Para falar das pasarelas VXLAN, primeiro debemos falar da propia VXLAN. Lembremos que as VLAN tradicionais (redes de área local virtual) usan identificadores VLAN de 12 bits para dividir as redes, admitindo ata 4096 redes lóxicas. Isto funciona ben para redes pequenas, pero nos centros de datos modernos, cos seus miles de máquinas virtuais, contedores e entornos multiinquilino, as VLAN son insuficientes. Naceu VXLAN, definido polo Internet Engineering Task Force (IETF) no RFC 7348. O seu propósito é estender o dominio de transmisión da Capa 2 (Ethernet) sobre redes de Capa 3 (IP) usando túneles UDP.
En poucas palabras, VXLAN encapsula as tramas Ethernet dentro dos paquetes UDP e engade un identificador de rede VXLAN (VNI) de 24 bits, o que en teoría admite 16 millóns de redes virtuais. Isto é como darlle a cada rede virtual unha "tarxeta de identidade", o que lles permite moverse libremente pola rede física sen interferir entre si. O compoñente central de VXLAN é o punto final do túnel VXLAN (VTEP), que se encarga de encapsular e decapsular paquetes. O VTEP pode ser software (como Open vSwitch) ou hardware (como o chip ASIC do conmutador).
Por que é tan popular VXLAN? Porque se aliña perfectamente coas necesidades da computación na nube e as SDN (redes definidas por software). En nubes públicas como AWS e Azure, VXLAN permite unha extensión sen fisuras das redes virtuais dos arrendatarios. En centros de datos privados, admite arquitecturas de rede superpostas como VMware NSX ou Cisco ACI. Imaxina un centro de datos con miles de servidores, cada un executando ducias de máquinas virtuais (VM). VXLAN permite que estas máquinas virtuais se perciban a si mesmas como parte da mesma rede de capa 2, garantindo unha transmisión fluída das emisións ARP e as solicitudes DHCP.
Non obstante, VXLAN non é a panacea. Operar nunha rede L3 require unha conversión de L2 a L3, que é onde entra en xogo a pasarela. A pasarela VXLAN conecta a rede virtual VXLAN con redes externas (como as VLAN tradicionais ou as redes de enrutamento IP), garantindo que os datos flúan do mundo virtual ao mundo real. O mecanismo de reenvío é o corazón e a alma da pasarela, xa que determina como se procesan, enrutan e distribúen os paquetes.
O proceso de reenvío de VXLAN é coma un delicado ballet, no que cada paso, dende a orixe ata o destino, está estreitamente ligado. Desglosémolo paso a paso.
Primeiro, envíase un paquete desde o host de orixe (como unha máquina virtual). Trátase dunha trama Ethernet estándar que contén o enderezo MAC de orixe, o enderezo MAC de destino, a etiqueta VLAN (se existe) e a carga útil. Ao recibir esta trama, o VTEP de orixe comproba o enderezo MAC de destino. Se o enderezo MAC de destino está na súa táboa MAC (obtido mediante aprendizaxe ou inundación), sabe a que VTEP remoto reenviar o paquete.
O proceso de encapsulamento é crucial: o VTEP engade unha cabeceira VXLAN (incluíndo o VNI, as bandeiras, etc.), despois unha cabeceira UDP externa (cun porto de orixe baseado nun hash da trama interna e un porto de destino fixo de 4789), unha cabeceira IP (co enderezo IP de orixe do VTEP local e o enderezo IP de destino do VTEP remoto) e, finalmente, unha cabeceira Ethernet externa. O paquete completo agora aparece como un paquete UDP/IP, semella tráfico normal e pódese enrutar pola rede L3.
Na rede física, o paquete é reenviado por un enrutador ou conmutador ata que chega ao VTEP de destino. O VTEP de destino elimina a cabeceira externa, comproba a cabeceira VXLAN para garantir que o VNI coincida e, a continuación, entrega a trama Ethernet interna ao host de destino. Se o paquete é tráfico descoñecido de unicast, broadcast ou multicast (BUM), o VTEP replica o paquete en todos os VTEP relevantes mediante inundación, baseándose en grupos de multicast ou replicación de cabeceiras de unicast (HER).
O núcleo do principio de reenvío é a separación do plano de control e o plano de datos. O plano de control usa unha VPN Ethernet (EVPN) ou o mecanismo Flood and Learn para aprender as correspondencias MAC e IP. A EVPN baséase no protocolo BGP e permite que os VTEP intercambien información de enrutamento, como MAC-VRF (enrutamento e reenvío virtual) e IP-VRF. O plano de datos é o responsable do reenvío real, usando túneles VXLAN para unha transmisión eficiente.
