צו דיסקוטירן VXLAN גייטווייז, מוזן מיר ערשט דיסקוטירן VXLAN אליין. געדענקט אז טראדיציאנעלע VLANs (ווירטועל לאקאל עריע נעטווארקס) ניצן 12-ביט VLAN IDs צו צעטיילן נעטווארקס, שטיצן ביז 4096 לאגישע נעטווארקס. דאס ארבעט גוט פאר קליינע נעטווארקס, אבער אין מאדערנע דאטן צענטערס, מיט זייערע טויזנטער ווירטועל מאשינען, קאנטעינערס, און מולטי-טענענט סביבות, זענען VLANs נישט גענוג. VXLAN איז געבוירן געווארן, דעפינירט דורך די אינטערנעט אינזשענירינג טאסק פארס (IETF) אין RFC 7348. איר צוועק איז צו פארברייטערן די לייער 2 (עטהערנעט) בראָדקאַסט דאָמעין איבער לייער 3 (IP) נעטווארקס ניצנדיק UDP טונעלן.
פשוט געזאגט, VXLAN פארכאפט עטערנעט פרעימס אין UDP פאקעטן און לייגט צו א 24-ביט VXLAN נעטווארק אידענטיפיער (VNI), וואס טעארעטיש שטיצט 16 מיליאן ווירטועל נעטווארקס. דאס איז ווי געבן יעדן ווירטועל נעטווארק אן "אידענטיטעט קארטל," וואס ערלויבט זיי צו באוועגן זיך פריי אויפן פיזישן נעטווארק אן אריינמישן זיך איינער מיטן צווייטן. דער הויפט קאמפאנענט פון VXLAN איז דער VXLAN טונעל ענד פוינט (VTEP), וואס איז פאראנטווארטליך פארן איינקאסולירן און דעקאסולירן פאקעטן. VTEP קען זיין ווייכווארג (ווי למשל Open vSwitch) אדער הארדווער (ווי למשל דער ASIC טשיפּ אויפן סוויטש).
פארוואס איז VXLAN אזוי פאפולער? ווייל עס פאסט זיך גאנץ גוט צו די באדערפענישן פון קלאוד קאמפיוטינג און SDN (סאפטווער-דעפינירט נעטווארקינג). אין עפנטלעכע קלאודס ווי AWS און Azure, ערמעגליכט VXLAN אן אומגעשטערטע פארברייטערונג פון די ווירטועל נעטווארקס פון די טענענטן. אין פריוואטע דאטן צענטערס, שטיצט עס איבערלענד נעטווארק ארכיטעקטורן ווי VMware NSX אדער Cisco ACI. שטעלט זיך פאר א דאטן צענטער מיט טויזנטער סערווערס, יעדער מיט צענדליגער ווירטועל מאשינען (VMs). VXLAN ערמעגליכט די ווירטועל מאשינען זיך צו באטראכטן אלס טייל פון דער זעלבער לייער 2 נעטווארק, וואס זיכערט א גלאטן טראנסמיסיע פון ARP בראדקאסטס און DHCP פארלאנגען.
אבער, VXLAN איז נישט קיין פאנאציא. אפערירן אויף אן L3 נעטווארק פארלאנגט L2-צו-L3 קאנווערזיע, און דאס איז וואו דער גייטוויי קומט אריין. דער VXLAN גייטוויי פארבינדט דעם VXLAN ווירטועלן נעטווארק מיט עקסטערנע נעטווארקס (ווי טראדיציאנעלע VLANs אדער IP רוטינג נעטווארקס), וואס זיכערט אז דאטן פליסט פון דער ווירטועלער וועלט צו דער עכטער וועלט. דער פארווערדינג מעכאניזם איז דאס הארץ און נשמה פון דעם גייטוויי, וואס באשטימט ווי פעקלעך ווערן פראצעסירט, ראוטיד, און פארשפרייט.
דער VXLAN פאָרווערדינג פּראָצעס איז ווי אַ דעליקאַטער באַלעט, מיט יעדן שריט פֿון מקור ביז דעסטינאַציע וואָס איז ענג פֿאַרבונדן. לאָמיר עס צעברעכן שריט ביי שריט.
