VXLAN shlyuzlarini muhokama qilish uchun birinchi navbatda VXLANning o'zini muhokama qilishimiz kerak. Eslatib o'tamiz, an'anaviy VLANlar (Virtual Lokal Tarmoqlar) tarmoqlarni ajratish uchun 12-bitli VLAN identifikatorlaridan foydalanadi va 4096 tagacha mantiqiy tarmoqlarni qo'llab-quvvatlaydi. Bu kichik tarmoqlar uchun yaxshi ishlaydi, lekin minglab virtual mashinalari, konteynerlari va ko'p ijarachilarli muhitlari bo'lgan zamonaviy ma'lumotlar markazlarida VLAN-lar etarli emas. VXLAN RFC 7348 da Internet Engineering Task Force (IETF) tomonidan yaratilgan. Uning maqsadi UDP tunnellari yordamida Layer 2 (Ethernet) eshittirish domenini Layer 3 (IP) tarmoqlari orqali kengaytirishdir.
Oddiy qilib aytganda, VXLAN Ethernet ramkalarini UDP paketlari ichida qamrab oladi va nazariy jihatdan 16 million virtual tarmoqlarni qo'llab-quvvatlaydigan 24-bitli VXLAN tarmoq identifikatorini (VNI) qo'shadi. Bu har bir virtual tarmoqqa bir-biriga aralashmasdan jismoniy tarmoqda erkin harakatlanish imkonini beruvchi “shaxsni tasdiqlovchi karta” berishga o‘xshaydi. VXLAN ning asosiy komponenti VXLAN Tunnel End Point (VTEP) bo'lib, u paketlarni kapsulalash va dekapsulatsiya qilish uchun javobgardir. VTEP dasturiy ta'minot (masalan, Open vSwitch) yoki apparat (masalan, kalitdagi ASIC chipi) bo'lishi mumkin.
Nima uchun VXLAN shunchalik mashhur? Chunki u bulutli hisoblash va SDN (Software-Defined Networking) ehtiyojlariga juda mos keladi. AWS va Azure kabi ommaviy bulutlarda VXLAN ijarachilarning virtual tarmoqlarini uzluksiz kengaytirish imkonini beradi. Xususiy ma'lumotlar markazlarida u VMware NSX yoki Cisco ACI kabi overlay tarmoq arxitekturasini qo'llab-quvvatlaydi. Har birida o'nlab VM (Virtual mashinalar) ishlaydigan minglab serverlarga ega ma'lumotlar markazini tasavvur qiling. VXLAN ushbu VM-larga o'zlarini bir xil Layer 2 tarmog'ining bir qismi sifatida qabul qilish imkonini beradi, bu esa ARP translyatsiyalari va DHCP so'rovlarining uzluksiz uzatilishini ta'minlaydi.
Biroq, VXLAN davo emas. L3 tarmog'ida ishlash uchun L2 dan L3 ga konvertatsiya kerak bo'ladi, bu shlyuz kiradi. VXLAN shlyuzi VXLAN virtual tarmog'ini tashqi tarmoqlar (masalan, an'anaviy VLAN yoki IP marshrutlash tarmoqlari) bilan bog'lab, virtual dunyodan real dunyoga ma'lumotlar oqimini ta'minlaydi. Yo'naltirish mexanizmi shlyuzning yuragi va ruhi bo'lib, paketlarning qanday qayta ishlanishi, yo'naltirilishi va taqsimlanishini aniqlaydi.
VXLAN-ni uzatish jarayoni nozik baletga o'xshaydi, har bir qadam manbadan manzilga chambarchas bog'liqdir. Keling, uni bosqichma-bosqich sindirib olaylik.
Birinchidan, paket manba xostdan yuboriladi (masalan, VM). Bu manba MAC manzili, maqsad MAC manzili, VLAN yorlig'i (agar mavjud bo'lsa) va foydali yukni o'z ichiga olgan standart Ethernet ramkasi. Ushbu ramkani olgandan so'ng, VTEP manbasi maqsadli MAC manzilini tekshiradi. Agar maqsadli MAC manzili MAC jadvalida bo'lsa (o'rganish yoki suv bosish orqali olingan), u paketni qaysi masofaviy VTEPga yuborishni biladi.
