Upang talakayin ang mga gateway ng VXLAN, kailangan muna nating talakayin ang mismong VXLAN. Alalahanin na ang mga tradisyonal na VLAN (Virtual Local Area Network) ay gumagamit ng 12-bit na VLAN ID upang hatiin ang mga network, na sumusuporta sa hanggang 4096 na lohikal na network. Gumagana ito nang maayos para sa maliliit na network, ngunit sa mga modernong data center, kasama ang kanilang libu-libong virtual machine, container, at multi-tenant na kapaligiran, hindi sapat ang mga VLAN. Ipinanganak ang VXLAN, na tinukoy ng Internet Engineering Task Force (IETF) sa RFC 7348. Ang layunin nito ay palawigin ang Layer 2 (Ethernet) broadcast domain sa mga Layer 3 (IP) network gamit ang UDP tunnels.
Sa madaling salita, inilalagay ng VXLAN ang mga Ethernet frame sa loob ng mga UDP packet at nagdaragdag ng 24-bit na VXLAN Network Identifier (VNI), ayon sa teoryang sumusuporta sa 16 milyong virtual network. Ito ay tulad ng pagbibigay sa bawat virtual network ng "identity card," na nagpapahintulot sa kanila na malayang gumalaw sa pisikal na network nang hindi nakikialam sa isa't isa. Ang pangunahing bahagi ng VXLAN ay ang VXLAN Tunnel End Point (VTEP), na responsable para sa pag-encapsulate at pag-decapsulate ng mga packet. Ang VTEP ay maaaring software (tulad ng Open vSwitch) o hardware (tulad ng ASIC chip sa switch).
Bakit sikat ang VXLAN? Dahil perpektong naaayon ito sa mga pangangailangan ng cloud computing at SDN (Software-Defined Networking). Sa mga pampublikong ulap tulad ng AWS at Azure, binibigyang-daan ng VXLAN ang tuluy-tuloy na extension ng mga virtual network ng mga nangungupahan. Sa mga pribadong data center, sinusuportahan nito ang mga overlay na arkitektura ng network tulad ng VMware NSX o Cisco ACI. Isipin ang isang data center na may libu-libong mga server, bawat isa ay nagpapatakbo ng dose-dosenang mga VM (Virtual Machines). Binibigyang-daan ng VXLAN ang mga VM na ito na makita ang kanilang mga sarili bilang bahagi ng parehong Layer 2 network, na tinitiyak ang maayos na paghahatid ng mga ARP broadcast at mga kahilingan sa DHCP.
Gayunpaman, ang VXLAN ay hindi isang panlunas sa lahat. Ang pagpapatakbo sa isang L3 network ay nangangailangan ng L2-to-L3 na conversion, kung saan pumapasok ang gateway. Ang VXLAN gateway ay nagkokonekta sa VXLAN virtual network sa mga panlabas na network (tulad ng mga tradisyonal na VLAN o IP routing network), na tinitiyak na dumadaloy ang data mula sa virtual na mundo patungo sa totoong mundo. Ang mekanismo ng pagpapasa ay ang puso at kaluluwa ng gateway, na tinutukoy kung paano pinoproseso, dinadala, at ipinamamahagi ang mga packet.
Ang proseso ng pagpapasa ng VXLAN ay parang isang maselan na ballet, na ang bawat hakbang mula sa pinagmulan patungo sa destinasyon ay malapit na nauugnay. Hatiin natin ito nang hakbang-hakbang.
Una, ang isang packet ay ipinadala mula sa source host (tulad ng isang VM). Ito ay isang karaniwang Ethernet frame na naglalaman ng source MAC address, destination MAC address, VLAN tag (kung mayroon), at payload. Sa pagtanggap ng frame na ito, sinusuri ng pinagmulang VTEP ang patutunguhang MAC address. Kung ang destinasyong MAC address ay nasa MAC table nito (nakuha sa pamamagitan ng pag-aaral o pagbaha), alam nito kung saang remote VTEP ipapasa ang packet.
Ang proseso ng encapsulation ay mahalaga: ang VTEP ay nagdaragdag ng isang VXLAN header (kabilang ang VNI, mga flag, at iba pa), pagkatapos ay isang panlabas na UDP header (na may source port na nakabatay sa isang hash ng inner frame at isang fixed destination port na 4789), isang IP header (na may source IP address ng lokal na VTEP at ang destination IP address ng isang remote na IP address ng Ethernet. Ang buong packet ay lilitaw na ngayon bilang isang UDP/IP packet, mukhang normal na trapiko, at maaaring i-ruta sa L3 network.
