Để thảo luận về cổng VXLAN, trước tiên chúng ta phải tìm hiểu về chính VXLAN. Hãy nhớ rằng các VLAN truyền thống (Mạng cục bộ ảo) sử dụng ID VLAN 12 bit để phân chia mạng, hỗ trợ tối đa 4096 mạng logic. Điều này hoạt động tốt đối với các mạng nhỏ, nhưng trong các trung tâm dữ liệu hiện đại, với hàng ngàn máy ảo, container và môi trường đa người dùng, VLAN không còn đủ. VXLAN ra đời, được định nghĩa bởi Lực lượng đặc nhiệm kỹ thuật Internet (IETF) trong RFC 7348. Mục đích của nó là mở rộng miền phát sóng Lớp 2 (Ethernet) trên các mạng Lớp 3 (IP) bằng cách sử dụng các đường hầm UDP.
Nói một cách đơn giản, VXLAN đóng gói các khung Ethernet bên trong các gói UDP và thêm một Mã định danh mạng VXLAN (VNI) 24 bit, về mặt lý thuyết hỗ trợ 16 triệu mạng ảo. Điều này giống như việc cấp cho mỗi mạng ảo một "thẻ nhận dạng", cho phép chúng di chuyển tự do trên mạng vật lý mà không gây nhiễu lẫn nhau. Thành phần cốt lõi của VXLAN là Điểm cuối đường hầm VXLAN (VTEP), chịu trách nhiệm đóng gói và giải mã các gói. VTEP có thể là phần mềm (như Open vSwitch) hoặc phần cứng (như chip ASIC trên bộ chuyển mạch).
Tại sao VXLAN lại phổ biến đến vậy? Bởi vì nó hoàn toàn phù hợp với nhu cầu của điện toán đám mây và SDN (Mạng được định nghĩa bằng phần mềm). Trong các đám mây công cộng như AWS và Azure, VXLAN cho phép mở rộng liền mạch các mạng ảo của người dùng. Trong các trung tâm dữ liệu riêng, nó hỗ trợ các kiến trúc mạng lớp phủ như VMware NSX hoặc Cisco ACI. Hãy tưởng tượng một trung tâm dữ liệu với hàng nghìn máy chủ, mỗi máy chủ chạy hàng chục máy ảo (VM). VXLAN cho phép các VM này tự nhận thức mình là một phần của cùng một mạng lớp 2, đảm bảo truyền tải mượt mà các bản tin ARP và yêu cầu DHCP.
Tuy nhiên, VXLAN không phải là giải pháp vạn năng. Hoạt động trên mạng L3 yêu cầu chuyển đổi từ L2 sang L3, đó là nơi mà cổng VXLAN phát huy tác dụng. Cổng VXLAN kết nối mạng ảo VXLAN với các mạng bên ngoài (chẳng hạn như các VLAN truyền thống hoặc mạng định tuyến IP), đảm bảo dữ liệu được truyền từ thế giới ảo sang thế giới thực. Cơ chế chuyển tiếp là trái tim và linh hồn của cổng, quyết định cách các gói tin được xử lý, định tuyến và phân phối.
Quá trình chuyển tiếp VXLAN giống như một điệu múa ba lê tinh tế, với mỗi bước từ nguồn đến đích đều liên kết chặt chẽ với nhau. Hãy cùng phân tích từng bước một.
Đầu tiên, một gói tin được gửi từ máy chủ nguồn (chẳng hạn như máy ảo). Đây là một khung Ethernet tiêu chuẩn chứa địa chỉ MAC nguồn, địa chỉ MAC đích, thẻ VLAN (nếu có) và dữ liệu. Sau khi nhận được khung này, VTEP nguồn kiểm tra địa chỉ MAC đích. Nếu địa chỉ MAC đích có trong bảng MAC của nó (được lấy thông qua học hoặc truyền tải), nó sẽ biết VTEP từ xa nào cần chuyển tiếp gói tin đến.
Quá trình đóng gói rất quan trọng: VTEP thêm một tiêu đề VXLAN (bao gồm VNI, cờ, v.v.), sau đó là một tiêu đề UDP bên ngoài (với cổng nguồn dựa trên hàm băm của khung bên trong và cổng đích cố định là 4789), một tiêu đề IP (với địa chỉ IP nguồn của VTEP cục bộ và địa chỉ IP đích của VTEP từ xa), và cuối cùng là một tiêu đề Ethernet bên ngoài. Toàn bộ gói tin lúc này xuất hiện dưới dạng gói UDP/IP, trông giống như lưu lượng truy cập thông thường và có thể được định tuyến trên mạng L3.