Kapsülleme jarayoni juda muhim: VTEP VXLAN sarlavhasini (jumladan, VNI, bayroqlar va boshqalarni), so'ngra tashqi UDP sarlavhasini (ichki ramkaning xeshiga asoslangan manba porti va 4789 sobit maqsadli porti bilan), IP sarlavhasini (mahalliy VTEP manba IP manzili bilan) va yakuniy VTEP tarmog'ining oxirgi manzilini qo'shadi. sarlavha. Endi butun paket UDP/IP paketi sifatida ko'rinadi, oddiy trafikka o'xshaydi va L3 tarmog'ida yo'naltirilishi mumkin.
Jismoniy tarmoqda paket VTEP manziliga yetguncha yo'riqnoma yoki kalit orqali uzatiladi. Belgilangan VTEP tashqi sarlavhani ajratadi, VNI mos kelishiga ishonch hosil qilish uchun VXLAN sarlavhasini tekshiradi va keyin ichki Ethernet ramkasini maqsad hostga etkazib beradi. Agar paket noma'lum unicast, broadcast yoki multicast (BUM) trafik bo'lsa, VTEP multicast guruhlari yoki unicast header replikatsiyasiga (HER) tayangan holda, suv bosishdan foydalangan holda paketni barcha tegishli VTEPlarga takrorlaydi.
Yo'naltirish printsipining asosi boshqaruv tekisligi va ma'lumotlar tekisligini ajratishdir. Boshqaruv tekisligi MAC va IP xaritalarini o'rganish uchun Ethernet VPN (EVPN) yoki Flood and Learn mexanizmidan foydalanadi. EVPN BGP protokoliga asoslanadi va VTEP-larga MAC-VRF (Virtual marshrutlash va yo'naltirish) va IP-VRF kabi marshrutlash ma'lumotlarini almashish imkonini beradi. Ma'lumotlar tekisligi samarali uzatish uchun VXLAN tunnellaridan foydalangan holda haqiqiy uzatish uchun javobgardir.
Biroq, amaldagi joylashtirishlarda, uzatish samaradorligi to'g'ridan-to'g'ri ishlashga ta'sir qiladi. An'anaviy suv toshqini, ayniqsa, katta tarmoqlarda, efirga uzatiladigan bo'ronlarni osongina keltirib chiqarishi mumkin. Bu shlyuzni optimallashtirish zaruratiga olib keladi: shlyuzlar nafaqat ichki va tashqi tarmoqlarni bog'laydi, balki proksi-server ARP agentlari sifatida ham ishlaydi, marshrutning oqishini boshqaradi va eng qisqa yo'nalishlarni ta'minlaydi.
Markazlashtirilgan VXLAN shlyuzi
Markazlashtirilgan VXLAN shlyuzi, shuningdek, markazlashtirilgan shlyuz yoki L3 shlyuz deb ham ataladi, odatda ma'lumotlar markazining chetida yoki asosiy qatlamida o'rnatiladi. U markaziy markaz vazifasini bajaradi, u orqali barcha o'zaro VNI yoki o'zaro ichki tarmoq trafigi o'tishi kerak.
Asosan, markazlashtirilgan shlyuz barcha VXLAN tarmoqlari uchun Layer 3 marshrutlash xizmatlarini taqdim etuvchi standart shlyuz vazifasini bajaradi. Ikkita VNIni ko'rib chiqing: VNI 10000 (subnet 10.1.1.0/24) va VNI 20000 (kichik tarmoq 10.2.1.0/24). Agar VNI 10000 da VM A VNI 20000 da VM B ga kirishni istasa, paket avval mahalliy VTEP ga yetib boradi. Mahalliy VTEP maqsad IP manzili mahalliy quyi tarmoqda emasligini aniqlaydi va uni markazlashtirilgan shlyuzga yo'naltiradi. Shlyuz paketni dekapsulatsiya qiladi, marshrutlash to'g'risida qaror qabul qiladi va keyin paketni VNI manziliga tunnelga qayta inkapsullaydi.