Sa pisikal na network, ang packet ay ipinapasa ng isang router o switch hanggang sa maabot nito ang patutunguhang VTEP. Tinatanggal ng patutunguhang VTEP ang panlabas na header, sinusuri ang header ng VXLAN upang matiyak na tumutugma ang VNI, at pagkatapos ay ihahatid ang panloob na Ethernet frame sa destinasyong host. Kung ang packet ay hindi alam na unicast, broadcast, o multicast (BUM) na trapiko, kinokopya ng VTEP ang packet sa lahat ng nauugnay na VTEP gamit ang pagbaha, umaasa sa mga multicast na grupo o unicast header replication (HER).
Ang pangunahing prinsipyo ng pagpapasa ay ang paghihiwalay ng control plane at ng data plane. Gumagamit ang control plane ng Ethernet VPN (EVPN) o ang Flood and Learn na mekanismo para matutunan ang MAC at IP mappings. Ang EVPN ay batay sa BGP protocol at pinapayagan ang mga VTEP na makipagpalitan ng impormasyon sa pagruruta, tulad ng MAC-VRF (Virtual Routing and Forwarding) at IP-VRF. Ang data plane ay responsable para sa aktwal na pagpapasa, gamit ang VXLAN tunnels para sa mahusay na paghahatid.
Gayunpaman, sa mga aktwal na deployment, direktang nakakaapekto sa performance ang kahusayan sa pagpapasa. Ang tradisyunal na pagbaha ay madaling magdulot ng mga broadcast storm, lalo na sa malalaking network. Ito ay humahantong sa pangangailangan para sa pag-optimize ng gateway: hindi lamang kumokonekta ang mga gateway sa mga panloob at panlabas na network ngunit kumikilos din bilang mga ahente ng proxy na ARP, pinangangasiwaan ang mga pagtagas ng ruta, at tinitiyak ang pinakamaikling mga landas sa pagpapasa.
Sentralisadong VXLAN Gateway
Ang isang sentralisadong VXLAN gateway, na tinatawag ding sentralisadong gateway o L3 gateway, ay karaniwang naka-deploy sa gilid o core layer ng isang data center. Ito ay gumaganap bilang isang sentral na hub, kung saan dapat dumaan ang lahat ng cross-VNI o cross-subnet na trapiko.
Sa prinsipyo, ang isang sentralisadong gateway ay nagsisilbing default na gateway, na nagbibigay ng mga serbisyo sa pagruruta ng Layer 3 para sa lahat ng mga network ng VXLAN. Isaalang-alang ang dalawang VNI: VNI 10000 (subnet 10.1.1.0/24) at VNI 20000 (subnet 10.2.1.0/24). Kung gusto ng VM A sa VNI 10000 na ma-access ang VM B sa VNI 20000, unang maabot ng packet ang lokal na VTEP. Nakikita ng lokal na VTEP na ang patutunguhang IP address ay wala sa lokal na subnet at ipinapasa ito sa sentralisadong gateway. Ang gateway ay nagde-decapsulate sa packet, gumagawa ng desisyon sa pagruruta, at pagkatapos ay muling i-encapsulate ang packet sa isang tunnel patungo sa patutunguhang VNI.
Ang mga pakinabang ay halata:
○ Simpleng pamamahalaAng lahat ng mga configuration ng pagruruta ay nakasentro sa isa o dalawang device, na nagpapahintulot sa mga operator na magpanatili lamang ng ilang mga gateway upang masakop ang buong network. Ang diskarte na ito ay angkop para sa maliit at katamtamang laki ng mga data center o mga kapaligiran na nagde-deploy ng VXLAN sa unang pagkakataon.
○Mahusay na mapagkukunanAng mga gateway ay karaniwang may mataas na pagganap na hardware (tulad ng Cisco Nexus 9000 o Arista 7050) na may kakayahang pangasiwaan ang napakalaking dami ng trapiko. Ang control plane ay sentralisado, na nagpapadali sa pagsasama sa mga controller ng SDN gaya ng NSX Manager.
○Malakas na kontrol sa seguridadAng trapiko ay dapat dumaan sa gateway, na nagpapadali sa pagpapatupad ng mga ACL (Access Control Lists), mga firewall, at NAT. Isipin ang isang multi-tenant scenario kung saan ang isang sentralisadong gateway ay madaling ihiwalay ang trapiko ng nangungupahan.
