Para talakayin ang mga VXLAN gateway, kailangan muna nating talakayin ang mismong VXLAN. Tandaan na ang mga tradisyunal na VLAN (Virtual Local Area Networks) ay gumagamit ng 12-bit VLAN ID upang hatiin ang mga network, na sumusuporta sa hanggang 4096 na logical network. Gumagana ito nang maayos para sa maliliit na network, ngunit sa mga modernong data center, na may libu-libong virtual machine, container, at multi-tenant environment, hindi sapat ang mga VLAN. Isinilang ang VXLAN, na binigyang kahulugan ng Internet Engineering Task Force (IETF) sa RFC 7348. Ang layunin nito ay palawakin ang Layer 2 (Ethernet) broadcast domain sa mga Layer 3 (IP) network gamit ang mga UDP tunnel.
Sa madaling salita, isinasama ng VXLAN ang mga Ethernet frame sa loob ng mga UDP packet at nagdaragdag ng 24-bit na VXLAN Network Identifier (VNI), na sa teorya ay sumusuporta sa 16 milyong virtual network. Ito ay parang pagbibigay sa bawat virtual network ng isang "identity card," na nagpapahintulot sa kanila na malayang gumalaw sa pisikal na network nang hindi nakakasagabal sa isa't isa. Ang pangunahing bahagi ng VXLAN ay ang VXLAN Tunnel End Point (VTEP), na responsable para sa pag-encapsulate at pag-decapsulate ng mga packet. Ang VTEP ay maaaring software (tulad ng Open vSwitch) o hardware (tulad ng ASIC chip sa switch).
Bakit napakasikat ng VXLAN? Dahil perpektong naaayon ito sa mga pangangailangan ng cloud computing at SDN (Software-Defined Networking). Sa mga pampublikong cloud tulad ng AWS at Azure, nagbibigay-daan ang VXLAN sa tuluy-tuloy na pagpapalawak ng mga virtual network ng mga nangungupahan. Sa mga pribadong data center, sinusuportahan nito ang mga overlay network architecture tulad ng VMware NSX o Cisco ACI. Isipin ang isang data center na may libu-libong server, na bawat isa ay nagpapatakbo ng dose-dosenang mga VM (Virtual Machines). Pinapayagan ng VXLAN ang mga VM na ito na makita ang kanilang mga sarili bilang bahagi ng parehong Layer 2 network, na tinitiyak ang maayos na pagpapadala ng mga ARP broadcast at mga DHCP request.
Gayunpaman, ang VXLAN ay hindi isang panlunas sa lahat. Ang pagpapatakbo sa isang L3 network ay nangangailangan ng L2-to-L3 conversion, kung saan pumapasok ang gateway. Ang VXLAN gateway ay nagkokonekta sa VXLAN virtual network sa mga external network (tulad ng mga tradisyonal na VLAN o IP routing network), na tinitiyak ang daloy ng data mula sa virtual na mundo patungo sa totoong mundo. Ang mekanismo ng pagpapasa ang puso at kaluluwa ng gateway, na tumutukoy kung paano pinoproseso, iruruta, at ipinamamahagi ang mga packet.
Ang proseso ng pagpapadala ng VXLAN ay parang isang maselang ballet, kung saan ang bawat hakbang mula sa pinagmulan patungo sa destinasyon ay malapit na magkakaugnay. Suriin natin ito nang paunti-unti.
Una, isang packet ang ipinapadala mula sa source host (tulad ng isang VM). Ito ay isang karaniwang Ethernet frame na naglalaman ng source MAC address, destination MAC address, VLAN tag (kung mayroon man), at payload. Sa pagtanggap ng frame na ito, sinusuri ng source VTEP ang destination MAC address. Kung ang destination MAC address ay nasa MAC table nito (nakuha sa pamamagitan ng learning o flooding), alam nito kung saang remote VTEP ipapasa ang packet.
Napakahalaga ng proseso ng encapsulation: ang VTEP ay nagdaragdag ng isang VXLAN header (kabilang ang VNI, mga flag, at iba pa), pagkatapos ay isang panlabas na UDP header (na may source port batay sa isang hash ng panloob na frame at isang nakapirming destination port na 4789), isang IP header (na may source IP address ng lokal na VTEP at ang destination IP address ng remote VTEP), at sa wakas ay isang panlabas na Ethernet header. Ang buong packet ay lilitaw na ngayon bilang isang UDP/IP packet, mukhang normal na trapiko, at maaaring iruta sa L3 network.
