Để thảo luận về cổng VXLAN, trước tiên chúng ta cần tìm hiểu về bản thân VXLAN. Hãy nhớ rằng VLAN (Mạng cục bộ ảo) truyền thống sử dụng ID VLAN 12-bit để phân chia mạng, hỗ trợ tối đa 4096 mạng logic. Điều này hoạt động tốt với các mạng nhỏ, nhưng trong các trung tâm dữ liệu hiện đại, với hàng ngàn máy ảo, container và môi trường đa thuê bao, VLAN là không đủ. VXLAN ra đời, được định nghĩa bởi Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) trong RFC 7348. Mục đích của nó là mở rộng miền phát sóng Lớp 2 (Ethernet) sang mạng Lớp 3 (IP) bằng cách sử dụng đường hầm UDP.
Nói một cách đơn giản, VXLAN đóng gói các khung Ethernet trong các gói UDP và thêm một Mã định danh mạng VXLAN (VNI) 24 bit, về mặt lý thuyết hỗ trợ 16 triệu mạng ảo. Điều này giống như việc cấp cho mỗi mạng ảo một "thẻ nhận dạng", cho phép chúng di chuyển tự do trên mạng vật lý mà không gây nhiễu lẫn nhau. Thành phần cốt lõi của VXLAN là Điểm cuối Đường hầm VXLAN (VTEP), chịu trách nhiệm đóng gói và giải nén các gói tin. VTEP có thể là phần mềm (như Open vSwitch) hoặc phần cứng (như chip ASIC trên bộ chuyển mạch).
Tại sao VXLAN lại phổ biến đến vậy? Bởi vì nó hoàn toàn phù hợp với nhu cầu của điện toán đám mây và SDN (Mạng được định nghĩa bằng phần mềm). Trong các đám mây công cộng như AWS và Azure, VXLAN cho phép mở rộng liền mạch mạng ảo của người thuê. Trong các trung tâm dữ liệu riêng, nó hỗ trợ các kiến trúc mạng chồng lấn như VMware NSX hoặc Cisco ACI. Hãy tưởng tượng một trung tâm dữ liệu với hàng nghìn máy chủ, mỗi máy chủ chạy hàng chục VM (Máy ảo). VXLAN cho phép các VM này tự nhận thức mình là một phần của cùng một mạng Lớp 2, đảm bảo việc truyền tải các yêu cầu ARP broadcast và DHCP được trơn tru.
Tuy nhiên, VXLAN không phải là giải pháp hoàn hảo. Hoạt động trên mạng L3 đòi hỏi phải chuyển đổi từ L2 sang L3, và đó chính là lúc cổng kết nối phát huy tác dụng. Cổng VXLAN kết nối mạng ảo VXLAN với các mạng bên ngoài (chẳng hạn như mạng VLAN truyền thống hoặc mạng định tuyến IP), đảm bảo dữ liệu được truyền từ thế giới ảo đến thế giới thực. Cơ chế chuyển tiếp là trái tim và linh hồn của cổng, quyết định cách các gói tin được xử lý, định tuyến và phân phối.
Quá trình chuyển tiếp VXLAN giống như một vở ba lê tinh tế, với mỗi bước từ nguồn đến đích đều được liên kết chặt chẽ. Hãy cùng phân tích từng bước một.
Đầu tiên, một gói tin được gửi từ máy chủ nguồn (chẳng hạn như máy ảo). Đây là một khung Ethernet tiêu chuẩn chứa địa chỉ MAC nguồn, địa chỉ MAC đích, thẻ VLAN (nếu có) và tải trọng. Khi nhận được khung tin này, VTEP nguồn sẽ kiểm tra địa chỉ MAC đích. Nếu địa chỉ MAC đích nằm trong bảng MAC của nó (thu được thông qua học máy hoặc tràn ngập), nó sẽ biết cần chuyển tiếp gói tin đến VTEP từ xa nào.
Quá trình đóng gói rất quan trọng: VTEP thêm một tiêu đề VXLAN (bao gồm VNI, cờ, v.v.), sau đó là một tiêu đề UDP bên ngoài (với cổng nguồn dựa trên mã băm của khung bên trong và cổng đích cố định là 4789), một tiêu đề IP (với địa chỉ IP nguồn của VTEP cục bộ và địa chỉ IP đích của VTEP từ xa), và cuối cùng là một tiêu đề Ethernet bên ngoài. Toàn bộ gói tin bây giờ sẽ xuất hiện dưới dạng gói UDP/IP, trông giống như lưu lượng bình thường và có thể được định tuyến trên mạng L3.
