Untuk membincangkan get laluan VXLAN, kita mesti terlebih dahulu membincangkan VXLAN itu sendiri. Ingat bahawa VLAN tradisional (Rangkaian Kawasan Setempat Maya) menggunakan ID VLAN 12-bit untuk membahagikan rangkaian, menyokong sehingga 4096 rangkaian logik. Ini berfungsi dengan baik untuk rangkaian kecil, tetapi dalam pusat data moden, dengan beribu-ribu mesin maya, bekas dan persekitaran berbilang penyewa, VLAN tidak mencukupi. VXLAN dilahirkan, ditakrifkan oleh Pasukan Petugas Kejuruteraan Internet (IETF) dalam RFC 7348. Tujuannya adalah untuk melanjutkan domain siaran Lapisan 2 (Ethernet) ke atas rangkaian Lapisan 3 (IP) menggunakan terowong UDP.
Ringkasnya, VXLAN merangkum bingkai Ethernet dalam paket UDP dan menambah Pengecam Rangkaian VXLAN (VNI) 24-bit, secara teorinya menyokong 16 juta rangkaian maya. Ini seperti memberi setiap rangkaian maya "kad pengenalan", membolehkan mereka bergerak bebas pada rangkaian fizikal tanpa mengganggu satu sama lain. Komponen teras VXLAN ialah Titik Akhir Terowong VXLAN (VTEP), yang bertanggungjawab untuk membungkus dan menyahkapsul paket. VTEP boleh menjadi perisian (seperti Open vSwitch) atau perkakasan (seperti cip ASIC pada suis).
Mengapakah VXLAN begitu popular? Kerana ia selaras dengan sempurna dengan keperluan pengkomputeran awan dan SDN (Rangkaian Ditakrif Perisian). Dalam awan awam seperti AWS dan Azure, VXLAN membolehkan sambungan lancar rangkaian maya penyewa. Dalam pusat data peribadi, ia menyokong seni bina rangkaian tindanan seperti VMware NSX atau Cisco ACI. Bayangkan pusat data dengan beribu-ribu pelayan, masing-masing menjalankan berpuluh-puluh VM (Mesin Maya). VXLAN membenarkan VM ini untuk melihat diri mereka sebagai sebahagian daripada rangkaian Lapisan 2 yang sama, memastikan penghantaran lancar siaran ARP dan permintaan DHCP.
Walau bagaimanapun, VXLAN bukanlah ubat penawar. Beroperasi pada rangkaian L3 memerlukan penukaran L2-ke-L3, di mana get laluan masuk. Gerbang VXLAN menghubungkan rangkaian maya VXLAN dengan rangkaian luaran (seperti VLAN tradisional atau rangkaian penghalaan IP), memastikan data mengalir dari dunia maya ke dunia nyata. Mekanisme pemajuan ialah hati dan jiwa get laluan, menentukan cara paket diproses, dihalakan dan diedarkan.
Proses pemajuan VXLAN adalah seperti balet yang halus, dengan setiap langkah dari sumber ke destinasi berkait rapat. Mari kita pecahkan langkah demi langkah.
Pertama, satu paket dihantar daripada hos sumber (seperti VM). Ini ialah bingkai Ethernet standard yang mengandungi alamat MAC sumber, alamat MAC destinasi, tag VLAN (jika ada) dan muatan. Setelah menerima bingkai ini, sumber VTEP menyemak alamat MAC destinasi. Jika alamat MAC destinasi berada dalam jadual MACnya (diperolehi melalui pembelajaran atau banjir), ia mengetahui VTEP jauh mana untuk memajukan paket.
Proses enkapsulasi adalah penting: VTEP menambah pengepala VXLAN (termasuk VNI, bendera dan sebagainya), kemudian pengepala UDP luar (dengan port sumber berdasarkan cincang bingkai dalam dan port destinasi tetap 4789), pengepala IP (dengan alamat IP sumber VTEP tempatan dan alamat IP luar destinasi VTEP), dan akhirnya satu alamat IP luar VTEP jauh. Keseluruhan paket kini muncul sebagai paket UDP/IP, kelihatan seperti trafik biasa dan boleh dihalakan pada rangkaian L3.
