Jotta voimme keskustella VXLAN-yhdyskäytävistä, meidän on ensin käsiteltävä itse VXLANia. Muista, että perinteiset VLANit (Virtual Local Area Networks) käyttävät 12-bittisiä VLAN-tunnuksia verkkojen jakamiseen ja tukevat jopa 4096 loogista verkkoa. Tämä toimii hyvin pienissä verkoissa, mutta nykyaikaisissa datakeskuksissa, joissa on tuhansia virtuaalikoneita, kontteja ja usean vuokralaisen ympäristöjä, VLANit eivät riitä. VXLAN syntyi Internet Engineering Task Forcen (IETF) määrittelemänä RFC 7348:ssa. Sen tarkoituksena on laajentaa Layer 2 (Ethernet) -lähetysaluetta Layer 3 (IP) -verkkojen yli UDP-tunneleiden avulla.
Yksinkertaisesti sanottuna VXLAN kapseloi Ethernet-kehykset UDP-paketteihin ja lisää 24-bittisen VXLAN-verkkotunnuksen (VNI), mikä teoriassa tukee 16 miljoonaa virtuaaliverkkoa. Tämä on kuin jokaiselle virtuaaliverkolle annettaisiin "henkilöllisyyskortti", jonka avulla ne voivat liikkua vapaasti fyysisessä verkossa häiritsemättä toisiaan. VXLANin ydinosa on VXLAN Tunnel End Point (VTEP), joka vastaa pakettien kapseloinnista ja purkamisesta. VTEP voi olla ohjelmisto (kuten Open vSwitch) tai laitteisto (kuten kytkimen ASIC-siru).
Miksi VXLAN on niin suosittu? Koska se sopii täydellisesti pilvipalveluiden ja SDN:n (ohjelmistopohjainen verkko) tarpeisiin. Julkisissa pilvipalveluissa, kuten AWS ja Azure, VXLAN mahdollistaa vuokralaisten virtuaaliverkkojen saumattoman laajentamisen. Yksityisissä datakeskuksissa se tukee päällekkäisiä verkkoarkkitehtuureja, kuten VMware NSX tai Cisco ACI. Kuvittele datakeskus, jossa on tuhansia palvelimia, joista jokaisessa on kymmeniä virtuaalikoneita (VM). VXLANin avulla nämä virtuaalikoneet voivat nähdä itsensä osana samaa Layer 2 -verkkoa, mikä varmistaa ARP-lähetysten ja DHCP-pyyntöjen sujuvan siirron.
VXLAN ei kuitenkaan ole ihmelääke. L3-verkossa toimiminen vaatii L2-L3-muunnosta, ja tässä yhdyskäytävä astuu kuvaan. VXLAN-yhdyskäytävä yhdistää VXLAN-virtuaaliverkon ulkoisiin verkkoihin (kuten perinteisiin VLAN-verkkoihin tai IP-reititysverkkoihin) varmistaen tiedonkulun virtuaalimaailmasta todelliseen maailmaan. Välitysmekanismi on yhdyskäytävän ydin ja se määrittää, miten paketteja käsitellään, reititetään ja jaellaan.
VXLAN-edelleenlähetysprosessi on kuin herkkä baletti, jossa jokainen vaihe lähteestä määränpäähän on tiiviisti yhteydessä toisiinsa. Puretaanpa se askel askeleelta.
Ensin lähdeisännältä (kuten virtuaalikoneelta) lähetetään paketti. Tämä on standardi Ethernet-kehys, joka sisältää lähteen MAC-osoitteen, kohteen MAC-osoitteen, VLAN-tunnisteen (jos sellainen on) ja hyötykuorman. Vastaanotettuaan tämän kehyksen lähde-VTEP tarkistaa kohteen MAC-osoitteen. Jos kohteen MAC-osoite on sen MAC-taulukossa (saatu oppimisen tai tulvauksen kautta), se tietää, mille etä-VTEP:lle paketti välitetään.
Kapselointiprosessi on ratkaisevan tärkeä: VTEP lisää VXLAN-otsakkeen (mukaan lukien VNI, liput ja niin edelleen), sitten ulkoisen UDP-otsakkeen (jonka lähdeportti perustuu sisemmän kehyksen tiivisteeseen ja kiinteään kohdeporttiin 4789), IP-otsakkeen (paikallisen VTEP:n lähde-IP-osoite ja etä-VTEP:n kohde-IP-osoite) ja lopuksi ulkoisen Ethernet-otsakkeen. Koko paketti näkyy nyt UDP/IP-pakettina, näyttää normaalilta liikenteeltä ja se voidaan reitittää L3-verkossa.
