Pou nou pale de pòtay VXLAN yo, nou dwe premye pale de VXLAN li menm. Sonje byen ke VLAN tradisyonèl yo (Virtual Local Area Network) itilize ID VLAN 12-bit pou divize rezo yo, sipòte jiska 4096 rezo lojik. Sa mache byen pou ti rezo yo, men nan sant done modèn yo, ak plizyè milye machin vityèl, kontenè, ak anviwònman milti-lokatè yo, VLAN yo pa sifi. VXLAN te fèt, defini pa Internet Engineering Task Force (IETF) nan RFC 7348. Objektif li se pou pwolonje domèn difizyon Kouch 2 (Ethernet) sou rezo Kouch 3 (IP) lè l sèvi avèk tinèl UDP.
Senpleman, VXLAN ankapsule ankadreman Ethernet yo nan pake UDP epi li ajoute yon Idantifyan Rezo VXLAN (VNI) 24-bit, ki teyorikman sipòte 16 milyon rezo vityèl. Sa a se tankou bay chak rezo vityèl yon "kat idantite," ki pèmèt yo deplase lib sou rezo fizik la san yo pa entèfere youn ak lòt. Eleman prensipal VXLAN an se Pwen Fen Tinèl VXLAN (VTEP), ki responsab pou ankapsule ak dekapsule pake yo. VTEP kapab lojisyèl (tankou Open vSwitch) oswa pyès ki nan konpitè (tankou chip ASIC sou switch la).
Poukisa VXLAN tèlman popilè? Paske li aliyen parfe ak bezwen informatique nan nwaj la ak SDN (Software-Defined Networking). Nan nwaj piblik tankou AWS ak Azure, VXLAN pèmèt yon ekstansyon san pwoblèm nan rezo vityèl lokatè yo. Nan sant done prive, li sipòte achitekti rezo sipèpoze tankou VMware NSX oswa Cisco ACI. Imajine yon sant done ak plizyè milye sèvè, chak ap kouri plizyè douzèn VM (Machin Vityèl). VXLAN pèmèt VM sa yo wè tèt yo kòm yon pati nan menm rezo Kouch 2 a, sa ki asire yon transmisyon san pwoblèm nan difizyon ARP ak demann DHCP yo.
Sepandan, VXLAN pa yon remèd mirak. Pou opere sou yon rezo L3, ou bezwen konvèsyon L2-a-L3, e se la pòtay la antre an jwèt. Pòtay VXLAN an konekte rezo vityèl VXLAN an ak rezo ekstèn yo (tankou VLAN tradisyonèl yo oubyen rezo routage IP yo), sa ki asire ke done yo ap sikile soti nan mond vityèl la pou ale nan mond reyèl la. Mekanis transfè a se kè ak nanm pòtay la, li detèmine kijan pakè yo trete, dirije, epi distribye.
Pwosesis transfè VXLAN an tankou yon bale delika, kote chak etap, soti nan sous rive nan destinasyon, lye youn ak lòt. Ann dekonpoze l etap pa etap.
Premyèman, yo voye yon pake soti nan lame sous la (tankou yon VM). Sa a se yon ankadreman Ethernet estanda ki gen adrès MAC sous la, adrès MAC destinasyon an, etikèt VLAN (si genyen), ak chaj itil la. Lè li resevwa ankadreman sa a, VTEP sous la verifye adrès MAC destinasyon an. Si adrès MAC destinasyon an nan tablo MAC li a (jwenn atravè aprantisaj oswa inondasyon), li konnen ki VTEP aleka pou l voye pake a bay.
Pwosesis enkapsulasyon an enpòtan anpil: VTEP la ajoute yon header VXLAN (ki gen ladan VNI a, drapo yo, elatriye), answit yon header UDP ekstèn (avèk yon pò sous ki baze sou yon hach nan ankadreman entèn lan ak yon pò destinasyon fiks 4789), yon header IP (avèk adrès IP sous VTEP lokal la ak adrès IP destinasyon VTEP aleka a), epi finalman yon header Ethernet ekstèn. Pake a nèt kounye a parèt kòm yon pake UDP/IP, li sanble ak trafik nòmal, epi li ka dirije sou rezo L3 la.
