Për të diskutuar portat VXLAN, së pari duhet të diskutojmë vetë VXLAN-in. Kujtojmë se VLAN-et tradicionale (Virtual Local Area Networks - Rrjetet Virtuale Lokale) përdorin ID VLAN 12-bitësh për të ndarë rrjetet, duke mbështetur deri në 4096 rrjete logjike. Kjo funksionon mirë për rrjetet e vogla, por në qendrat moderne të të dhënave, me mijëra makina virtuale, kontejnerë dhe mjedise me shumë qiramarrës, VLAN-et janë të pamjaftueshme. VXLAN lindi, i përcaktuar nga Task Forca e Inxhinierisë së Internetit (IETF) në RFC 7348. Qëllimi i tij është të zgjerojë domenin e transmetimit të Shtresës 2 (Ethernet) mbi rrjetet e Shtresës 3 (IP) duke përdorur tunele UDP.
Thënë thjesht, VXLAN kapsulon kornizat Ethernet brenda paketave UDP dhe shton një Identifikues Rrjeti VXLAN (VNI) 24-bitësh, duke mbështetur teorikisht 16 milionë rrjete virtuale. Kjo është si t'i japësh çdo rrjeti virtual një "kartë identiteti", duke i lejuar ata të lëvizin lirshëm në rrjetin fizik pa ndërhyrë me njëri-tjetrin. Komponenti kryesor i VXLAN është Pika e Fundit të Tunnelit VXLAN (VTEP), e cila është përgjegjëse për kapsulimin dhe dekapsulimin e paketave. VTEP mund të jetë softuer (siç është Open vSwitch) ose harduer (siç është çipi ASIC në switch).
Pse është VXLAN kaq popullor? Sepse përputhet në mënyrë të përkryer me nevojat e cloud computing dhe SDN (Software-Defined Networking). Në cloud-et publike si AWS dhe Azure, VXLAN mundëson zgjerimin pa probleme të rrjeteve virtuale të qiramarrësve. Në qendrat private të të dhënave, ai mbështet arkitekturat e rrjeteve të mbivendosura si VMware NSX ose Cisco ACI. Imagjinoni një qendër të dhënash me mijëra servera, secili prej të cilëve drejton dhjetëra VM (Virtual Machines). VXLAN u lejon këtyre VM-ve të perceptojnë veten si pjesë të të njëjtit rrjet të Shtresës 2, duke siguruar transmetim të qetë të transmetimeve ARP dhe kërkesave DHCP.
Megjithatë, VXLAN nuk është një zgjidhje për të gjitha problemet. Operimi në një rrjet L3 kërkon konvertimin nga L2 në L3, ku hyn në lojë porta hyrëse. Porta hyrëse VXLAN lidh rrjetin virtual VXLAN me rrjete të jashtme (siç janë VLAN-et tradicionale ose rrjetet e rrugëzimit IP), duke siguruar rrjedhën e të dhënave nga bota virtuale në botën reale. Mekanizmi i përcjelljes është zemra dhe shpirti i portës hyrëse, duke përcaktuar se si përpunohen, rrugëzohen dhe shpërndahen paketat.
Procesi i përcjelljes së VXLAN është si një balet delikat, ku çdo hap nga burimi në destinacion është i lidhur ngushtë. Le ta analizojmë hap pas hapi.
Së pari, një paketë dërgohet nga hosti burimor (siç është një VM). Ky është një kornizë standarde Ethernet që përmban adresën MAC të burimit, adresën MAC të destinacionit, etiketën VLAN (nëse ka) dhe ngarkesën. Me marrjen e kësaj kornize, VTEP i burimit kontrollon adresën MAC të destinacionit. Nëse adresa MAC e destinacionit është në tabelën e tij MAC (e marrë përmes të mësuarit ose përmbytjes), ai e di se te cili VTEP i largët duhet ta përcjellë paketën.
Procesi i enkapsulimit është thelbësor: VTEP shton një kokë VXLAN (duke përfshirë VNI-në, flagët etj.), pastaj një kokë UDP të jashtme (me një port burimor të bazuar në një hash të kornizës së brendshme dhe një port destinacioni fiks prej 4789), një kokë IP (me adresën IP burimore të VTEP-së lokale dhe adresën IP destinacion të VTEP-së së largët) dhe së fundmi një kokë Ethernet të jashtme. E gjithë paketa tani shfaqet si një paketë UDP/IP, duket si trafik normal dhe mund të drejtohet në rrjetin L3.