Non obstante, en implementacións reais, a eficiencia do reenvío afecta directamente ao rendemento. As inundacións tradicionais poden causar facilmente tormentas de difusión, especialmente en redes grandes. Isto leva á necesidade de optimizar as portas de enlace: as portas de enlace non só conectan redes internas e externas, senón que tamén actúan como axentes ARP proxy, xestionan as fugas de rutas e garanten as rutas de reenvío máis curtas.
Pasarela VXLAN centralizada
Unha pasarela VXLAN centralizada, tamén chamada pasarela centralizada ou pasarela L3, adoita despregarse na capa perimetral ou central dun centro de datos. Actúa como un concentrador central, a través do cal debe pasar todo o tráfico entre VNI ou entre subredes.
En principio, unha porta de enlace centralizada actúa como porta de enlace predeterminada, proporcionando servizos de enrutamento de capa 3 para todas as redes VXLAN. Considere dous VNI: VNI 10000 (subrede 10.1.1.0/24) e VNI 20000 (subrede 10.2.1.0/24). Se a máquina virtual A na VNI 10000 quere acceder á máquina virtual B na VNI 20000, o paquete primeiro chega ao VTEP local. O VTEP local detecta que o enderezo IP de destino non está na subrede local e o reenvía á porta de enlace centralizada. A porta de enlace desencapsula o paquete, toma unha decisión de enrutamento e, a seguir, reencapsula o paquete nun túnel cara á VNI de destino.
As vantaxes son obvias:
○ Xestión sinxelaTodas as configuracións de enrutamento están centralizadas nun ou dous dispositivos, o que permite aos operadores manter só unhas poucas portas de enlace para cubrir toda a rede. Esta estratexia é axeitada para centros de datos ou entornos pequenos e medianos que implementan VXLAN por primeira vez.
○Eficiente en recursosAs pasarelas adoitan ser hardware de alto rendemento (como o Cisco Nexus 9000 ou o Arista 7050) capaz de xestionar cantidades masivas de tráfico. O plano de control está centralizado, o que facilita a integración con controladores SDN como NSX Manager.
○forte control de seguridadeO tráfico debe pasar pola pasarela, o que facilita a implementación de ACL (listas de control de acceso), firewalls e NAT. Imaxina un escenario con varios arrendatarios onde unha pasarela centralizada pode illar facilmente o tráfico dos arrendatarios.
Pero non se poden ignorar as deficiencias:
○ Punto único de falloSe a pasarela falla, a comunicación L3 en toda a rede queda paralizada. Aínda que o VRRP (Protocolo de redundancia do enrutador virtual) pode empregarse para a redundancia, segue a comportar riscos.
○Gargalo de rendementoTodo o tráfico leste-oeste (comunicación entre servidores) debe omitir a pasarela, o que resulta nunha ruta subóptima. Por exemplo, nun clúster de 1000 nós, se o ancho de banda da pasarela é de 100 Gbps, é probable que se produza conxestión durante as horas punta.
○Escalabilidade deficienteA medida que a escala da rede medra, a carga da pasarela aumenta exponencialmente. Nun exemplo do mundo real, vin un centro de datos financeiro usando unha pasarela centralizada. Inicialmente, funcionaba sen problemas, pero despois de que o número de máquinas virtuais se duplicase, a latencia disparouse de microsegundos a milisegundos.
Escenario de aplicación: Axeitado para entornos que requiren unha alta sinxeleza de xestión, como nubes privadas empresariais ou redes de proba. A arquitectura ACI de Cisco adoita empregar un modelo centralizado, combinado cunha topoloxía de tipo leaf-spine, para garantir un funcionamento eficiente das pasarelas principais.
Pasarela VXLAN distribuída
Unha pasarela VXLAN distribuída, tamén coñecida como pasarela distribuída ou pasarela anycast, descarga a funcionalidade da pasarela a cada conmutador folla ou hipervisor VTEP. Cada VTEP actúa como unha pasarela local, xestionando o reenvío L3 para a subrede local.
O principio é máis flexible: cada VTEP configúrase co mesmo enderezo IP virtual (VIP) que a porta de enlace predeterminada, mediante o mecanismo Anycast. Os paquetes entre subredes enviados polas máquinas virtuais enrutanse directamente no VTEP local, sen ter que pasar por un punto central. A EVPN é especialmente útil neste caso: a través de BGP EVPN, o VTEP aprende as rutas dos hosts remotos e usa a vinculación MAC/IP para evitar as inundacións ARP.
Por exemplo, a máquina virtual A (10.1.1.10) quere acceder á máquina virtual B (10.2.1.10). A porta de enlace predeterminada da máquina virtual A é a VIP do VTEP local (10.1.1.1). O VTEP local enruta á subrede de destino, encapsula o paquete VXLAN e envíao directamente ao VTEP da máquina virtual B. Este proceso minimiza a ruta e a latencia.
Vantaxes destacadas:
○ Alta escalabilidadeDistribuír a funcionalidade da pasarela a cada nodo aumenta o tamaño da rede, o que é beneficioso para redes máis grandes. Os grandes provedores de nube como Google Cloud usan un mecanismo similar para dar soporte a millóns de máquinas virtuais.