Fyysisessä verkossa reititin tai kytkin välittää paketin, kunnes se saavuttaa kohde-VTEP:n. Kohde-VTEP poistaa ulomman otsikon, tarkistaa VXLAN-otsikon varmistaakseen, että VNI vastaa toisiaan, ja toimittaa sitten sisemmän Ethernet-kehyksen kohdeisännälle. Jos paketti on tuntematonta unicast-, broadcast- tai multicast-liikennettä (BUM), VTEP replikoi paketin kaikkiin asiaankuuluviin VTEP:eihin käyttämällä tulvausta ja luottaen monilähetysryhmiin tai unicast-otsikon replikointiin (HER).
Edelleenlähetysperiaatteen ydin on ohjaustason ja datatason erottaminen toisistaan. Ohjaustaso käyttää Ethernet VPN:ää (EVPN) tai Flood and Learn -mekanismia MAC- ja IP-osoitteiden tunnistamiseen. EVPN perustuu BGP-protokollaan ja mahdollistaa VTEP:ien reititystietojen, kuten MAC-VRF:n (Virtual Routing and Forwarding) ja IP-VRF:n, vaihtamisen. Datataso vastaa varsinaisesta edelleenlähetyksestä käyttäen VXLAN-tunneleita tehokkaan tiedonsiirron takaamiseksi.
Käytännön käyttöönotoissa edelleenlähetyksen tehokkuus vaikuttaa kuitenkin suoraan suorituskykyyn. Perinteiset tulvat voivat helposti aiheuttaa lähetysmyrskyjä, erityisesti suurissa verkoissa. Tämä johtaa yhdyskäytävän optimoinnin tarpeeseen: yhdyskäytävät eivät ainoastaan yhdistä sisäisiä ja ulkoisia verkkoja, vaan toimivat myös ARP-välityspalveluna, käsittelevät reittivuotoja ja varmistavat lyhyimmät edelleenlähetysreitit.
Keskitetty VXLAN-yhdyskäytävä
Keskitetty VXLAN-yhdyskäytävä, jota kutsutaan myös keskitetyksi yhdyskäytäväksi tai L3-yhdyskäytäväksi, asennetaan tyypillisesti datakeskuksen reunalle tai ydinkerrokseen. Se toimii keskeisenä solmukohtana, jonka kautta kaiken VNI- tai aliverkkojen välisen liikenteen on kuljettava.
Periaatteessa keskitetty yhdyskäytävä toimii oletusyhdyskäytävänä ja tarjoaa Layer 3 -reitityspalveluita kaikille VXLAN-verkoille. Tarkastellaan kahta virtuaalista verkkoa (VNI): VNI 10000 (aliverkko 10.1.1.0/24) ja VNI 20000 (aliverkko 10.2.1.0/24). Jos virtuaalikone A VNI 10000:ssa haluaa käyttää virtuaalikonetta B VNI 20000:ssa, paketti saapuu ensin paikalliseen VTEP:hen. Paikallinen VTEP havaitsee, että kohteen IP-osoite ei ole paikallisessa aliverkossa, ja välittää sen keskitetylle yhdyskäytävälle. Yhdyskäytävä purkaa paketin kapseloinnin, tekee reitityspäätöksen ja kapseloi paketin uudelleen tunneliin kohde-VNI:hen.
Edut ovat ilmeiset:
○ Yksinkertainen hallintaKaikki reitityskonfiguraatiot keskitetään yhdelle tai kahdelle laitteelle, jolloin operaattorit voivat ylläpitää vain muutamaa yhdyskäytävää koko verkon kattamiseksi. Tämä lähestymistapa sopii pienille ja keskisuurille datakeskuksille tai ympäristöille, jotka ottavat käyttöön VXLANin ensimmäistä kertaa.
○ResurssitehokasYhdyskäytävät ovat tyypillisesti tehokkaita laitteita (kuten Cisco Nexus 9000 tai Arista 7050), jotka pystyvät käsittelemään valtavia määriä liikennettä. Ohjaustaso on keskitetty, mikä helpottaa integrointia SDN-ohjaimiin, kuten NSX Manageriin.
○Vahva turvavalvontaLiikenteen on kuljettava yhdyskäytävän kautta, mikä helpottaa ACL-listojen (Access Control Lists), palomuurien ja NAT:n käyttöönottoa. Kuvittele usean vuokralaisen tilanne, jossa keskitetty yhdyskäytävä voi helposti eristää vuokralaisten liikenteen.
Mutta puutteita ei voida sivuuttaa:
○ Yksittäinen vikaantumispisteJos yhdyskäytävä vikaantuu, koko verkon L3-tiedonsiirto lamautuu. Vaikka VRRP:tä (Virtual Router Redundancy Protocol) voidaan käyttää redundanssiin, siihen liittyy silti riskejä.