Sou rezo fizik la, yon routeur oswa yon switch voye pake a jiskaske li rive nan VTEP destinasyon an. VTEP destinasyon an retire header ekstèn lan, li verifye header VXLAN an pou asire VNI a koresponn, epi li delivre ankadreman Ethernet entèn lan bay lame destinasyon an. Si pake a se yon trafik unicast, broadcast, oswa multicast (BUM) enkoni, VTEP la replike pake a bay tout VTEP ki enpòtan yo lè l sèvi avèk inondasyon, ki baze sou gwoup multicast oswa replikasyon header unicast (HER).
Nwayo prensip transfè a se separasyon plan kontwòl la ak plan done a. Plan kontwòl la itilize Ethernet VPN (EVPN) oswa mekanis Flood and Learn pou aprann map MAC ak IP yo. EVPN baze sou pwotokòl BGP a epi li pèmèt VTEP yo echanje enfòmasyon routage, tankou MAC-VRF (Virtual Routing and Forwarding) ak IP-VRF. Plan done a responsab pou transfè aktyèl la, lè l sèvi avèk tinèl VXLAN pou yon transmisyon efikas.
Sepandan, nan deplwaman reyèl, efikasite transfè a gen yon enpak dirèk sou pèfòmans. Inondasyon tradisyonèl yo ka fasilman lakòz tanpèt difizyon, sitou nan gwo rezo yo. Sa mennen nan nesesite pou optimize pòtay: pòtay yo pa sèlman konekte rezo entèn ak ekstèn, men tou yo aji kòm ajan ARP proxy, jere flit wout, epi asire chemen transfè ki pi kout yo.
Pòtay VXLAN santralize
Yon pòtay VXLAN santralize, ke yo rele tou yon pòtay santralize oubyen yon pòtay L3, tipikman deplwaye nan kouch kwen oubyen nwayo yon sant done. Li aji kòm yon sant koneksyon, kote tout trafik kwa-VNI oubyen kwa-sou-rezo dwe pase.
An prensip, yon pòtay santralize aji kòm pòtay pa defo a, li bay sèvis routaj Kouch 3 pou tout rezo VXLAN yo. Konsidere de VNI: VNI 10000 (sou-rezo 10.1.1.0/24) ak VNI 20000 (sou-rezo 10.2.1.0/24). Si VM A nan VNI 10000 vle jwenn aksè nan VM B nan VNI 20000, pake a rive nan VTEP lokal la an premye. VTEP lokal la detekte ke adrès IP destinasyon an pa sou sou-rezo lokal la epi li voye l bay pòtay santralize a. Pòtay la dekapsile pake a, li pran yon desizyon routaj, epi answit li re-ankapsule pake a nan yon tinèl ki mennen nan VNI destinasyon an.
Avantaj yo evidan:
○ Jesyon senpTout konfigirasyon routaj yo santralize sou youn oubyen de aparèy, sa ki pèmèt operatè yo kenbe sèlman kèk pòtay pou kouvri tout rezo a. Apwòch sa a apwopriye pou sant done oswa anviwònman ki piti ak mwayen gwosè k ap deplwaye VXLAN pou premye fwa.
○Efikas nan resousGateway yo tipikman se pyès ki nan konpitè ki gen gwo pèfòmans (tankou Cisco Nexus 9000 oswa Arista 7050) ki kapab jere gwo kantite trafik. Plan kontwòl la santralize, sa ki fasilite entegrasyon ak kontwolè SDN tankou NSX Manager.
○Kontwòl sekirite solidTrafik la dwe pase nan pòtay la, sa ki fasilite aplikasyon ACL (Lis Kontwòl Aksè), pare-feu, ak NAT. Imajine yon senaryo plizyè lokatè kote yon pòtay santralize ka fasilman izole trafik lokatè yo.