Sa pisikal na network, ang packet ay ipinapasa ng isang router o switch hanggang sa makarating ito sa patutunguhang VTEP. Tinatanggal ng patutunguhang VTEP ang panlabas na header, sinusuri ang VXLAN header upang matiyak na tumutugma ang VNI, at pagkatapos ay inihahatid ang panloob na Ethernet frame sa patutunguhang host. Kung ang packet ay hindi kilalang unicast, broadcast, o multicast (BUM) na trapiko, kinokopya ng VTEP ang packet sa lahat ng kaugnay na VTEP gamit ang flooding, umaasa sa mga multicast group o unicast header replication (HER).
Ang puso ng prinsipyo ng forwarding ay ang paghihiwalay ng control plane at ng data plane. Gumagamit ang control plane ng Ethernet VPN (EVPN) o ang mekanismo ng Flood and Learn upang matutunan ang mga MAC at IP mapping. Ang EVPN ay batay sa BGP protocol at nagbibigay-daan sa mga VTEP na makipagpalitan ng impormasyon sa pagruruta, tulad ng MAC-VRF (Virtual Routing and Forwarding) at IP-VRF. Ang data plane ang responsable para sa aktwal na pagpapadala, gamit ang mga VXLAN tunnel para sa mahusay na transmisyon.
Gayunpaman, sa mga aktwal na pag-deploy, ang kahusayan sa pag-forward ay direktang nakakaapekto sa pagganap. Ang tradisyonal na pagbaha ay madaling magdulot ng mga broadcast storm, lalo na sa malalaking network. Ito ay humahantong sa pangangailangan para sa pag-optimize ng gateway: ang mga gateway ay hindi lamang nagkokonekta sa mga panloob at panlabas na network kundi nagsisilbi ring mga proxy ARP agent, humahawak sa mga tagas ng ruta, at tinitiyak ang pinakamaikling mga landas ng pag-forward.
Sentralisadong VXLAN Gateway
Ang isang sentralisadong VXLAN gateway, na tinatawag ding sentralisadong gateway o L3 gateway, ay karaniwang naka-deploy sa gilid o core layer ng isang data center. Ito ay gumaganap bilang isang central hub, kung saan dapat dumaan ang lahat ng cross-VNI o cross-subnet traffic.
Sa prinsipyo, ang isang sentralisadong gateway ay nagsisilbing default na gateway, na nagbibigay ng mga serbisyo sa pagruruta ng Layer 3 para sa lahat ng mga network ng VXLAN. Isaalang-alang ang dalawang VNI: VNI 10000 (subnet 10.1.1.0/24) at VNI 20000 (subnet 10.2.1.0/24). Kung nais ng VM A sa VNI 10000 na ma-access ang VM B sa VNI 20000, unang nararating ng packet ang lokal na VTEP. Natutukoy ng lokal na VTEP na ang IP address ng destinasyon ay wala sa lokal na subnet at ipinapasa ito sa sentralisadong gateway. Dini-decapsulate ng gateway ang packet, gumagawa ng desisyon sa pagruruta, at pagkatapos ay muling inilalagay ang packet sa isang tunnel patungo sa destinasyong VNI.
Ang mga bentahe ay halata:
○ Simpleng pamamahalaAng lahat ng mga configuration ng routing ay nakasentro sa isa o dalawang device, na nagpapahintulot sa mga operator na magpanatili lamang ng ilang gateway upang masakop ang buong network. Ang pamamaraang ito ay angkop para sa maliliit at katamtamang laki ng mga data center o kapaligiran na unang beses na nagde-deploy ng VXLAN.
○Mahusay sa mapagkukunanAng mga gateway ay karaniwang mga hardware na may mataas na pagganap (tulad ng Cisco Nexus 9000 o Arista 7050) na may kakayahang humawak ng napakalaking trapiko. Ang control plane ay sentralisado, na nagpapadali sa integrasyon sa mga SDN controller tulad ng NSX Manager.
○Malakas na kontrol sa seguridadDapat dumaan ang trapiko sa gateway, na siyang nagpapadali sa pagpapatupad ng mga ACL (Access Control Lists), mga firewall, at NAT. Isipin ang isang senaryo ng multi-tenant kung saan ang isang sentralisadong gateway ay madaling makakapaghiwalay ng trapiko ng tenant.
Ngunit hindi maaaring balewalain ang mga kakulangan:
○ Isang punto ng pagkabigoKung mabigo ang gateway, mapaparalisa ang komunikasyon ng L3 sa buong network. Bagama't maaaring gamitin ang VRRP (Virtual Router Redundancy Protocol) para sa redundancy, mayroon pa rin itong mga panganib.