○Suorituskyvyn pullonkaulaKaiken itä-länsi-suuntaisen liikenteen (palvelimien välinen tietoliikenne) on ohitettava yhdyskäytävä, mikä johtaa epäoptimaaliseen polkuun. Esimerkiksi 1000-solmuisessa klusterissa, jos yhdyskäytävän kaistanleveys on 100 Gbps, ruuhkautumista esiintyy todennäköisesti ruuhka-aikoina.
○Huono skaalautuvuusVerkon koon kasvaessa yhdyskäytävän kuormitus kasvaa eksponentiaalisesti. Käytännön esimerkissä olen nähnyt talouskeskuksen käyttävän keskitettyä yhdyskäytävää. Aluksi se toimi sujuvasti, mutta virtuaalikoneiden määrän kaksinkertaistuttua latenssi nousi räjähdysmäisesti mikrosekunneista millisekunteihin.
Sovellusskenaario: Sopii ympäristöihin, jotka vaativat helppoa hallintaa, kuten yritysten yksityisiin pilvipalveluihin tai testiverkkoihin. Ciscon ACI-arkkitehtuuri käyttää usein keskitettyä mallia yhdistettynä lehti-spine-topologiaan ydinyhdyskäytävien tehokkaan toiminnan varmistamiseksi.
Hajautettu VXLAN-yhdyskäytävä
Hajautettu VXLAN-yhdyskäytävä, joka tunnetaan myös nimellä hajautettu yhdyskäytävä tai anycast-yhdyskäytävä, siirtää yhdyskäytävän toiminnallisuuden kullekin lehtikytkimelle tai hypervisorin VTEP:lle. Jokainen VTEP toimii paikallisena yhdyskäytävänä ja käsittelee L3-edelleenlähetystä paikalliselle aliverkolle.
Periaate on joustavampi: jokainen VTEP konfiguroidaan samalla virtuaalisella IP-osoitteella (VIP) kuin oletusyhdyskäytävä Anycast-mekanismia käyttäen. Virtuaalikoneiden lähettämät aliverkkojen väliset paketit reititetään suoraan paikalliseen VTEP:hen ilman, että niiden tarvitsee kulkea keskitetyn pisteen kautta. EVPN on tässä erityisen hyödyllinen: BGP EVPN:n kautta VTEP oppii etäisäntien reitit ja käyttää MAC/IP-sidontaa ARP-tulvituksen välttämiseksi.
Esimerkiksi virtuaalikone A (10.1.1.10) haluaa käyttää virtuaalikonetta B (10.2.1.10). Virtuaalikone A:n oletusyhdyskäytävä on paikallisen VTEP:n (10.1.1.1) VIP. Paikallinen VTEP reitittää kohteen aliverkkoon, kapseloi VXLAN-paketin ja lähettää sen suoraan virtuaalikone B:n VTEP:lle. Tämä prosessi minimoi reitin ja viiveen.
Erinomaiset edut:
○ Korkea skaalautuvuusYhdyskäytävätoimintojen jakaminen jokaiselle solmulle kasvattaa verkon kokoa, mikä on hyödyllistä suuremmille verkoille. Suuret pilvipalveluntarjoajat, kuten Google Cloud, käyttävät samanlaista mekanismia miljoonien virtuaalikoneiden tukemiseen.
○Erinomainen suorituskykyItä-länsi-suuntainen liikenne käsitellään paikallisesti pullonkaulojen välttämiseksi. Testitiedot osoittavat, että hajautetussa tilassa läpimenoaika voi kasvaa 30–50 %.
○Nopea vikasietoisuusYksittäinen VTEP-vika vaikuttaa vain paikalliseen isäntään, eikä se vaikuta muihin solmuihin. Yhdessä EVPN:n nopean konvergenssin kanssa toipumisaika on sekunneissa.
○Resurssien hyvä käyttöHyödynnä olemassa olevaa Leaf-kytkimen ASIC-sirua laitteistokiihdytykseen, jonka lähetysnopeudet saavuttavat Tbps-tason.
Mitä haittoja on?
○ Monimutkainen kokoonpanoJokainen VTEP vaatii reitityksen, EVPN:n ja muiden ominaisuuksien konfiguroinnin, mikä tekee käyttöönotosta aikaa vievää. Käyttötiimin on tunnettava BGP ja SDN.
○Korkeat laitteistovaatimuksetHajautettu yhdyskäytävä: Kaikki kytkimet eivät tue hajautettuja yhdyskäytäviä; vaaditaan Broadcom Trident- tai Tomahawk-siruja. Ohjelmistototeutukset (kuten OVS KVM:ssä) eivät suoriudu yhtä hyvin kuin laitteistot.