Pada rangkaian fizikal, paket dimajukan oleh penghala atau suis sehingga ia sampai ke destinasi VTEP. VTEP destinasi menanggalkan pengepala luar, menyemak pengepala VXLAN untuk memastikan VNI sepadan, dan kemudian menghantar bingkai Ethernet dalaman kepada hos destinasi. Jika paket itu tidak diketahui trafik unicast, broadcast atau multicast (BUM), VTEP mereplikasi paket kepada semua VTEP yang berkaitan menggunakan banjir, bergantung pada kumpulan multicast atau replikasi pengepala unicast (HER).
Teras prinsip pemajuan ialah pemisahan satah kawalan dan satah data. Pesawat kawalan menggunakan Ethernet VPN (EVPN) atau mekanisme Flood and Learn untuk mempelajari pemetaan MAC dan IP. EVPN adalah berdasarkan protokol BGP dan membenarkan VTEP bertukar maklumat penghalaan, seperti MAC-VRF (Penghalaan Maya dan Pemajuan) dan IP-VRF. Pesawat data bertanggungjawab untuk pemajuan sebenar, menggunakan terowong VXLAN untuk penghantaran yang cekap.
Walau bagaimanapun, dalam penggunaan sebenar, kecekapan pemajuan secara langsung memberi kesan kepada prestasi. Banjir tradisional boleh menyebabkan ribut penyiaran dengan mudah, terutamanya dalam rangkaian besar. Ini membawa kepada keperluan untuk pengoptimuman get laluan: get laluan bukan sahaja menghubungkan rangkaian dalaman dan luaran tetapi juga bertindak sebagai ejen ARP proksi, mengendalikan kebocoran laluan dan memastikan laluan pemajuan terpendek.
Gerbang VXLAN berpusat
Gerbang VXLAN berpusat, juga dikenali sebagai get laluan berpusat atau get laluan L3, biasanya digunakan di bahagian tepi atau lapisan teras pusat data. Ia bertindak sebagai hab pusat, di mana semua trafik silang VNI atau subnet silang mesti dilalui.
Pada dasarnya, get laluan berpusat bertindak sebagai get laluan lalai, menyediakan perkhidmatan penghalaan Lapisan 3 untuk semua rangkaian VXLAN. Pertimbangkan dua VNI: VNI 10000 (subnet 10.1.1.0/24) dan VNI 20000 (subnet 10.2.1.0/24). Jika VM A dalam VNI 10000 mahu mengakses VM B dalam VNI 20000, paket itu mula-mula sampai ke VTEP setempat. VTEP tempatan mengesan bahawa alamat IP destinasi tiada pada subnet tempatan dan memajukannya ke get laluan berpusat. Gerbang menyahkapsul paket, membuat keputusan penghalaan, dan kemudian merangkum semula paket ke dalam terowong ke destinasi VNI.
Kelebihannya jelas:
○ Pengurusan mudahSemua konfigurasi penghalaan dipusatkan pada satu atau dua peranti, membenarkan pengendali mengekalkan hanya beberapa get laluan untuk meliputi keseluruhan rangkaian. Pendekatan ini sesuai untuk pusat data kecil dan sederhana atau persekitaran yang menggunakan VXLAN buat kali pertama.
○cekap sumberGerbang biasanya perkakasan berprestasi tinggi (seperti Cisco Nexus 9000 atau Arista 7050) yang mampu mengendalikan jumlah trafik yang besar. Pesawat kawalan berpusat, memudahkan penyepaduan dengan pengawal SDN seperti Pengurus NSX.
○Kawalan keselamatan yang kuatTrafik mesti melalui pintu masuk, memudahkan pelaksanaan ACL (Senarai Kawalan Akses), tembok api dan NAT. Bayangkan senario berbilang penyewa di mana gerbang berpusat boleh mengasingkan trafik penyewa dengan mudah.
