Abychom mohli diskutovat o branách VXLAN, musíme si nejprve promluvit o samotné síti VXLAN. Připomeňme si, že tradiční sítě VLAN (virtuální lokální sítě) používají 12bitová ID VLAN k rozdělení sítí a podporují až 4096 logických sítí. To funguje dobře pro malé sítě, ale v moderních datových centrech s tisíci virtuálních počítačů, kontejnerů a prostředí s více klienty jsou sítě VLAN nedostatečné. Zrodila se síť VXLAN, definovaná organizací Internet Engineering Task Force (IETF) v dokumentu RFC 7348. Jejím účelem je rozšířit vysílací doménu vrstvy 2 (Ethernet) přes sítě vrstvy 3 (IP) pomocí tunelů UDP.
Jednoduše řečeno, VXLAN zapouzdřuje ethernetové rámce do UDP paketů a přidává 24bitový identifikátor sítě VXLAN (VNI), který teoreticky podporuje 16 milionů virtuálních sítí. Je to jako dát každé virtuální síti „identifikační kartu“, která jim umožňuje volný pohyb ve fyzické síti, aniž by se vzájemně rušily. Základní součástí VXLAN je koncový bod tunelu VXLAN (VTEP), který je zodpovědný za zapouzdřování a dekapsulování paketů. VTEP může být softwarový (například Open vSwitch) nebo hardwarový (například čip ASIC na přepínači).
Proč je VXLAN tak populární? Protože dokonale splňuje potřeby cloud computingu a SDN (softwarově definovaných sítí). Ve veřejných cloudech, jako jsou AWS a Azure, umožňuje VXLAN bezproblémové rozšiřování virtuálních sítí nájemníků. V privátních datových centrech podporuje překryvné síťové architektury, jako je VMware NSX nebo Cisco ACI. Představte si datové centrum s tisíci servery, z nichž každý provozuje desítky virtuálních strojů (VM). VXLAN umožňuje těmto virtuálním strojům vnímat se jako součást stejné sítě Layer 2, což zajišťuje plynulý přenos ARP broadcastů a DHCP požadavků.
VXLAN však není všelékem. Provoz v síti L3 vyžaduje konverzi z L2 na L3, a zde přichází na řadu brána. Brána VXLAN propojuje virtuální síť VXLAN s externími sítěmi (jako jsou tradiční VLAN nebo sítě pro směrování IP) a zajišťuje tak tok dat z virtuálního světa do reálného světa. Mechanismus přeposílání je srdcem a duší brány a určuje, jak jsou pakety zpracovávány, směrovány a distribuovány.
Proces přesměrování VXLAN je jako delikátní balet, kde je každý krok od zdroje k cíli úzce propojen. Pojďme si ho rozebrat krok za krokem.
Nejprve je ze zdrojového hostitele (například virtuálního počítače) odeslán paket. Jedná se o standardní ethernetový rámec obsahující zdrojovou MAC adresu, cílovou MAC adresu, tag VLAN (pokud existuje) a datovou část. Po přijetí tohoto rámce zdrojový VTEP zkontroluje cílovou MAC adresu. Pokud je cílová MAC adresa v jeho MAC tabulce (získané učením nebo zahlcením), ví, na který vzdálený VTEP má paket přeposlat.
Proces zapouzdření je klíčový: VTEP přidá hlavičku VXLAN (včetně VNI, příznaků atd.), poté vnější hlavičku UDP (se zdrojovým portem založeným na haši vnitřního rámce a pevným cílovým portem 4789), hlavičku IP (se zdrojovou IP adresou lokálního VTEP a cílovou IP adresou vzdáleného VTEP) a nakonec vnější ethernetovou hlavičku. Celý paket se nyní jeví jako paket UDP/IP, vypadá jako normální provoz a lze jej směrovat v síti L3.
Ve fyzické síti je paket přeposílán směrovačem nebo přepínačem, dokud nedosáhne cílového VTEP. Cílový VTEP odstraňuje vnější hlavičku, kontroluje hlavičku VXLAN, aby se ujistil, že se shoduje s VNI, a poté doručí vnitřní ethernetový rámec cílovému hostiteli. Pokud se jedná o neznámý provoz typu unicast, broadcast nebo multicast (BUM), VTEP replikuje paket na všechny relevantní VTEP pomocí zahlcení, přičemž se spoléhá na skupiny multicast nebo replikaci hlaviček unicast (HER).
Jádrem principu přesměrování je oddělení řídicí roviny a datové roviny. Řídicí rovina využívá Ethernet VPN (EVPN) nebo mechanismus Flood and Learn k učení mapování MAC a IP adres. EVPN je založeno na protokolu BGP a umožňuje VTEP vyměňovat si směrovací informace, jako je MAC-VRF (virtuální směrování a přesměrování) a IP-VRF. Datová rovina je zodpovědná za samotné přesměrování a pro efektivní přenos využívá tunely VXLAN.
