Per parlar de les passarelles VXLAN, primer hem de parlar de la VXLAN en si. Recordem que les VLAN (xarxes d'àrea local virtual) tradicionals utilitzen identificadors VLAN de 12 bits per dividir les xarxes, i admeten fins a 4096 xarxes lògiques. Això funciona bé per a xarxes petites, però en centres de dades moderns, amb els seus milers de màquines virtuals, contenidors i entorns multi-tenant, les VLAN són insuficients. VXLAN va néixer, definit per l'Internet Engineering Task Force (IETF) a la RFC 7348. El seu propòsit és estendre el domini de difusió de la capa 2 (Ethernet) sobre xarxes de capa 3 (IP) mitjançant túnels UDP.
En poques paraules, VXLAN encapsula les trames Ethernet dins dels paquets UDP i afegeix un identificador de xarxa VXLAN (VNI) de 24 bits, que teòricament admet 16 milions de xarxes virtuals. Això és com donar a cada xarxa virtual una "targeta d'identitat", que els permet moure's lliurement per la xarxa física sense interferir entre si. El component principal de VXLAN és el punt final del túnel VXLAN (VTEP), que és responsable d'encapsular i decapsular paquets. El VTEP pot ser de programari (com ara Open vSwitch) o de maquinari (com ara el xip ASIC del commutador).
Per què és tan popular VXLAN? Perquè s'alinea perfectament amb les necessitats de la computació en núvol i les SDN (xarxes definides per programari). En núvols públics com AWS i Azure, VXLAN permet una extensió perfecta de les xarxes virtuals dels inquilins. En centres de dades privats, admet arquitectures de xarxa superposades com VMware NSX o Cisco ACI. Imagineu-vos un centre de dades amb milers de servidors, cadascun dels quals executa desenes de màquines virtuals (VM). VXLAN permet que aquestes màquines virtuals es percebin com a part de la mateixa xarxa de capa 2, garantint una transmissió fluida de les emissions ARP i les sol·licituds DHCP.
Tanmateix, VXLAN no és una panacea. Operar en una xarxa L3 requereix una conversió L2-L3, que és on entra en joc la passarel·la. La passarel·la VXLAN connecta la xarxa virtual VXLAN amb xarxes externes (com ara VLAN tradicionals o xarxes d'encaminament IP), garantint que les dades flueixin del món virtual al món real. El mecanisme de reenviament és el cor i l'ànima de la passarel·la, i determina com es processen, s'encaminen i es distribueixen els paquets.
El procés de reenviament de VXLAN és com un ballet delicat, on cada pas, des de l'origen fins a la destinació, està estretament vinculat. Analitzem-lo pas a pas.
Primer, s'envia un paquet des de l'amfitrió d'origen (com ara una màquina virtual). Es tracta d'una trama Ethernet estàndard que conté l'adreça MAC d'origen, l'adreça MAC de destinació, l'etiqueta VLAN (si n'hi ha) i la càrrega útil. En rebre aquesta trama, el VTEP d'origen comprova l'adreça MAC de destinació. Si l'adreça MAC de destinació es troba a la seva taula MAC (obtinguda mitjançant aprenentatge o inundació), sap a quin VTEP remot ha de reenviar el paquet.
El procés d'encapsulació és crucial: el VTEP afegeix una capçalera VXLAN (inclosa la VNI, els indicadors, etc.), després una capçalera UDP externa (amb un port d'origen basat en un hash de la trama interna i un port de destinació fix de 4789), una capçalera IP (amb l'adreça IP d'origen del VTEP local i l'adreça IP de destinació del VTEP remot) i, finalment, una capçalera Ethernet externa. Tot el paquet ara apareix com un paquet UDP/IP, sembla trànsit normal i es pot encaminar a la xarxa L3.
A la xarxa física, el paquet és reenviat per un encaminador o commutador fins que arriba al VTEP de destinació. El VTEP de destinació elimina la capçalera externa, comprova la capçalera VXLAN per assegurar-se que el VNI coincideix i, a continuació, lliura la trama Ethernet interna a l'amfitrió de destinació. Si el paquet és trànsit unicast, broadcast o multicast (BUM) desconegut, el VTEP replica el paquet a tots els VTEP rellevants mitjançant inundacions, basant-se en grups multicast o replicació de capçalera unicast (HER).
El nucli del principi de reenviament és la separació del pla de control i el pla de dades. El pla de control utilitza una VPN Ethernet (EVPN) o el mecanisme Flood and Learn per aprendre les assignacions MAC i IP. L'EVPN es basa en el protocol BGP i permet als VTEP intercanviar informació d'encaminament, com ara MAC-VRF (Virtual Routing and Forwarding) i IP-VRF. El pla de dades és responsable del reenviament real, utilitzant túnels VXLAN per a una transmissió eficient.
