I drafod pyrth VXLAN, rhaid inni drafod VXLAN ei hun yn gyntaf. Cofiwch fod VLANau traddodiadol (Rhwydweithiau Ardal Leol Rhithwir) yn defnyddio IDau VLAN 12-bit i rannu rhwydweithiau, gan gefnogi hyd at 4096 o rwydweithiau rhesymegol. Mae hyn yn gweithio'n iawn ar gyfer rhwydweithiau bach, ond mewn canolfannau data modern, gyda'u miloedd o beiriannau rhithwir, cynwysyddion ac amgylcheddau aml-denant, nid yw VLANau yn ddigonol. Ganwyd VXLAN, wedi'i ddiffinio gan y Tasglu Peirianneg Rhyngrwyd (IETF) yn RFC 7348. Ei bwrpas yw ymestyn y parth darlledu Haen 2 (Ethernet) dros rwydweithiau Haen 3 (IP) gan ddefnyddio twneli UDP.
Yn syml, mae VXLAN yn amgáu fframiau Ethernet o fewn pecynnau UDP ac yn ychwanegu Dynodwr Rhwydwaith (VNI) VXLAN 24-bit, sy'n cefnogi 16 miliwn o rwydweithiau rhithwir yn ddamcaniaethol. Mae hyn fel rhoi "cerdyn adnabod" i bob rhwydwaith rhithwir, gan ganiatáu iddynt symud yn rhydd ar y rhwydwaith ffisegol heb ymyrryd â'i gilydd. Prif gydran VXLAN yw Pwynt Terfynol Twnnel VXLAN (VTEP), sy'n gyfrifol am amgáu a dadgapsiwleiddio pecynnau. Gall VTEP fod yn feddalwedd (fel Open vSwitch) neu'n galedwedd (fel y sglodion ASIC ar y switsh).
Pam mae VXLAN mor boblogaidd? Oherwydd ei fod yn cyd-fynd yn berffaith ag anghenion cyfrifiadura cwmwl ac SDN (Rhwydweithio a Ddiffinnir gan Feddalwedd). Mewn cwmwl cyhoeddus fel AWS ac Azure, mae VXLAN yn galluogi estyniad di-dor o rwydweithiau rhithwir tenantiaid. Mewn canolfannau data preifat, mae'n cefnogi pensaernïaeth rhwydwaith gorchudd fel VMware NSX neu Cisco ACI. Dychmygwch ganolfan ddata gyda miloedd o weinyddion, pob un yn rhedeg dwsinau o VMs (Peiriannau Rhithwir). Mae VXLAN yn caniatáu i'r VMs hyn ganfod eu hunain fel rhan o'r un rhwydwaith Haen 2, gan sicrhau trosglwyddiad llyfn o ddarllediadau ARP a cheisiadau DHCP.
Fodd bynnag, nid yw VXLAN yn ateb i bob problem. Mae gweithredu ar rwydwaith L3 yn gofyn am drosi L2-i-L3, a dyna lle mae'r porth yn dod i mewn. Mae porth VXLAN yn cysylltu'r rhwydwaith rhithwir VXLAN â rhwydweithiau allanol (megis VLANau traddodiadol neu rwydweithiau llwybro IP), gan sicrhau bod data'n llifo o'r byd rhithwir i'r byd go iawn. Y mecanwaith anfon ymlaen yw calon ac enaid y porth, gan bennu sut mae pecynnau'n cael eu prosesu, eu llwybro a'u dosbarthu.
Mae'r broses anfon ymlaen VXLAN fel bale cain, gyda phob cam o'r ffynhonnell i'r gyrchfan yn gysylltiedig yn agos. Gadewch i ni ei ddadansoddi gam wrth gam.