Men, nou pa ka inyore enpèfeksyon yo:
○ Pwen echèk inikSi pòtay la echwe, kominikasyon L3 atravè tout rezo a paralize. Malgre ke VRRP (Virtual Router Redundancy Protocol) ka itilize pou redondans, li toujou gen risk.
○Kontwolè pèfòmansTout trafik ki soti lès pou ale lwès (kominikasyon ant sèvè yo) dwe kontoune pòtay la, sa ki lakòz yon chemen ki pa optimal. Pa egzanp, nan yon gwoup 1000 nœuds, si Pleasant pòtay la se 100Gbps, gen anpil chans pou gen konjesyon pandan lè pik yo.
○Pòv évolutivitéTank rezo a ap grandi, chaj pòtay la ap ogmante anpil. Nan yon egzanp reyèl, mwen te wè yon sant done finansye k ap itilize yon pòtay santralize. Okòmansman, li te fonksyone byen, men apre kantite machin vityèl yo te double, latans lan te monte an flèche soti nan mikwosegond pou rive nan milisegond.
Senaryo Aplikasyon: Apwopriye pou anviwònman ki mande yon jesyon senplifye, tankou nwaj prive antrepriz oswa rezo tès. Achitekti ACI Cisco a souvan itilize yon modèl santralize, konbine avèk yon topoloji fèy-kolòn vètebral, pou asire operasyon efikas pòtay prensipal yo.
Passerelle VXLAN distribye
Yon pòtay VXLAN distribye, ke yo rele tou yon pòtay distribye oubyen yon pòtay anycast, dechaje fonksyonalite pòtay la bay chak switch fèy oubyen ipèvizè VTEP. Chak VTEP aji kòm yon pòtay lokal, k ap jere transfè L3 pou sou-rezo lokal la.
Prensip la pi fleksib: chak VTEP konfigire ak menm IP vityèl (VIP) ak pòtay default la, lè l sèvi avèk mekanis Anycast la. Pakè kwa-sous-rezo ki voye pa VM yo dirije dirèkteman sou VTEP lokal la, san yo pa bezwen pase nan yon pwen santral. EVPN patikilyèman itil isit la: atravè BGP EVPN, VTEP la aprann wout òdinatè aleka yo epi li itilize MAC/IP lyezon pou evite inondasyon ARP.
Pa egzanp, VM A (10.1.1.10) vle jwenn aksè nan VM B (10.2.1.10). Pòtay default VM A a se VIP VTEP lokal la (10.1.1.1). VTEP lokal la dirije sou sou-rezo destinasyon an, ankapsule pake VXLAN an, epi voye l dirèkteman nan VTEP VM B a. Pwosesis sa a minimize chemen an ak latans lan.
Avantaj eksepsyonèl:
○ Gwo évolutivitéDistribye fonksyonalite pòtay la bay chak ne ogmante gwosè rezo a, sa ki benefik pou pi gwo rezo yo. Gwo founisè nwaj tankou Google Cloud itilize yon mekanis menm jan an pou sipòte plizyè milyon machin vityèl (VM).
○Pèfòmans siperyèTrafik ki soti lès pou ale lwès la trete lokalman pou evite blokaj. Done tès yo montre ke débit la ka ogmante pa 30%-50% nan mòd distribye.
○Rekiperasyon rapid nan fotYon sèl echèk VTEP afekte sèlman lame lokal la, li pa afekte lòt nœd yo. Ansanm ak konvèjans rapid EVPN nan, tan rekiperasyon an se an segonn.
○Bon itilizasyon resous yoItilize chip ASIC switch Leaf ki deja egziste a pou akselerasyon pyès ki nan konpitè, ak vitès transfè ki rive nan nivo Tbps.
Ki dezavantaj yo?
○ Konfigirasyon konplèksChak VTEP mande konfigirasyon routaj, EVPN, ak lòt fonksyonalite, sa ki fè premye deplwaman an pran anpil tan. Ekip operasyon an dwe abitye avèk BGP ak SDN.
○Kondisyon pyès ki nan konpitè ki woPasarel distribye: Se pa tout switch ki sipòte pasarel distribye; chip Broadcom Trident oswa Tomahawk yo obligatwa. Aplikasyon lojisyèl yo (tankou OVS sou KVM) pa fonksyone osi byen ke pyès ki nan konpitè a.
