برای بحث در مورد دروازههای VXLAN، ابتدا باید خود VXLAN را مورد بحث قرار دهیم. به یاد داشته باشید که VLAN های سنتی (شبکههای محلی مجازی) از شناسههای VLAN 12 بیتی برای تقسیم شبکهها استفاده میکنند و تا 4096 شبکه منطقی را پشتیبانی میکنند. این برای شبکههای کوچک خوب کار میکند، اما در مراکز داده مدرن، با هزاران ماشین مجازی، کانتینرها و محیطهای چند مستاجری، VLAN ها کافی نیستند. VXLAN متولد شد، که توسط کارگروه مهندسی اینترنت (IETF) در RFC 7348 تعریف شده است. هدف آن گسترش دامنه پخش لایه 2 (اترنت) بر روی شبکههای لایه 3 (IP) با استفاده از تونلهای UDP است.
به عبارت ساده، VXLAN فریمهای اترنت را درون بستههای UDP کپسوله میکند و یک شناسه شبکه VXLAN (VNI) 24 بیتی اضافه میکند که از لحاظ تئوری از 16 میلیون شبکه مجازی پشتیبانی میکند. این مانند دادن یک "کارت شناسایی" به هر شبکه مجازی است که به آنها اجازه میدهد آزادانه در شبکه فیزیکی بدون تداخل با یکدیگر حرکت کنند. جزء اصلی VXLAN، نقطه پایانی تونل VXLAN (VTEP) است که وظیفه کپسولهسازی و کپسولزدایی بستهها را بر عهده دارد. VTEP میتواند نرمافزاری (مانند Open vSwitch) یا سختافزاری (مانند تراشه ASIC روی سوئیچ) باشد.
چرا VXLAN اینقدر محبوب است؟ چون کاملاً با نیازهای محاسبات ابری و SDN (شبکهسازی تعریفشده توسط نرمافزار) همسو است. در ابرهای عمومی مانند AWS و Azure، VXLAN امکان گسترش یکپارچه شبکههای مجازی مستاجران را فراهم میکند. در مراکز داده خصوصی، از معماریهای شبکه پوششی مانند VMware NSX یا Cisco ACI پشتیبانی میکند. یک مرکز داده با هزاران سرور را تصور کنید که هر کدام دهها ماشین مجازی (VM) را اجرا میکنند. VXLAN به این ماشینهای مجازی اجازه میدهد تا خود را به عنوان بخشی از یک شبکه لایه ۲ یکسان درک کنند و انتقال روان پخشهای ARP و درخواستهای DHCP را تضمین میکند.
با این حال، VXLAN یک راه حل قطعی نیست. کار بر روی یک شبکه L3 نیاز به تبدیل L2 به L3 دارد، جایی که دروازه (gateway) وارد عمل میشود. دروازه VXLAN شبکه مجازی VXLAN را به شبکههای خارجی (مانند VLAN های سنتی یا شبکههای مسیریابی IP) متصل میکند و جریان دادهها را از دنیای مجازی به دنیای واقعی تضمین میکند. مکانیسم ارسال، قلب و روح دروازه است و نحوه پردازش، مسیریابی و توزیع بستهها را تعیین میکند.
فرآیند ارسال VXLAN مانند یک رقص باله ظریف است که هر مرحله از مبدا تا مقصد به طور تنگاتنگی به هم مرتبط است. بیایید آن را گام به گام بررسی کنیم.
ابتدا، یک بسته از میزبان مبدا (مانند یک ماشین مجازی) ارسال میشود. این یک فریم اترنت استاندارد است که شامل آدرس MAC مبدا، آدرس MAC مقصد، برچسب VLAN (در صورت وجود) و بار داده است. VTEP مبدا پس از دریافت این فریم، آدرس MAC مقصد را بررسی میکند. اگر آدرس MAC مقصد در جدول MAC آن باشد (که از طریق یادگیری یا سیل به دست آمده است)، میداند که بسته را به کدام VTEP راه دور ارسال کند.
فرآیند کپسولهسازی بسیار مهم است: VTEP یک هدر VXLAN (شامل VNI، پرچمها و غیره) اضافه میکند، سپس یک هدر UDP خارجی (با یک پورت منبع بر اساس هش فریم داخلی و یک پورت مقصد ثابت ۴۷۸۹)، یک هدر IP (با آدرس IP منبع VTEP محلی و آدرس IP مقصد VTEP راه دور) و در نهایت یک هدر اترنت خارجی. اکنون کل بسته به عنوان یک بسته UDP/IP ظاهر میشود، مانند ترافیک عادی به نظر میرسد و میتواند در شبکه L3 مسیریابی شود.