Tanmateix, en desplegaments reals, l'eficiència del reenviament afecta directament el rendiment. Les inundacions tradicionals poden causar fàcilment tempestes de difusió, especialment en xarxes grans. Això porta a la necessitat d'optimitzar les passarel·les: les passarel·les no només connecten xarxes internes i externes, sinó que també actuen com a agents ARP proxy, gestionen les fuites de ruta i garanteixen els camins de reenviament més curts.
Porta d'enllaç VXLAN centralitzada
Una passarel·la VXLAN centralitzada, també anomenada passarel·la centralitzada o passarel·la L3, normalment es desplega a la capa perimetral o central d'un centre de dades. Actua com a centre de distribució, a través del qual ha de passar tot el trànsit entre VNI o entre subxarxes.
En principi, una passarel·la centralitzada actua com a passarel·la per defecte, proporcionant serveis d'encaminament de capa 3 per a totes les xarxes VXLAN. Considereu dos VNI: VNI 10000 (subxarxa 10.1.1.0/24) i VNI 20000 (subxarxa 10.2.1.0/24). Si la màquina virtual A del VNI 10000 vol accedir a la màquina virtual B del VNI 20000, el paquet primer arriba al VTEP local. El VTEP local detecta que l'adreça IP de destinació no es troba a la subxarxa local i la reenvia a la passarel·la centralitzada. La passarel·la decapsula el paquet, pren una decisió d'encaminament i després el reencapsula en un túnel fins al VNI de destinació.
Els avantatges són evidents:
○ Gestió senzillaTotes les configuracions d'encaminament estan centralitzades en un o dos dispositius, cosa que permet als operadors mantenir només unes poques passarel·les per cobrir tota la xarxa. Aquest enfocament és adequat per a centres de dades o entorns petits i mitjans que implementen VXLAN per primera vegada.
○Eficient en recursosLes passarel·les solen ser maquinari d'alt rendiment (com ara el Cisco Nexus 9000 o l'Arista 7050) capaç de gestionar grans quantitats de trànsit. El pla de control està centralitzat, cosa que facilita la integració amb controladors SDN com ara NSX Manager.
○fort control de seguretatEl trànsit ha de passar per la passarel·la, cosa que facilita la implementació d'ACL (llistes de control d'accés), tallafocs i NAT. Imagineu-vos un escenari multi-tenant on una passarel·la centralitzada pot aïllar fàcilment el trànsit dels inquilins.
Però no es poden ignorar les deficiències:
○ Punt únic de falladaSi la passarel·la falla, la comunicació L3 a tota la xarxa es paralitza. Tot i que el VRRP (Virtual Router Redundancy Protocol) es pot utilitzar per a la redundància, encara comporta riscos.
○Coll d'ampolla de rendimentTot el trànsit est-oest (comunicació entre servidors) ha d'evitar la passarel·la, cosa que resulta en una ruta subòptima. Per exemple, en un clúster de 1000 nodes, si l'amplada de banda de la passarel·la és de 100 Gbps, és probable que es produeixi congestió durant les hores punta.
○Escalabilitat deficientA mesura que l'escala de la xarxa creix, la càrrega de la passarel·la augmenta exponencialment. En un exemple del món real, he vist un centre de dades financer que utilitza una passarel·la centralitzada. Inicialment, funcionava sense problemes, però després que el nombre de màquines virtuals es doblés, la latència es va disparar de microsegons a mil·lisegons.
Escenari d'aplicació: Apte per a entorns que requereixen una alta simplicitat de gestió, com ara núvols privats empresarials o xarxes de prova. L'arquitectura ACI de Cisco sovint utilitza un model centralitzat, combinat amb una topologia de tipus full-spine, per garantir un funcionament eficient de les passarel·les principals.
Passarel·la VXLAN distribuïda
Una passarel·la VXLAN distribuïda, també coneguda com a passarel·la distribuïda o passarel·la anycast, descarrega la funcionalitat de la passarel·la a cada commutador full o hipervisor VTEP. Cada VTEP actua com a passarel·la local, gestionant el reenviament L3 per a la subxarxa local.
El principi és més flexible: cada VTEP es configura amb la mateixa IP virtual (VIP) que la passarel·la per defecte, utilitzant el mecanisme Anycast. Els paquets entre subxarxes enviats per les màquines virtuals s'encaminen directament al VTEP local, sense haver de passar per un punt central. L'EVPN és particularment útil aquí: mitjançant BGP EVPN, el VTEP aprèn les rutes dels hosts remots i utilitza l'enllaç MAC/IP per evitar les inundacions ARP.
Per exemple, la màquina virtual A (10.1.1.10) vol accedir a la màquina virtual B (10.2.1.10). La porta d'enllaç predeterminada de la màquina virtual A és la VIP del VTEP local (10.1.1.1). El VTEP local encamina a la subxarxa de destinació, encapsula el paquet VXLAN i l'envia directament al VTEP de la màquina virtual B. Aquest procés minimitza la ruta i la latència.
Avantatges destacats:
○ Alta escalabilitatDistribuir la funcionalitat de la passarel·la a cada node augmenta la mida de la xarxa, cosa que és beneficiosa per a xarxes més grans. Els grans proveïdors de núvol com Google Cloud utilitzen un mecanisme similar per donar suport a milions de màquines virtuals.
