Untuk membincangkan gerbang VXLAN, kita mesti membincangkan VXLAN itu sendiri terlebih dahulu. Ingat bahawa VLAN tradisional (Rangkaian Kawasan Tempatan Maya) menggunakan ID VLAN 12-bit untuk membahagikan rangkaian, menyokong sehingga 4096 rangkaian logik. Ini berfungsi dengan baik untuk rangkaian kecil, tetapi dalam pusat data moden, dengan beribu-ribu mesin maya, kontena dan persekitaran berbilang penyewa, VLAN tidak mencukupi. VXLAN dilahirkan, ditakrifkan oleh Pasukan Petugas Kejuruteraan Internet (IETF) dalam RFC 7348. Tujuannya adalah untuk memperluaskan domain siaran Lapisan 2 (Ethernet) melalui rangkaian Lapisan 3 (IP) menggunakan terowong UDP.
Secara ringkasnya, VXLAN merangkum bingkai Ethernet dalam paket UDP dan menambah Pengecam Rangkaian VXLAN (VNI) 24-bit, secara teorinya menyokong 16 juta rangkaian maya. Ini seperti memberikan setiap rangkaian maya "kad pengenalan", yang membolehkannya bergerak bebas di rangkaian fizikal tanpa mengganggu satu sama lain. Komponen teras VXLAN ialah Titik Akhir Terowong VXLAN (VTEP), yang bertanggungjawab untuk merangkum dan menyahkapsul paket. VTEP boleh jadi perisian (seperti Open vSwitch) atau perkakasan (seperti cip ASIC pada suis).
Mengapakah VXLAN begitu popular? Kerana ia sejajar dengan keperluan pengkomputeran awan dan SDN (Rangkaian Tertakrif Perisian). Dalam awan awam seperti AWS dan Azure, VXLAN membolehkan peluasan rangkaian maya penyewa yang lancar. Dalam pusat data persendirian, ia menyokong seni bina rangkaian tindanan seperti VMware NSX atau Cisco ACI. Bayangkan sebuah pusat data dengan beribu-ribu pelayan, setiap satunya menjalankan berpuluh-puluh VM (Mesin Maya). VXLAN membolehkan VM ini menganggap diri mereka sebagai sebahagian daripada rangkaian Lapisan 2 yang sama, memastikan penghantaran siaran ARP dan permintaan DHCP yang lancar.
Walau bagaimanapun, VXLAN bukanlah penawar. Beroperasi pada rangkaian L3 memerlukan penukaran L2-ke-L3, di mana gerbang memainkan peranan. Gerbang VXLAN menghubungkan rangkaian maya VXLAN dengan rangkaian luaran (seperti VLAN tradisional atau rangkaian penghalaan IP), memastikan aliran data dari dunia maya ke dunia sebenar. Mekanisme penghantaran adalah jantung dan jiwa gerbang, menentukan bagaimana paket diproses, dihalakan dan diedarkan.
Proses penghantaran VXLAN umpama balet yang halus, dengan setiap langkah dari sumber ke destinasi berkait rapat. Mari kita huraikannya langkah demi langkah.
Pertama, satu paket dihantar daripada hos sumber (seperti VM). Ini ialah bingkai Ethernet standard yang mengandungi alamat MAC sumber, alamat MAC destinasi, tag VLAN (jika ada), dan muatan. Setelah menerima bingkai ini, VTEP sumber menyemak alamat MAC destinasi. Jika alamat MAC destinasi berada dalam jadual MACnya (diperoleh melalui pembelajaran atau banjir), ia tahu VTEP jauh mana untuk meneruskan paket tersebut.
Proses enkapsulasi adalah penting: VTEP menambah pengepala VXLAN (termasuk VNI, bendera, dan sebagainya), kemudian pengepala UDP luaran (dengan port sumber berdasarkan hash bingkai dalaman dan port destinasi tetap 4789), pengepala IP (dengan alamat IP sumber VTEP tempatan dan alamat IP destinasi VTEP jauh), dan akhirnya pengepala Ethernet luaran. Keseluruhan paket kini muncul sebagai paket UDP/IP, kelihatan seperti trafik biasa, dan boleh dihalakan pada rangkaian L3.
