A VXLAN átjárók megvitatásához először magát a VXLAN-t kell megvizsgálnunk. Emlékezzünk vissza, hogy a hagyományos VLAN-ok (virtuális helyi hálózatok) 12 bites VLAN azonosítókat használnak a hálózatok felosztására, akár 4096 logikai hálózatot is támogatva. Ez kis hálózatok esetén jól működik, de a modern adatközpontokban, több ezer virtuális géppel, konténerrel és több-bérlős környezettel, a VLAN-ok már nem elegendőek. A VXLAN megszületett, amelyet az Internet Engineering Task Force (IETF) definiált az RFC 7348-ban. Célja a 2. rétegbeli (Ethernet) műsorszórási tartomány kiterjesztése a 3. rétegbeli (IP) hálózatokra UDP alagutak segítségével.
Egyszerűen fogalmazva, a VXLAN Ethernet kereteket csomagol UDP csomagokba, és hozzáad egy 24 bites VXLAN hálózati azonosítót (VNI), elméletileg 16 millió virtuális hálózatot támogatva. Ez olyan, mintha minden virtuális hálózathoz adnánk egy „azonosító kártyát”, amely lehetővé teszi számukra, hogy szabadon mozogjanak a fizikai hálózaton anélkül, hogy zavarnák egymást. A VXLAN központi eleme a VXLAN alagút végpont (VTEP), amely a csomagok beágyazásáért és kibontásáért felelős. A VTEP lehet szoftveres (például az Open vSwitch) vagy hardveres (például a kapcsoló ASIC chipje).
Miért olyan népszerű a VXLAN? Mert tökéletesen illeszkedik a felhőalapú számítástechnika és az SDN (szoftveresen definiált hálózatépítés) igényeihez. A nyilvános felhőkben, mint az AWS és az Azure, a VXLAN lehetővé teszi a bérlők virtuális hálózatainak zökkenőmentes kiterjesztését. Privát adatközpontokban támogatja az olyan átfedő hálózati architektúrákat, mint a VMware NSX vagy a Cisco ACI. Képzeljen el egy adatközpontot több ezer szerverrel, amelyek mindegyike több tucat virtuális gépet (VM) futtat. A VXLAN lehetővé teszi ezeknek a virtuális gépeknek, hogy ugyanazon 2. rétegbeli hálózat részének tekintsék magukat, biztosítva az ARP-közvetítések és a DHCP-kérések zökkenőmentes továbbítását.
A VXLAN azonban nem csodaszer. Az L3 hálózaton való működéshez L2-L3 átalakításra van szükség, és itt jön képbe az átjáró. A VXLAN átjáró összeköti a VXLAN virtuális hálózatot külső hálózatokkal (például hagyományos VLAN-okkal vagy IP útválasztó hálózatokkal), biztosítva az adatáramlást a virtuális világból a valós világba. A továbbító mechanizmus az átjáró lelke, amely meghatározza a csomagok feldolgozásának, irányításának és elosztásának módját.
A VXLAN továbbítási folyamata olyan, mint egy finom balett, ahol a forrástól a célállomásig tartó minden lépés szorosan összefügg. Nézzük meg lépésről lépésre.
Először egy csomagot küld a forrásgép (például egy virtuális gép). Ez egy szabványos Ethernet keret, amely tartalmazza a forrás MAC-címét, a cél MAC-címét, a VLAN-címkét (ha van) és a hasznos adatot. A keret vételekor a forrás VTEP ellenőrzi a cél MAC-címét. Ha a cél MAC-cím szerepel a MAC-táblázatában (tanulás vagy elárasztás útján szerezte meg), akkor tudja, melyik távoli VTEP-nek kell továbbítania a csomagot.
A beágyazási folyamat kulcsfontosságú: a VTEP hozzáad egy VXLAN fejlécet (beleértve a VNI-t, a jelzőket stb.), majd egy külső UDP fejlécet (a belső keret hash-én alapuló forrásporttal és egy 4789-es fix célporttal), egy IP fejlécet (a helyi VTEP forrás IP-címével és a távoli VTEP cél IP-címével), és végül egy külső Ethernet fejlécet. A teljes csomag most UDP/IP csomagként jelenik meg, normál forgalomnak tűnik, és az L3 hálózaton irányítható.