ערשטנס, ווערט א פּאַקעט געשיקט פֿון דעם קוואַל האָסט (אַזאַ ווי אַ VM). דאָס איז אַ נאָרמאַלער עטהערנעט ראַם וואָס כּולל די קוואַל MAC אַדרעס, ציל MAC אַדרעס, VLAN טאַג (אויב פֿאַראַן), און פּיילאָוד. ווען ער באַקומט דעם ראַם, קאָנטראָלירט דער קוואַל VTEP די ציל MAC אַדרעס. אויב די ציל MAC אַדרעס איז אין זיין MAC טאַבעלע (באַקומען דורך לערנען אָדער פֿלאָודינג), ווייסט ער צו וועלכער ווייטער VTEP צו פֿאָרווערדן דעם פּאַקעט.
דער איינקאַפּסולאַציע פּראָצעס איז קריטיש וויכטיק: דער VTEP לייגט צו אַ VXLAN כעדער (אַרייַנגערעכנט די VNI, פלעגס, און אַזוי ווייטער), דערנאָך אַן אויסערלעכער UDP כעדער (מיט אַ קוואַל פּאָרט באַזירט אויף אַ העש פון די ינער ראַם און אַ פאַרפעסטיקט דעסטאַניישאַן פּאָרט פון 4789), אַן IP כעדער (מיט דער קוואַל IP אַדרעס פון די לאָקאַלע VTEP און דער דעסטאַניישאַן IP אַדרעס פון די ווייַט VTEP), און לעסאָף אַן אויסערלעכער עטהערנעט כעדער. דער גאַנצער פּאַקעט דערשיינט איצט ווי אַ UDP/IP פּאַקעט, קוקט אויס ווי נאָרמאַל טראַפיק, און קען זיין ראַוטעד אויף די L3 נעץ.
אויף דער פיזישער נעץ, ווערט דער פּאַקעט פאָרווערדעד דורך אַ ראַוטער אָדער סוויטש ביז עס דערגרייכט דעם ציל VTEP. דער ציל VTEP נעמט אַוועק דעם אויסערן כעדער, קאָנטראָלירט דעם VXLAN כעדער צו זיכער מאַכן אַז דער VNI פּאַסט, און דערנאָך ליפערט דעם אינערלעכן עטהערנעט ראַם צום ציל האָסט. אויב דער פּאַקעט איז אומבאַקאַנט יוניקאַסט, בראָדקאַסט, אָדער מולטיקאַסט (BUM) טראַפיק, רעפּליקירט דער VTEP דעם פּאַקעט צו אַלע באַטייַטיק VTEPs ניצנדיק פלאַדינג, זיך פֿאַרלאָזנדיק אויף מולטיקאַסט גרופּעס אָדער יוניקאַסט כעדער רעפּליקאַציע (HER).
דער קערן פון דעם פאָרווערדינג פּרינציפּ איז די צעשיידונג פון דעם קאָנטראָל פלאַך און דעם דאַטן פלאַך. דער קאָנטראָל פלאַך ניצט עטהערנעט VPN (EVPN) אדער דעם Flood and Learn מעקאַניזם צו לערנען MAC און IP מאַפּינגס. EVPN איז באַזירט אויף דעם BGP פּראָטאָקאָל און ערלויבט VTEPs צו וועקסלען ראַוטינג אינפֿאָרמאַציע, אַזאַ ווי MAC-VRF (ווירטועל ראַוטינג און פאָרווערדינג) און IP-VRF. דער דאַטן פלאַך איז פאַראַנטוואָרטלעך פֿאַר פאַקטיש פאָרווערדינג, ניצנדיק VXLAN טונעלן פֿאַר עפֿיקאַנט טראַנסמיסיע.