در شبکه فیزیکی، بسته توسط یک روتر یا سوئیچ ارسال میشود تا به VTEP مقصد برسد. VTEP مقصد، هدر بیرونی را حذف میکند، هدر VXLAN را بررسی میکند تا از تطابق VNI اطمینان حاصل کند و سپس فریم اترنت داخلی را به میزبان مقصد تحویل میدهد. اگر بسته، ترافیک unicast، broadcast یا multicast (BUM) ناشناخته باشد، VTEP بسته را با استفاده از flooding و با تکیه بر گروههای multicast یا تکثیر هدر unicast (HER) در تمام VTEP های مربوطه تکثیر میکند.
هسته اصلی اصل ارسال، جداسازی صفحه کنترل و صفحه داده است. صفحه کنترل از Ethernet VPN (EVPN) یا مکانیزم Flood and Learn برای یادگیری نگاشتهای MAC و IP استفاده میکند. EVPN مبتنی بر پروتکل BGP است و به VTEPها اجازه میدهد تا اطلاعات مسیریابی، مانند MAC-VRF (مسیریابی و ارسال مجازی) و IP-VRF را تبادل کنند. صفحه داده مسئول ارسال واقعی است و از تونلهای VXLAN برای انتقال کارآمد استفاده میکند.
با این حال، در پیادهسازیهای واقعی، کارایی ارسال مستقیماً بر عملکرد تأثیر میگذارد. سیل سنتی میتواند به راحتی باعث طوفانهای پخش شود، به خصوص در شبکههای بزرگ. این امر منجر به نیاز به بهینهسازی دروازه میشود: دروازهها نه تنها شبکههای داخلی و خارجی را به هم متصل میکنند، بلکه به عنوان عوامل پروکسی ARP نیز عمل میکنند، نشت مسیر را مدیریت میکنند و کوتاهترین مسیرهای ارسال را تضمین میکنند.
دروازه VXLAN متمرکز
یک دروازه VXLAN متمرکز، که دروازه متمرکز یا دروازه L3 نیز نامیده میشود، معمولاً در لایه لبه یا هسته یک مرکز داده مستقر میشود. این دروازه به عنوان یک هاب مرکزی عمل میکند که از طریق آن تمام ترافیک بین VNI یا بین زیرشبکهها باید عبور کند.
در اصل، یک دروازه متمرکز به عنوان دروازه پیشفرض عمل میکند و خدمات مسیریابی لایه ۳ را برای همه شبکههای VXLAN ارائه میدهد. دو VNI را در نظر بگیرید: VNI 10000 (زیرشبکه ۱۰.۱.۱.۰/۲۴) و VNI 20000 (زیرشبکه ۱۰.۲.۱.۰/۲۴). اگر ماشین مجازی A در VNI 10000 بخواهد به ماشین مجازی B در VNI 20000 دسترسی پیدا کند، بسته ابتدا به VTEP محلی میرسد. VTEP محلی تشخیص میدهد که آدرس IP مقصد در زیرشبکه محلی نیست و آن را به دروازه متمرکز ارسال میکند. دروازه بسته را رمزگشایی میکند، تصمیم مسیریابی میگیرد و سپس بسته را دوباره در یک تونل به VNI مقصد کپسوله میکند.
مزایا واضح است:
○ مدیریت سادهتمام پیکربندیهای مسیریابی روی یک یا دو دستگاه متمرکز شدهاند و به اپراتورها اجازه میدهند تنها چند دروازه را برای پوشش کل شبکه حفظ کنند. این رویکرد برای مراکز داده کوچک و متوسط یا محیطهایی که برای اولین بار VXLAN را مستقر میکنند، مناسب است.
○منابع کارآمددروازهها معمولاً سختافزارهایی با کارایی بالا (مانند Cisco Nexus 9000 یا Arista 7050) هستند که قادر به مدیریت حجم عظیمی از ترافیک میباشند. صفحه کنترل متمرکز است و ادغام با کنترلکنندههای SDN مانند NSX Manager را تسهیل میکند.
○کنترل امنیتی قویترافیک باید از طریق دروازه عبور کند و پیادهسازی ACLها (لیستهای کنترل دسترسی)، فایروالها و NAT را تسهیل کند. یک سناریوی چند مستاجری را تصور کنید که در آن یک دروازه متمرکز میتواند به راحتی ترافیک مستاجران را ایزوله کند.
اما کاستیها را نمیتوان نادیده گرفت:
○ نقطه شکست منفرداگر دروازه از کار بیفتد، ارتباط L3 در کل شبکه فلج میشود. اگرچه میتوان از VRRP (پروتکل افزونگی روتر مجازی) برای افزونگی استفاده کرد، اما همچنان خطراتی را به همراه دارد.