Tetapi kekurangan tidak boleh diabaikan:
○ Satu titik kegagalanJika get laluan gagal, komunikasi L3 merentasi keseluruhan rangkaian akan lumpuh. Walaupun VRRP (Virtual Router Redundancy Protocol) boleh digunakan untuk lebihan, ia masih membawa risiko.
○Kesesakan prestasiSemua lalu lintas timur-barat (komunikasi antara pelayan) mesti memintas pintu masuk, menghasilkan laluan suboptimum. Contohnya, dalam gugusan 1000 nod, jika lebar jalur get laluan ialah 100Gbps, kesesakan mungkin berlaku semasa waktu puncak.
○Kebolehskalaan yang lemahApabila skala rangkaian berkembang, beban get laluan meningkat secara eksponen. Dalam contoh dunia sebenar, saya telah melihat pusat data kewangan menggunakan gerbang berpusat. Pada mulanya, ia berjalan lancar, tetapi selepas bilangan VM meningkat dua kali ganda, kependaman melonjak daripada mikrosaat kepada milisaat.
Senario Aplikasi: Sesuai untuk persekitaran yang memerlukan kesederhanaan pengurusan yang tinggi, seperti awan persendirian perusahaan atau rangkaian ujian. Seni bina ACI Cisco sering menggunakan model terpusat, digabungkan dengan topologi tulang belakang daun, untuk memastikan operasi gerbang teras yang cekap.
Gerbang VXLAN yang diedarkan
Gerbang VXLAN yang diedarkan, juga dikenali sebagai get laluan teragih atau get laluan anycast, memunggah fungsi get laluan ke setiap suis daun atau hipervisor VTEP. Setiap VTEP bertindak sebagai gerbang tempatan, mengendalikan pemajuan L3 untuk subnet tempatan.
Prinsipnya lebih fleksibel: setiap VTEP dikonfigurasikan dengan IP maya (VIP) yang sama seperti get laluan lalai, menggunakan mekanisme Anycast. Paket subnet silang yang dihantar oleh VM dihalakan terus pada VTEP tempatan, tanpa perlu melalui titik pusat. EVPN amat berguna di sini: melalui BGP EVPN, VTEP mempelajari laluan hos jauh dan menggunakan pengikatan MAC/IP untuk mengelakkan banjir ARP.
Contohnya, VM A (10.1.1.10) mahu mengakses VM B (10.2.1.10). Gerbang lalai VM A ialah VIP VTEP setempat (10.1.1.1). Laluan VTEP tempatan ke subnet destinasi, merangkum paket VXLAN dan menghantarnya terus ke VTEP VM B. Proses ini meminimumkan laluan dan kependaman.
Kelebihan Cemerlang:
○ Kebolehskalaan yang tinggiMengedarkan fungsi get laluan kepada setiap nod meningkatkan saiz rangkaian, yang bermanfaat untuk rangkaian yang lebih besar. Penyedia awan yang besar seperti Google Cloud menggunakan mekanisme yang serupa untuk menyokong berjuta-juta VM.
○Prestasi unggulTrafik timur-barat diproses secara tempatan untuk mengelakkan kesesakan. Data ujian menunjukkan bahawa daya tampung boleh meningkat sebanyak 30%-50% dalam mod teragih.
○Pemulihan kerosakan yang cepatKegagalan VTEP tunggal hanya menjejaskan hos tempatan, meninggalkan nod lain tidak terjejas. Digabungkan dengan penumpuan pantas EVPN, masa pemulihan adalah dalam beberapa saat.
○Penggunaan sumber yang baikGunakan cip ASIC suis Daun sedia ada untuk pecutan perkakasan, dengan kadar pemajuan mencapai tahap Tbps.
Apakah keburukan?
○ Konfigurasi kompleksSetiap VTEP memerlukan konfigurasi penghalaan, EVPN dan ciri lain, menjadikan penggunaan awal memakan masa. Pasukan operasi mesti biasa dengan BGP dan SDN.
○Keperluan perkakasan yang tinggiGerbang teragih: Tidak semua suis menyokong get laluan teragih; Cip Broadcom Trident atau Tomahawk diperlukan. Pelaksanaan perisian (seperti OVS pada KVM) tidak berfungsi sebaik perkakasan.
