Da bismo razgovarali o VXLAN gateway-ima, prvo moramo razgovarati o samom VXLAN-u. Podsjetimo se da tradicionalni VLAN-ovi (virtualne lokalne mreže) koriste 12-bitne VLAN ID-ove za podjelu mreža, podržavajući do 4096 logičkih mreža. Ovo dobro funkcioniše za male mreže, ali u modernim podatkovnim centrima, s njihovim hiljadama virtualnih mašina, kontejnera i okruženja s više zakupaca, VLAN-ovi nisu dovoljni. Rođen je VXLAN, a definirala ga je Radna grupa za internet inženjering (IETF) u RFC 7348. Njegova svrha je proširiti domen emitiranja sloja 2 (Ethernet) preko mreža sloja 3 (IP) koristeći UDP tunele.
Jednostavno rečeno, VXLAN enkapsulira Ethernet okvire unutar UDP paketa i dodaje 24-bitni VXLAN mrežni identifikator (VNI), teoretski podržavajući 16 miliona virtuelnih mreža. Ovo je kao da svakoj virtuelnoj mreži date "ličnu kartu", omogućavajući im da se slobodno kreću po fizičkoj mreži bez međusobnog ometanja. Osnovna komponenta VXLAN-a je VXLAN Tunnel End Point (VTEP), koja je odgovorna za enkapsulaciju i dekapsulaciju paketa. VTEP može biti softverski (kao što je Open vSwitch) ili hardverski (kao što je ASIC čip na switchu).
Zašto je VXLAN toliko popularan? Zato što se savršeno usklađuje s potrebama računarstva u oblaku i SDN-a (softverski definirane mreže). U javnim oblacima poput AWS-a i Azurea, VXLAN omogućava besprijekorno proširenje virtualnih mreža zakupaca. U privatnim podatkovnim centrima podržava arhitekture prekrivajućih mreža poput VMware NSX ili Cisco ACI. Zamislite podatkovni centar s hiljadama servera, od kojih svaki pokreće desetine VM-ova (virtualnih mašina). VXLAN omogućava ovim VM-ovima da sebe doživljavaju kao dio iste Layer 2 mreže, osiguravajući nesmetan prijenos ARP broadcastova i DHCP zahtjeva.
Međutim, VXLAN nije čarobni štapić. Rad na L3 mreži zahtijeva L2-L3 konverziju, gdje dolazi do izražaja gateway (prolaz). VXLAN gateway povezuje VXLAN virtualnu mrežu s vanjskim mrežama (kao što su tradicionalni VLAN-ovi ili IP mreže za usmjeravanje), osiguravajući protok podataka iz virtualnog svijeta u stvarni svijet. Mehanizam prosljeđivanja je srce i duša prolaza, određujući kako se paketi obrađuju, usmjeravaju i distribuiraju.
Proces prosljeđivanja VXLAN-a je poput delikatnog baleta, gdje je svaki korak od izvora do odredišta usko povezan. Hajde da ga razložimo korak po korak.
Prvo, paket se šalje sa izvornog hosta (kao što je VM). Ovo je standardni Ethernet okvir koji sadrži izvornu MAC adresu, odredišnu MAC adresu, VLAN oznaku (ako postoji) i korisni teret. Po prijemu ovog okvira, izvorni VTEP provjerava odredišnu MAC adresu. Ako se odredišna MAC adresa nalazi u njegovoj MAC tabeli (dobivenoj putem učenja ili preplavljivanja), zna kojem udaljenom VTEP-u treba proslijediti paket.
Proces enkapsulacije je ključan: VTEP dodaje VXLAN zaglavlje (uključujući VNI, zastavice itd.), zatim vanjsko UDP zaglavlje (s izvornim portom zasnovanim na hešu unutrašnjeg okvira i fiksnim odredišnim portom 4789), IP zaglavlje (s izvornom IP adresom lokalnog VTEP-a i odredišnom IP adresom udaljenog VTEP-a) i na kraju vanjsko Ethernet zaglavlje. Cijeli paket se sada pojavljuje kao UDP/IP paket, izgleda kao normalan promet i može se usmjeriti na L3 mrežu.
