Tweet
Khái niệm VLAN thì ai ai cũng biết. Còn VxLAN thì sao? Không phải ai cũng biết. Đọc ngay bài này để giải quyết một lần cho xong khái niệm VxLAN và ứng dụng của VxLAN trong hạ tầng mạng hiện đại.
Dưới đây là phân tích kỹ thuật chuyên sâu về VXLAN (Virtual Extensible LAN) – một công nghệ overlay network rất phổ biến trong các hệ thống datacenter hiện đại, đặc biệt trong SDN và cloud infrastructure như VMware NSX, Cisco ACI, hay OpenStack. Bài đọc này chỉ tốn có 10 phút. Ráng đọc hết nha các bạn!
Tổng Quan VXLAN
VXLAN là một giao thức mạng được thiết kế để mở rộng Layer 2 (L2) mạng LAN qua Layer 3 (L3) network, nhằm khắc phục giới hạn về số lượng VLAN (4096 VLANs – 12-bit VLAN ID) và để hỗ trợ các môi trường multi-tenant trong cloud/datacenter.
VXLAN là một giao thức mạng được thiết kế để nhằm khắc phục giới hạn về số lượng VLAN (4096 VLANs – 12-bit VLAN ID). Ngày xưa người ta dành quá ít bit trong khung dot1q để chứa số lượng VLAN. Điều đó dẫn đến số lượng VLAN tối đa có thể tạo ra trong mạng doanh nghiệp chỉ là 4092.
Kiến Trúc VXLAN
Xem hình thì các trường của VxLAN header như sau. Chú ý! Chú ý! Cách VxLAN header được router/switch bọc bên ngoài gói tin hoặc frame. Nó đóng gói kiểu khác với dot1q. Bọc bên ngoài!
VNI (VXLAN Network Identifier): 24-bit ⇒ hỗ trợ 16 triệu (2^24) network segments. Tạo VLAN thoải mái!
Underlay IP: IP thuộc L3 underlay network. Gói tin của mình phải đường truyền trên mạng nào đó. Mạng giúp mình truyền gói tin (sau khi đã bọc VxLAN) thì gọi là mạng underlay.
Overlay MAC/IP: đại diện cho máy ảo hoặc container bên trong mạng ảo.
VẤN ĐỀ CHUYỂN GÓI TIN Forwarding trong VXLAN
Để gói tin được gửi đi, chúng ta sẽ cần phần định tuyến. Cái đó gọi là Control Plane. Control Plane phổ biến mà các bạn cần nắm là EVPN. Nhớ theo dõi để mai mốt mình sẽ giải thích về EVPN.
Cũng giống như trong định tuyến gói tin truyền thống, VxLAN có các kiểu truyền như sau:
a. Unicast VXLAN (Head-End Replication – HER)
VXLAN và Bảo mật
Triển khai thực tế
Ví dụ: VXLAN trong môi trường Leaf-Spine với EVPN
Dưới đây là phân tích kỹ thuật chuyên sâu về VXLAN (Virtual Extensible LAN) – một công nghệ overlay network rất phổ biến trong các hệ thống datacenter hiện đại, đặc biệt trong SDN và cloud infrastructure như VMware NSX, Cisco ACI, hay OpenStack. Bài đọc này chỉ tốn có 10 phút. Ráng đọc hết nha các bạn!
Tổng Quan VXLANVXLAN là một giao thức mạng được thiết kế để mở rộng Layer 2 (L2) mạng LAN qua Layer 3 (L3) network, nhằm khắc phục giới hạn về số lượng VLAN (4096 VLANs – 12-bit VLAN ID) và để hỗ trợ các môi trường multi-tenant trong cloud/datacenter.
VXLAN là một giao thức mạng được thiết kế để nhằm khắc phục giới hạn về số lượng VLAN (4096 VLANs – 12-bit VLAN ID). Ngày xưa người ta dành quá ít bit trong khung dot1q để chứa số lượng VLAN. Điều đó dẫn đến số lượng VLAN tối đa có thể tạo ra trong mạng doanh nghiệp chỉ là 4092.
Kiến Trúc VXLANXem hình thì các trường của VxLAN header như sau. Chú ý! Chú ý! Cách VxLAN header được router/switch bọc bên ngoài gói tin hoặc frame. Nó đóng gói kiểu khác với dot1q. Bọc bên ngoài!
VNI (VXLAN Network Identifier): 24-bit ⇒ hỗ trợ 16 triệu (2^24) network segments. Tạo VLAN thoải mái!
- UDP Port: thường dùng là 4789 hoặc 8472 (trong VMware).
- Encapsulation overhead: khoảng 50 bytes (tùy vào MTU cần tính toán kỹ).
- VTEP là thiết bị thực hiện encapsulation và decapsulation VXLAN frame.
- VTEP là con switch hoặc con router của mình thôi.
- VTEP có:
Underlay IP: IP thuộc L3 underlay network. Gói tin của mình phải đường truyền trên mạng nào đó. Mạng giúp mình truyền gói tin (sau khi đã bọc VxLAN) thì gọi là mạng underlay.
Overlay MAC/IP: đại diện cho máy ảo hoặc container bên trong mạng ảo.
VẤN ĐỀ CHUYỂN GÓI TIN Forwarding trong VXLANĐể gói tin được gửi đi, chúng ta sẽ cần phần định tuyến. Cái đó gọi là Control Plane. Control Plane phổ biến mà các bạn cần nắm là EVPN. Nhớ theo dõi để mai mốt mình sẽ giải thích về EVPN.
Cũng giống như trong định tuyến gói tin truyền thống, VxLAN có các kiểu truyền như sau:
a. Unicast VXLAN (Head-End Replication – HER)
- Mỗi VTEP biết MAC→VTEP mapping (MAC learning).
- Broadcast, Unknown unicast, and Multicast (BUM) được nhân bản tại VTEP nguồn và gửi qua unicast đến các VTEP khác.
- Sử dụng multicast nhóm trong underlay.
- Mỗi VNI ánh xạ tới một multicast group IP.
- Cần cấu hình PIM/IGMP trên mạng vật lý.
- EVPN (Ethernet VPN – RFC 7432) sử dụng BGP để phân phối thông tin MAC/IP.
- Giải pháp này scalable và hiệu quả hơn Head-End Replication.
- Thường dùng trong các datacenter spine-leaf với BGP EVPN control plane.
VXLAN và Bảo mật- VXLAN không có cơ chế mã hóa ⇒ có thể kết hợp với:
IPSec tunnels.
MACsec trong physical network.
- VXLAN không built-in authentication, nên thường kết hợp với các giải pháp kiểm soát truy cập khác.
- VxLAN chỉ là một kỹ thuật đóng gói khác nên nói xếp vào Chức năng dữ liệu (Data Plane)
Triển khai thực tếVí dụ: VXLAN trong môi trường Leaf-Spine với EVPN
- Spine switch chạy EVPN BGP route reflector.
- Leaf switch chạy VTEP, nối trực tiếp tới servers (ESXi, KVM, vSwitch).
- VXLAN overlay cho phép máy ảo nằm ở các leaf khác nhau giao tiếp như trong cùng VLAN.
- MTU >= 1550 để hỗ trợ cho các phần đóng gói mới thêm vào của VxLAN - encapsulation overhead.
- ECMP dùng để load balance các VXLAN tunnel.
- VNI mapping: mỗi segment overlay cần ánh xạ đúng VLAN→VNI tại VTEP.