○Cabaran KonsistenDiedarkan bermakna penyegerakan keadaan bergantung pada EVPN. Jika sesi BGP turun naik, ia mungkin menyebabkan lubang hitam penghalaan.
Senario Aplikasi: Sesuai untuk pusat data hiperskala atau awan awam. Penghala teragih VMware NSX-T ialah contoh biasa. Digabungkan dengan Kubernetes, ia menyokong rangkaian kontena dengan lancar.
Gerbang VxLAN Berpusat lwn Gerbang VxLAN Teredar
Sekarang ke klimaks: yang mana lebih baik? Jawapannya ialah "ia bergantung", tetapi kami perlu menyelidiki data dan kajian kes untuk meyakinkan anda.
Dari perspektif prestasi, sistem teragih jelas mengatasi prestasi. Dalam penanda aras pusat data biasa (berdasarkan peralatan ujian Spirent), kependaman purata get laluan terpusat ialah 150μs, manakala sistem teragih hanya 50μs. Dari segi daya pemprosesan, sistem teragih boleh mencapai pemajuan kadar talian dengan mudah kerana mereka memanfaatkan penghalaan Berbilang Laluan Kos Tulang Belakang-Daun (ECMP).
Kebolehskalaan adalah medan pertempuran yang lain. Rangkaian berpusat sesuai untuk rangkaian dengan 100-500 nod; di luar skala ini, rangkaian teragih mendapat kelebihan. Ambil Alibaba Cloud, sebagai contoh. VPC (Awan Peribadi Maya) mereka menggunakan get laluan VXLAN yang diedarkan untuk menyokong berjuta-juta pengguna di seluruh dunia, dengan kependaman satu wilayah di bawah 1ms. Pendekatan berpusat akan runtuh lama dahulu.
Bagaimana dengan kos? Penyelesaian terpusat menawarkan pelaburan permulaan yang lebih rendah, hanya memerlukan beberapa pintu masuk mewah. Penyelesaian yang diedarkan memerlukan semua nod daun untuk menyokong pemuatan VXLAN, yang membawa kepada kos peningkatan perkakasan yang lebih tinggi. Walau bagaimanapun, dalam jangka panjang, penyelesaian yang diedarkan menawarkan kos O&M yang lebih rendah, kerana alat automasi seperti Ansible membolehkan konfigurasi kelompok.
Keselamatan dan kebolehpercayaan: Sistem berpusat memudahkan perlindungan berpusat tetapi menimbulkan risiko tinggi untuk serangan tunggal. Sistem teragih lebih berdaya tahan tetapi memerlukan satah kawalan yang mantap untuk mengelakkan serangan DDoS.
Kajian kes dunia sebenar: Sebuah syarikat e-dagang menggunakan VXLAN berpusat untuk membina tapaknya. Semasa tempoh puncak, penggunaan CPU get laluan melonjak kepada 90%, membawa kepada aduan pengguna tentang kependaman. Beralih kepada model yang diedarkan telah menyelesaikan isu tersebut, membolehkan syarikat menggandakan skalanya dengan mudah. Sebaliknya, sebuah bank kecil menegaskan model berpusat kerana mereka mengutamakan audit pematuhan dan mendapati pengurusan berpusat lebih mudah.
Secara umum, jika anda mencari prestasi dan skala rangkaian yang melampau, pendekatan teragih ialah cara yang perlu dilakukan. Jika belanjawan anda terhad dan pasukan pengurusan anda kurang pengalaman, pendekatan berpusat adalah lebih praktikal. Pada masa hadapan, dengan peningkatan 5G dan pengkomputeran edge, rangkaian yang diedarkan akan menjadi lebih popular, tetapi rangkaian terpusat masih akan bernilai dalam senario tertentu, seperti interkoneksi pejabat cawangan.
Broker Paket Rangkaian Mylinking™menyokong Pelucutan Tajuk VxLAN, VLAN, GRE, MPLS
Menyokong pengepala VxLAN, VLAN, GRE, MPLS yang dilucutkan dalam paket data asal dan output yang dimajukan.
Masa siaran: Okt-09-2025