Na fizičkoj mreži, paket se prosljeđuje putem rutera ili prekidača dok ne stigne do odredišnog VTEP-a. Odredišni VTEP uklanja vanjski zaglavlje, provjerava VXLAN zaglavlje kako bi se osiguralo da se VNI podudara, a zatim dostavlja unutrašnji Ethernet okvir odredišnom hostu. Ako je paket nepoznati unicast, broadcast ili multicast (BUM) promet, VTEP replicira paket na sve relevantne VTEP-ove koristeći flooding, oslanjajući se na multicast grupe ili replikaciju unicast zaglavlja (HER).
Suština principa prosljeđivanja je odvajanje kontrolne ravni i ravni podataka. Kontrolna ravan koristi Ethernet VPN (EVPN) ili mehanizam Flood and Learn za učenje MAC i IP mapiranja. EVPN se zasniva na BGP protokolu i omogućava VTEP-ovima razmjenu informacija o usmjeravanju, kao što su MAC-VRF (virtualno usmjeravanje i prosljeđivanje) i IP-VRF. Ravan podataka je odgovorna za stvarno prosljeđivanje, koristeći VXLAN tunele za efikasan prijenos.
Međutim, u stvarnim implementacijama, efikasnost prosljeđivanja direktno utiče na performanse. Tradicionalno preplavljivanje može lako uzrokovati oluje emitovanja, posebno u velikim mrežama. To dovodi do potrebe za optimizacijom gateway-a: gateway-i ne samo da povezuju interne i eksterne mreže, već djeluju i kao proxy ARP agenti, obrađuju curenje ruta i osiguravaju najkraće puteve prosljeđivanja.
Centralizirani VXLAN gateway
Centralizirani VXLAN gateway, također nazvan centralizirani gateway ili L3 gateway, obično se postavlja na rubnom ili osnovnom sloju podatkovnog centra. Djeluje kao centralno čvorište, kroz koje mora proći sav promet između VNI-ova ili podmreža.
U principu, centralizovani gateway djeluje kao zadani gateway, pružajući usluge usmjeravanja sloja 3 za sve VXLAN mreže. Razmotrimo dva VNI-a: VNI 10000 (podmreža 10.1.1.0/24) i VNI 20000 (podmreža 10.2.1.0/24). Ako VM A u VNI 10000 želi pristupiti VM B u VNI 20000, paket prvo stiže do lokalnog VTEP-a. Lokalni VTEP detektuje da odredišna IP adresa nije na lokalnoj podmreži i prosljeđuje je centralizovanom gateway-u. Gateway dekapsulira paket, donosi odluku o usmjeravanju, a zatim ponovo enkapsulira paket u tunel do odredišnog VNI-a.
Prednosti su očigledne:
○ Jednostavno upravljanjeSve konfiguracije usmjeravanja su centralizirane na jednom ili dva uređaja, što omogućava operaterima da održavaju samo nekoliko pristupnika kako bi pokrili cijelu mrežu. Ovaj pristup je pogodan za male i srednje podatkovne centre ili okruženja koja prvi put implementiraju VXLAN.
○Efikasno korištenje resursaGateway-i su obično visokoperformansni hardver (kao što su Cisco Nexus 9000 ili Arista 7050) sposoban za rukovanje ogromnim količinama prometa. Kontrolna ravan je centralizirana, što olakšava integraciju sa SDN kontrolerima kao što je NSX Manager.
○Snažna sigurnosna kontrolaSaobraćaj mora prolaziti kroz gateway, što olakšava implementaciju ACL-ova (Access Control Lists - liste kontrole pristupa), zaštitnih zidova (firewall) i NAT-a. Zamislite scenario sa više zakupaca gdje centralizovani gateway može lako izolovati promet zakupaca.