Pada rangkaian fizikal, paket dihantar melalui penghala atau suis sehingga ia sampai ke VTEP destinasi. VTEP destinasi menanggalkan pengepala luar, menyemak pengepala VXLAN untuk memastikan VNI sepadan, dan kemudian menghantar bingkai Ethernet dalaman kepada hos destinasi. Jika paket tersebut tidak diketahui trafik unicast, siaran atau multicast (BUM), VTEP mereplikasi paket tersebut kepada semua VTEP yang berkaitan menggunakan flooding, bergantung pada kumpulan multicast atau replikasi pengepala unicast (HER).
Teras prinsip penghantaran adalah pemisahan satah kawalan dan satah data. Satah kawalan menggunakan Ethernet VPN (EVPN) atau mekanisme Flood and Learn untuk mempelajari pemetaan MAC dan IP. EVPN adalah berdasarkan protokol BGP dan membolehkan VTEP bertukar maklumat penghalaan, seperti MAC-VRF (Penghalaan dan Penghantaran Maya) dan IP-VRF. Satah data bertanggungjawab untuk penghantaran sebenar, menggunakan terowong VXLAN untuk penghantaran yang cekap.
Walau bagaimanapun, dalam penggunaan sebenar, kecekapan penghantaran memberi kesan langsung kepada prestasi. Banjir tradisional boleh menyebabkan ribut siaran dengan mudah, terutamanya dalam rangkaian besar. Ini membawa kepada keperluan untuk pengoptimuman gerbang: gerbang bukan sahaja menghubungkan rangkaian dalaman dan luaran tetapi juga bertindak sebagai ejen ARP proksi, mengendalikan kebocoran laluan dan memastikan laluan penghantaran terpendek.
Gerbang VXLAN Berpusat
Gerbang VXLAN berpusat, juga dikenali sebagai gerbang berpusat atau gerbang L3, biasanya digunakan di lapisan pinggir atau teras pusat data. Ia bertindak sebagai hab pusat, yang mana semua trafik merentas VNI atau merentas subnet mesti melaluinya.
Pada prinsipnya, get laluan berpusat bertindak sebagai get laluan lalai, menyediakan perkhidmatan penghalaan Lapisan 3 untuk semua rangkaian VXLAN. Pertimbangkan dua VNI: VNI 10000 (subnet 10.1.1.0/24) dan VNI 20000 (subnet 10.2.1.0/24). Jika VM A dalam VNI 10000 ingin mengakses VM B dalam VNI 20000, paket tersebut akan sampai ke VTEP tempatan terlebih dahulu. VTEP tempatan mengesan bahawa alamat IP destinasi tiada pada subnet tempatan dan menghantarnya ke get laluan berpusat. Get laluan tersebut menyahkapsulasi paket, membuat keputusan penghalaan, dan kemudian merangkum semula paket tersebut ke dalam terowong ke VNI destinasi.
Kelebihannya jelas:
○ Pengurusan mudahSemua konfigurasi penghalaan dipusatkan pada satu atau dua peranti, membolehkan pengendali menyelenggara hanya beberapa gerbang untuk meliputi seluruh rangkaian. Pendekatan ini sesuai untuk pusat data atau persekitaran bersaiz kecil dan sederhana yang menggunakan VXLAN buat kali pertama.
○Cekap sumberGerbang biasanya merupakan perkakasan berprestasi tinggi (seperti Cisco Nexus 9000 atau Arista 7050) yang mampu mengendalikan sejumlah besar trafik. Satah kawalan berpusat, memudahkan penyepaduan dengan pengawal SDN seperti NSX Manager.
○Kawalan keselamatan yang kukuhTrafik mesti melalui get laluan, memudahkan pelaksanaan ACL (Senarai Kawalan Akses), tembok api dan NAT. Bayangkan senario berbilang penyewa di mana get laluan berpusat boleh mengasingkan trafik penyewa dengan mudah.