Trên mạng vật lý, gói tin được chuyển tiếp bởi bộ định tuyến hoặc bộ chuyển mạch cho đến khi đến VTEP đích. VTEP đích loại bỏ tiêu đề bên ngoài, kiểm tra tiêu đề VXLAN để đảm bảo VNI khớp, sau đó chuyển khung Ethernet bên trong đến máy chủ đích. Nếu gói tin là lưu lượng unicast, broadcast hoặc multicast (BUM) không xác định, VTEP sẽ sao chép gói tin đến tất cả các VTEP liên quan bằng cách sử dụng phương pháp tràn ngập, dựa vào các nhóm multicast hoặc sao chép tiêu đề unicast (HER).
Nguyên tắc cốt lõi của chuyển tiếp là sự tách biệt giữa mặt phẳng điều khiển và mặt phẳng dữ liệu. Mặt phẳng điều khiển sử dụng Ethernet VPN (EVPN) hoặc cơ chế Flood and Learn để học ánh xạ MAC và IP. EVPN dựa trên giao thức BGP và cho phép các VTEP trao đổi thông tin định tuyến, chẳng hạn như MAC-VRF (Định tuyến và Chuyển tiếp ảo) và IP-VRF. Mặt phẳng dữ liệu chịu trách nhiệm chuyển tiếp thực tế, sử dụng các đường hầm VXLAN để truyền tải hiệu quả.
Tuy nhiên, trong thực tế triển khai, hiệu quả chuyển tiếp ảnh hưởng trực tiếp đến hiệu năng. Phương pháp truyền tin tràn ngập truyền thống dễ gây ra hiện tượng bão phát sóng, đặc biệt là trong các mạng lớn. Điều này dẫn đến nhu cầu tối ưu hóa cổng: cổng không chỉ kết nối mạng nội bộ và mạng bên ngoài mà còn hoạt động như các tác nhân ARP proxy, xử lý rò rỉ tuyến đường và đảm bảo đường dẫn chuyển tiếp ngắn nhất.
Cổng VXLAN tập trung
Cổng VXLAN tập trung, còn được gọi là cổng tập trung hoặc cổng L3, thường được triển khai ở lớp biên hoặc lớp lõi của trung tâm dữ liệu. Nó hoạt động như một trung tâm điều khiển, nơi mà tất cả lưu lượng truy cập giữa các VNI hoặc giữa các mạng con phải đi qua.
Về nguyên tắc, một cổng tập trung hoạt động như cổng mặc định, cung cấp dịch vụ định tuyến lớp 3 cho tất cả các mạng VXLAN. Xét hai VNI: VNI 10000 (mạng con 10.1.1.0/24) và VNI 20000 (mạng con 10.2.1.0/24). Nếu VM A trong VNI 10000 muốn truy cập VM B trong VNI 20000, gói tin trước tiên sẽ đến VTEP cục bộ. VTEP cục bộ phát hiện ra rằng địa chỉ IP đích không nằm trên mạng con cục bộ và chuyển tiếp nó đến cổng tập trung. Cổng sẽ giải mã gói tin, đưa ra quyết định định tuyến, và sau đó đóng gói lại gói tin vào một đường hầm đến VNI đích.
Ưu điểm thì quá rõ ràng:
○ Quản lý đơn giảnTất cả cấu hình định tuyến đều được tập trung trên một hoặc hai thiết bị, cho phép người vận hành chỉ cần duy trì một vài cổng để bao phủ toàn bộ mạng. Cách tiếp cận này phù hợp với các trung tâm dữ liệu quy mô nhỏ và trung bình hoặc các môi trường triển khai VXLAN lần đầu tiên.
○Tiết kiệm tài nguyênCác thiết bị gateway thường là phần cứng hiệu năng cao (như Cisco Nexus 9000 hoặc Arista 7050) có khả năng xử lý lượng lưu lượng truy cập khổng lồ. Mặt điều khiển được tập trung hóa, tạo điều kiện thuận lợi cho việc tích hợp với các bộ điều khiển SDN như NSX Manager.
○Kiểm soát an ninh mạnh mẽLưu lượng truy cập phải đi qua cổng, tạo điều kiện thuận lợi cho việc triển khai ACL (Danh sách kiểm soát truy cập), tường lửa và NAT. Hãy tưởng tượng một kịch bản đa người dùng, nơi một cổng tập trung có thể dễ dàng cô lập lưu lượng truy cập của từng người dùng.
Nhưng những thiếu sót không thể bị bỏ qua:
○ Điểm yếu duy nhấtNếu cổng kết nối gặp sự cố, quá trình giao tiếp L3 trên toàn mạng sẽ bị tê liệt. Mặc dù giao thức VRRP (Virtual Router Redundancy Protocol) có thể được sử dụng để dự phòng, nhưng nó vẫn tiềm ẩn rủi ro.