○Rendemento superiorO tráfico leste-oeste procésase localmente para evitar os atascos. Os datos de proba mostran que o rendemento pode aumentar entre un 30 % e un 50 % no modo distribuído.
○Recuperación rápida de fallosUn único fallo de VTEP só afecta ao host local, sen afectar aos demais nodos. En combinación coa rápida converxencia de EVPN, o tempo de recuperación é de segundos.
○Bo uso dos recursosUtiliza o chip ASIC do conmutador Leaf existente para a aceleración por hardware, con taxas de reenvío que alcanzan o nivel de Tbps.
Cales son as desvantaxes?
○ Configuración complexaCada VTEP require a configuración do enrutamento, EVPN e outras funcionalidades, o que fai que a implementación inicial leve moito tempo. O equipo de operacións debe estar familiarizado con BGP e SDN.
○Altos requisitos de hardwarePasarela distribuída: Non todos os conmutadores admiten pasarelas distribuídas; requírense chips Broadcom Trident ou Tomahawk. As implementacións de software (como OVS en KVM) non funcionan tan ben como o hardware.
○Desafíos de consistenciaDistribuído significa que a sincronización de estados depende de EVPN. Se a sesión BGP flutúa, pode causar un burato negro de enrutamento.
Escenario de aplicación: Perfecto para centros de datos hiperescalables ou nubes públicas. O enrutador distribuído de VMware NSX-T é un exemplo típico. Combinado con Kubernetes, admite perfectamente as redes de contedores.
Pasarela VxLAN centralizada fronte a pasarela VxLAN distribuída
Agora, imos ao clímax: cal é mellor? A resposta é "depende", pero temos que afondar nos datos e nos estudos de casos para convencerte.
Desde o punto de vista do rendemento, os sistemas distribuídos teñen un rendemento claramente superior. Nunha proba de rendemento típica dun centro de datos (baseada no equipo de proba Spirent), a latencia media dunha pasarela centralizada era de 150 μs, mentres que a dun sistema distribuído era só de 50 μs. En termos de rendemento, os sistemas distribuídos poden lograr facilmente o reenvío de velocidade de liña porque aproveitan o enrutamento Spine-Leaf Equal Cost Multi-Path (ECMP).
A escalabilidade é outro campo de batalla. As redes centralizadas son axeitadas para redes con 100-500 nodos; máis alá desta escala, as redes distribuídas gañan vantaxe. Tomemos como exemplo Alibaba Cloud. A súa VPC (Nube Privada Virtual) usa pasarelas VXLAN distribuídas para dar soporte a millóns de usuarios en todo o mundo, cunha latencia nunha soa rexión inferior a 1 ms. Unha estratexia centralizada xa colapsaría hai moito tempo.
E o custo? Unha solución centralizada ofrece un investimento inicial menor, xa que só require unhas poucas portas de enlace de gama alta. Unha solución distribuída require que todos os nodos folla admitan a descarga de VXLAN, o que leva a custos de actualización de hardware máis elevados. Non obstante, a longo prazo, unha solución distribuída ofrece custos de operación e mantemento máis baixos, xa que as ferramentas de automatización como Ansible permiten a configuración por lotes.
Seguridade e fiabilidade: os sistemas centralizados facilitan a protección centralizada, pero supoñen un alto risco de puntos únicos de ataque. Os sistemas distribuídos son máis resistentes, pero requiren un plano de control robusto para evitar ataques DDoS.
Un caso práctico do mundo real: unha empresa de comercio electrónico empregou unha VXLAN centralizada para construír o seu sitio. Durante os períodos de máxima actividade, o uso da CPU da pasarela disparouse ata o 90 %, o que provocou queixas dos usuarios sobre a latencia. O cambio a un modelo distribuído resolveu o problema, o que permitiu á empresa duplicar facilmente a súa escala. Pola contra, un pequeno banco insistiu nun modelo centralizado porque priorizaba as auditorías de cumprimento e consideraba que a xestión centralizada era máis sinxela.
En xeral, se buscas un rendemento e unha escalabilidade de rede extremos, unha estratexia distribuída é a mellor opción. Se o teu orzamento é limitado e o teu equipo de xestión carece de experiencia, unha estratexia centralizada é máis práctica. No futuro, co auxe do 5G e a computación perimetral, as redes distribuídas faranse máis populares, pero as redes centralizadas seguirán sendo valiosas en escenarios específicos, como a interconexión de sucursais.
Corretores de paquetes de rede Mylinking™soporte para VxLAN, VLAN, GRE, eliminación de cabeceiras MPLS
Compatible coa eliminación da cabeceira VxLAN, VLAN, GRE e MPLS no paquete de datos orixinal e coa saída reenviada.
Data de publicación: 09 de outubro de 2025