Yn gyntaf, anfonir pecyn o'r gwesteiwr ffynhonnell (fel VM). Ffrâm Ethernet safonol yw hon sy'n cynnwys cyfeiriad MAC y ffynhonnell, cyfeiriad MAC y gyrchfan, tag VLAN (os o gwbl), a'r llwyth tâl. Ar ôl derbyn y ffrâm hon, mae'r VTEP ffynhonnell yn gwirio cyfeiriad MAC y gyrchfan. Os yw cyfeiriad MAC y gyrchfan yn ei dabl MAC (a gafwyd trwy ddysgu neu lifogydd), mae'n gwybod pa VTEP o bell i anfon y pecyn ymlaen iddo.
Mae'r broses amgáu yn hanfodol: mae'r VTEP yn ychwanegu pennawd VXLAN (gan gynnwys y VNI, baneri, ac yn y blaen), yna pennawd UDP allanol (gyda phorthladd ffynhonnell yn seiliedig ar hash o'r ffrâm fewnol a phorthladd cyrchfan sefydlog o 4789), pennawd IP (gyda chyfeiriad IP ffynhonnell y VTEP lleol a chyfeiriad IP cyrchfan y VTEP o bell), ac yn olaf pennawd Ethernet allanol. Mae'r pecyn cyfan bellach yn ymddangos fel pecyn UDP/IP, yn edrych fel traffig arferol, a gellir ei lwybro ar y rhwydwaith L3.
Ar y rhwydwaith ffisegol, mae'r pecyn yn cael ei anfon ymlaen gan lwybrydd neu switsh nes iddo gyrraedd y VTEP cyrchfan. Mae'r VTEP cyrchfan yn tynnu'r pennawd allanol i ffwrdd, yn gwirio'r pennawd VXLAN i sicrhau bod y VNI yn cyfateb, ac yna'n cyflwyno'r ffrâm Ethernet fewnol i'r gwesteiwr cyrchfan. Os yw'r pecyn yn draffig unicast, darlledu, neu aml-ddarlledu anhysbys (BUM), mae'r VTEP yn dyblygu'r pecyn i bob VTEP perthnasol gan ddefnyddio llifogydd, gan ddibynnu ar grwpiau aml-ddarlledu neu ddyblygu pennawd unicast (HER).
Craidd yr egwyddor anfon ymlaen yw gwahanu'r plân rheoli a'r plân data. Mae'r plân rheoli yn defnyddio Ethernet VPN (EVPN) neu'r mecanwaith Llifogydd a Dysgu i ddysgu mapiau MAC ac IP. Mae EVPN yn seiliedig ar y protocol BGP ac yn caniatáu i VTEPs gyfnewid gwybodaeth llwybro, fel MAC-VRF (Llwybro a Bwrw Ymlaen Rhithwir) ac IP-VRF. Mae'r plân data yn gyfrifol am anfon ymlaen gwirioneddol, gan ddefnyddio twneli VXLAN ar gyfer trosglwyddo effeithlon.
Fodd bynnag, mewn lleoliadau gwirioneddol, mae effeithlonrwydd anfon ymlaen yn effeithio'n uniongyrchol ar berfformiad. Gall llifogydd traddodiadol achosi stormydd darlledu yn hawdd, yn enwedig mewn rhwydweithiau mawr. Mae hyn yn arwain at yr angen i optimeiddio porth: nid yn unig y mae pyrth yn cysylltu rhwydweithiau mewnol ac allanol ond maent hefyd yn gweithredu fel asiantau ARP dirprwyol, yn trin gollyngiadau llwybr, ac yn sicrhau'r llwybrau anfon ymlaen byrraf.
Porth VXLAN Canolog
Mae porth VXLAN canolog, a elwir hefyd yn borth canolog neu borth L3, fel arfer yn cael ei ddefnyddio ar ymyl neu haen graidd canolfan ddata. Mae'n gweithredu fel canolbwynt canolog, lle mae'n rhaid i bob traffig traws-VNI neu draws-is-rwyd basio.