○تنگنای عملکردتمام ترافیک شرق به غرب (ارتباط بین سرورها) باید از دروازه عبور کند، که منجر به یک مسیر غیربهینه میشود. به عنوان مثال، در یک خوشه ۱۰۰۰ گرهای، اگر پهنای باند دروازه ۱۰۰ گیگابیت بر ثانیه باشد، احتمالاً در ساعات اوج ترافیک، ازدحام رخ میدهد.
○مقیاسپذیری ضعیفبا افزایش مقیاس شبکه، بار درگاه به صورت تصاعدی افزایش مییابد. در یک مثال واقعی، من یک مرکز داده مالی را دیدهام که از یک درگاه متمرکز استفاده میکند. در ابتدا، به راحتی اجرا میشد، اما پس از دو برابر شدن تعداد ماشینهای مجازی، تأخیر از میکروثانیه به میلیثانیه افزایش یافت.
سناریوی کاربردی: مناسب برای محیطهایی که نیاز به سادگی مدیریت بالا دارند، مانند ابرهای خصوصی سازمانی یا شبکههای آزمایشی. معماری ACI سیسکو اغلب از یک مدل متمرکز، همراه با توپولوژی leaf-spine، برای اطمینان از عملکرد کارآمد دروازههای اصلی استفاده میکند.
دروازه VXLAN توزیعشده
یک دروازه VXLAN توزیعشده، که با نامهای دروازه توزیعشده یا دروازه Anycast نیز شناخته میشود، عملکرد دروازه را به هر سوئیچ برگ یا VTEP هایپروایزر منتقل میکند. هر VTEP به عنوان یک دروازه محلی عمل میکند و ارسال L3 را برای زیرشبکه محلی مدیریت میکند.
این اصل انعطافپذیرتر است: هر VTEP با همان IP مجازی (VIP) به عنوان دروازه پیشفرض، با استفاده از مکانیسم Anycast پیکربندی میشود. بستههای زیرشبکهای که توسط ماشینهای مجازی ارسال میشوند، مستقیماً روی VTEP محلی مسیریابی میشوند، بدون اینکه مجبور باشند از یک نقطه مرکزی عبور کنند. EVPN به ویژه در اینجا مفید است: VTEP از طریق BGP EVPN، مسیرهای میزبانهای راه دور را یاد میگیرد و از اتصال MAC/IP برای جلوگیری از سیل ARP استفاده میکند.
برای مثال، ماشین مجازی A (10.1.1.10) میخواهد به ماشین مجازی B (10.2.1.10) دسترسی پیدا کند. دروازه پیشفرض ماشین مجازی A، دروازه VIP مربوط به VTEP محلی (10.1.1.1) است. VTEP محلی به زیرشبکه مقصد مسیریابی میکند، بسته VXLAN را کپسولهسازی میکند و آن را مستقیماً به VTEP ماشین مجازی B ارسال میکند. این فرآیند، مسیر و تأخیر را به حداقل میرساند.
مزایای برجسته:
○ مقیاسپذیری بالاتوزیع قابلیت دروازه به هر گره، اندازه شبکه را افزایش میدهد که برای شبکههای بزرگتر مفید است. ارائه دهندگان بزرگ ابر مانند Google Cloud از مکانیسم مشابهی برای پشتیبانی از میلیونها ماشین مجازی استفاده میکنند.
○عملکرد برترترافیک شرق به غرب به صورت محلی پردازش میشود تا از گلوگاهها جلوگیری شود. دادههای آزمایشی نشان میدهد که در حالت توزیعشده، توان عملیاتی میتواند 30 تا 50 درصد افزایش یابد.
○بازیابی سریع خطایک خطای VTEP تنها بر میزبان محلی تأثیر میگذارد و سایر گرهها بدون تأثیر باقی میمانند. با توجه به همگرایی سریع EVPN، زمان بازیابی در عرض چند ثانیه است.
○استفاده خوب از منابعاز تراشه ASIC سوئیچ Leaf موجود برای شتابدهی سختافزاری استفاده کنید، به طوری که نرخ ارسال به سطح Tbps برسد.
معایب چیست؟
○ پیکربندی پیچیدههر VTEP نیاز به پیکربندی مسیریابی، EVPN و سایر ویژگیها دارد که باعث میشود استقرار اولیه زمانبر باشد. تیم عملیاتی باید با BGP و SDN آشنا باشد.
○نیازهای سختافزاری بالادروازه توزیعشده: همه سوئیچها از دروازههای توزیعشده پشتیبانی نمیکنند؛ تراشههای Broadcom Trident یا Tomahawk مورد نیاز هستند. پیادهسازیهای نرمافزاری (مانند OVS روی KVM) به خوبی سختافزار عمل نمیکنند.