A fizikai hálózaton a csomagot egy router vagy switch továbbítja, amíg el nem éri a cél VTEP-et. A cél VTEP eltávolítja a külső fejlécet, ellenőrzi a VXLAN fejlécet, hogy a VNI egyezik-e, majd kézbesíti a belső Ethernet keretet a cél gazdagépnek. Ha a csomag ismeretlen unicast, broadcast vagy multicast (BUM) forgalom, a VTEP elárasztással replikálja a csomagot az összes releváns VTEP-nek, multicast csoportokra vagy unicast header replikációra (HER) támaszkodva.
A továbbítási elv lényege a vezérlősík és az adatsík szétválasztása. A vezérlősík Ethernet VPN-t (EVPN) vagy a Flood and Learn mechanizmust használ a MAC- és IP-leképezések megtanulására. Az EVPN a BGP protokollon alapul, és lehetővé teszi a VTEP-ek számára az útvonalinformációk, például a MAC-VRF (Virtual Routing and Forwarding) és az IP-VRF cseréjét. Az adatsík felelős a tényleges továbbításért, VXLAN alagutakat használva a hatékony átvitel érdekében.
A tényleges telepítések során azonban a továbbítási hatékonyság közvetlenül befolyásolja a teljesítményt. A hagyományos elárasztás könnyen okozhat műsorszórási viharokat, különösen nagy hálózatokban. Ez szükségessé teszi az átjárók optimalizálását: az átjárók nemcsak a belső és külső hálózatokat kötik össze, hanem proxy ARP ügynökként is működnek, kezelik az útvonalszivárgásokat, és biztosítják a legrövidebb továbbítási útvonalakat.
Központosított VXLAN átjáró
Egy központosított VXLAN átjárót, más néven központosított átjárót vagy L3 átjárót, jellemzően egy adatközpont peremén vagy központi rétegében telepítenek. Központi hubként működik, amelyen keresztül minden VNI-k vagy alhálózatok közötti forgalomnak át kell haladnia.
Elvileg egy központosított átjáró működik alapértelmezett átjáróként, amely 3. rétegbeli útválasztási szolgáltatásokat nyújt az összes VXLAN hálózat számára. Vegyünk két VNI-t: a VNI 10000-et (alhálózat 10.1.1.0/24) és a VNI 20000-et (alhálózat 10.2.1.0/24). Ha a VNI 10000-ben található A virtuális gép hozzá akar férni a VNI 20000-ben található B virtuális géphez, a csomag először a helyi VTEP-hez ér el. A helyi VTEP érzékeli, hogy a cél IP-cím nem a helyi alhálózaton található, és továbbítja azt a központosított átjárónak. Az átjáró dekapszulázza a csomagot, útválasztási döntést hoz, majd újra becsomagolja a csomagot egy alagútba a cél VNI-hez.
Az előnyök nyilvánvalóak:
○ Egyszerű kezelésMinden útválasztási konfiguráció egy vagy két eszközön központosított, így az üzemeltetők csak néhány átjárót tarthatnak fenn a teljes hálózat lefedéséhez. Ez a megközelítés alkalmas kis és közepes méretű adatközpontok vagy olyan környezetek számára, amelyek először telepítenek VXLAN-t.
○Erőforrás-hatékonyAz átjárók jellemzően nagy teljesítményű hardverek (mint például a Cisco Nexus 9000 vagy az Arista 7050), amelyek képesek hatalmas mennyiségű forgalom kezelésére. A vezérlési sík központosított, ami megkönnyíti az integrációt az SDN-vezérlőkkel, például az NSX Managerrel.
○Erős biztonsági ellenőrzésA forgalomnak át kell haladnia az átjárón, ami megkönnyíti az ACL-ek (hozzáférési listák), tűzfalak és NAT megvalósítását. Képzeljen el egy több-bérlős forgatókönyvet, ahol egy központosított átjáró könnyen elkülönítheti a bérlői forgalmat.
De a hiányosságokat sem szabad figyelmen kívül hagyni:
○ Egyetlen meghibásodási pontHa az átjáró meghibásodik, az L3 kommunikáció a teljes hálózaton megbénul. Bár a VRRP (Virtual Router Redundancy Protocol) használható redundanciára, továbbra is kockázatokkal jár.