Ali nedostaci se ne mogu zanemariti:
○ Jedna tačka kvaraAko gateway otkaže, L3 komunikacija u cijeloj mreži je paralizirana. Iako se VRRP (Virtual Router Redundancy Protocol) može koristiti za redundanciju, on i dalje nosi rizike.
○Usko grlo u performansamaSav promet istok-zapad (komunikacija između servera) mora zaobići gateway, što rezultira neoptimalnom putanjom. Na primjer, u klasteru od 1000 čvorova, ako je propusnost gateway-a 100 Gbps, vjerovatno će doći do zagušenja tokom vršnih sati.
○Slaba skalabilnostKako raste veličina mreže, opterećenje mrežnog prolaza raste eksponencijalno. U primjeru iz stvarnog svijeta, vidio sam finansijski podatkovni centar koji koristi centralizovani mrežni prolaz. U početku je radio glatko, ali nakon što se broj virtuelnih mašina udvostručio, latencija je naglo porasla sa mikrosekundi na milisekunde.
Scenarij primjene: Pogodno za okruženja koja zahtijevaju visoku jednostavnost upravljanja, kao što su privatni oblaci preduzeća ili testne mreže. Ciscova ACI arhitektura često koristi centralizovani model, kombinovan sa topologijom leaf-spine, kako bi se osigurao efikasan rad glavnih pristupnika.
Distribuirani VXLAN gateway
Distribuirani VXLAN gateway, također poznat kao distribuirani gateway ili anycast gateway, prebacuje funkcionalnost gateway-a na svaki leaf switch ili hipervizor VTEP. Svaki VTEP djeluje kao lokalni gateway, rukujući L3 prosljeđivanjem za lokalnu podmrežu.
Princip je fleksibilniji: svaki VTEP je konfigurisan sa istom virtuelnom IP adresom (VIP) kao i podrazumevani gateway, koristeći Anycast mehanizam. Paketi između podmreža koje šalju virtuelne mašine (VM) se direktno usmjeravaju na lokalni VTEP, bez potrebe da prolaze kroz centralnu tačku. EVPN je ovdje posebno koristan: putem BGP-a, EVPN, VTEP uči rute udaljenih hostova i koristi MAC/IP povezivanje kako bi izbjegao ARP poplavu.
Na primjer, VM A (10.1.1.10) želi pristupiti VM B (10.2.1.10). Zadani gateway VM A je VIP lokalnog VTEP-a (10.1.1.1). Lokalni VTEP usmjerava do odredišne podmreže, enkapsulira VXLAN paket i šalje ga direktno VTEP-u VM B. Ovaj proces minimizira putanju i latenciju.
Izvanredne prednosti:
○ Visoka skalabilnostDistribucija funkcionalnosti gateway-a na svaki čvor povećava veličinu mreže, što je korisno za veće mreže. Veliki pružatelji usluga u oblaku poput Google Clouda koriste sličan mehanizam za podršku milionima virtualnih mašina.
○Vrhunske performansePromet istok-zapad se obrađuje lokalno kako bi se izbjegla uska grla. Podaci testiranja pokazuju da se propusnost može povećati za 30%-50% u distribuiranom režimu.
○Brzo otklanjanje grešakaJedan kvar VTEP-a utiče samo na lokalni host, ostavljajući ostale čvorove nepromijenjenima. U kombinaciji s brzom konvergencijom EVPN-a, vrijeme oporavka je u sekundama.
○Dobro korištenje resursaKoristite postojeći ASIC čip Leaf switch-a za hardversko ubrzanje, s brzinama prosljeđivanja koje dostižu nivo od Tbps.
Koji su nedostaci?
○ Složena konfiguracijaSvaki VTEP zahtijeva konfiguraciju usmjeravanja, EVPN-a i drugih funkcija, što početno postavljanje čini dugotrajnim. Operativni tim mora biti upoznat sa BGP-om i SDN-om.
○Visoki hardverski zahtjeviDistribuirani gateway: Ne podržavaju svi switchevi distribuirane gateway-e; potrebni su Broadcom Trident ili Tomahawk čipovi. Softverske implementacije (kao što je OVS na KVM-u) ne rade tako dobro kao hardver.