Tetapi kekurangannya tidak boleh diabaikan:
○ Titik kegagalan tunggalJika gerbang gagal, komunikasi L3 merentasi seluruh rangkaian akan lumpuh. Walaupun VRRP (Protokol Redundansi Penghala Maya) boleh digunakan untuk redundansi, ia masih membawa risiko.
○Kesesakan prestasiSemua trafik timur-barat (komunikasi antara pelayan) mesti memintas gerbang, mengakibatkan laluan yang tidak optimum. Contohnya, dalam kluster 1000-nod, jika lebar jalur gerbang ialah 100Gbps, kesesakan berkemungkinan berlaku semasa waktu puncak.
○Skalabiliti yang lemahApabila skala rangkaian berkembang, beban get laluan meningkat secara eksponen. Dalam contoh dunia sebenar, saya pernah melihat pusat data kewangan menggunakan get laluan berpusat. Pada mulanya, ia berjalan lancar, tetapi selepas bilangan VM meningkat dua kali ganda, latensi meningkat mendadak dari mikrosaat kepada milisaat.
Senario Aplikasi: Sesuai untuk persekitaran yang memerlukan kesederhanaan pengurusan yang tinggi, seperti awan persendirian perusahaan atau rangkaian ujian. Seni bina ACI Cisco sering menggunakan model berpusat, digabungkan dengan topologi tulang belakang daun, untuk memastikan operasi gerbang teras yang cekap.
Gerbang VXLAN Teragih
Gerbang VXLAN teragih, juga dikenali sebagai gerbang teragih atau gerbang anycast, memindahkan fungsi gerbang ke setiap suis daun atau hipervisor VTEP. Setiap VTEP bertindak sebagai gerbang setempat, mengendalikan penghantaran L3 untuk subnet setempat.
Prinsipnya lebih fleksibel: setiap VTEP dikonfigurasikan dengan IP maya (VIP) yang sama seperti gerbang lalai, menggunakan mekanisme Anycast. Paket subnet silang yang dihantar oleh VM dihalakan terus pada VTEP tempatan, tanpa perlu melalui titik pusat. EVPN amat berguna di sini: melalui BGP EVPN, VTEP mempelajari laluan hos jauh dan menggunakan pengikatan MAC/IP untuk mengelakkan banjir ARP.
Contohnya, VM A (10.1.1.10) ingin mengakses VM B (10.2.1.10). Gerbang lalai VM A ialah VIP VTEP tempatan (10.1.1.1). VTEP tempatan menghala ke subnet destinasi, merangkum paket VXLAN dan menghantarnya terus ke VTEP VM B. Proses ini meminimumkan laluan dan kependaman.
Kelebihan Terunggul:
○ Skalabiliti tinggiMengagihkan fungsi get laluan kepada setiap nod meningkatkan saiz rangkaian, yang bermanfaat untuk rangkaian yang lebih besar. Penyedia awan besar seperti Google Cloud menggunakan mekanisme yang serupa untuk menyokong berjuta-juta VM.
○Prestasi unggulTrafik timur-barat diproses secara setempat untuk mengelakkan kesesakan. Data ujian menunjukkan bahawa daya pemprosesan boleh meningkat sebanyak 30%-50% dalam mod teragih.
○Pemulihan kerosakan yang cepatSatu kegagalan VTEP hanya menjejaskan hos setempat, menyebabkan nod lain tidak terjejas. Digabungkan dengan penumpuan pantas EVPN, masa pemulihan adalah dalam beberapa saat.
○Penggunaan sumber yang baikGunakan cip ASIC suis Leaf sedia ada untuk pecutan perkakasan, dengan kadar pemajuan mencapai tahap Tbps.
Apakah kelemahannya?
○ Konfigurasi kompleksSetiap VTEP memerlukan konfigurasi penghalaan, EVPN dan ciri-ciri lain, menjadikan penggunaan awal memakan masa. Pasukan operasi mesti biasa dengan BGP dan SDN.
○Keperluan perkakasan yang tinggiGerbang teragih: Tidak semua suis menyokong gerbang teragih; cip Broadcom Trident atau Tomahawk diperlukan. Pelaksanaan perisian (seperti OVS pada KVM) tidak berfungsi sebaik perkakasan.