○Điểm nghẽn hiệu năngTất cả lưu lượng truy cập đông-tây (giao tiếp giữa các máy chủ) đều phải bỏ qua cổng kết nối, dẫn đến đường dẫn không tối ưu. Ví dụ, trong một cụm 1000 nút, nếu băng thông của cổng kết nối là 100Gbps, tắc nghẽn rất có thể xảy ra trong giờ cao điểm.
○Khả năng mở rộng kémKhi quy mô mạng tăng lên, tải trọng của cổng kết nối cũng tăng theo cấp số nhân. Trong một ví dụ thực tế, tôi đã thấy một trung tâm dữ liệu tài chính sử dụng cổng kết nối tập trung. Ban đầu, nó hoạt động trơn tru, nhưng sau khi số lượng máy ảo tăng gấp đôi, độ trễ tăng vọt từ micro giây lên mili giây.
Kịch bản ứng dụng: Phù hợp với các môi trường yêu cầu quản lý đơn giản cao, chẳng hạn như đám mây riêng của doanh nghiệp hoặc mạng thử nghiệm. Kiến trúc ACI của Cisco thường sử dụng mô hình tập trung, kết hợp với cấu trúc liên kết lá-xương sống, để đảm bảo hoạt động hiệu quả của các cổng lõi.
Cổng VXLAN phân tán
Cổng VXLAN phân tán, còn được gọi là cổng phân tán hoặc cổng anycast, chuyển giao chức năng cổng cho mỗi switch lá hoặc VTEP của hypervisor. Mỗi VTEP hoạt động như một cổng cục bộ, xử lý chuyển tiếp L3 cho mạng con cục bộ.
Nguyên tắc này linh hoạt hơn: mỗi VTEP được cấu hình với cùng một địa chỉ IP ảo (VIP) như cổng mặc định, sử dụng cơ chế Anycast. Các gói tin liên mạng được gửi bởi các máy ảo được định tuyến trực tiếp trên VTEP cục bộ, mà không cần phải đi qua một điểm trung tâm. EVPN đặc biệt hữu ích ở đây: thông qua BGP EVPN, VTEP học được các tuyến đường của các máy chủ từ xa và sử dụng liên kết MAC/IP để tránh tấn công tràn ARP.
Ví dụ, máy ảo A (10.1.1.10) muốn truy cập máy ảo B (10.2.1.10). Cổng mặc định của máy ảo A là VIP của VTEP cục bộ (10.1.1.1). VTEP cục bộ định tuyến đến mạng con đích, đóng gói gói VXLAN và gửi trực tiếp đến VTEP của máy ảo B. Quá trình này giúp giảm thiểu đường dẫn và độ trễ.
Ưu điểm vượt trội:
○ Khả năng mở rộng caoPhân bổ chức năng cổng kết nối đến mọi nút sẽ làm tăng kích thước mạng, điều này có lợi cho các mạng lớn. Các nhà cung cấp dịch vụ đám mây lớn như Google Cloud sử dụng cơ chế tương tự để hỗ trợ hàng triệu máy ảo.
○Hiệu suất vượt trộiLưu lượng truy cập Đông-Tây được xử lý cục bộ để tránh tắc nghẽn. Dữ liệu thử nghiệm cho thấy thông lượng có thể tăng 30%-50% ở chế độ phân tán.
○Khôi phục lỗi nhanh chóngMột lỗi VTEP duy nhất chỉ ảnh hưởng đến máy chủ cục bộ, không ảnh hưởng đến các nút khác. Kết hợp với khả năng hội tụ nhanh chóng của EVPN, thời gian phục hồi chỉ tính bằng giây.
○Sử dụng nguồn lực hiệu quảTận dụng chip ASIC chuyển mạch Leaf hiện có để tăng tốc phần cứng, với tốc độ chuyển tiếp đạt mức Tbps.
Những nhược điểm là gì?
○ Cấu hình phức tạpMỗi VTEP yêu cầu cấu hình định tuyến, EVPN và các tính năng khác, khiến quá trình triển khai ban đầu tốn nhiều thời gian. Nhóm vận hành phải quen thuộc với BGP và SDN.
○Yêu cầu phần cứng caoCổng phân tán: Không phải tất cả các thiết bị chuyển mạch đều hỗ trợ cổng phân tán; cần có chip Broadcom Trident hoặc Tomahawk. Các triển khai phần mềm (như OVS trên KVM) không hoạt động tốt bằng phần cứng.