○Izazovi konzistentnostiDistribuirano znači da sinhronizacija stanja zavisi od EVPN-a. Ako BGP sesija fluktuira, to može uzrokovati crnu rupu u usmjeravanju.
Scenarij primjene: Idealno za hiperskalabilne podatkovne centre ili javne oblake. VMware NSX-T-ov distribuirani ruter je tipičan primjer. U kombinaciji s Kubernetesom, besprijekorno podržava umrežavanje kontejnera.
Centralizirani VxLAN Gateway u odnosu na distribuirani VxLAN Gateway
A sada, o vrhuncu: šta je bolje? Odgovor je "zavisi", ali moramo duboko proučiti podatke i studije slučaja da bismo vas uvjerili.
Sa stanovišta performansi, distribuirani sistemi očigledno nadmašuju performanse. U tipičnom testu podataka u centru (na osnovu Spirent testne opreme), prosječna latencija centralizovanog gateway-a bila je 150μs, dok je kod distribuiranog sistema bila samo 50μs. Što se tiče propusnosti, distribuirani sistemi mogu lako postići prosljeđivanje na linijskoj brzini jer koriste ECMP (Spine-Leaf Equal Cost Multi-Path) rutiranje.
Skalabilnost je još jedno bojno polje. Centralizirane mreže su pogodne za mreže sa 100-500 čvorova; izvan ove skale, distribuirane mreže dobijaju prednost. Uzmimo za primjer Alibaba Cloud. Njihov VPC (Virtual Private Cloud) koristi distribuirane VXLAN gateway-e za podršku milionima korisnika širom svijeta, s latencijom jedne regije ispod 1ms. Centralizirani pristup bi odavno propao.
A šta je sa troškovima? Centralizovano rješenje nudi niža početna ulaganja, zahtijevajući samo nekoliko vrhunskih gateway-a. Distribuirano rješenje zahtijeva da svi leaf čvorovi podržavaju rasterećenje VXLAN-a, što dovodi do većih troškova nadogradnje hardvera. Međutim, dugoročno gledano, distribuirano rješenje nudi niže troškove rada i održavanja, jer alati za automatizaciju poput Ansible-a omogućavaju grupnu konfiguraciju.
Sigurnost i pouzdanost: Centralizovani sistemi olakšavaju centralizovanu zaštitu, ali predstavljaju visok rizik od napada sa jedne tačke. Distribuirani sistemi su otporniji, ali zahtijevaju robusnu kontrolnu ravan kako bi spriječili DDoS napade.
Studija slučaja iz stvarnog svijeta: Kompanija za e-trgovinu koristila je centralizovani VXLAN za izgradnju svoje web stranice. Tokom vršnih perioda, korištenje CPU-a gateway-a poraslo je na 90%, što je dovelo do pritužbi korisnika na latenciju. Prelazak na distribuirani model riješio je problem, omogućavajući kompaniji da lako udvostruči svoj obim. S druge strane, mala banka insistirala je na centralizovanom modelu jer su davali prioritet revizijama usklađenosti i smatrali da je centralizovano upravljanje lakše.
Općenito, ako tražite ekstremne mrežne performanse i skalabilnost, distribuirani pristup je pravi put. Ako je vaš budžet ograničen, a vašem menadžerskom timu nedostaje iskustva, centralizirani pristup je praktičniji. U budućnosti, s porastom 5G i edge computinga, distribuirane mreže će postati popularnije, ali centralizirane mreže će i dalje biti vrijedne u specifičnim scenarijima, kao što je međusobno povezivanje podružnica.
Mylinking™ mrežni paketni brokeripodrška za VxLAN, VLAN, GRE, MPLS skidanje zaglavlja
Podržava VxLAN, VLAN, GRE, MPLS zaglavlje ogoljeno u originalnom paketu podataka i proslijeđenom izlazu.
Vrijeme objave: 09.10.2025.
