Da bismo raspravljali o VXLAN pristupnicima, prvo moramo raspraviti o samom VXLAN-u. Podsjetimo se da tradicionalni VLAN-ovi (virtualne lokalne mreže) koriste 12-bitne VLAN ID-ove za podjelu mreža, podržavajući do 4096 logičkih mreža. To dobro funkcionira za male mreže, ali u modernim podatkovnim centrima, s tisućama virtualnih strojeva, kontejnera i okruženja s više zakupaca, VLAN-ovi nisu dovoljni. Rođen je VXLAN, a definirala ga je Radna skupina za internetsko inženjerstvo (IETF) u RFC 7348. Njegova je svrha proširiti domenu emitiranja sloja 2 (Ethernet) preko mreža sloja 3 (IP) pomoću UDP tunela.
Jednostavno rečeno, VXLAN enkapsulira Ethernet okvire unutar UDP paketa i dodaje 24-bitni VXLAN mrežni identifikator (VNI), teoretski podržavajući 16 milijuna virtualnih mreža. To je kao da svakoj virtualnoj mreži date "osobnu iskaznicu", omogućujući im slobodno kretanje po fizičkoj mreži bez međusobnog ometanja. Osnovna komponenta VXLAN-a je VXLAN Tunnel End Point (VTEP), koja je odgovorna za enkapsulaciju i dekapsulaciju paketa. VTEP može biti softverski (kao što je Open vSwitch) ili hardverski (kao što je ASIC čip na preklopniku).
Zašto je VXLAN toliko popularan? Zato što se savršeno usklađuje s potrebama računarstva u oblaku i SDN-a (softverski definiranih mreža). U javnim oblacima poput AWS-a i Azurea, VXLAN omogućuje besprijekorno proširenje virtualnih mreža stanara. U privatnim podatkovnim centrima podržava arhitekture prekrivajućih mreža poput VMware NSX ili Cisco ACI. Zamislite podatkovni centar s tisućama poslužitelja, od kojih svaki pokreće desetke VM-ova (virtualnih strojeva). VXLAN omogućuje tim VM-ovima da sebe doživljavaju kao dio iste mreže 2. sloja, osiguravajući nesmetan prijenos ARP broadcastova i DHCP zahtjeva.
Međutim, VXLAN nije čarobni štapić. Rad na L3 mreži zahtijeva L2-L3 pretvorbu, gdje dolazi do izražaja pristupnik (gateway). VXLAN pristupnik povezuje virtualnu VXLAN mrežu s vanjskim mrežama (kao što su tradicionalni VLAN-ovi ili IP mreže za usmjeravanje), osiguravajući protok podataka iz virtualnog svijeta u stvarni svijet. Mehanizam prosljeđivanja je srce i duša pristupnika, određujući kako se paketi obrađuju, usmjeravaju i distribuiraju.
Proces prosljeđivanja VXLAN-a je poput delikatnog baleta, pri čemu je svaki korak od izvora do odredišta usko povezan. Razložimo ga korak po korak.
Prvo se paket šalje s izvorišnog hosta (kao što je VM). To je standardni Ethernet okvir koji sadrži izvorišnu MAC adresu, odredišnu MAC adresu, VLAN oznaku (ako postoji) i korisni teret. Nakon primanja ovog okvira, izvorni VTEP provjerava odredišnu MAC adresu. Ako se odredišna MAC adresa nalazi u njegovoj MAC tablici (dobivenoj učenjem ili preplavljivanjem), zna kojem udaljenom VTEP-u treba proslijediti paket.
Proces enkapsulacije je ključan: VTEP dodaje VXLAN zaglavlje (uključujući VNI, zastavice i tako dalje), zatim vanjsko UDP zaglavlje (s izvornim portom na temelju hash-a unutarnjeg okvira i fiksnim odredišnim portom 4789), IP zaglavlje (s izvornom IP adresom lokalnog VTEP-a i odredišnom IP adresom udaljenog VTEP-a) i na kraju vanjsko Ethernet zaglavlje. Cijeli paket sada se pojavljuje kao UDP/IP paket, izgleda kao normalan promet i može se usmjeriti na L3 mreži.