אבער, אין פאקטישע דיפּלוימאַנץ, האט פאָרווערדינג עפעקטיווקייט אַ דירעקטן השפּעה אויף פאָרשטעלונג. טראַדיציאָנעלע פלאַדינג קען לייכט פאַראורזאַכן בראָדקאַסט שטורעמס, ספּעציעל אין גרויסע נעטוואָרקס. דאָס פירט צו דער נויטווענדיקייט פֿאַר גייטוויי אָפּטימיזאַציע: גייטווייס ניט בלויז פאַרבינדן אינערלעכע און עקסטערנע נעטוואָרקס, נאָר אויך דינען ווי פּראַקסי ARP אַגענטן, האַנדלען מיט רוט ליקס, און ענשור די קירצסטע פאָרווערדינג פּאַטס.
צענטראליזירטע VXLAN גייטוויי
א צענטראליזירטער VXLAN גייטוויי, אויך גערופן א צענטראליזירטער גייטוויי אדער L3 גייטוויי, ווערט טיפיש דיפּלויד ביים ברעג אדער קערן שיכט פון א דאטן צענטער. עס דינט ווי א צענטראלער כאַב, דורך וועלכן אלע קראָס-VNI אדער קראָס-סובנעט טראַפיק מוז דורכגיין.
אין פּרינציפּ, אַ צענטראַליזירטער גייטוויי דינט ווי דער דיפאָלט גייטוויי, צושטעלנדיק Layer 3 ראַוטינג סערוויסעס פֿאַר אַלע VXLAN נעטוואָרקס. באַטראַכט צוויי VNIs: VNI 10000 (סובנעט 10.1.1.0/24) און VNI 20000 (סובנעט 10.2.1.0/24). אויב VM A אין VNI 10000 וויל צוטריטן צו VM B אין VNI 20000, דערגרייכט דער פּאַקעט ערשט דעם לאָקאַלן VTEP. דער לאָקאַלער VTEP דעטעקטירט אַז די דעסטינאַציע IP אַדרעס איז נישט אויף דעם לאָקאַלן סובנעט און שיקט עס ווייטער צום צענטראַליזירטן גייטוויי. דער גייטוויי דעקאַפּסולירט דעם פּאַקעט, מאַכט אַ ראַוטינג באַשלוס, און דאַן ווידער-אינקאַפּסולירט דעם פּאַקעט אין אַ טונעל צום דעסטינאַציע VNI.
די מעלות זענען קלאָר:
○ פּשוטע פאַרוואַלטונגאלע ראוטינג קאנפיגוראציעס זענען צענטראליזירט אויף איין אדער צוויי דעווייסעס, וואס ערלויבט אפעראטארן צו האלטן נאר א פאר גייטווייז צו דעקן דעם גאנצן נעץ. די צוגאנג איז פאסיג פאר קליינע און מיטלגרויסע דאטן צענטערס אדער סביבות וואס נוצן VXLAN צום ערשטן מאל.
○רעסורסן עפעקטיווגייטווייז זענען טיפּיש הויך-פאָרשטעלונג האַרדווער (ווי למשל די סיסקאָ נעקסוס 9000 אדער אַריסטאַ 7050) וואָס קענען האַנדלען מיט ריזיקע אַמאַונץ פון טראַפיק. די קאָנטראָל פלאַך איז צענטראַליזירט, וואָס ערמעגליכט אינטעגראַציע מיט SDN קאָנטראָולערס ווי למשל NSX מאַנאַדזשער.
○שטאַרקע זיכערהייט קאָנטראָלטראַפיק מוז דורכגיין דעם גייטוויי, וואָס ערמעגליכט די אימפּלעמענטאַציע פון ACLs (אַקסעס קאָנטראָל ליסטעס), פיירוואָלז און NAT. שטעלט זיך פאר א סצענאַר פון עטלעכע טענענטן, וואו א צענטראליזירטער גייטוויי קען לייכט אפגעזונדערן טענענט טראַפיק.
אבער מען קען נישט איגנארירן די חסרונות:
○ איין פונקט פון דורכפאַלאויב דער גייטוויי פאלט אויס, ווערט L3 קאָמוניקאַציע איבערן גאַנצן נעץ פּאַראַליזירט. כאָטש VRRP (ווירטועל ראָוטער רעדאַנדאַנסי פּראָטאָקאָל) קען געניצט ווערן פֿאַר רעדאַנדאַנסי, טראָגט עס נאָך אַלץ ריזיקעס.