○Bottleneck sa pagganapDapat lampasan ng lahat ng trapiko mula silangan-kanluran (komunikasyon sa pagitan ng mga server) ang gateway, na magreresulta sa isang hindi pinakamainam na landas. Halimbawa, sa isang 1000-node cluster, kung ang bandwidth ng gateway ay 100Gbps, malamang na magkaroon ng congestion sa mga oras na peak hours.
○Mahinang kakayahang sumukatHabang lumalaki ang saklaw ng network, ang gateway load ay tumataas nang husto. Sa isang totoong halimbawa, nakakita ako ng isang financial data center na gumagamit ng isang centralized gateway. Sa una, maayos itong tumakbo, ngunit matapos dumoble ang bilang ng mga VM, ang latency ay tumaas nang mabilis mula microseconds hanggang milliseconds.
Senaryo ng Aplikasyon: Angkop para sa mga kapaligirang nangangailangan ng mataas na kadalian sa pamamahala, tulad ng mga pribadong ulap ng negosyo o mga network ng pagsubok. Ang arkitektura ng ACI ng Cisco ay kadalasang gumagamit ng isang sentralisadong modelo, na sinamahan ng isang topolohiya ng leaf-spine, upang matiyak ang mahusay na operasyon ng mga core gateway.
Ipinamamahaging VXLAN Gateway
Ang isang distributed VXLAN gateway, na kilala rin bilang distributed gateway o anycast gateway, ay naglilipat ng functionality ng gateway sa bawat leaf switch o hypervisor VTEP. Ang bawat VTEP ay gumaganap bilang isang local gateway, na humahawak sa L3 forwarding para sa local subnet.
Mas flexible ang prinsipyo: ang bawat VTEP ay kino-configure gamit ang parehong virtual IP (VIP) gaya ng default gateway, gamit ang mekanismong Anycast. Ang mga cross-subnet packet na ipinapadala ng mga VM ay direktang iruruta sa lokal na VTEP, nang hindi kinakailangang dumaan sa isang sentral na punto. Ang EVPN ay partikular na kapaki-pakinabang dito: sa pamamagitan ng BGP EVPN, natututunan ng VTEP ang mga ruta ng mga remote host at ginagamit ang MAC/IP binding upang maiwasan ang ARP flooding.
Halimbawa, gustong i-access ng VM A (10.1.1.10) ang VM B (10.2.1.10). Ang default gateway ng VM A ay ang VIP ng lokal na VTEP (10.1.1.1). Iruruta ng lokal na VTEP ang papunta sa destination subnet, binubuo ang VXLAN packet, at ipinapadala ito nang direkta sa VTEP ng VM B. Binabawasan ng prosesong ito ang path at latency.
Mga Natatanging Bentahe:
○ Mataas na kakayahang i-scalableAng pamamahagi ng gateway functionality sa bawat node ay nagpapataas ng laki ng network, na kapaki-pakinabang para sa mas malalaking network. Ang malalaking cloud provider tulad ng Google Cloud ay gumagamit ng katulad na mekanismo upang suportahan ang milyun-milyong VM.
○Superior na pagganapAng trapiko mula silangan-kanluran ay pinoproseso nang lokal upang maiwasan ang mga bottleneck. Ipinapakita ng datos ng pagsubok na ang throughput ay maaaring tumaas ng 30%-50% sa distributed mode.
○Mabilis na pagbawi ng depektoAng isang pagkabigo ng VTEP ay nakakaapekto lamang sa lokal na host, kaya hindi maaapektuhan ang iba pang mga node. Kasama ng mabilis na convergence ng EVPN, ang oras ng pagbawi ay nasa ilang segundo.
○Mahusay na paggamit ng mga mapagkukunanGamitin ang kasalukuyang Leaf switch ASIC chip para sa hardware acceleration, kung saan ang mga forwarding rate ay umaabot sa antas ng Tbps.
Ano ang mga disbentaha?
○ Komplikadong konpigurasyonAng bawat VTEP ay nangangailangan ng configuration ng routing, EVPN, at iba pang mga feature, kaya matagal ang unang deployment. Dapat pamilyar ang operations team sa BGP at SDN.
○Mataas na mga kinakailangan sa hardwareDistributed gateway: Hindi lahat ng switch ay sumusuporta sa distributed gateways; kinakailangan ang mga Broadcom Trident o Tomahawk chips. Ang mga implementasyon ng software (tulad ng OVS sa KVM) ay hindi gumaganap nang kasinghusay ng hardware.