○چالشهای سازگاریتوزیعشده به این معنی است که همگامسازی وضعیت به EVPN متکی است. اگر نشست BGP نوسان داشته باشد، ممکن است باعث ایجاد یک مشکل مسیریابی شود.
سناریوی کاربرد: ایدهآل برای مراکز داده با مقیاس بسیار بزرگ یا ابرهای عمومی. روتر توزیعشدهی VMware NSX-T یک نمونهی بارز است. این روتر در ترکیب با Kubernetes، به طور یکپارچه از شبکهسازی کانتینر پشتیبانی میکند.
دروازه VxLAN متمرکز در مقابل دروازه VxLAN توزیعشده
حالا به اوج داستان میرسیم: کدام بهتر است؟ پاسخ این است که «بستگی دارد»، اما برای متقاعد کردن شما باید عمیقاً به دادهها و مطالعات موردی بپردازیم.
از دیدگاه عملکرد، سیستمهای توزیعشده به وضوح عملکرد بهتری دارند. در یک معیار معمول مرکز داده (بر اساس تجهیزات تست Spirent)، میانگین تأخیر یک دروازه متمرکز ۱۵۰ میکروثانیه بود، در حالی که این مقدار برای یک سیستم توزیعشده تنها ۵۰ میکروثانیه بود. از نظر توان عملیاتی، سیستمهای توزیعشده میتوانند به راحتی به ارسال با نرخ خط دست یابند زیرا از مسیریابی چندمسیره با هزینه برابر Spine-Leaf (ECMP) بهره میبرند.
مقیاسپذیری یکی دیگر از میدانهای نبرد است. شبکههای متمرکز برای شبکههایی با ۱۰۰ تا ۵۰۰ گره مناسب هستند؛ فراتر از این مقیاس، شبکههای توزیعشده دست بالا را دارند. برای مثال، Alibaba Cloud را در نظر بگیرید. VPC (Virtual Private Cloud) آنها از دروازههای VXLAN توزیعشده برای پشتیبانی از میلیونها کاربر در سراسر جهان استفاده میکند و تأخیر تکمنطقهای آن کمتر از ۱ میلیثانیه است. یک رویکرد متمرکز مدتها پیش از بین میرفت.
در مورد هزینه چطور؟ یک راهکار متمرکز، سرمایهگذاری اولیه کمتری ارائه میدهد و تنها به چند دروازه سطح بالا نیاز دارد. یک راهکار توزیعشده نیاز دارد که همه گرههای برگ از VXLAN Offload پشتیبانی کنند که منجر به هزینههای بالاتر ارتقاء سختافزار میشود. با این حال، در درازمدت، یک راهکار توزیعشده هزینههای O&M کمتری ارائه میدهد، زیرا ابزارهای اتوماسیون مانند Ansible پیکربندی دستهای را امکانپذیر میکنند.
امنیت و قابلیت اطمینان: سیستمهای متمرکز، حفاظت متمرکز را تسهیل میکنند، اما خطر بالایی از حملات تک نقطهای را ایجاد میکنند. سیستمهای توزیعشده مقاومتر هستند، اما برای جلوگیری از حملات DDoS به یک صفحه کنترل قوی نیاز دارند.
یک مطالعه موردی در دنیای واقعی: یک شرکت تجارت الکترونیک از VXLAN متمرکز برای ساخت سایت خود استفاده کرد. در دورههای اوج مصرف، استفاده از پردازنده مرکزی به ۹۰٪ افزایش یافت و منجر به شکایت کاربران در مورد تأخیر شد. تغییر به یک مدل توزیعشده این مشکل را حل کرد و به شرکت اجازه داد تا به راحتی مقیاس خود را دو برابر کند. برعکس، یک بانک کوچک بر مدل متمرکز اصرار داشت زیرا آنها ممیزیهای انطباق را در اولویت قرار داده و مدیریت متمرکز را آسانتر یافتند.
به طور کلی، اگر به دنبال عملکرد و مقیاسپذیری شبکهای فوقالعاده هستید، رویکرد توزیعشده راه مناسبی است. اگر بودجه شما محدود است و تیم مدیریت شما فاقد تجربه است، رویکرد متمرکز عملیتر است. در آینده، با ظهور 5G و محاسبات لبهای، شبکههای توزیعشده محبوبیت بیشتری پیدا خواهند کرد، اما شبکههای متمرکز همچنان در سناریوهای خاص، مانند اتصال دفاتر شعب، ارزشمند خواهند بود.
کارگزاران بسته شبکه Mylinking™پشتیبانی از VxLAN، VLAN، GRE، MPLS Header Stripping
از هدر VxLAN، VLAN، GRE، MPLS که در بسته داده اصلی حذف شده و خروجی ارسال شده است، پشتیبانی میکند.
زمان ارسال: اکتبر-09-2025