Mewn egwyddor, mae porth canolog yn gweithredu fel y porth diofyn, gan ddarparu gwasanaethau llwybro Haen 3 ar gyfer pob rhwydwaith VXLAN. Ystyriwch ddau VNI: VNI 10000 (is-rwydwaith 10.1.1.0/24) a VNI 20000 (is-rwydwaith 10.2.1.0/24). Os yw VM A yn VNI 10000 eisiau cael mynediad at VM B yn VNI 20000, mae'r pecyn yn cyrraedd y VTEP lleol yn gyntaf. Mae'r VTEP lleol yn canfod nad yw cyfeiriad IP y cyrchfan ar yr is-rwydwaith lleol ac yn ei anfon ymlaen i'r porth canolog. Mae'r porth yn dadgapsiwleiddio'r pecyn, yn gwneud penderfyniad llwybro, ac yna'n ail-gapsiwleiddio'r pecyn i mewn i dwnnel i'r VNI cyrchfan.
Mae'r manteision yn amlwg:
○ Rheolaeth symlMae pob cyfluniad llwybro wedi'i ganoli ar un neu ddau ddyfais, gan ganiatáu i weithredwyr gynnal dim ond ychydig o byrth i gwmpasu'r rhwydwaith cyfan. Mae'r dull hwn yn addas ar gyfer canolfannau data bach a chanolig eu maint neu amgylcheddau sy'n defnyddio VXLAN am y tro cyntaf.
○Yn effeithlon o ran adnoddauFel arfer, caledwedd perfformiad uchel (fel y Cisco Nexus 9000 neu Arista 7050) sy'n gallu trin symiau enfawr o draffig yw pyrth. Mae'r plân rheoli wedi'i ganoli, gan hwyluso integreiddio â rheolwyr SDN fel NSX Manager.
○Rheolaeth ddiogelwch grefRhaid i draffig basio drwy'r porth, gan hwyluso gweithredu ACLs (Rhestrau Rheoli Mynediad), waliau tân, a NAT. Dychmygwch senario aml-denant lle gall porth canolog ynysu traffig tenantiaid yn hawdd.
Ond ni ellir anwybyddu'r diffygion:
○ Un pwynt methiantOs bydd y porth yn methu, mae cyfathrebu Lefel 3 ar draws y rhwydwaith cyfan wedi'i barlysu. Er y gellir defnyddio VRRP (Protocol Redundancy Router Virtual) ar gyfer diswyddiad, mae'n dal i gario risgiau.
○Tagfa perfformiadRhaid i bob traffig dwyrain-gorllewin (cyfathrebu rhwng gweinyddion) osgoi'r porth, gan arwain at lwybr is-optimaidd. Er enghraifft, mewn clwstwr 1000 nod, os yw lled band y porth yn 100Gbps, mae tagfeydd yn debygol o ddigwydd yn ystod oriau brig.
○Graddadwyedd gwaelWrth i raddfa'r rhwydwaith dyfu, mae llwyth y porth yn cynyddu'n esbonyddol. Mewn enghraifft o'r byd go iawn, rydw i wedi gweld canolfan ddata ariannol yn defnyddio porth canolog. I ddechrau, roedd yn rhedeg yn esmwyth, ond ar ôl i nifer y VMs ddyblu, cododd yr oedi o ficroeiliadau i filieiliadau.
Senario Cymhwysiad: Addas ar gyfer amgylcheddau sydd angen symlrwydd rheoli uchel, fel cwmwl preifat menter neu rwydweithiau prawf. Mae pensaernïaeth ACI Cisco yn aml yn defnyddio model canolog, ynghyd â thopoleg dail-asgwrn cefn, i sicrhau gweithrediad effeithlon pyrth craidd.
Porth VXLAN Dosbarthedig
Mae porth VXLAN dosbarthedig, a elwir hefyd yn borth dosbarthedig neu borth anycast, yn dadlwytho swyddogaeth porth i bob switsh dail neu hypervisor VTEP. Mae pob VTEP yn gweithredu fel porth lleol, gan drin anfon ymlaen L3 ar gyfer yr is-rwyd leol.