Afzalliklar aniq:
○ Oddiy boshqaruvBarcha marshrutlash konfiguratsiyalari bir yoki ikkita qurilmada markazlashtirilgan bo'lib, operatorlarga butun tarmoqni qamrab oladigan bir nechta shlyuzlarni saqlashga imkon beradi. Ushbu yondashuv kichik va o'rta o'lchamdagi ma'lumotlar markazlari yoki VXLANni birinchi marta ishlatadigan muhitlar uchun javob beradi.
○Resurs tejamkorligiShlyuzlar odatda katta hajmdagi trafikni boshqarishga qodir bo'lgan yuqori unumdor apparatdir (masalan, Cisco Nexus 9000 yoki Arista 7050). Boshqaruv tekisligi markazlashtirilgan bo'lib, NSX Manager kabi SDN kontrollerlari bilan integratsiyani osonlashtiradi.
○Kuchli xavfsizlik nazoratiTrafik shlyuz orqali o'tishi kerak, bu ACL (Kirishni boshqarish ro'yxatlari), xavfsizlik devorlari va NATni amalga oshirishni osonlashtiradi. Ko'p ijarachilarli stsenariyni tasavvur qiling, bu erda markazlashtirilgan shlyuz ijarachilarning trafigini osongina ajrata oladi.
Ammo kamchiliklarni e'tiborsiz qoldirib bo'lmaydi:
○ Bitta nosozlik nuqtasiAgar shlyuz muvaffaqiyatsiz bo'lsa, butun tarmoq bo'ylab L3 aloqasi falaj bo'ladi. VRRP (Virtual Router Redundancy Protocol) zaxiralash uchun ishlatilishi mumkin bo'lsa-da, u hali ham xavflarni o'z ichiga oladi.
○Ishlashdagi to'siqBarcha sharq-g'arbiy trafik (serverlar orasidagi aloqa) shlyuzni chetlab o'tishi kerak, natijada suboptimal yo'l paydo bo'ladi. Misol uchun, 1000 tugunli klasterda, agar shlyuzning o'tkazish qobiliyati 100 Gbit / s bo'lsa, tirbandlik eng yuqori soatlarda paydo bo'lishi mumkin.
○Yomon miqyoslilikTarmoq miqyosi oshgani sayin, shlyuz yuki eksponent ravishda oshadi. Haqiqiy misolda men markazlashtirilgan shlyuzdan foydalangan holda moliyaviy ma'lumotlar markazini ko'rdim. Dastlab, u muammosiz ishladi, lekin VMlar soni ikki baravar ko'payganidan so'ng, kechikish mikrosekundlardan millisekundlarga ko'tarildi.
Ilova stsenariysi: Korporativ shaxsiy bulutlar yoki sinov tarmoqlari kabi yuqori boshqaruv soddaligini talab qiluvchi muhitlar uchun javob beradi. Cisco-ning ACI arxitekturasi ko'pincha asosiy shlyuzlarning samarali ishlashini ta'minlash uchun barg-umurtqa topologiyasi bilan birlashtirilgan markazlashtirilgan modeldan foydalanadi.
Tarqatilgan VXLAN shlyuzi
Taqsimlangan VXLAN shlyuzi, shuningdek, taqsimlangan shlyuz yoki anycast shlyuz sifatida ham tanilgan, shlyuz funksiyalarini har bir barg kalitiga yoki VTEP gipervizoriga yuklaydi. Har bir VTEP mahalliy quyi tarmoq uchun L3 yo'nalishini boshqaradigan mahalliy shlyuz vazifasini bajaradi.