○Johdonmukaisuuden haasteetHajautettu tarkoittaa, että tilasynkronointi on EVPN:n varassa. Jos BGP-istunto vaihtelee, se voi aiheuttaa reititysmustan aukon.
Sovellusskenaario: Täydellinen hyperskaalatuille datakeskuksille tai julkisille pilvipalveluille. VMware NSX-T:n hajautettu reititin on tyypillinen esimerkki. Yhdessä Kubernetesin kanssa se tukee saumattomasti konttiverkkoja.
Keskitetty VxLAN-yhdyskäytävä vs. hajautettu VxLAN-yhdyskäytävä
Nyt itse asiaan: kumpi on parempi? Vastaus on "se riippuu tilanteesta", mutta meidän on perehdyttävä syvälle dataan ja tapaustutkimuksiin vakuuttaaksemme sinut.
Suorituskyvyn näkökulmasta hajautetut järjestelmät suoriutuvat selvästi paremmin. Tyypillisessä datakeskuksen vertailukokeessa (Spirent-testilaitteiden perusteella) keskitetyn yhdyskäytävän keskimääräinen latenssi oli 150 μs, kun taas hajautetun järjestelmän latenssi oli vain 50 μs. Läpäisykyvyn osalta hajautetut järjestelmät voivat helposti saavuttaa linjanopeudella tapahtuvan edelleenlähetyksen, koska ne hyödyntävät Spine-Leaf Equal Cost Multi-Path (ECMP) -reititystä.
Skaalautuvuus on toinen taistelukenttä. Keskitetyt verkot sopivat verkoille, joissa on 100–500 solmua; tätä skaalaa suuremmat hajautetut verkot saavat yliotteen. Otetaan esimerkiksi Alibaba Cloud. Heidän VPC (Virtual Private Cloud) käyttää hajautettuja VXLAN-yhdyskäytäviä tukeakseen miljoonia käyttäjiä maailmanlaajuisesti, ja yhden alueen viive on alle 1 ms. Keskitetty lähestymistapa olisi romahtanut jo kauan sitten.
Entä kustannukset? Keskitetty ratkaisu tarjoaa pienemmät alkuinvestoinnit ja vaatii vain muutaman huippuluokan yhdyskäytävän. Hajautettu ratkaisu edellyttää, että kaikki lehtisolmut tukevat VXLAN-kuormituksen purkamista, mikä johtaa korkeampiin laitteistopäivityskustannuksiin. Pitkällä aikavälillä hajautettu ratkaisu tarjoaa kuitenkin alhaisemmat käyttö- ja ylläpitokustannukset, koska automaatiotyökalut, kuten Ansible, mahdollistavat eräkonfiguroinnin.
Turvallisuus ja luotettavuus: Keskitetyt järjestelmät mahdollistavat keskitetyn suojauksen, mutta niihin liittyy suuri yksittäisten hyökkäyspisteiden riski. Hajautetut järjestelmät ovat vikasietoisempia, mutta vaativat vankan ohjaustason DDoS-hyökkäysten estämiseksi.
Käytännön tapaustutkimus: Verkkokauppayritys käytti keskitettyä VXLANia sivustonsa rakentamiseen. Ruuhka-aikoina yhdyskäytävän suorittimen käyttöaste nousi 90 prosenttiin, mikä johti käyttäjien valituksiin viiveestä. Siirtyminen hajautettuun malliin ratkaisi ongelman, minkä ansiosta yritys pystyi helposti kaksinkertaistamaan toimintansa. Toisaalta pieni pankki vaati keskitettyä mallia, koska he priorisoivat vaatimustenmukaisuustarkastuksia ja kokivat keskitetyn hallinnan helpommaksi.
Yleisesti ottaen, jos etsit äärimmäistä verkon suorituskykyä ja skaalautuvuutta, hajautettu lähestymistapa on oikea valinta. Jos budjettisi on rajallinen ja johtotiimiltäsi puuttuu kokemusta, keskitetty lähestymistapa on käytännöllisempi. Tulevaisuudessa 5G:n ja reunalaskennan yleistyessä hajautetut verkot tulevat suositummiksi, mutta keskitetyt verkot ovat edelleen arvokkaita tietyissä tilanteissa, kuten sivutoimistojen yhteenliittämisessä.
Mylinking™-verkkopakettien välittäjättuki VxLAN-, VLAN-, GRE- ja MPLS-otsikoiden strippaukselle
Tuki VxLAN-, VLAN-, GRE- ja MPLS-otsikoille, jotka poistettiin alkuperäisestä datapaketista ja välitettiin ulostulo.
Julkaisun aika: 09.10.2025