Ngunit ang mga pagkukulang ay hindi maaaring balewalain:
○ Isang punto ng pagkabigoKung nabigo ang gateway, ang L3 na komunikasyon sa buong network ay paralisado. Bagama't maaaring gamitin ang VRRP (Virtual Router Redundancy Protocol) para sa redundancy, nagdadala pa rin ito ng mga panganib.
○bottleneck sa pagganapAng lahat ng trapiko sa silangan-kanluran (komunikasyon sa pagitan ng mga server) ay dapat na i-bypass ang gateway, na nagreresulta sa isang suboptimal na landas. Halimbawa, sa isang 1000-node cluster, kung ang gateway bandwidth ay 100Gbps, ang congestion ay malamang na mangyari sa mga peak hours.
○Hindi magandang scalabilityHabang lumalaki ang laki ng network, tumataas nang husto ang pag-load ng gateway. Sa isang real-world na halimbawa, nakakita ako ng financial data center na gumagamit ng sentralisadong gateway. Sa una, maayos itong tumakbo, ngunit pagkatapos na dumoble ang bilang ng mga VM, tumaas ang latency mula microseconds hanggang milliseconds.
Sitwasyon ng Application: Angkop para sa mga kapaligiran na nangangailangan ng mataas na pagiging simple ng pamamahala, tulad ng mga pribadong cloud ng enterprise o mga network ng pagsubok. Ang arkitektura ng ACI ng Cisco ay madalas na gumagamit ng isang sentralisadong modelo, na sinamahan ng isang leaf-spine topology, upang matiyak ang mahusay na operasyon ng mga pangunahing gateway.
Ibinahagi ang VXLAN Gateway
Ang isang distributed VXLAN gateway, na kilala rin bilang isang distributed gateway o anycast gateway, ay nag-aalis ng functionality ng gateway sa bawat leaf switch o hypervisor VTEP. Ang bawat VTEP ay gumaganap bilang isang lokal na gateway, na nangangasiwa sa pagpapasa ng L3 para sa lokal na subnet.
Ang prinsipyo ay mas nababaluktot: ang bawat VTEP ay na-configure na may parehong virtual IP (VIP) bilang default na gateway, gamit ang mekanismo ng Anycast. Ang mga cross-subnet na packet na ipinadala ng mga VM ay direktang iruruta sa lokal na VTEP, nang hindi kinakailangang dumaan sa gitnang punto. Ang EVPN ay partikular na kapaki-pakinabang dito: sa pamamagitan ng BGP EVPN, natutunan ng VTEP ang mga ruta ng mga malalayong host at gumagamit ng MAC/IP binding upang maiwasan ang pagbaha sa ARP.
Halimbawa, gustong i-access ng VM A (10.1.1.10) ang VM B (10.2.1.10). Ang default na gateway ng VM A ay ang VIP ng lokal na VTEP (10.1.1.1). Ang mga lokal na ruta ng VTEP patungo sa patutunguhang subnet, isinasama ang VXLAN packet, at direktang ipinapadala ito sa VTEP ng VM B. Pinaliit ng prosesong ito ang landas at latency.
Natitirang Mga Bentahe:
○ Mataas na scalabilityAng pamamahagi ng functionality ng gateway sa bawat node ay nagpapataas sa laki ng network, na kapaki-pakinabang para sa mas malalaking network. Gumagamit ang malalaking cloud provider tulad ng Google Cloud ng katulad na mekanismo para suportahan ang milyun-milyong VM.
○Superior na pagganapAng trapiko sa silangan-kanluran ay lokal na pinoproseso upang maiwasan ang mga bottleneck. Ipinapakita ng data ng pagsubok na ang throughput ay maaaring tumaas ng 30%-50% sa distributed mode.
○Mabilis na pagbawi ng kasalananAng isang solong pagkabigo ng VTEP ay nakakaapekto lamang sa lokal na host, na iniiwan ang iba pang mga node na hindi maaapektuhan. Kasama ng mabilis na convergence ng EVPN, ang oras ng pagbawi ay nasa ilang segundo.
○Mabuting paggamit ng mga mapagkukunanGamitin ang kasalukuyang Leaf switch ASIC chip para sa pagpapabilis ng hardware, na may mga rate ng pagpapasa na umaabot sa antas ng Tbps.
Ano ang mga disadvantages?
○ Kumplikadong configurationAng bawat VTEP ay nangangailangan ng configuration ng routing, EVPN, at iba pang feature, na ginagawang nakakaubos ng oras ang paunang deployment. Ang pangkat ng pagpapatakbo ay dapat na pamilyar sa BGP at SDN.