Printsip yanada moslashuvchan: har bir VTEP Anycast mexanizmidan foydalangan holda standart shlyuz sifatida bir xil virtual IP (VIP) bilan tuzilgan. VMlar tomonidan yuborilgan o'zaro tarmoq paketlari markaziy nuqtadan o'tmasdan to'g'ridan-to'g'ri mahalliy VTEPga yo'naltiriladi. Bu erda EVPN ayniqsa foydalidir: BGP EVPN orqali VTEP masofaviy xostlar marshrutlarini o'rganadi va ARP suv toshqini oldini olish uchun MAC/IP ulanishidan foydalanadi.
Masalan, VM A (10.1.1.10) VM B (10.2.1.10) ga kirishni xohlaydi. VM A ning standart shlyuzi mahalliy VTEP (10.1.1.1) VIP hisoblanadi. Mahalliy VTEP belgilangan pastki tarmoqqa yo'naltiradi, VXLAN paketini qamrab oladi va uni to'g'ridan-to'g'ri VM B VTEP ga yuboradi. Bu jarayon yo'lni va kechikishni kamaytiradi.
Ajoyib afzalliklari:
○ Yuqori miqyoslilikHar bir tugunga shlyuz funksiyasini taqsimlash tarmoq hajmini oshiradi, bu esa kattaroq tarmoqlar uchun foydalidir. Google Cloud kabi yirik bulut provayderlari millionlab VMlarni qo'llab-quvvatlash uchun shunga o'xshash mexanizmdan foydalanadilar.
○Yuqori ishlashSharqiy-g'arbiy yo'nalishdagi transport to'siqlarni oldini olish uchun mahalliy darajada qayta ishlanadi. Sinov ma'lumotlari taqsimlangan rejimda o'tkazish qobiliyati 30% -50% ga oshishi mumkinligini ko'rsatadi.
○Xatolarni tezda tiklashBitta VTEP xatosi faqat mahalliy xostga ta'sir qiladi va boshqa tugunlarga ta'sir qilmaydi. EVPN ning tez konvergentsiyasi bilan birgalikda tiklanish vaqti soniyalarda.
○Resurslardan yaxshi foydalanishUskunani tezlashtirish uchun mavjud Leaf switch ASIC chipidan foydalaning, uzatish tezligi Tbps darajasiga etadi.
Kamchiliklari qanday?
○ Murakkab konfiguratsiyaHar bir VTEP marshrutlash, EVPN va boshqa xususiyatlarni sozlashni talab qiladi, bu esa dastlabki joylashtirishni ko'p vaqt talab qiladi. Operatsion guruh BGP va SDN bilan tanish bo'lishi kerak.
○Yuqori apparat talablariTarqalgan shlyuz: barcha kalitlar taqsimlangan shlyuzlarni qo'llab-quvvatlamaydi; Broadcom Trident yoki Tomahawk chiplari talab qilinadi. Dasturiy ta'minotni amalga oshirish (masalan, KVMdagi OVS) apparat kabi yaxshi ishlamaydi.
○Muvofiqlik muammolariTarqalgan holat sinxronizatsiyasi EVPN ga tayanishini bildiradi. Agar BGP seansi o'zgarib tursa, u marshrutlash qora tuynugiga olib kelishi mumkin.
Ilova stsenariysi: Yuqori miqyosli ma'lumotlar markazlari yoki ommaviy bulutlar uchun juda mos keladi. VMware NSX-T ning taqsimlangan routeri odatiy misoldir. Kubernetes bilan birgalikda u konteyner tarmog'ini muammosiz qo'llab-quvvatlaydi.
Markazlashtirilgan VxLAN shlyuzi va taqsimlangan VxLAN shlyuzi
Endi avjiga: qaysi biri yaxshiroq? Javob "bu bog'liq", lekin biz sizni ishontirish uchun ma'lumotlar va amaliy tadqiqotlarni chuqur o'rganishimiz kerak.