Trên mạng vật lý, gói tin được chuyển tiếp bởi bộ định tuyến hoặc bộ chuyển mạch cho đến khi đến đích VTEP. VTEP đích sẽ loại bỏ phần tiêu đề bên ngoài, kiểm tra phần tiêu đề VXLAN để đảm bảo VNI khớp, rồi gửi khung Ethernet bên trong đến máy chủ đích. Nếu gói tin là lưu lượng đơn hướng, phát rộng hoặc đa hướng (BUM) không xác định, VTEP sẽ sao chép gói tin đến tất cả các VTEP liên quan bằng cách sử dụng cơ chế tràn ngập (flooding), dựa trên các nhóm đa hướng hoặc sao chép tiêu đề đơn hướng (HER).
Cốt lõi của nguyên lý chuyển tiếp là sự tách biệt giữa mặt phẳng điều khiển và mặt phẳng dữ liệu. Mặt phẳng điều khiển sử dụng Ethernet VPN (EVPN) hoặc cơ chế Flood and Learn để học ánh xạ MAC và IP. EVPN dựa trên giao thức BGP và cho phép các VTEP trao đổi thông tin định tuyến, chẳng hạn như MAC-VRF (Định tuyến và Chuyển tiếp Ảo) và IP-VRF. Mặt phẳng dữ liệu chịu trách nhiệm chuyển tiếp thực tế, sử dụng đường hầm VXLAN để truyền tải hiệu quả.
Tuy nhiên, trong triển khai thực tế, hiệu quả chuyển tiếp ảnh hưởng trực tiếp đến hiệu suất. Cơ chế tràn ngập truyền thống có thể dễ dàng gây ra bão phát sóng, đặc biệt là trong các mạng lớn. Điều này dẫn đến nhu cầu tối ưu hóa cổng: cổng không chỉ kết nối mạng nội bộ và mạng bên ngoài mà còn hoạt động như các tác nhân ARP proxy, xử lý rò rỉ tuyến đường và đảm bảo đường dẫn chuyển tiếp ngắn nhất.
Cổng VXLAN tập trung
Cổng VXLAN tập trung, còn được gọi là cổng tập trung hoặc cổng L3, thường được triển khai ở lớp biên hoặc lớp lõi của trung tâm dữ liệu. Nó hoạt động như một hub trung tâm, nơi tất cả lưu lượng truy cập xuyên mạng VNI hoặc xuyên mạng con phải đi qua.
Về nguyên tắc, một cổng tập trung hoạt động như một cổng mặc định, cung cấp dịch vụ định tuyến Lớp 3 cho tất cả các mạng VXLAN. Hãy xem xét hai VNI: VNI 10000 (mạng con 10.1.1.0/24) và VNI 20000 (mạng con 10.2.1.0/24). Nếu máy ảo A trong VNI 10000 muốn truy cập máy ảo B trong VNI 20000, gói tin sẽ đến VTEP cục bộ trước. VTEP cục bộ phát hiện địa chỉ IP đích không nằm trong mạng con cục bộ và chuyển tiếp đến cổng tập trung. Cổng sẽ giải nén gói tin, đưa ra quyết định định tuyến và sau đó đóng gói lại gói tin vào đường hầm đến VNI đích.
Những lợi thế rất rõ ràng:
○ Quản lý đơn giảnTất cả cấu hình định tuyến đều được tập trung trên một hoặc hai thiết bị, cho phép người vận hành chỉ cần duy trì một vài cổng để bao phủ toàn bộ mạng. Phương pháp này phù hợp với các trung tâm dữ liệu vừa và nhỏ hoặc các môi trường triển khai VXLAN lần đầu.
○Hiệu quả tài nguyênCổng kết nối thường là phần cứng hiệu suất cao (chẳng hạn như Cisco Nexus 9000 hoặc Arista 7050) có khả năng xử lý lưu lượng truy cập khổng lồ. Mặt phẳng điều khiển được tập trung hóa, tạo điều kiện tích hợp với các bộ điều khiển SDN như NSX Manager.
○Kiểm soát an ninh mạnh mẽLưu lượng phải đi qua cổng, tạo điều kiện thuận lợi cho việc triển khai ACL (Danh sách Kiểm soát Truy cập), tường lửa và NAT. Hãy tưởng tượng một kịch bản đa thuê bao, trong đó một cổng tập trung có thể dễ dàng cô lập lưu lượng thuê bao.
Nhưng không thể bỏ qua những thiếu sót:
○ Điểm lỗi duy nhấtNếu cổng kết nối bị lỗi, giao tiếp L3 trên toàn bộ mạng sẽ bị tê liệt. Mặc dù VRRP (Giao thức Dự phòng Bộ định tuyến Ảo) có thể được sử dụng để dự phòng, nhưng nó vẫn tiềm ẩn nhiều rủi ro.