Na fizičkoj mreži, paket se prosljeđuje putem usmjerivača ili preklopnika dok ne stigne do odredišnog VTEP-a. Odredišni VTEP uklanja vanjski zaglavlje, provjerava VXLAN zaglavlje kako bi se osiguralo da se VNI podudara, a zatim dostavlja unutarnji Ethernet okvir odredišnom hostu. Ako je paket nepoznati unicast, broadcast ili multicast (BUM) promet, VTEP replicira paket na sve relevantne VTEP-ove koristeći flooding, oslanjajući se na multicast grupe ili replikaciju unicast zaglavlja (HER).
Jezgra principa prosljeđivanja je odvajanje kontrolne ravnine i podatkovne ravnine. Kontrolna ravnina koristi Ethernet VPN (EVPN) ili mehanizam Flood and Learn za učenje MAC i IP mapiranja. EVPN se temelji na BGP protokolu i omogućuje VTEP-ovima razmjenu informacija o usmjeravanju, kao što su MAC-VRF (virtualno usmjeravanje i prosljeđivanje) i IP-VRF. Podatkovna ravnina odgovorna je za stvarno prosljeđivanje, koristeći VXLAN tunele za učinkovit prijenos.
Međutim, u stvarnim implementacijama, učinkovitost prosljeđivanja izravno utječe na performanse. Tradicionalno preplavljivanje može lako uzrokovati oluje emitiranja, posebno u velikim mrežama. To dovodi do potrebe za optimizacijom pristupnika: pristupnici ne samo da povezuju unutarnje i vanjske mreže, već djeluju i kao proxy ARP agenti, obrađuju curenje ruta i osiguravaju najkraće putove prosljeđivanja.
Centralizirani VXLAN pristupnik
Centralizirani VXLAN pristupnik, također nazvan centralizirani pristupnik ili L3 pristupnik, obično se postavlja na rubnom ili središnjem sloju podatkovnog centra. Djeluje kao središnje čvorište kroz koje mora proći sav promet između VNI-jeva ili podmreža.
U principu, centralizirani pristupnik djeluje kao zadani pristupnik, pružajući usluge usmjeravanja sloja 3 za sve VXLAN mreže. Razmotrimo dva VNI-a: VNI 10000 (podmreža 10.1.1.0/24) i VNI 20000 (podmreža 10.2.1.0/24). Ako VM A u VNI 10000 želi pristupiti VM B u VNI 20000, paket prvo stiže do lokalnog VTEP-a. Lokalni VTEP detektira da odredišna IP adresa nije u lokalnoj podmreži i prosljeđuje je centraliziranom pristupniku. Pristupnik dekapsulira paket, donosi odluku o usmjeravanju, a zatim ponovno enkapsulira paket u tunel do odredišnog VNI-a.
Prednosti su očite:
○ Jednostavno upravljanjeSve konfiguracije usmjeravanja centralizirane su na jednom ili dva uređaja, što omogućuje operaterima održavanje samo nekoliko pristupnika kako bi pokrili cijelu mrežu. Ovaj pristup je prikladan za male i srednje podatkovne centre ili okruženja koja prvi put implementiraju VXLAN.
○Učinkovito korištenje resursaPristupnici su obično visokoučinkoviti hardver (kao što su Cisco Nexus 9000 ili Arista 7050) sposoban za rukovanje ogromnim količinama prometa. Kontrolna ravnina je centralizirana, što olakšava integraciju s SDN kontrolerima kao što je NSX Manager.
○Snažna sigurnosna kontrolaPromet mora prolaziti kroz pristupnik, što olakšava implementaciju ACL-ova (popisa kontrole pristupa), vatrozida i NAT-a. Zamislite scenarij s više zakupaca u kojem centralizirani pristupnik može lako izolirati promet zakupaca.