V reálných nasazeních však efektivita přesměrování přímo ovlivňuje výkon. Tradiční zahlcení může snadno způsobit broadcastové bouře, zejména ve velkých sítích. To vede k potřebě optimalizace bran: brány nejen propojují interní a externí sítě, ale také fungují jako proxy ARP agenti, zpracovávají úniky tras a zajišťují nejkratší cesty přesměrování.
Centralizovaná brána VXLAN
Centralizovaná brána VXLAN, nazývaná také centralizovaná brána nebo brána L3, se obvykle nasazuje na okraji nebo na jádrové vrstvě datového centra. Funguje jako centrální uzel, přes který musí procházet veškerý provoz napříč VNI nebo napříč podsítěmi.
Centralizovaná brána v principu funguje jako výchozí brána a poskytuje směrovací služby vrstvy 3 pro všechny sítě VXLAN. Uvažujme dva virtuální ...
Výhody jsou zřejmé:
○ Jednoduchá správaVeškeré konfigurace směrování jsou centralizovány na jednom nebo dvou zařízeních, což umožňuje operátorům spravovat pouze několik bran pro pokrytí celé sítě. Tento přístup je vhodný pro malá a střední datová centra nebo prostředí, která VXLAN nasazují poprvé.
○Efektivní využití zdrojůBrány jsou obvykle vysoce výkonný hardware (například Cisco Nexus 9000 nebo Arista 7050) schopný zvládnout obrovské množství provozu. Řídicí rovina je centralizovaná, což usnadňuje integraci s SDN kontroléry, jako je NSX Manager.
○Silná bezpečnostní kontrolaProvoz musí procházet bránou, což usnadňuje implementaci ACL (Access Control Lists), firewallů a NAT. Představte si scénář s více klienty, kde centralizovaná brána může snadno izolovat provoz klientů.
Ale nelze ignorovat nedostatky:
○ Jediný bod selháníPokud brána selže, je L3 komunikace v celé síti paralyzována. Přestože lze pro redundanci použít VRRP (Virtual Router Redundancy Protocol), stále to s sebou nese rizika.
○Úzké místo výkonuVeškerý provoz mezi východem a západem (komunikace mezi servery) musí bránu obcházet, což vede k neoptimální cestě. Například v clusteru s 1000 uzly, pokud je šířka pásma brány 100 Gb/s, je pravděpodobné, že během špičky dojde k přetížení.
○Špatná škálovatelnostS rostoucí velikostí sítě se zatížení brány exponenciálně zvyšuje. V reálném příkladu jsem viděl finanční datové centrum používající centralizovanou bránu. Zpočátku běžela hladce, ale po zdvojnásobení počtu virtuálních strojů se latence prudce zvýšila z mikrosekund na milisekundy.
Aplikační scénář: Vhodné pro prostředí vyžadující vysokou jednoduchost správy, jako jsou podnikové privátní cloudy nebo testovací sítě. Architektura ACI od společnosti Cisco často využívá centralizovaný model v kombinaci s topologií leaf-spine, aby byl zajištěn efektivní provoz hlavních bran.
Distribuovaná brána VXLAN
Distribuovaná brána VXLAN, známá také jako distribuovaná brána nebo brána anycast, přenáší funkčnost brány na každý koncový přepínač nebo hypervizor VTEP. Každý VTEP funguje jako lokální brána a zpracovává L3 forwarding pro lokální podsíť.
Princip je flexibilnější: každý VTEP je konfigurován se stejnou virtuální IP adresou (VIP) jako výchozí brána, a to pomocí mechanismu Anycast. Pakety napříč podsítí odesílané virtuálními počítači jsou směrovány přímo na lokální VTEP, aniž by musely procházet centrálním bodem. EVPN je zde obzvláště užitečná: prostřednictvím BGP se VTEP učí trasy vzdálených hostitelů a používá vazbu MAC/IP, aby se zabránilo zahlcení ARP.
Například virtuální počítač A (10.1.1.10) chce přistupovat k virtuálnímu počítači B (10.2.1.10). Výchozí bránou virtuálního počítače A je VIP lokálního VTEP (10.1.1.1). Lokální VTEP směruje do cílové podsítě, zapouzdřuje paket VXLAN a odesílá jej přímo do VTEP virtuálního počítače B. Tento proces minimalizuje cestu a latenci.
Vynikající výhody:
○ Vysoká škálovatelnostDistribuce funkcí brány do každého uzlu zvětšuje velikost sítě, což je výhodné pro větší sítě. Velcí poskytovatelé cloudových služeb, jako je Google Cloud, používají podobný mechanismus k podpoře milionů virtuálních počítačů.