○Nút thắt hiệu suấtTất cả lưu lượng truyền tải theo hướng Đông-Tây (giao tiếp giữa các máy chủ) phải bỏ qua cổng, dẫn đến đường dẫn không tối ưu. Ví dụ: trong một cụm 1000 nút, nếu băng thông cổng là 100Gbps, tình trạng tắc nghẽn có thể xảy ra vào giờ cao điểm.
○Khả năng mở rộng kémKhi quy mô mạng tăng lên, tải cổng kết nối cũng tăng theo cấp số nhân. Trong một ví dụ thực tế, tôi đã thấy một trung tâm dữ liệu tài chính sử dụng cổng kết nối tập trung. Ban đầu, nó hoạt động trơn tru, nhưng sau khi số lượng máy ảo (VM) tăng gấp đôi, độ trễ tăng vọt từ micro giây lên mili giây.
Kịch bản ứng dụng: Phù hợp với các môi trường yêu cầu tính đơn giản cao trong quản lý, chẳng hạn như đám mây riêng doanh nghiệp hoặc mạng thử nghiệm. Kiến trúc ACI của Cisco thường sử dụng mô hình tập trung, kết hợp với cấu trúc liên kết lá-xương sống, để đảm bảo hoạt động hiệu quả của các cổng lõi.
Cổng VXLAN phân tán
Cổng VXLAN phân tán, còn được gọi là cổng phân tán hoặc cổng anycast, chuyển giao chức năng cổng cho mỗi switch lá hoặc bộ siêu giám sát VTEP. Mỗi VTEP hoạt động như một cổng cục bộ, xử lý chuyển tiếp L3 cho mạng con cục bộ.
Nguyên lý này linh hoạt hơn: mỗi VTEP được cấu hình với cùng một IP ảo (VIP) với cổng mặc định, sử dụng cơ chế Anycast. Các gói tin liên mạng con do máy ảo (VM) gửi đi được định tuyến trực tiếp trên VTEP cục bộ mà không cần phải thông qua một điểm trung tâm. EVPN đặc biệt hữu ích ở đây: thông qua BGP EVPN, VTEP học các tuyến đường của máy chủ từ xa và sử dụng liên kết MAC/IP để tránh tình trạng tràn ngập ARP.
Ví dụ, VM A (10.1.1.10) muốn truy cập VM B (10.2.1.10). Cổng mặc định của VM A là VIP của VTEP cục bộ (10.1.1.1). VTEP cục bộ định tuyến đến mạng con đích, đóng gói gói VXLAN và gửi trực tiếp đến VTEP của VM B. Quá trình này giảm thiểu đường dẫn và độ trễ.
Ưu điểm nổi bật:
○ Khả năng mở rộng caoViệc phân phối chức năng cổng kết nối đến mọi nút sẽ làm tăng kích thước mạng, điều này có lợi cho các mạng lớn hơn. Các nhà cung cấp dịch vụ đám mây lớn như Google Cloud sử dụng cơ chế tương tự để hỗ trợ hàng triệu máy ảo (VM).
○Hiệu suất vượt trộiLưu lượng giao thông Đông-Tây được xử lý cục bộ để tránh tắc nghẽn. Dữ liệu thử nghiệm cho thấy thông lượng có thể tăng 30%-50% ở chế độ phân tán.
○Phục hồi lỗi nhanh chóngMột lỗi VTEP duy nhất chỉ ảnh hưởng đến máy chủ cục bộ, không ảnh hưởng đến các nút khác. Kết hợp với khả năng hội tụ nhanh chóng của EVPN, thời gian phục hồi chỉ tính bằng giây.
○Sử dụng tốt tài nguyênSử dụng chip ASIC của bộ chuyển mạch Leaf hiện có để tăng tốc phần cứng, với tốc độ chuyển tiếp đạt mức Tbps.
Nhược điểm là gì?
○ Cấu hình phức tạpMỗi VTEP yêu cầu cấu hình định tuyến, EVPN và các tính năng khác, khiến việc triển khai ban đầu tốn nhiều thời gian. Đội ngũ vận hành phải quen thuộc với BGP và SDN.
○Yêu cầu phần cứng caoCổng phân tán: Không phải tất cả các thiết bị chuyển mạch đều hỗ trợ cổng phân tán; cần có chip Broadcom Trident hoặc Tomahawk. Việc triển khai phần mềm (như OVS trên KVM) không hiệu quả bằng phần cứng.
