IP адрес на локалния VTEP и дестинационния IP адрес на отдалечения VTEP) и накрая външна Ethernet заглавка. Целият пакет сега се появява като UDP/IP пакет, изглежда като нормален трафик и може да бъде маршрутизиран по L3 мрежата.
Във физическата мрежа пакетът се препраща от рутер или комутатор, докато достигне целевия VTEP. Целевият VTEP премахва външния заглавен файл, проверява VXLAN заглавния файл, за да се увери, че VNI съвпада, и след това доставя вътрешния Ethernet кадър до целевия хост. Ако пакетът е неизвестен едноадресен, излъчван или мултикаст (BUM) трафик, VTEP репликира пакета до всички съответни VTEP, използвайки претоварване (flood), разчитайки на групи за многоадресно предаване или репликация на едноадресни заглавни файлове (HER).
В основата на принципа на пренасочване е разделянето на контролната равнина и равнината на данните. Контролната равнина използва Ethernet VPN (EVPN) или механизма Flood and Learn, за да научи MAC и IP съпоставянията. EVPN е базиран на протокола BGP и позволява на VTEP да обменят информация за маршрутизиране, като например MAC-VRF (виртуално маршрутизиране и пренасочване) и IP-VRF. Равнината на данните е отговорна за действителното пренасочване, използвайки VXLAN тунели за ефективно предаване.
В реални ситуации обаче, ефективността на пренасочване влияе пряко върху производителността. Традиционното пренасищане (flood) може лесно да причини broadcast bursts, особено в големи мрежи. Това води до необходимостта от оптимизация на шлюзовете: шлюзовете не само свързват вътрешни и външни мрежи, но и действат като прокси ARP агенти, обработват изтичане на маршрути и осигуряват най-кратките пътища за пренасочване.
Централизиран VXLAN шлюз
Централизиран VXLAN шлюз, наричан още централизиран шлюз или L3 шлюз, обикновено се разполага на ръба или в ядрото на център за данни. Той действа като централен хъб, през който трябва да преминава целият трафик между VNI или подмрежи.
По принцип, централизираният шлюз действа като шлюз по подразбиране, предоставяйки услуги за маршрутизиране на ниво 3 за всички VXLAN мрежи. Да разгледаме два VNI: VNI 10000 (подмрежа 10.1.1.0/24) и VNI 20000 (подмрежа 10.2.1.0/24). Ако VM A във VNI 10000 иска да осъществи достъп до VM B във VNI 20000, пакетът първо достига до локалния VTEP. Локалният VTEP открива, че IP адресът на местоназначението не е в локалната подмрежа и го препраща към централизирания шлюз. Шлюзът декапсулира пакета, взема решение за маршрутизиране и след това го рекапсулира в тунел към VNI местоназначението.
Предимствата са очевидни:
○ Лесно управлениеВсички конфигурации на маршрутизация са централизирани на едно или две устройства, което позволява на операторите да поддържат само няколко шлюза, за да покрият цялата мрежа. Този подход е подходящ за малки и средни центрове за данни или среди, които внедряват VXLAN за първи път.
○Ефективно използване на ресурситеШлюзовете обикновено са високопроизводителен хардуер (като Cisco Nexus 9000 или Arista 7050), способен да обработва огромни количества трафик. Контролната равнина е централизирана, което улеснява интеграцията с SDN контролери като NSX Manager.
○Силен контрол на сигурносттаТрафикът трябва да преминава през шлюза, което улеснява внедряването на ACL (списъци за контрол на достъпа), защитни стени и NAT. Представете си сценарий с множество наематели, където централизиран шлюз може лесно да изолира трафика на наемателите.
Но недостатъците не могат да бъдат пренебрегнати:
○ Единична точка на отказАко шлюзът се повреди, L3 комуникацията в цялата мрежа е парализирана. Въпреки че VRRP (Virtual Router Redundancy Protocol) може да се използва за резервиране, той все пак носи рискове.
○Затруднено положение в производителносттаЦелият трафик от изток на запад (комуникация между сървъри) трябва да заобикаля шлюза, което води до неоптимален път. Например, в клъстер с 1000 възела, ако честотната лента на шлюза е 100 Gbps, е вероятно да възникне претоварване по време на пиковите часове.
○Лоша мащабируемостС нарастването на мащаба на мрежата, натоварването на шлюза се увеличава експоненциално. В реален пример видях финансов център за данни, използващ централизиран шлюз. Първоначално той работеше гладко, но след като броят на виртуалните машини се удвои, латентността скочи от микросекунди до милисекунди.
Сценарий на приложение: Подходящ за среди, изискващи висока степен на опростеност на управлението, като например частни облаци в предприятия или тестови мрежи. ACI архитектурата на Cisco често използва централизиран модел, комбиниран с топология тип „лист-гръбнак“, за да осигури ефективна работа на основните шлюзове.
Разпределен VXLAN шлюз
Разпределен VXLAN шлюз, известен още като разпределен шлюз или anycast шлюз, прехвърля функционалността на шлюза към всеки листов комутатор или хипервизор VTEP. Всеки VTEP действа като локален шлюз, обработвайки L3 пренасочване за локалната подмрежа.
Принципът е по-гъвкав: всеки VTEP е конфигуриран със същия виртуален IP (VIP) адрес като шлюза по подразбиране, използвайки механизма Anycast. Пакетите от различни подмрежи, изпратени от виртуални машини, се маршрутизират директно върху локалния VTEP, без да е необходимо да преминават през централна точка. EVPN е особено полезен тук: чрез BGP EVPN, VTEP научава маршрутите на отдалечени хостове и използва MAC/IP свързване, за да избегне ARP flooding.