○Difikilte KonsistansDistribye vle di senkronizasyon eta a depann sou EVPN. Si sesyon BGP a varye, sa ka lakòz yon twou nwa routage.
Senaryo Aplikasyon: Pafe pou sant done ipè-echèl oswa nwaj piblik yo. Routeur distribye VMware NSX-T a se yon egzanp tipik. Konbine avèk Kubernetes, li sipòte rezo kontenè san pwoblèm.
Gateway VxLAN santralize vs. Gateway VxLAN distribye
Kounye a, ann pale de klimaks la: kilès ki pi bon? Repons lan se "sa depann", men nou dwe fouye byen fon nan done yo ak etid ka yo pou nou konvenk ou.
Nan yon pèspektiv pèfòmans, sistèm distribye yo klèman pi pèfòman. Nan yon referans sant done tipik (ki baze sou ekipman tès Spirent), latans mwayèn yon pòtay santralize te 150μs, alòske latans yon sistèm distribye te sèlman 50μs. An tèm de débit, sistèm distribye yo ka fasilman reyalize redireksyon vitès liy paske yo itilize routaj Spine-Leaf Equal Cost Multi-Path (ECMP).
Eskalabilite se yon lòt chan batay. Rezo santralize yo apwopriye pou rezo ki gen 100-500 nœuds; pi lwen pase echèl sa a, rezo distribye yo pran avantaj. Pran Alibaba Cloud, pa egzanp. VPC (Virtual Private Cloud) yo a itilize pòtay VXLAN distribye pou sipòte plizyè milyon itilizatè atravè lemond, ak latans yon sèl rejyon anba 1ms. Yon apwòch santralize ta kraze depi lontan.
E konsènan pri a? Yon solisyon santralize ofri yon envestisman inisyal ki pi ba, li mande sèlman kèk pòtay wo nivo. Yon solisyon distribye mande pou tout nœd fèy yo sipòte dechaj VXLAN, sa ki mennen nan pi gwo depans pou amelyorasyon pyès ki nan konpitè. Sepandan, alontèm, yon solisyon distribye ofri pi ba depans O&M, paske zouti automatisation tankou Ansible pèmèt konfigirasyon an gwoup.
Sekirite ak fyabilite: Sistèm santralize yo fasilite pwoteksyon santralize men yo poze yon gwo risk pou pwen atak endividyèl. Sistèm distribye yo pi rezistan men yo mande yon plan kontwòl solid pou anpeche atak DDoS.
Yon etid ka reyèl: Yon konpayi e-komès te itilize VXLAN santralize pou konstwi sit li a. Pandan peryòd pik yo, itilizasyon CPU pòtay la te monte rive nan 90%, sa ki te lakòz plent itilizatè yo konsènan latans. Chanjman nan yon modèl distribye te rezoud pwoblèm nan, sa ki te pèmèt konpayi an double gwosè li fasilman. Okontrè, yon ti bank te ensiste sou yon modèl santralize paske yo te bay priyorite a odit konfòmite yo epi yo te jwenn jesyon santralize a pi fasil.
An jeneral, si w ap chèche pèfòmans ak echèl rezo ekstrèm, yon apwòch distribye se bon chwa. Si bidjè w limite epi ekip jesyon w lan pa gen eksperyans, yon apwòch santralize pi pratik. Alavni, avèk ogmantasyon 5G ak informatique nan kwen rezo a, rezo distribye yo ap vin pi popilè, men rezo santralize yo ap toujou gen anpil valè nan senaryo espesifik, tankou entèkoneksyon biwo branch yo.
Koutye Pakè Rezo Mylinking™Sipòte VxLAN, VLAN, GRE, MPLS Header Stripping
Sipòte header VxLAN, VLAN, GRE, MPLS ki te retire nan pake done orijinal la epi ki te voye pwodiksyon an pi devan.
Dat piblikasyon: 9 oktòb 2025