Ishlash nuqtai nazaridan, taqsimlangan tizimlar aniq ustunlik qiladi. Oddiy ma'lumotlar markazi benchmarkida (Spirent sinov uskunasiga asoslangan) markazlashtirilgan shlyuzning o'rtacha kechikishi 150 mks, taqsimlangan tizimniki esa atigi 50 mks edi. O'tkazuvchanlik nuqtai nazaridan, taqsimlangan tizimlar chiziq tezligini yo'naltirishga osonlik bilan erisha oladi, chunki ular o'murtqa barg teng xarajatli ko'p yo'l (ECMP) marshrutini qo'llaydi.
Masshtablilik yana bir jang maydonidir. Markazlashtirilgan tarmoqlar 100-500 tugunli tarmoqlar uchun javob beradi; bu miqyosdan tashqarida taqsimlangan tarmoqlar ustunlikka ega bo'ladi. Masalan, Alibaba Cloud-ni olaylik. Ularning VPC (Virtual Private Cloud) butun dunyo boʻylab millionlab foydalanuvchilarni qoʻllab-quvvatlash uchun taqsimlangan VXLAN shlyuzlaridan foydalanadi, bunda bitta mintaqaviy kechikish 1ms dan past boʻladi. Markazlashtirilgan yondashuv allaqachon barbod bo'lgan bo'lar edi.
Narx haqida nima deyish mumkin? Markazlashtirilgan yechim bir nechta yuqori darajadagi shlyuzlarni talab qiladigan kamroq boshlang'ich sarmoyani taklif qiladi. Taqsimlangan yechim barcha barg tugunlarining VXLAN yuklanishini qo'llab-quvvatlashini talab qiladi, bu esa uskunani yangilash xarajatlarining oshishiga olib keladi. Biroq, uzoq muddatda, Ansible kabi avtomatlashtirish vositalari ommaviy konfiguratsiyani faollashtirgani uchun taqsimlangan yechim pastroq texnik va texnik xarajatlarni taklif qiladi.
Xavfsizlik va ishonchlilik: Markazlashtirilgan tizimlar markazlashtirilgan himoyani osonlashtiradi, lekin bitta hujum nuqtasi uchun yuqori xavf tug'diradi. Taqsimlangan tizimlar chidamliroq, ammo DDoS hujumlarining oldini olish uchun mustahkam boshqaruv tekisligini talab qiladi.
Haqiqiy vaziyatni o'rganish: Elektron tijorat kompaniyasi o'z saytini yaratish uchun markazlashtirilgan VXLAN-dan foydalangan. Eng yuqori davrlarda shlyuz protsessoridan foydalanish 90% gacha ko'tarildi, bu esa foydalanuvchilarning kechikish haqida shikoyatlariga olib keldi. Tarqalgan modelga o'tish muammoni hal qildi, bu kompaniyaga o'z ko'lamini osongina ikki baravar oshirish imkonini berdi. Aksincha, kichik bank markazlashtirilgan modelni talab qildi, chunki ular muvofiqlik auditini birinchi o'ringa qo'yishdi va markazlashtirilgan boshqaruvni osonlashtirdilar.
Umuman olganda, agar siz haddan tashqari tarmoq unumdorligi va miqyosini izlayotgan bo'lsangiz, taqsimlangan yondashuv bu borishning yo'lidir. Agar sizning byudjetingiz cheklangan bo'lsa va boshqaruv guruhingizda tajriba bo'lmasa, markazlashtirilgan yondashuv amaliyroqdir. Kelajakda, 5G va chekka hisob-kitoblarning o'sishi bilan taqsimlangan tarmoqlar mashhur bo'ladi, ammo markazlashtirilgan tarmoqlar filiallarning o'zaro ulanishi kabi muayyan stsenariylarda ham qimmatli bo'ladi.
Mylinking™ tarmoq paket brokerlariVxLAN, VLAN, GRE, MPLS sarlavhalarini olib tashlashni qo'llab-quvvatlaydi
VxLAN, VLAN, GRE, MPLS sarlavhalari asl ma'lumotlar paketiga ajratilgan va uzatilgan chiqishni qo'llab-quvvatlaydi.
Xat vaqti: 09-oktabr 2025-yil