○Teljesítménybeli szűk keresztmetszetMinden kelet-nyugati irányú forgalomnak (szerverek közötti kommunikációnak) meg kell kerülnie az átjárót, ami szuboptimális útvonalat eredményez. Például egy 1000 csomópontos klaszterben, ha az átjáró sávszélessége 100 Gbps, a torlódás valószínűleg csúcsidőben fordul elő.
○Gyenge skálázhatóságA hálózat méretének növekedésével az átjárók terhelése exponenciálisan nő. Egy valós példában láttam egy pénzügyi adatközpontot, amely központosított átjárót használt. Kezdetben simán működött, de miután a virtuális gépek száma megduplázódott, a késleltetés mikroszekundumról milliszekundumra ugrott.
Alkalmazási forgatókönyv: Alkalmas olyan környezetekhez, amelyek magas szintű egyszerűséget igényelnek, például vállalati privát felhőkhöz vagy teszthálózatokhoz. A Cisco ACI architektúrája gyakran központosított modellt használ, levél-gerinc topológiával kombinálva, hogy biztosítsa az alapvető átjárók hatékony működését.
Elosztott VXLAN átjáró
Egy elosztott VXLAN átjáró, más néven elosztott átjáró vagy anycast átjáró, az átjáró funkcionalitását minden levélkapcsolóra vagy hipervizor VTEP-re bízza. Minden VTEP helyi átjáróként működik, és kezeli a helyi alhálózat L3 továbbítását.
Az elv rugalmasabb: minden VTEP ugyanazzal a virtuális IP-címmel (VIP) van konfigurálva, mint az alapértelmezett átjáró, az Anycast mechanizmus használatával. A virtuális gépek által küldött, alhálózatokon átívelő csomagok közvetlenül a helyi VTEP-en keresztül kerülnek továbbításra anélkül, hogy egy központi ponton kellene áthaladniuk. Az EVPN itt különösen hasznos: a BGP EVPN-en keresztül a VTEP megtanulja a távoli gazdagépek útvonalait, és MAC/IP-kötést használ az ARP-elárasztás elkerülése érdekében.
Például az A virtuális gép (10.1.1.10) hozzá szeretne férni a B virtuális géphez (10.2.1.10). Az A virtuális gép alapértelmezett átjárója a helyi VTEP (10.1.1.1) VIP-címe. A helyi VTEP a cél alhálózatra irányít, beágyazza a VXLAN csomagot, és közvetlenül a B virtuális gép VTEP-jének küldi el. Ez a folyamat minimalizálja az útvonalat és a késleltetést.
Kiemelkedő előnyök:
○ Nagyfokú skálázhatóságAz átjáró funkcióinak minden csomópontra való elosztása növeli a hálózat méretét, ami előnyös a nagyobb hálózatok számára. A nagy felhőszolgáltatók, mint például a Google Cloud, hasonló mechanizmust használnak több millió virtuális gép támogatására.
○Kiváló teljesítményA kelet-nyugati irányú forgalmat helyben dolgozzák fel a szűk keresztmetszetek elkerülése érdekében. A tesztadatok azt mutatják, hogy az átviteli sebesség elosztott módban 30-50%-kal is növekedhet.
○Gyors hibaelhárításEgyetlen VTEP hiba csak a helyi gazdagépet érinti, a többi csomópontot nem érinti. Az EVPN gyors konvergenciájának köszönhetően a helyreállítási idő másodpercek alatt elérhető.
○Az erőforrások jó felhasználásaHasználja ki a meglévő Leaf switch ASIC chipet a hardveres gyorsításhoz, a továbbítási sebesség elérheti a Tbps szintet.
Mik a hátrányok?
○ Komplex konfigurációMinden VTEP megköveteli az útválasztás, az EVPN és egyéb funkciók konfigurálását, ami időigényessé teszi a kezdeti telepítést. Az üzemeltetési csapatnak ismernie kell a BGP-t és az SDN-t.
○Magas hardverigényekElosztott átjáró: Nem minden switch támogatja az elosztott átjárókat; Broadcom Trident vagy Tomahawk chipek szükségesek. A szoftveres implementációk (például az OVS KVM-en) nem teljesítenek olyan jól, mint a hardveresek.