○פאָרשטעלונג באָטטלענעקאלע מזרח-מערב טראפיק (קאמוניקאציע צווישן סערווערס) מוז בייגיין דעם גייטוויי, וואס רעזולטירט אין א נישט-אפטימאלן וועג. למשל, אין א 1000-נאוד קלאסטער, אויב די גייטוויי באנדווידט איז 100Gbps, איז פארשטאפונג מסתמא בעת שפיץ שעה.
○שלעכטע סקאַלאַביליטיווי נעץ גרייס וואקסט, וואקסט גייטוויי לאסט עקספאנענציעל. אין א רעאל-וועלט ביישפיל, האב איך געזען א פינאנציעלן דאטן צענטער ניצן א צענטראליזירטן גייטוויי. אנפאנגס, איז עס געלאפן גלאט, אבער נאכדעם וואס די צאל פון ווירטועל מאשינען האט זיך פארדאפלט, איז די לעיטענסי ארויפגעשטיגן פון מיקראסעקונדעס צו מיליסעקונדעס.
אַפּליקאַציע סצענאַר: פּאַסיק פֿאַר סביבות וואָס דאַרפן הויך פאַרוואַלטונג פּשוטקייט, אַזאַ ווי ענטערפּרייז פּריוואַט וואָלקן אָדער טעסט נעטוואָרקס. סיסקאָ ס ACI אַרכיטעקטור ניצט אָפט אַ צענטראַליזירט מאָדעל, קאַמביינד מיט אַ בלאַט-רוקן טאָפּאָלאָגיע, צו ענשור עפעקטיוו אָפּעראַציע פון קאָר גייטווייז.
פאַרשפּרייט VXLAN גייטוויי
א פארטיילטער VXLAN גייטוויי, אויך באקאנט אלס א פארטיילטער גייטוויי אדער עניקאַסט גייטוויי, אָפלאָודז גייטוויי פונקציאָנאַליטעט צו יעדן ליף סוויטש אדער היפּערווייזער VTEP. יעדער VTEP אַקט ווי אַ לאָקאַל גייטוויי, האַנדלינג L3 פאָרווערדינג פֿאַר די לאָקאַל סאַבנעט.
דער פּרינציפּ איז מער פלעקסיבל: יעדער VTEP איז קאָנפיגורירט מיט דער זעלבער ווירטועל IP (VIP) ווי דער דיפאָלט גייטוויי, ניצנדיק דעם Anycast מעכאניזם. קראָס-סובנעט פּאַקעטן געשיקט דורך VMs ווערן גערוטעד גלייך אויף דעם לאָקאַלן VTEP, אָן צו דאַרפֿן גיין דורך אַ צענטראַלן פּונקט. EVPN איז באַזונדער נוצלעך דאָ: דורך BGP EVPN, לערנט זיך דער VTEP די רוטעס פון ווייטע האָסטס און ניצט MAC/IP ביינדינג צו ויסמיידן ARP פלאַדינג.
למשל, VM A (10.1.1.10) וויל צוקומען צו VM B (10.2.1.10). VM A'ס דיפאָלט גייטוויי איז דער VIP פון די לאקאלע VTEP (10.1.1.1). די לאקאלע VTEP רוטירט צום דעסטינאַציע סובנעט, פארכאפט דעם VXLAN פּאַקעט, און שיקט עס גלייך צו VM B'ס VTEP. דער פּראָצעס מינימיזירט דעם דרך און די לעיטענסי.
אויסגעצייכנטע מעלות:
○ הויכע סקאַלאַביליטיפאַרשפּרייטן גייטוויי פונקציאָנאַליטעט צו יעדן נאָדע פאַרגרעסערט די נעץ גרייס, וואָס איז נוצלעך פֿאַר גרעסערע נעטוואָרקס. גרויסע וואָלקן פּראַוויידערז ווי גוגל וואָלקן נוצן אַ ענלעכן מעכאַניזם צו שטיצן מיליאָנען ווירטואַל מאַשינען.