○Cabaran KonsistensiDiagihkan bermaksud penyegerakan keadaan bergantung pada EVPN. Jika sesi BGP berubah-ubah, ia boleh menyebabkan lubang hitam penghalaan.
Senario Aplikasi: Sesuai untuk pusat data hiperskala atau awan awam. Penghala teragih VMware NSX-T adalah contoh tipikal. Digabungkan dengan Kubernetes, ia menyokong rangkaian kontena dengan lancar.
Gerbang VxLAN Berpusat vs. Gerbang VxLAN Teragih
Sekarang ke kemuncaknya: yang mana lebih baik? Jawapannya ialah "bergantung", tetapi kita perlu mengkaji data dan kajian kes dengan lebih mendalam untuk meyakinkan anda.
Dari perspektif prestasi, sistem teragih jelas menunjukkan prestasi yang lebih baik. Dalam penanda aras pusat data biasa (berdasarkan peralatan ujian Spirent), purata kependaman gerbang berpusat ialah 150μs, manakala sistem teragih hanya 50μs. Dari segi daya pemprosesan, sistem teragih boleh mencapai penghantaran kadar talian dengan mudah kerana ia memanfaatkan penghalaan Spine-Leaf Equal Cost Multi-Path (ECMP).
Skalabiliti merupakan satu lagi medan pertempuran. Rangkaian berpusat sesuai untuk rangkaian dengan 100-500 nod; di luar skala ini, rangkaian teragih mendapat kelebihan. Ambil Alibaba Cloud, sebagai contoh. VPC (Virtual Private Cloud) mereka menggunakan gerbang VXLAN teragih untuk menyokong berjuta-juta pengguna di seluruh dunia, dengan latensi rantau tunggal di bawah 1ms. Pendekatan berpusat akan gagal sejak dahulu lagi.
Bagaimana pula dengan kos? Penyelesaian berpusat menawarkan pelaburan awal yang lebih rendah, hanya memerlukan beberapa gerbang mewah. Penyelesaian teragih memerlukan semua nod daun untuk menyokong penyingkiran VXLAN, yang membawa kepada kos naik taraf perkakasan yang lebih tinggi. Walau bagaimanapun, dalam jangka masa panjang, penyelesaian teragih menawarkan kos O&M yang lebih rendah, kerana alat automasi seperti Ansible mendayakan konfigurasi kelompok.
Keselamatan dan kebolehpercayaan: Sistem berpusat memudahkan perlindungan berpusat tetapi menimbulkan risiko tinggi serangan titik tunggal. Sistem teragih lebih berdaya tahan tetapi memerlukan satah kawalan yang mantap untuk mencegah serangan DDoS.
Satu kajian kes dunia sebenar: Sebuah syarikat e-dagang menggunakan VXLAN berpusat untuk membina laman webnya. Semasa tempoh puncak, penggunaan CPU gerbang melonjak kepada 90%, yang membawa kepada aduan pengguna tentang kependaman. Beralih kepada model teragih menyelesaikan masalah tersebut, membolehkan syarikat menggandakan skalanya dengan mudah. Sebaliknya, sebuah bank kecil menegaskan model berpusat kerana mereka mengutamakan audit pematuhan dan mendapati pengurusan berpusat lebih mudah.
Secara amnya, jika anda mahukan prestasi dan skala rangkaian yang ekstrem, pendekatan teragih adalah pilihan yang tepat. Jika bajet anda terhad dan pasukan pengurusan anda kekurangan pengalaman, pendekatan berpusat adalah lebih praktikal. Pada masa hadapan, dengan peningkatan 5G dan pengkomputeran pinggir, rangkaian teragih akan menjadi lebih popular, tetapi rangkaian berpusat masih akan berharga dalam senario tertentu, seperti sambungan pejabat cawangan.
Broker Paket Rangkaian Mylinking™menyokong Pelucutan Pengepala VxLAN, VLAN, GRE, MPLS
Menyokong pengepala VxLAN, VLAN, GRE, MPLS yang dilucutkan dalam paket data asal dan output yang dimajukan.
Masa siaran: 9 Okt-2025