○Konzisztencia kihívásokAz elosztott azt jelenti, hogy az állapotszinkronizálás az EVPN-re támaszkodik. Ha a BGP munkamenet ingadozik, az útválasztási fekete lyukat okozhat.
Alkalmazási forgatókönyv: Tökéletes hiperskálázható adatközpontokba vagy nyilvános felhőkbe. A VMware NSX-T elosztott routerje egy tipikus példa. A Kubernetes-szel kombinálva zökkenőmentesen támogatja a konténerhálózatokat.
Központosított VxLAN átjáró vs. elosztott VxLAN átjáró
Most pedig térjünk rá a lényegre: melyik a jobb? A válasz „attól függ”, de mélyre kell ásnunk az adatokban és az esettanulmányokban, hogy meggyőzzünk.
Teljesítmény szempontjából az elosztott rendszerek egyértelműen felülmúlják a teljesítményt. Egy tipikus adatközponti benchmarkban (a Spirent tesztberendezésein alapulva) egy központosított átjáró átlagos késleltetése 150 μs volt, míg egy elosztott rendszeré mindössze 50 μs. Áteresztőképesség tekintetében az elosztott rendszerek könnyen megvalósíthatják a vonali sebességű továbbítást, mivel kihasználják a Spine-Leaf Equal Cost Multi-Path (ECMP) útválasztást.
A skálázhatóság egy másik csatatér. A centralizált hálózatok 100-500 csomópontos hálózatokhoz alkalmasak; ezen a méreten túl az elosztott hálózatok kerülnek előtérbe. Vegyük például az Alibaba Cloudot. VPC-jük (Virtual Private Cloud) elosztott VXLAN átjárókat használ, hogy világszerte több millió felhasználót támogasson, 1 ms alatti egyrégiós késleltetéssel. Egy centralizált megközelítés már rég összeomlott volna.
Mi a helyzet a költségekkel? Egy központosított megoldás alacsonyabb kezdeti beruházást kínál, mivel csak néhány csúcskategóriás átjárót igényel. Egy elosztott megoldás megköveteli, hogy az összes levélcsomópont támogassa a VXLAN terheléselosztását, ami magasabb hardverfrissítési költségekhez vezet. Hosszú távon azonban egy elosztott megoldás alacsonyabb üzemeltetési és karbantartási költségeket kínál, mivel az olyan automatizálási eszközök, mint az Ansible, lehetővé teszik a kötegelt konfigurációt.
Biztonság és megbízhatóság: A központosított rendszerek központosított védelmet biztosítanak, de nagy kockázatot jelentenek az egyetlen támadási pontból eredő támadások szempontjából. Az elosztott rendszerek ellenállóbbak, de robusztus vezérlési síkra van szükségük a DDoS-támadások megelőzése érdekében.
Egy valós esettanulmány: Egy e-kereskedelmi cég központosított VXLAN-t használt webhelye felépítéséhez. Csúcsidőszakokban az átjáró CPU-használata 90%-ra ugrott, ami felhasználói panaszokhoz vezetett a késleltetés miatt. Az elosztott modellre való áttérés megoldotta a problémát, lehetővé téve a vállalat számára, hogy könnyen megduplázza a méretét. Ezzel szemben egy kis bank ragaszkodott a központosított modellhez, mivel prioritást élveztek a megfelelőségi auditok, és a központosított kezelést könnyebbnek találták.
Általánosságban elmondható, hogy ha extrém hálózati teljesítményre és skálázhatóságra van szükség, akkor az elosztott megközelítés a megfelelő választás. Ha a költségvetés korlátozott, és a vezetői csapatnak nincs tapasztalata, akkor a központosított megközelítés a praktikusabb. A jövőben, az 5G és az edge computing térnyerésével az elosztott hálózatok népszerűbbé válnak, de a központosított hálózatok továbbra is értékesek lesznek bizonyos helyzetekben, például a fiókirodák összekapcsolásakor.
Mylinking™ hálózati csomagközvetítőkVxLAN, VLAN, GRE és MPLS fejléc-eltávolítás támogatása
Támogatja a VxLAN, VLAN, GRE, MPLS fejlécek eltávolítását az eredeti adatcsomagból és a továbbított kimenetből.
Közzététel ideje: 2025. október 9.