○העכערע פאָרשטעלונגמזרח-מערב טראַפיק ווערט פּראַסעסט לאָקאַל צו ויסמיידן פלאַשן. טעסט דאַטן ווייַזן אַז דורכפלוס קען פאַרגרעסערן מיט 30%-50% אין פאַרשפּרייטן מאָדע.
○שנעלע שולד-רעקאָוועריאיין איינציקע VTEP דורכפאַל אַפעקטירט נאָר דעם לאָקאַלן האָסט, לאָזנדיק אַנדערע נאָודז נישט אַפעקטירט. צוזאַמען מיט EVPN'ס שנעלער קאָנווערגענץ, איז די אָפּזוך צייט אין סעקונדעס.
○גוטע נוצן פון רעסורסןניצן דעם עקזיסטירנדיקן Leaf סוויטש ASIC טשיפּ פֿאַר האַרדווער אַקסעלעראַציע, מיט פאָרווערדינג ראַטעס וואָס דערגרייכן Tbps מדרגה.
וואָס זענען די חסרונות?
○ קאָמפּלעקסע קאָנפיגוראַציעיעדער VTEP פארלאנגט קאנפיגוראציע פון רוטינג, EVPN, און אנדערע אייגנשאפטן, מאכנדיג די ערשטע דיפּלוימאַנט צייט-פארברויכנד. די אפעראציעס מאַנשאַפֿט מוז זיין באַקאַנט מיט BGP און SDN.
○הויכע האַרדווער רעקווייערמענץפאַרשפּרייטע גייטוויי: נישט אַלע סוויטשעס שטיצן פאַרשפּרייטע גייטווייז; בראָדקאָם טרידענט אָדער טאָמאַהאָק טשיפּס זענען פארלאנגט. ווייכווארג ימפּלעמענטאַציעס (אַזאַ ווי OVS אויף KVM) אַרבעטן נישט אַזוי גוט ווי האַרדווער.
○קאָנסיסטענסי טשאַלאַנדזשיזפאַרשפּרייט מיינט אַז שטאַט סינקראָניזאַציע איז אָפענגיק אויף EVPN. אויב די BGP סעסיע פלוקטוירט, קען דאָס פאַראורזאַכן אַ ראַוטינג שוואַרצן לאָך.
אַפּליקאַציע סצענאַר: פּערפעקט פֿאַר היפּערסקאַלע דאַטן צענטערס אָדער עפֿנטלעכע וואָלקן. VMware NSX-T'ס פֿאַרטיילטער ראַוטער איז אַ טיפּיש בייַשפּיל. צוזאַמען מיט Kubernetes, שטיצט עס אָן פּראָבלעמען קאַנטיינער נעטוואָרקינג.
צענטראליזירטע VxLAN גייטוויי קעגן פארשפרייטע VxLAN גייטוויי
איצט צום קלימאקס: וועלכע איז בעסער? די ענטפער איז "עס ווענדט זיך", אבער מיר דארפן טיף גראבן אין די דאטן און פאל שטודיעס צו אייך איבערצייגן.
פֿון אַ פּערפאָרמאַנס פּערספּעקטיוו, פֿאַרטיילטע סיסטעמען שטעלן קלאָר אַרויס בעסער. אין אַ טיפּישן דאַטן צענטער בענטשמאַרק (באַזירט אויף ספּיירענט טעסט עקוויפּמענט), איז די דורכשניטלעכע לעיטענסי פֿון אַ צענטראַליזירטן גייטוויי געווען 150μs, בשעת יענע פֿון אַ פֿאַרטיילטן סיסטעם איז געווען בלויז 50μs. אין טערמינען פֿון דורכפֿלוס, קענען פֿאַרטיילטע סיסטעמען לייכט דערגרייכן ליין-רייט פֿאָרווערדינג ווייל זיי נוצן ספּיין-לעף גלייַכע קאָסט מולטי-פּאַט (ECMP) רוטינג.