○Thách thức về tính nhất quán"Phân tán" có nghĩa là việc đồng bộ hóa trạng thái dựa trên EVPN. Nếu phiên BGP biến động, nó có thể gây ra hiện tượng mất kết nối định tuyến.
Ứng dụng thực tế: Hoàn hảo cho các trung tâm dữ liệu siêu quy mô hoặc điện toán đám mây công cộng. Bộ định tuyến phân tán của VMware NSX-T là một ví dụ điển hình. Kết hợp với Kubernetes, nó hỗ trợ mạng container một cách liền mạch.
Cổng VxLAN tập trung so với cổng VxLAN phân tán
Giờ đến phần cao trào: cái nào tốt hơn? Câu trả lời là "tùy thuộc vào từng trường hợp", nhưng chúng ta cần phân tích kỹ lưỡng dữ liệu và các nghiên cứu trường hợp để thuyết phục bạn.
Xét về hiệu năng, các hệ thống phân tán rõ ràng vượt trội hơn. Trong một bài kiểm tra hiệu năng trung tâm dữ liệu điển hình (dựa trên thiết bị kiểm tra của Spirent), độ trễ trung bình của một cổng tập trung là 150μs, trong khi đó của một hệ thống phân tán chỉ là 50μs. Về thông lượng, các hệ thống phân tán có thể dễ dàng đạt được tốc độ truyền tải tối đa vì chúng tận dụng định tuyến Spine-Leaf Equal Cost Multi-Path (ECMP).
Khả năng mở rộng là một chiến trường khác. Mạng lưới tập trung phù hợp với các mạng có từ 100 đến 500 nút; vượt quá quy mô này, mạng lưới phân tán sẽ chiếm ưu thế. Ví dụ, hãy xem Alibaba Cloud. VPC (Virtual Private Cloud) của họ sử dụng các cổng VXLAN phân tán để hỗ trợ hàng triệu người dùng trên toàn thế giới, với độ trễ trong một khu vực duy nhất dưới 1ms. Một phương pháp tập trung đã sụp đổ từ lâu.
Còn về chi phí thì sao? Giải pháp tập trung có chi phí đầu tư ban đầu thấp hơn, chỉ cần một vài thiết bị gateway cao cấp. Giải pháp phân tán yêu cầu tất cả các node biên phải hỗ trợ VXLAN offload, dẫn đến chi phí nâng cấp phần cứng cao hơn. Tuy nhiên, về lâu dài, giải pháp phân tán có chi phí vận hành và bảo trì thấp hơn, vì các công cụ tự động hóa như Ansible cho phép cấu hình hàng loạt.
Bảo mật và độ tin cậy: Hệ thống tập trung tạo điều kiện thuận lợi cho việc bảo vệ tập trung nhưng tiềm ẩn rủi ro cao về các điểm tấn công đơn lẻ. Hệ thống phân tán có khả năng phục hồi tốt hơn nhưng yêu cầu một mặt phẳng điều khiển mạnh mẽ để ngăn chặn các cuộc tấn công DDoS.
Một ví dụ thực tế: Một công ty thương mại điện tử sử dụng VXLAN tập trung để xây dựng trang web của mình. Trong giờ cao điểm, mức sử dụng CPU của cổng mạng tăng vọt lên 90%, dẫn đến người dùng phàn nàn về độ trễ. Việc chuyển sang mô hình phân tán đã giải quyết được vấn đề, cho phép công ty dễ dàng tăng gấp đôi quy mô. Ngược lại, một ngân hàng nhỏ lại kiên quyết sử dụng mô hình tập trung vì họ ưu tiên các cuộc kiểm toán tuân thủ và nhận thấy việc quản lý tập trung dễ dàng hơn.
Nhìn chung, nếu bạn đang tìm kiếm hiệu năng và khả năng mở rộng mạng cực cao, phương pháp phân tán là lựa chọn tối ưu. Nếu ngân sách hạn chế và đội ngũ quản lý thiếu kinh nghiệm, phương pháp tập trung sẽ thực tế hơn. Trong tương lai, với sự phát triển của 5G và điện toán biên, mạng phân tán sẽ trở nên phổ biến hơn, nhưng mạng tập trung vẫn sẽ có giá trị trong các trường hợp cụ thể, chẳng hạn như kết nối giữa các chi nhánh.
Bộ điều phối gói mạng Mylinking™Hỗ trợ VxLAN, VLAN, GRE, MPLS Header Stripping
Hỗ trợ việc loại bỏ tiêu đề VxLAN, VLAN, GRE, MPLS trong gói dữ liệu gốc và đầu ra được chuyển tiếp.
Thời gian đăng bài: 09/10/2025