○Mga Hamon sa Pagkakapare-parehoAng ibig sabihin ng distributed ay ang state synchronization ay nakasalalay sa EVPN. Kung magbabago-bago ang sesyon ng BGP, maaari itong magdulot ng routing black hole.
Senaryo ng Aplikasyon: Perpekto para sa mga hyperscale data center o pampublikong cloud. Ang distributed router ng VMware NSX-T ay isang tipikal na halimbawa. Kapag sinamahan ng Kubernetes, maayos nitong sinusuportahan ang container networking.
Sentralisadong VxLAN Gateway vs. Ipinamamahaging VxLAN Gateway
Ngayon, tungo na tayo sa kasukdulan: alin ang mas mainam? Ang sagot ay "depende", ngunit kailangan nating suriin nang mabuti ang datos at mga case study para makumbinsi ka.
Mula sa perspektibo ng pagganap, malinaw na mas mahusay ang mga distributed system. Sa isang tipikal na benchmark ng data center (batay sa kagamitan sa pagsubok ng Spirent), ang average na latency ng isang centralized gateway ay 150μs, habang ang sa isang distributed system ay 50μs lamang. Sa usapin ng throughput, madaling makakamit ng mga distributed system ang line-rate forwarding dahil ginagamit nila ang Spine-Leaf Equal Cost Multi-Path (ECMP) routing.
Ang scalability ay isa pang larangan ng digmaan. Ang mga sentralisadong network ay angkop para sa mga network na may 100-500 node; lampas sa saklaw na ito, ang mga distributed network ay nakakakuha ng kalamangan. Kunin natin ang Alibaba Cloud, halimbawa. Ang kanilang VPC (Virtual Private Cloud) ay gumagamit ng mga distributed VXLAN gateway upang suportahan ang milyun-milyong gumagamit sa buong mundo, na may single-region latency na wala pang 1ms. Ang isang sentralisadong diskarte ay matagal nang hindi gagana.
Kumusta naman ang gastos? Ang isang sentralisadong solusyon ay nag-aalok ng mas mababang paunang puhunan, na nangangailangan lamang ng ilang high-end gateway. Ang isang distributed solution ay nangangailangan ng lahat ng leaf node na suportahan ang VXLAN offload, na humahantong sa mas mataas na gastos sa pag-upgrade ng hardware. Gayunpaman, sa katagalan, ang isang distributed solution ay nag-aalok ng mas mababang gastos sa O&M, dahil ang mga tool sa automation tulad ng Ansible ay nagpapagana ng batch configuration.
Seguridad at pagiging maaasahan: Pinapadali ng mga sentralisadong sistema ang sentralisadong proteksyon ngunit nagdudulot ng mataas na panganib ng mga iisang punto ng pag-atake. Ang mga distributed system ay mas matatag ngunit nangangailangan ng isang matatag na control plane upang maiwasan ang mga pag-atake ng DDoS.
Isang pag-aaral ng kaso sa totoong mundo: Isang kumpanya ng e-commerce ang gumamit ng sentralisadong VXLAN upang itayo ang site nito. Sa mga peak period, ang paggamit ng gateway CPU ay tumaas sa 90%, na humantong sa mga reklamo ng mga user tungkol sa latency. Ang paglipat sa isang distributed model ay nalutas ang isyu, na nagpapahintulot sa kumpanya na madaling madoble ang laki nito. Sa kabaligtaran, isang maliit na bangko ang iginiit ang isang sentralisadong modelo dahil inuuna nila ang mga compliance audit at natagpuang mas madali ang sentralisadong pamamahala.
Sa pangkalahatan, kung naghahanap ka ng matinding performance at scale ng network, ang distributed approach ang dapat mong piliin. Kung limitado ang iyong badyet at kulang sa karanasan ang iyong management team, mas praktikal ang centralized approach. Sa hinaharap, kasabay ng pag-usbong ng 5G at edge computing, ang distributed networks ay magiging mas popular, ngunit ang centralized networks ay magiging mahalaga pa rin sa mga partikular na sitwasyon, tulad ng interconnection ng branch offices.
Mga Broker ng Pakete ng Network ng Mylinking™sumusuporta sa VxLAN, VLAN, GRE, MPLS Header Stripping
Sinuportahan ang VxLAN, VLAN, GRE, MPLS header na tinanggal sa orihinal na data packet at ipinasa ang output.
Oras ng pag-post: Oktubre-09-2025