Në rrjetin fizik, paketa përcillet nga një router ose switch derisa të arrijë në VTEP të destinacionit. VTEP i destinacionit heq kokën e jashtme, kontrollon kokën VXLAN për t'u siguruar që VNI përputhet dhe më pas ia dorëzon kornizën e brendshme Ethernet hostit të destinacionit. Nëse paketa është trafik i panjohur unicast, broadcast ose multicast (BUM), VTEP e replikon paketën në të gjitha VTEP-të përkatëse duke përdorur përmbytje, duke u mbështetur në grupet multicast ose replikimin e kokës unicast (HER).
Thelbi i parimit të përcjelljes është ndarja e planit të kontrollit dhe planit të të dhënave. Plani i kontrollit përdor Ethernet VPN (EVPN) ose mekanizmin Flood and Learn për të mësuar hartëzimin MAC dhe IP. EVPN bazohet në protokollin BGP dhe lejon që VTEP-të të shkëmbejnë informacion të përcjelljes, siç janë MAC-VRF (Virtual Routing and Forwarding) dhe IP-VRF. Plani i të dhënave është përgjegjës për përcjelljen aktuale, duke përdorur tunele VXLAN për transmetim efikas.
Megjithatë, në vendosjet aktuale, efikasiteti i përcjelljes ndikon drejtpërdrejt në performancë. Përmbytjet tradicionale mund të shkaktojnë lehtësisht stuhi transmetimi, veçanërisht në rrjetet e mëdha. Kjo çon në nevojën për optimizimin e portave: portat jo vetëm që lidhin rrjetet e brendshme dhe të jashtme, por veprojnë edhe si agjentë ARP proxy, trajtojnë rrjedhjet e rrugëve dhe sigurojnë shtigjet më të shkurtra të përcjelljes.
Porta e centralizuar VXLAN
Një portë hyrëse VXLAN e centralizuar, e quajtur edhe portë hyrëse e centralizuar ose portë hyrëse L3, zakonisht vendoset në shtresën skajore ose qendrore të një qendre të dhënash. Ajo vepron si një qendër qendrore, përmes së cilës duhet të kalojë i gjithë trafiku ndër-VNI ose ndër-nën-rrjet.
Në parim, një portë hyrëse e centralizuar vepron si porta hyrëse e parazgjedhur, duke ofruar shërbime rrugëzimi të Shtresës 3 për të gjitha rrjetet VXLAN. Merrni në konsideratë dy VNI: VNI 10000 (nënrrjeti 10.1.1.0/24) dhe VNI 20000 (nënrrjeti 10.2.1.0/24). Nëse VM A në VNI 10000 dëshiron të hyjë në VM B në VNI 20000, paketa së pari arrin në VTEP-in lokal. VTEP lokal zbulon se adresa IP e destinacionit nuk është në nënrrjetin lokal dhe e përcjell atë në portën hyrëse të centralizuar. Porta hyrëse e dekapsulon paketën, merr një vendim rrugëzimi dhe më pas e rikapsulon paketën në një tunel drejt VNI-së së destinacionit.
Përparësitë janë të dukshme:
○ Menaxhim i thjeshtëTë gjitha konfigurimet e rrugëzimit janë të centralizuara në një ose dy pajisje, duke u lejuar operatorëve të mirëmbajnë vetëm disa porta hyrëse për të mbuluar të gjithë rrjetin. Kjo qasje është e përshtatshme për qendrat e të dhënave ose mjediset e vogla dhe të mesme që vendosin VXLAN për herë të parë.
○Efikasitet në burimePortat janë zakonisht pajisje me performancë të lartë (siç janë Cisco Nexus 9000 ose Arista 7050) të afta të përballojnë sasi të mëdha trafiku. Plani i kontrollit është i centralizuar, duke lehtësuar integrimin me kontrolluesit SDN si NSX Manager.
○Kontroll i fortë sigurieTrafiku duhet të kalojë nëpër portën hyrëse, duke lehtësuar zbatimin e ACL-ve (Listave të Kontrollit të Qasjes), firewall-eve dhe NAT-it. Imagjinoni një skenar me shumë qiramarrës ku një portë hyrëse e centralizuar mund ta izolojë lehtësisht trafikun e qiramarrësve.
Por mangësitë nuk mund të injorohen:
○ Pika e vetme e dështimitNëse porta hyrëse dështon, komunikimi L3 në të gjithë rrjetin paralizohet. Edhe pse VRRP (Protokolli i Redundancës së Routerit Virtual) mund të përdoret për redundancë, ai prapëseprapë mbart rreziqe.