Ali nedostaci se ne mogu zanemariti:
○ Jedna točka kvaraAko pristupnik zakaže, L3 komunikacija u cijeloj mreži je paralizirana. Iako se VRRP (Virtual Router Redundancy Protocol) može koristiti za redundanciju, on i dalje nosi rizike.
○Usko grlo performansiSav promet istok-zapad (komunikacija između poslužitelja) mora zaobići pristupnik, što rezultira neoptimalnom putanjom. Na primjer, u klasteru od 1000 čvorova, ako je propusnost pristupnika 100 Gbps, vjerojatno će doći do zagušenja tijekom vršnih sati.
○Slaba skalabilnostKako raste opseg mreže, opterećenje pristupnika raste eksponencijalno. U primjeru iz stvarnog svijeta, vidio sam financijski podatkovni centar koji koristi centralizirani pristupnik. U početku je radio glatko, ali nakon što se broj virtualnih strojeva udvostručio, latencija je naglo porasla s mikrosekundi na milisekunde.
Scenarij primjene: Pogodno za okruženja koja zahtijevaju visoku jednostavnost upravljanja, kao što su privatni oblaci poduzeća ili testne mreže. Ciscova ACI arhitektura često koristi centralizirani model, u kombinaciji s topologijom leaf-spine, kako bi se osigurao učinkovit rad glavnih pristupnika.
Distribuirani VXLAN pristupnik
Distribuirani VXLAN pristupnik, također poznat kao distribuirani pristupnik ili anycast pristupnik, prebacuje funkcionalnost pristupnika na svaki krajnji prekidač ili hipervizor VTEP. Svaki VTEP djeluje kao lokalni pristupnik, obrađujući L3 prosljeđivanje za lokalnu podmrežu.
Princip je fleksibilniji: svaki VTEP je konfiguriran s istom virtualnom IP adresom (VIP) kao i zadani pristupnik, koristeći Anycast mehanizam. Paketi između podmreža koje šalju virtualni strojevi usmjeravaju se izravno na lokalni VTEP, bez potrebe za prolaskom kroz središnju točku. EVPN je ovdje posebno koristan: putem BGP-a EVPN, VTEP uči rute udaljenih hostova i koristi MAC/IP povezivanje kako bi izbjegao ARP preplavljivanje.
Na primjer, VM A (10.1.1.10) želi pristupiti VM B (10.2.1.10). Zadani pristupnik VM A je VIP lokalnog VTEP-a (10.1.1.1). Lokalni VTEP usmjerava se do odredišne podmreže, enkapsulira VXLAN paket i šalje ga izravno VTEP-u VM B. Ovaj proces minimizira put i latenciju.
Izvanredne prednosti:
○ Visoka skalabilnostDistribucija funkcionalnosti pristupnika na svaki čvor povećava veličinu mreže, što je korisno za veće mreže. Veliki pružatelji usluga u oblaku poput Google Clouda koriste sličan mehanizam za podršku milijunima virtualnih strojeva.
○Vrhunske performansePromet istok-zapad obrađuje se lokalno kako bi se izbjegla uska grla. Podaci testiranja pokazuju da se propusnost može povećati za 30%-50% u distribuiranom načinu rada.
○Brzi oporavak od kvaraJedan kvar VTEP-a utječe samo na lokalni host, ostavljajući ostale čvorove nepromijenjenima. U kombinaciji s brzom konvergencijom EVPN-a, vrijeme oporavka je u sekundama.
○Dobro korištenje resursaIskoristite postojeći ASIC čip Leaf switcha za hardversko ubrzanje, s brzinama prosljeđivanja koje dosežu razinu od Tbps.
Koji su nedostaci?
○ Složena konfiguracijaSvaki VTEP zahtijeva konfiguraciju usmjeravanja, EVPN-a i drugih značajki, što početno postavljanje čini dugotrajnim. Operativni tim mora biti upoznat s BGP-om i SDN-om.
○Visoki hardverski zahtjeviDistribuirani pristupnik: Ne podržavaju svi preklopnici distribuirane pristupnike; potrebni su Broadcom Trident ili Tomahawk čipovi. Softverske implementacije (kao što je OVS na KVM-u) ne rade tako dobro kao hardver.