סקאַלאַביליטי איז נאָך אַ שלאַכטפעלד. צענטראַליזירטע נעטוואָרקס זענען פּאַסיק פֿאַר נעטוואָרקס מיט 100-500 נאָודז; ווייטער פֿון דעם מאָסשטאַב, באַקומען פֿאַרשפּרייטע נעטוואָרקס די אויבערהאַנט. נעמט למשל אַליבאַבאַ קלאָוד. זייער VPC (ווירטועל פּריוואַט קלאָוד) ניצט פֿאַרשפּרייטע VXLAN גייטווייז צו שטיצן מיליאָנען באַניצער ווערלדווייד, מיט איין-ראַיאָן לעיטענסי אונטער 1ms. אַ צענטראַליזירטער צוגאַנג וואָלט שוין לאַנג צוריק צוזאַמענגעפֿאַלן.
וואָס וועגן קאָסטן? אַ צענטראַליזירטע לייזונג אָפפערט נידעריקערע ערשטע ינוועסטירונג, וואָס דאַרף בלויז אַ פּאָר הויך-ענד גייטווייז. אַ פאַרשפּרייטע לייזונג דאַרף אַלע בלאַט נאָודז צו שטיצן VXLAN אָפלאָוד, וואָס פירט צו העכערע האַרדווער אַפּגרעיד קאָסטן. אָבער, אין דער לאַנגער לויף, אַ פאַרשפּרייטע לייזונג אָפפערט נידעריקערע O&M קאָסטן, ווייַל אָטאָמאַציע מכשירים ווי Ansible דערמעגלעכן באַטש קאָנפיגוראַציע.
זיכערהייט און פאַרלעסלעכקייט: צענטראַליזירטע סיסטעמען ערמעגלעכן צענטראַליזירטע שוץ אָבער שטעלן אַ הויך ריזיקירן פון איין פונקטן פון אַטאַק. פאַרשפּרייטע סיסטעמען זענען מער ווידערשטאַנדספעיִק אָבער דאַרפן אַ ראָבוסט קאָנטראָל פלאַך צו פאַרמייַדן DDoS אַטאַקעס.
א רעאל-וועלט פאל שטודיע: אן אי-קאמערץ פירמע האט גענוצט צענטראליזירטע VXLAN צו בויען איר וועבזייטל. בעת שפיץ-פעריאדן, איז די גייטוויי CPU באנוץ געשטיגן צו 90%, וואס האט געפירט צו באנוצער קלאָגן וועגן לעיטענסי. איבערגיין צו א פארשפרייטן מאָדעל האט אויסגעלייזט דעם פראבלעם, דערלויבנדיג די פירמע לייכט צו פארדאפלען איר גרייס. פארקערט, א קליינע באנק האט אינסיסטירט אויף א צענטראליזירטן מאָדעל ווייל זיי האבן געגעבן פריאריטעט צו קאמפלייענס אוידיטס און געפונען צענטראליזירטע פארוואלטונג גרינגער.
בכלל, אויב איר זוכט עקסטרעמע נעץ פאָרשטעלונג און וואָג, איז אַ פאַרשפּרייטער צוגאַנג דער וועג צו גיין. אויב אייער בודזשעט איז באַגרענעצט און אייער פאַרוואַלטונג מאַנשאַפֿט פעלט דערפאַרונג, איז אַ צענטראַליזירטער צוגאַנג מער פּראַקטיש. אין דער צוקונפֿט, מיטן אויפשטייג פון 5G און עדזש קאָמפּיוטינג, וועלן פאַרשפּרייטע נעטוואָרקס ווערן מער פּאָפּולער, אָבער צענטראַליזירטע נעטוואָרקס וועלן נאָך זיין ווערטפול אין ספּעציפֿישע סצענאַרן, אַזאַ ווי צווייַג אָפיס ינטערקאַנעקשאַן.
מייַלינקינג™ נעטוואָרק פּאַקעט בראָקערסשטיצן VxLAN, VLAN, GRE, MPLS כעדער סטריפּינג
געשטיצט די VxLAN, VLAN, GRE, MPLS כעדער אויסגעשטרעקט אין די אָריגינעלע דאַטן פּאַקעט און פאָרווערדעד אַוטפּוט.
פּאָסט צייט: 9טן אָקטאָבער 2025