Mae'r egwyddor yn fwy hyblyg: mae pob VTEP wedi'i ffurfweddu gyda'r un IP rhithwir (VIP) â'r porth diofyn, gan ddefnyddio'r mecanwaith Anycast. Mae pecynnau traws-is-rwydwaith a anfonir gan VMs yn cael eu llwybro'n uniongyrchol ar y VTEP lleol, heb orfod mynd trwy bwynt canolog. Mae EVPN yn arbennig o ddefnyddiol yma: trwy BGP EVPN, mae'r VTEP yn dysgu llwybrau gwesteiwyr o bell ac yn defnyddio rhwymo MAC/IP i osgoi llifogydd ARP.
Er enghraifft, mae VM A (10.1.1.10) eisiau cael mynediad at VM B (10.2.1.10). Porth diofyn VM A yw VIP y VTEP lleol (10.1.1.1). Mae'r VTEP lleol yn llwybro i'r is-rwyd cyrchfan, yn amgáu'r pecyn VXLAN, ac yn ei anfon yn uniongyrchol at VTEP VM B. Mae'r broses hon yn lleihau'r llwybr a'r oedi.
Manteision Rhagorol:
○ Graddadwyedd uchelMae dosbarthu swyddogaeth porth i bob nod yn cynyddu maint y rhwydwaith, sy'n fuddiol i rwydweithiau mwy. Mae darparwyr cwmwl mawr fel Google Cloud yn defnyddio mecanwaith tebyg i gefnogi miliynau o VMs.
○Perfformiad uwchMae traffig dwyrain-gorllewin yn cael ei brosesu'n lleol i osgoi tagfeydd. Mae data profion yn dangos y gall trwybwn gynyddu 30%-50% mewn modd dosbarthedig.
○Adferiad cyflym o namauDim ond y gwesteiwr lleol y mae un methiant VTEP yn effeithio arno, gan adael nodau eraill heb eu heffeithio. Ynghyd â chydgyfeirio cyflym EVPN, mae'r amser adfer mewn eiliadau.
○Defnydd da o adnoddauDefnyddiwch y sglodion ASIC switsh Leaf presennol ar gyfer cyflymiad caledwedd, gyda chyfraddau anfon ymlaen yn cyrraedd lefel Tbps.
Beth yw'r anfanteision?
○ Cyfluniad cymhlethMae angen ffurfweddu llwybro, EVPN, a nodweddion eraill ar bob VTEP, gan wneud y defnydd cychwynnol yn cymryd llawer o amser. Rhaid i'r tîm gweithrediadau fod yn gyfarwydd â BGP ac SDN.
○Gofynion caledwedd uchelPorth dosbarthedig: Nid yw pob switsh yn cefnogi pyrth dosbarthedig; mae angen sglodion Broadcom Trident neu Tomahawk. Nid yw gweithrediadau meddalwedd (fel OVS ar KVM) yn perfformio cystal â chaledwedd.
○Heriau CysondebMae dosbarthedig yn golygu bod cydamseru cyflwr yn dibynnu ar EVPN. Os yw'r sesiwn BGP yn amrywio, gall achosi twll du llwybro.
Senario Cais: Perffaith ar gyfer canolfannau data hypergrade neu gymylau cyhoeddus. Mae llwybrydd dosbarthedig VMware NSX-T yn enghraifft nodweddiadol. Wedi'i gyfuno â Kubernetes, mae'n cefnogi rhwydweithio cynwysyddion yn ddi-dor.
Porth VxLAN Canolog vs. Porth VxLAN Dosbarthedig
Nawr at yr uchafbwynt: pa un sy'n well? Yr ateb yw "mae'n dibynnu", ond mae'n rhaid i ni gloddio'n ddwfn i'r data a'r astudiaethau achos i'ch argyhoeddi.