○Rendiment superiorEl trànsit est-oest es processa localment per evitar colls d'ampolla. Les dades de prova mostren que el rendiment pot augmentar entre un 30% i un 50% en mode distribuït.
○Recuperació ràpida d'errorsUn únic error de VTEP afecta només l'amfitrió local, deixant els altres nodes intactes. Combinat amb la ràpida convergència d'EVPN, el temps de recuperació és de segons.
○Bon ús dels recursosUtilitzeu el xip ASIC del commutador Leaf existent per a l'acceleració del maquinari, amb taxes de reenviament que arriben al nivell de Tbps.
Quins són els desavantatges?
○ Configuració complexaCada VTEP requereix la configuració de l'encaminament, l'EVPN i altres funcions, cosa que fa que el desplegament inicial requereixi molt de temps. L'equip d'operacions ha d'estar familiaritzat amb BGP i SDN.
○Requisits de maquinari elevatsPorta d'enllaç distribuïda: No tots els commutadors admeten passarel·les distribuïdes; calen xips Broadcom Trident o Tomahawk. Les implementacions de programari (com ara OVS en KVM) no funcionen tan bé com el maquinari.
○Reptes de coherènciaDistribuït significa que la sincronització d'estat depèn d'EVPN. Si la sessió BGP fluctua, pot causar un forat negre d'encaminament.
Escenari d'aplicació: Perfecte per a centres de dades hiperescalables o núvols públics. L'encaminador distribuït de VMware NSX-T n'és un exemple típic. Combinat amb Kubernetes, admet perfectament la creació de xarxes de contenidors.
Passarel·la VxLAN centralitzada vs. Passarel·la VxLAN distribuïda
Ara, anem al clímax: què és millor? La resposta és "depèn", però hem d'aprofundir en les dades i els casos pràctics per convèncer-vos.
Des del punt de vista del rendiment, els sistemes distribuïts tenen un rendiment clarament superior. En un punt de referència típic d'un centre de dades (basat en equips de prova Spirent), la latència mitjana d'una passarel·la centralitzada era de 150 μs, mentre que la d'un sistema distribuït era només de 50 μs. Pel que fa al rendiment, els sistemes distribuïts poden aconseguir fàcilment el reenviament de velocitat de línia perquè aprofiten l'encaminament Spine-Leaf Equal Cost Multi-Path (ECMP).
L'escalabilitat és un altre camp de batalla. Les xarxes centralitzades són adequades per a xarxes amb 100-500 nodes; més enllà d'aquesta escala, les xarxes distribuïdes guanyen avantatge. Prenguem Alibaba Cloud, per exemple. El seu VPC (núvol privat virtual) utilitza passarel·les VXLAN distribuïdes per donar suport a milions d'usuaris a tot el món, amb una latència de regió única inferior a 1 ms. Un enfocament centralitzat hauria col·lapsat fa molt de temps.
I què passa amb el cost? Una solució centralitzada ofereix una inversió inicial més baixa, ja que només requereix unes poques passarel·les d'alta gamma. Una solució distribuïda requereix que tots els nodes full admetin la descàrrega de VXLAN, cosa que comporta costos d'actualització de maquinari més elevats. Tanmateix, a la llarga, una solució distribuïda ofereix costos d'O&M més baixos, ja que les eines d'automatització com Ansible permeten la configuració per lots.
Seguretat i fiabilitat: els sistemes centralitzats faciliten la protecció centralitzada, però presenten un alt risc de punts d'atac únics. Els sistemes distribuïts són més resistents, però requereixen un pla de control robust per evitar atacs DDoS.
Un cas pràctic del món real: una empresa de comerç electrònic va utilitzar una VXLAN centralitzada per construir el seu lloc web. Durant els períodes punta, l'ús de la CPU de la passarel·la es va disparar fins al 90%, cosa que va provocar queixes dels usuaris sobre la latència. El canvi a un model distribuït va resoldre el problema, permetent a l'empresa duplicar fàcilment la seva escala. Per contra, un petit banc va insistir en un model centralitzat perquè prioritzaven les auditories de compliment i trobaven més fàcil la gestió centralitzada.
En general, si busqueu un rendiment i una escalabilitat de xarxa extrems, un enfocament distribuït és el camí a seguir. Si el vostre pressupost és limitat i el vostre equip de gestió no té experiència, un enfocament centralitzat és més pràctic. En el futur, amb l'auge del 5G i la computació perimetral, les xarxes distribuïdes esdevindran més populars, però les xarxes centralitzades continuaran sent valuoses en escenaris específics, com ara la interconnexió de sucursals.
Mylinking™ Intermediaris de paquets de xarxasuport per a la decaptació de capçaleres VxLAN, VLAN, GRE i MPLS
S'ha admès la capçalera VxLAN, VLAN, GRE i MPLS eliminada del paquet de dades original i la sortida reenviada.
Data de publicació: 09 d'octubre de 2025