○Thách thức về tính nhất quánPhân tán có nghĩa là đồng bộ hóa trạng thái dựa trên EVPN. Nếu phiên BGP dao động, nó có thể gây ra lỗ đen định tuyến.
Kịch bản ứng dụng: Hoàn hảo cho các trung tâm dữ liệu siêu quy mô hoặc đám mây công cộng. Bộ định tuyến phân tán VMware NSX-T là một ví dụ điển hình. Kết hợp với Kubernetes, nó hỗ trợ mạng container một cách liền mạch.
Cổng VxLAN tập trung so với Cổng VxLAN phân tán
Giờ đến phần cao trào: cái nào tốt hơn? Câu trả lời là "tùy", nhưng chúng ta phải đào sâu vào dữ liệu và các nghiên cứu điển hình để thuyết phục bạn.
Xét về hiệu suất, hệ thống phân tán rõ ràng vượt trội hơn hẳn. Trong một bài kiểm tra chuẩn mực trung tâm dữ liệu điển hình (dựa trên thiết bị kiểm tra Spirent), độ trễ trung bình của một cổng tập trung là 150μs, trong khi độ trễ của hệ thống phân tán chỉ là 50μs. Về thông lượng, hệ thống phân tán có thể dễ dàng đạt được tốc độ đường truyền chuyển tiếp nhờ tận dụng định tuyến đa đường chi phí bằng nhau Spine-Leaf (ECMP).
Khả năng mở rộng cũng là một chiến trường khác. Mạng tập trung phù hợp với các mạng có 100-500 nút; vượt quá quy mô này, mạng phân tán sẽ chiếm ưu thế. Lấy Alibaba Cloud làm ví dụ. VPC (Đám mây riêng ảo) của họ sử dụng các cổng VXLAN phân tán để hỗ trợ hàng triệu người dùng trên toàn thế giới, với độ trễ vùng đơn dưới 1ms. Một phương pháp tập trung đã sụp đổ từ lâu.
Chi phí thì sao? Giải pháp tập trung mang lại chi phí đầu tư ban đầu thấp hơn, chỉ cần một vài cổng kết nối cao cấp. Giải pháp phân tán yêu cầu tất cả các nút lá phải hỗ trợ chuyển tải VXLAN, dẫn đến chi phí nâng cấp phần cứng cao hơn. Tuy nhiên, về lâu dài, giải pháp phân tán mang lại chi phí vận hành và bảo trì thấp hơn, vì các công cụ tự động hóa như Ansible cho phép cấu hình hàng loạt.
Bảo mật và độ tin cậy: Hệ thống tập trung tạo điều kiện bảo vệ tập trung nhưng tiềm ẩn nguy cơ cao bị tấn công đơn lẻ. Hệ thống phân tán có khả năng phục hồi tốt hơn nhưng cần một mặt phẳng điều khiển mạnh mẽ để ngăn chặn các cuộc tấn công DDoS.
Một nghiên cứu điển hình thực tế: Một công ty thương mại điện tử đã sử dụng VXLAN tập trung để xây dựng trang web. Trong những giai đoạn cao điểm, mức sử dụng CPU của cổng kết nối tăng vọt lên 90%, dẫn đến việc người dùng phàn nàn về độ trễ. Việc chuyển sang mô hình phân tán đã giải quyết được vấn đề, cho phép công ty dễ dàng tăng gấp đôi quy mô. Ngược lại, một ngân hàng nhỏ lại khăng khăng sử dụng mô hình tập trung vì họ ưu tiên kiểm toán tuân thủ và thấy việc quản lý tập trung dễ dàng hơn.
Nhìn chung, nếu bạn đang tìm kiếm hiệu suất và quy mô mạng cực cao, giải pháp phân tán là lựa chọn phù hợp. Nếu ngân sách hạn hẹp và đội ngũ quản lý thiếu kinh nghiệm, giải pháp tập trung sẽ thiết thực hơn. Trong tương lai, với sự phát triển của 5G và điện toán biên, mạng phân tán sẽ trở nên phổ biến hơn, nhưng mạng tập trung vẫn sẽ có giá trị trong một số trường hợp cụ thể, chẳng hạn như kết nối văn phòng chi nhánh.
Bộ môi giới gói mạng Mylinking™hỗ trợ VxLAN, VLAN, GRE, MPLS Header Stripping
Hỗ trợ tiêu đề VxLAN, VLAN, GRE, MPLS bị loại bỏ trong gói dữ liệu gốc và chuyển tiếp đầu ra.
Thời gian đăng: 09-10-2025