O safbwynt perfformiad, mae systemau dosbarthedig yn perfformio'n glir yn well. Mewn meincnod canolfan ddata nodweddiadol (yn seiliedig ar offer prawf Spirent), roedd latency cyfartalog porth canolog yn 150μs, tra mai dim ond 50μs oedd latency system ddosbarthedig. O ran trwybwn, gall systemau dosbarthedig gyflawni anfon ymlaen cyfradd llinell yn hawdd oherwydd eu bod yn manteisio ar lwybro Aml-Llwybr Cost Cyfartal Asgwrn Cefn-Dail (ECMP).
Mae graddadwyedd yn faes brwydr arall. Mae rhwydweithiau canolog yn addas ar gyfer rhwydweithiau â 100-500 o nodau; y tu hwnt i'r raddfa hon, mae rhwydweithiau dosbarthedig yn ennill y llaw uchaf. Cymerwch Alibaba Cloud, er enghraifft. Mae eu VPC (Cwmwl Preifat Rhithwir) yn defnyddio pyrth VXLAN dosbarthedig i gefnogi miliynau o ddefnyddwyr ledled y byd, gyda latency rhanbarth sengl o dan 1ms. Byddai dull canolog wedi chwalu amser maith yn ôl.
Beth am gost? Mae datrysiad canolog yn cynnig buddsoddiad cychwynnol is, gan olygu mai dim ond ychydig o byrth pen uchel sydd eu hangen. Mae datrysiad dosbarthedig yn ei gwneud yn ofynnol i bob nod dail gefnogi dadlwytho VXLAN, gan arwain at gostau uwchraddio caledwedd uwch. Fodd bynnag, yn y tymor hir, mae datrysiad dosbarthedig yn cynnig costau gweithredu a chynnal a chadw is, gan fod offer awtomeiddio fel Ansible yn galluogi ffurfweddu swp.
Diogelwch a dibynadwyedd: Mae systemau canolog yn hwyluso amddiffyniad canolog ond yn peri risg uchel o bwyntiau ymosod sengl. Mae systemau dosbarthedig yn fwy gwydn ond mae angen plân rheoli cadarn arnynt i atal ymosodiadau DDoS.
Astudiaeth achos o'r byd go iawn: Defnyddiodd cwmni e-fasnach VXLAN canolog i adeiladu ei wefan. Yn ystod cyfnodau brig, cynyddodd defnydd CPU y porth i 90%, gan arwain at gwynion defnyddwyr am oedi. Datrysodd newid i fodel dosbarthedig y broblem, gan ganiatáu i'r cwmni ddyblu ei raddfa yn hawdd. I'r gwrthwyneb, mynnodd banc bach fodel canolog oherwydd eu bod yn blaenoriaethu archwiliadau cydymffurfiaeth ac yn canfod bod rheolaeth ganolog yn haws.
Yn gyffredinol, os ydych chi'n chwilio am berfformiad a graddfa rhwydwaith eithafol, dull dosbarthedig yw'r ffordd i fynd. Os yw eich cyllideb yn gyfyngedig ac nad oes gan eich tîm rheoli brofiad, mae dull canolog yn fwy ymarferol. Yn y dyfodol, gyda chynnydd 5G a chyfrifiadura ymyl, bydd rhwydweithiau dosbarthedig yn dod yn fwy poblogaidd, ond bydd rhwydweithiau canolog yn dal i fod yn werthfawr mewn senarios penodol, fel rhyng-gysylltu swyddfeydd cangen.
Broceriaid Pecynnau Rhwydwaith Mylinking™cefnogi Stripio Pennawd VxLAN, VLAN, GRE, MPLS
Cefnogodd y pennawd VxLAN, VLAN, GRE, MPLS a gafodd ei dynnu yn y pecyn data gwreiddiol ac allbwn a anfonwyd ymlaen.
Amser postio: Hydref-09-2025