○Gabim në performancëI gjithë trafiku lindje-perëndim (komunikimi midis serverave) duhet të anashkalojë portën hyrëse, duke rezultuar në një rrugë jo optimale. Për shembull, në një klaster me 1000 nyje, nëse gjerësia e brezit të portës hyrëse është 100 Gbps, ka të ngjarë të ndodhë mbingarkesë gjatë orëve të pikut.
○Shkallëzim i dobëtNdërsa shkalla e rrjetit rritet, ngarkesa e portës rritet në mënyrë eksponenciale. Në një shembull nga bota reale, kam parë një qendër të dhënash financiare që përdor një portë të centralizuar. Fillimisht, ajo funksionoi pa probleme, por pasi numri i VM-ve u dyfishua, vonesa u rrit ndjeshëm nga mikrosekonda në milisekonda.
Skenari i Aplikimit: I përshtatshëm për mjedise që kërkojnë thjeshtësi të lartë menaxhimi, siç janë retë private të ndërmarrjeve ose rrjetet e testimit. Arkitektura ACI e Cisco-s shpesh përdor një model të centralizuar, të kombinuar me një topologji gjethe-spine, për të siguruar funksionimin efikas të portave kryesore.
Porta e Shpërndarë VXLAN
Një portë hyrëse VXLAN e shpërndarë, e njohur edhe si një portë hyrëse e shpërndarë ose portë hyrëse anycast, ia shkarkon funksionalitetin e portës secilit ndërprerës fletësh ose hipervizor VTEP. Çdo VTEP vepron si një portë hyrëse lokale, duke trajtuar përcjelljen L3 për nënrrjetin lokal.
Parimi është më fleksibël: çdo VTEP është konfiguruar me të njëjtën IP virtuale (VIP) si porta hyrëse e parazgjedhur, duke përdorur mekanizmin Anycast. Paketat ndër-nën-rrjetore të dërguara nga VM-të drejtohen direkt në VTEP-në lokale, pa pasur nevojë të kalojnë nëpër një pikë qendrore. EVPN është veçanërisht i dobishëm këtu: përmes BGP EVPN, VTEP mëson rrugët e hosteve të largëta dhe përdor lidhjen MAC/IP për të shmangur përmbytjen e ARP-së.
Për shembull, VM A (10.1.1.10) dëshiron të hyjë në VM B (10.2.1.10). Porta hyrëse e parazgjedhur e VM A është VIP-i i VTEP-së lokale (10.1.1.1). VTEP-ja lokale drejtohet në nënrrjetin e destinacionit, enkapsulon paketën VXLAN dhe e dërgon atë direkt në VTEP-në e VM B. Ky proces minimizon rrugën dhe vonesën.
Avantazhe të jashtëzakonshme:
○ Shkallëzim i lartëShpërndarja e funksionalitetit të portës hyrëse në çdo nyje rrit madhësinë e rrjetit, gjë që është e dobishme për rrjetet më të mëdha. Ofruesit e mëdhenj të cloud-it si Google Cloud përdorin një mekanizëm të ngjashëm për të mbështetur miliona VM.
○Performancë superioreTrafiku lindje-perëndim përpunohet në nivel lokal për të shmangur bllokimet. Të dhënat e testimit tregojnë se rendimenti mund të rritet me 30%-50% në modalitetin e shpërndarë.
○Rimëkëmbje e shpejtë e defekteveNjë dështim i vetëm i VTEP ndikon vetëm në hostin lokal, duke i lënë nyjet e tjera të paprekura. I kombinuar me konvergjencën e shpejtë të EVPN, koha e rikuperimit është në sekonda.
○Përdorim i mirë i burimevePërdorni çipin ekzistues ASIC të Leaf switch për përshpejtimin e harduerit, me shpejtësi përçimi që arrijnë nivelin Tbps.
Cilat janë disavantazhet?
○ Konfigurim kompleksÇdo VTEP kërkon konfigurimin e rrugëzimit, EVPN dhe veçorive të tjera, duke e bërë vendosjen fillestare kohë-humbëse. Ekipi i operacioneve duhet të jetë i njohur me BGP dhe SDN.
○Kërkesa të larta për harduerPortë hyrëse e shpërndarë: Jo të gjithë switch-at mbështesin porta hyrëse të shpërndara; kërkohen çipa Broadcom Trident ose Tomahawk. Implementimet e softuerëve (si OVS në KVM) nuk funksionojnë aq mirë sa hardueri.