○Vynikající výkonProvoz mezi východem a západem je zpracováván lokálně, aby se předešlo úzkým hrdlům. Testovací data ukazují, že propustnost se v distribuovaném režimu může zvýšit o 30–50 %.
○Rychlé zotavení z poruchyJediné selhání VTEP ovlivní pouze lokálního hostitele a ostatní uzly zůstanou nedotčeny. V kombinaci s rychlou konvergencí EVPN je doba obnovy v řádu sekund.
○Dobré využití zdrojůVyužijte stávající ASIC čip přepínače Leaf pro hardwarovou akceleraci s rychlostmi přesměrování dosahujícími úrovně Tbps.
Jaké jsou nevýhody?
○ Složitá konfiguraceKaždý VTEP vyžaduje konfiguraci směrování, EVPN a dalších funkcí, což činí počáteční nasazení časově náročným. Provozní tým musí být obeznámen s BGP a SDN.
○Vysoké hardwarové požadavkyDistribuovaná brána: Ne všechny přepínače podporují distribuované brány; jsou vyžadovány čipy Broadcom Trident nebo Tomahawk. Softwarové implementace (například OVS na KVM) nefungují tak dobře jako hardware.
○Problémy s konzistencíDistribuované znamená, že synchronizace stavů se spoléhá na EVPN. Pokud relace BGP kolísá, může to způsobit černou díru ve směrování.
Scénář použití: Ideální pro hyperscale datová centra nebo veřejné cloudy. Distribuovaný router VMware NSX-T je typickým příkladem. V kombinaci s Kubernetes bezproblémově podporuje kontejnerové sítě.
Centralizovaná brána VxLAN vs. distribuovaná brána VxLAN
A teď k závěru: co je lepší? Odpověď zní „záleží na tom“, ale abychom vás přesvědčili, musíme se hlouběji ponořit do dat a případových studií.
Z hlediska výkonu distribuované systémy jasně překonávají očekávání. V typickém benchmarku datového centra (na základě testovacího zařízení Spirent) byla průměrná latence centralizované brány 150 μs, zatímco u distribuovaného systému pouze 50 μs. Z hlediska propustnosti mohou distribuované systémy snadno dosáhnout přesměrování na úrovni linkové rychlosti, protože využívají směrování Spine-Leaf Equal Cost Multi-Path (ECMP).
Škálovatelnost je dalším bojištěm. Centralizované sítě jsou vhodné pro sítě se 100–500 uzly; nad tímto rozsahem získávají navrch distribuované sítě. Vezměte si například Alibaba Cloud. Jejich VPC (virtuální privátní cloud) využívá distribuované brány VXLAN k podpoře milionů uživatelů po celém světě s latencí v jedné oblasti pod 1 ms. Centralizovaný přístup by se už dávno zhroutil.
A co náklady? Centralizované řešení nabízí nižší počáteční investici a vyžaduje pouze několik špičkových bran. Distribuované řešení vyžaduje, aby všechny koncové uzly podporovaly odlehčení VXLAN, což vede k vyšším nákladům na upgrade hardwaru. Z dlouhodobého hlediska však distribuované řešení nabízí nižší náklady na provoz a údržbu, protože automatizační nástroje, jako je Ansible, umožňují dávkovou konfiguraci.
Bezpečnost a spolehlivost: Centralizované systémy usnadňují centralizovanou ochranu, ale představují vysoké riziko útoku z jednoho bodu. Distribuované systémy jsou odolnější, ale vyžadují robustní řídicí rovinu, aby se zabránilo útokům DDoS.
Případová studie z reálného světa: Společnost elektronického obchodování použila k vytvoření svých webových stránek centralizovanou síť VXLAN. Během špičky se využití CPU brány vyšplhalo až na 90 %, což vedlo ke stížnostem uživatelů na latenci. Přechod na distribuovaný model problém vyřešil a umožnil společnosti snadno zdvojnásobit rozsah. Naopak malá banka trvala na centralizovaném modelu, protože upřednostňovala audity shody s předpisy a shledala centralizovanou správu snazší.
Obecně platí, že pokud hledáte extrémní výkon a škálovatelnost sítě, je distribuovaný přístup tou správnou cestou. Pokud je váš rozpočet omezený a váš manažerský tým nemá zkušenosti, je praktičtější centralizovaný přístup. V budoucnu, s nástupem 5G a edge computingu, se distribuované sítě stanou populárnějšími, ale centralizované sítě budou stále cenné ve specifických scénářích, jako je propojení poboček.
Zprostředkovatelé síťových paketů Mylinking™podpora odstraňování záhlaví VxLAN, VLAN, GRE, MPLS
Podporovala hlavičky VxLAN, VLAN, GRE a MPLS, které byly v původním datovém paketu odstraněny a výstup byl přeposlán.
Čas zveřejnění: 9. října 2025