Например, виртуална машина A (10.1.1.10) иска достъп до виртуална машина B (10.2.1.10). Шлюзът по подразбиране на виртуална машина A е VIP на локалния VTEP (10.1.1.1). Локалният VTEP маршрутизира към целевата подмрежа, капсулира VXLAN пакета и го изпраща директно към VTEP на виртуална машина B. Този процес минимизира пътя и латентността.
Изключителни предимства:
○ Висока мащабируемостРазпределянето на функционалността на шлюза към всеки възел увеличава размера на мрежата, което е от полза за по-големи мрежи. Големи доставчици на облачни услуги като Google Cloud използват подобен механизъм за поддръжка на милиони виртуални машини.
○Превъзходна производителностТрафикът изток-запад се обработва локално, за да се избегнат пречки. Тестовите данни показват, че пропускателната способност може да се увеличи с 30%-50% в разпределен режим.
○Бързо възстановяване на повредиЕдинична повреда на VTEP засяга само локалния хост, оставяйки останалите възли незасегнати. В комбинация с бързата конвергенция на EVPN, времето за възстановяване е секунди.
○Добро използване на ресурситеИзползвайте съществуващия ASIC чип на Leaf switch за хардуерно ускорение, като скоростите на пренасочване достигат ниво от Tbps.
Какви са недостатъците?
○ Сложна конфигурацияВсеки VTEP изисква конфигуриране на маршрутизация, EVPN и други функции, което прави първоначалното внедряване отнемащо време. Оперативният екип трябва да е запознат с BGP и SDN.
○Високи хардуерни изискванияРазпределен шлюз: Не всички комутатори поддържат разпределени шлюзове; необходими са чипове Broadcom Trident или Tomahawk. Софтуерните реализации (като OVS на KVM) не работят толкова добре, колкото хардуерът.
○Предизвикателства, свързани с последователносттаРазпределеното означава, че синхронизацията на състоянията разчита на EVPN. Ако BGP сесията се колебае, това може да причини черна дупка в маршрутизацията.
Сценарий на приложение: Идеален за хипермащабни центрове за данни или публични облаци. Разпределеният рутер на VMware NSX-T е типичен пример. В комбинация с Kubernetes, той безпроблемно поддържа работа в контейнерни мрежи.
Централизиран VxLAN шлюз срещу разпределен VxLAN шлюз
А сега към кулминацията: кое е по-добро? Отговорът е „зависи“, но трябва да се задълбочим в данните и казусите, за да ви убедим.
От гледна точка на производителността, разпределените системи очевидно се представят по-добре. В типичен бенчмарк за център за данни (базиран на тестово оборудване Spirent), средната латентност на централизиран шлюз е била 150μs, докато тази на разпределена система е била само 50μs. По отношение на пропускателната способност, разпределените системи могат лесно да постигнат пренасочване на линейна скорост, защото използват маршрутизацията Spine-Leaf Equal Cost Multi-Path (ECMP).
Мащабируемостта е друго бойно поле. Централизираните мрежи са подходящи за мрежи със 100-500 възела; отвъд този мащаб, разпределените мрежи получават предимство. Вземете например Alibaba Cloud. Техният VPC (виртуален частен облак) използва разпределени VXLAN шлюзове, за да поддържа милиони потребители по целия свят, с латентност в един регион под 1 ms. Централизираният подход би се провалил отдавна.
Ами цената? Централизираното решение предлага по-ниска първоначална инвестиция, изискваща само няколко висококачествени шлюза. Разпределеното решение изисква всички крайни възли да поддържат разтоварване на VXLAN, което води до по-високи разходи за надграждане на хардуера. В дългосрочен план обаче разпределеното решение предлага по-ниски разходи за експлоатация и поддръжка, тъй като инструменти за автоматизация като Ansible позволяват пакетно конфигуриране.
Сигурност и надеждност: Централизираните системи улесняват централизираната защита, но представляват висок риск от атака от единични точки. Разпределените системи са по-устойчиви, но изискват стабилна контролна равнина за предотвратяване на DDoS атаки.
Казус от реалния свят: Компания за електронна търговия използва централизирана VXLAN за изграждане на своя сайт. По време на пикови периоди натоварването на процесора на шлюза се увеличава до 90%, което води до оплаквания на потребителите относно латентността. Преминаването към разпределен модел решава проблема, позволявайки на компанията лесно да удвои мащаба си. Обратно, малка банка настоява за централизиран модел, защото дава приоритет на одитите за съответствие и намира централизираното управление за по-лесно.
Като цяло, ако търсите изключителна мрежова производителност и мащабируемост, разпределеният подход е правилният път. Ако бюджетът ви е ограничен и екипът ви за управление няма опит, централизираният подход е по-практичен. В бъдеще, с възхода на 5G и периферните изчисления, разпределените мрежи ще станат по-популярни, но централизираните мрежи ще продължат да бъдат ценни в специфични сценарии, като например свързването на клонове.
Mylinking™ мрежови пакетни брокериподдръжка на VxLAN, VLAN, GRE, MPLS Header Stripping
Поддържаше VxLAN, VLAN, GRE, MPLS заглавката, премахната от оригиналния пакет данни и пренасочен изход.
Време на публикуване: 09 октомври 2025 г.