○Izazovi dosljednostiDistribuirano znači da sinkronizacija stanja ovisi o EVPN-u. Ako BGP sesija fluktuira, to može uzrokovati crnu rupu u usmjeravanju.
Scenarij primjene: Savršeno za hiperskalabilne podatkovne centre ili javne oblake. VMware NSX-T-ov distribuirani usmjerivač je tipičan primjer. U kombinaciji s Kubernetesom, besprijekorno podržava umrežavanje kontejnera.
Centralizirani VxLAN pristupnik u odnosu na distribuirani VxLAN pristupnik
A sada vrhunac: što je bolje? Odgovor je "ovisi", ali moramo duboko proučiti podatke i studije slučaja kako bismo vas uvjerili.
S gledišta performansi, distribuirani sustavi očito nadmašuju. U tipičnom benchmarku podatkovnog centra (na temelju Spirentove testne opreme), prosječna latencija centraliziranog pristupnika bila je 150 μs, dok je kod distribuiranog sustava bila samo 50 μs. Što se tiče propusnosti, distribuirani sustavi mogu lako postići prosljeđivanje linijske brzine jer koriste ECMP (Spine-Leaf Equal Cost Multi-Path) usmjeravanje.
Skalabilnost je još jedno bojno polje. Centralizirane mreže prikladne su za mreže sa 100-500 čvorova; iznad ove skale, distribuirane mreže imaju prednost. Uzmimo za primjer Alibaba Cloud. Njihov VPC (Virtual Private Cloud) koristi distribuirane VXLAN pristupnike za podršku milijunima korisnika diljem svijeta, s latencijom jedne regije ispod 1 ms. Centralizirani pristup bi odavno propao.
Što je s troškovima? Centralizirano rješenje nudi niža početna ulaganja, zahtijevajući samo nekoliko vrhunskih pristupnika. Distribuirano rješenje zahtijeva da svi krajnji čvorovi podržavaju rasterećenje VXLAN-a, što dovodi do većih troškova nadogradnje hardvera. Međutim, dugoročno gledano, distribuirano rješenje nudi niže troškove rada i održavanja, jer alati za automatizaciju poput Ansiblea omogućuju serijsku konfiguraciju.
Sigurnost i pouzdanost: Centralizirani sustavi olakšavaju centraliziranu zaštitu, ali predstavljaju visok rizik od napada s pojedinačnih točaka. Distribuirani sustavi su otporniji, ali zahtijevaju robusnu kontrolnu ravninu kako bi spriječili DDoS napade.
Studija slučaja iz stvarnog svijeta: Tvrtka za e-trgovinu koristila je centralizirani VXLAN za izgradnju svoje web-stranice. Tijekom vršnih razdoblja, korištenje CPU-a pristupnika poraslo je na 90%, što je dovelo do pritužbi korisnika na latenciju. Prelazak na distribuirani model riješio je problem, omogućujući tvrtki da lako udvostruči svoju veličinu. S druge strane, mala banka inzistirala je na centraliziranom modelu jer su davali prioritet revizijama usklađenosti i smatrali su centralizirano upravljanje lakšim.
Općenito, ako tražite ekstremne mrežne performanse i skalabilnost, distribuirani pristup je pravi put. Ako je vaš proračun ograničen, a vašem menadžerskom timu nedostaje iskustva, centralizirani pristup je praktičniji. U budućnosti, s porastom 5G i rubnog računalstva, distribuirane mreže postat će popularnije, ali centralizirane mreže i dalje će biti vrijedne u određenim scenarijima, kao što je međusobno povezivanje podružnica.
Mylinking™ mrežni paketni posrednicipodrška za VxLAN, VLAN, GRE, MPLS uklanjanje zaglavlja
Podržavao je VxLAN, VLAN, GRE, MPLS zaglavlje ogoljeno u izvornom paketu podataka i proslijeđeni izlaz.
Vrijeme objave: 09.10.2025.