○Sfidat e KonsistencësI shpërndarë do të thotë që sinkronizimi i gjendjes mbështetet në EVPN. Nëse seanca BGP luhatet, kjo mund të shkaktojë një vrimë të zezë rrugëzimi.
Skenari i Aplikimit: Perfekt për qendrat e të dhënave hiperskalë ose retë publike. Routeri i shpërndarë i VMware NSX-T është një shembull tipik. I kombinuar me Kubernetes, ai mbështet pa probleme rrjetëzimin e kontejnerëve.
Porta e centralizuar VxLAN kundrejt Portës së shpërndarë VxLAN
Tani le të kalojmë te kulmi: cila është më e mirë? Përgjigja është "varet", por duhet të gërmojmë thellë në të dhëna dhe studime rastesh për t'ju bindur.
Nga perspektiva e performancës, sistemet e shpërndara kanë performancë më të mirë. Në një pikë referimi tipike të qendrës së të dhënave (bazuar në pajisjet e testimit Spirent), vonesa mesatare e një porte hyrëse të centralizuar ishte 150μs, ndërsa ajo e një sistemi të shpërndarë ishte vetëm 50μs. Për sa i përket rendimentit, sistemet e shpërndara mund të arrijnë lehtësisht përçimin me shpejtësi linje sepse ato shfrytëzojnë rrugëzimin Spine-Leaf Equal Cost Multi-Path (ECMP).
Shkallueshmëria është një tjetër fushë beteje. Rrjetet e centralizuara janë të përshtatshme për rrjetet me 100-500 nyje; përtej kësaj shkalle, rrjetet e shpërndara fitojnë epërsi. Merrni për shembull Alibaba Cloud. VPC (Virtual Private Cloud) i tyre përdor porta hyrëse VXLAN të shpërndara për të mbështetur miliona përdorues në të gjithë botën, me vonesë në një rajon të vetëm nën 1ms. Një qasje e centralizuar do të kishte dështuar shumë kohë më parë.
Po në lidhje me koston? Një zgjidhje e centralizuar ofron investim fillestar më të ulët, duke kërkuar vetëm disa porta hyrëse të nivelit të lartë. Një zgjidhje e shpërndarë kërkon që të gjitha nyjet gjethe të mbështesin shkarkimin e VXLAN, duke çuar në kosto më të larta të përmirësimit të harduerit. Megjithatë, në planin afatgjatë, një zgjidhje e shpërndarë ofron kosto më të ulëta të funksionimit dhe mirëmbajtjes, pasi mjetet e automatizimit si Ansible mundësojnë konfigurimin në grup.
Siguria dhe besueshmëria: Sistemet e centralizuara lehtësojnë mbrojtjen e centralizuar, por paraqesin një rrezik të lartë për pika të vetme sulmi. Sistemet e shpërndara janë më elastike, por kërkojnë një plan kontrolli të fuqishëm për të parandaluar sulmet DDoS.
Një studim rasti nga bota reale: Një kompani e tregtisë elektronike përdori VXLAN të centralizuar për të ndërtuar faqen e saj të internetit. Gjatë periudhave të pikut, përdorimi i CPU-së së portës u rrit në 90%, duke çuar në ankesat e përdoruesve për vonesën. Kalimi në një model të shpërndarë e zgjidhi problemin, duke i lejuar kompanisë të dyfishonte lehtësisht shkallën e saj. Anasjelltas, një bankë e vogël këmbënguli në një model të centralizuar sepse i dha përparësi auditimeve të përputhshmërisë dhe e gjeti menaxhimin e centralizuar më të lehtë.
Në përgjithësi, nëse kërkoni performancë dhe shkallë ekstreme të rrjetit, një qasje e shpërndarë është zgjidhja ideale. Nëse buxheti juaj është i kufizuar dhe ekipi juaj i menaxhimit nuk ka përvojë, një qasje e centralizuar është më praktike. Në të ardhmen, me rritjen e 5G dhe informatikës kufitare, rrjetet e shpërndara do të bëhen më të njohura, por rrjetet e centralizuara do të jenë ende të vlefshme në skenarë specifikë, siç është ndërlidhja e zyrave të degëve.
Ndërmjetësit e Paketave të Rrjetit Mylinking™mbështet heqjen e kokës VxLAN, VLAN, GRE, MPLS
Mbështeti kokën VxLAN, VLAN, GRE, MPLS të hequr në paketën origjinale të të dhënave dhe daljen e përcillur.
Koha e postimit: Tetor-09-2025