○Mataas na kinakailangan sa hardwareNai-distribute na gateway: Hindi lahat ng switch ay sumusuporta sa mga distributed na gateway; Kinakailangan ang Broadcom Trident o Tomahawk chips. Ang mga pagpapatupad ng software (gaya ng OVS sa KVM) ay hindi gumaganap nang kasing ganda ng hardware.
○Mga Hamon sa Pagkakapare-parehoAng ipinamamahagi ay nangangahulugan na ang pag-synchronize ng estado ay umaasa sa EVPN. Kung ang session ng BGP ay nagbabago, maaari itong magdulot ng black hole sa pagruruta.
Sitwasyon ng Application: Perpekto para sa mga hyperscale data center o pampublikong ulap. Ang ipinamahagi na router ng VMware NSX-T ay isang tipikal na halimbawa. Kasama ng Kubernetes, walang putol itong sumusuporta sa container networking.
Sentralisadong VxLAN Gateway kumpara sa Ibinahagi na VxLAN Gateway
Ngayon sa climax: alin ang mas mahusay? Ang sagot ay "depende ito", ngunit kailangan nating maghukay ng malalim sa data at case study para kumbinsihin ka.
Mula sa isang pananaw sa pagganap, malinaw na mas mahusay ang mga distributed system. Sa isang tipikal na benchmark ng data center (batay sa Spirent test equipment), ang average na latency ng isang sentralisadong gateway ay 150μs, habang ang sa isang distributed system ay 50μs lamang. Sa mga tuntunin ng throughput, madaling makamit ng mga distributed system ang line-rate forwarding dahil ginagamit nila ang Spine-Leaf Equal Cost Multi-Path (ECMP) routing.
Ang scalability ay isa pang larangan ng digmaan. Ang mga sentralisadong network ay angkop para sa mga network na may 100-500 node; lampas sa sukat na ito, ang mga distributed network ay nangunguna. Kunin ang Alibaba Cloud, halimbawa. Gumagamit ang kanilang VPC (Virtual Private Cloud) ng mga distributed VXLAN gateway para suportahan ang milyun-milyong user sa buong mundo, na may single-region latency na wala pang 1ms. Matagal nang bumagsak ang isang sentralisadong diskarte.
Paano ang tungkol sa gastos? Ang isang sentralisadong solusyon ay nag-aalok ng mas mababang paunang pamumuhunan, na nangangailangan lamang ng ilang high-end na gateway. Ang isang distributed na solusyon ay nangangailangan ng lahat ng leaf node na suportahan ang VXLAN offload, na humahantong sa mas mataas na gastos sa pag-upgrade ng hardware. Gayunpaman, sa katagalan, nag-aalok ang isang distributed na solusyon ng mas mababang gastos sa O&M, dahil pinapagana ng mga tool ng automation tulad ng Ansible ang batch configuration.
Seguridad at pagiging maaasahan: Pinapadali ng mga sentralisadong sistema ang sentralisadong proteksyon ngunit nagdudulot ng mataas na panganib ng mga solong punto ng pag-atake. Ang mga distributed system ay mas nababanat ngunit nangangailangan ng isang matatag na control plane upang maiwasan ang mga pag-atake ng DDoS.
Isang real-world case study: Ginamit ng isang e-commerce na kumpanya ang sentralisadong VXLAN upang itayo ang site nito. Sa mga peak period, tumaas sa 90% ang paggamit ng gateway CPU, na humahantong sa mga reklamo ng user tungkol sa latency. Ang paglipat sa isang distributed na modelo ay nalutas ang isyu, na nagpapahintulot sa kumpanya na madaling doblehin ang sukat nito. Sa kabaligtaran, iginiit ng isang maliit na bangko ang isang sentralisadong modelo dahil inuuna nila ang mga pag-audit sa pagsunod at nakita nilang mas madali ang sentralisadong pamamahala.
Sa pangkalahatan, kung naghahanap ka ng matinding pagganap at sukat ng network, isang distributed na diskarte ang dapat gawin. Kung limitado ang iyong badyet at kulang ang karanasan ng iyong management team, mas praktikal ang isang sentralisadong diskarte. Sa hinaharap, sa pagtaas ng 5G at edge computing, ang mga distributed network ay magiging mas sikat, ngunit ang mga sentralisadong network ay magiging mahalaga pa rin sa mga partikular na sitwasyon, tulad ng branch office interconnection.
Mylinking™ Network Packet Brokerssuportahan ang VxLAN, VLAN, GRE, MPLS Header Stripping
Sinuportahan ang VxLAN, VLAN, GRE, MPLS na header na tinanggal sa orihinal na data packet at ipinasa na output.
Oras ng post: Okt-09-2025
