TỔNG QUAN VỀ VIRTUAL EXTENSIBLE LAN (VXLAN)

Tổng quan:

Virtual Extensible LAN (VXLAN) là một trong những công nghệ quan trọng trong lĩnh vực mạng và ảo hóa mạng hiện đại. Trước khi VXLAN ra đời, việc quản lý và mở rộng mạng máy tính trở nên khá phức tạp, đặc biệt trong các môi trường đám mây và ảo hóa. VXLAN đã mang lại một giải pháp hiệu quả cho việc tạo ra các mạng ảo đa tài nguyên trên mạng vật lý.

Một trong những điểm đặc biệt của VXLAN là khả năng mở rộng mạng ảo trên mạng vật lý với sự hiệu quả cao, cho phép tạo ra hàng trăm nghìn mạng ảo độc lập trên cùng một hạ tầng mạng. VXLAN hoạt động dựa trên việc đóng gói các gói dữ liệu mạng bằng các tiêu chuẩn Ethernet, sau đó truyền chúng qua mạng vật lý thông qua giao thức UDP. Điều này cho phép người quản trị mạng tạo ra các mạng ảo mà không cần sửa đổi cơ sở hạ tầng mạng hiện có.

Mục lục :

1. Định nghĩa

2. Ưu điểm chính

3. Giải quyết những khía cạnh quan trọng với VXLAN

4. Ứng dụng VXLAN

5. Cách thức hoạt động của VXLAN

Nội dung bài viết :

1. Định nghĩa

Virtual eXtensible Local-Area Network, hoặc VXLAN, là một tiêu chuẩn công nghệ ảo hóa mạng do Tổ chức Tiêu chuẩn Kỹ thuật Internet (IETF) thiết lập. Nó cho phép một mạng vật lý duy nhất được chia sẻ bởi nhiều tổ chức khác nhau hoặc “người thuê,” mà không có bất kỳ người thuê nào có thể thấy được lưu lượng mạng của bất kỳ người thuê nào khác.

Một cách tương tự, VXLAN tương tự như các căn hộ riêng lẻ trong một tòa nhà chung: mỗi căn hộ là một không gian riêng tư độc lập trong một cấu trúc chung, giống như mỗi VXLAN là một đoạn mạng riêng tư riêng biệt trong mạng vật lý chung.

Kỹ thuật, VXLAN cho phép mạng vật lý được phân đoạn thành tối đa 16 triệu mạng ảo hoặc logic. Nó hoạt động bằng cách đóng gói các khung Ethernet Layer 2 vào một gói User Datagram Protocol (UDP) Layer 4 bên cạnh một tiêu đề VXLAN. Khi kết hợp với mạng riêng ảo Ethernet (EVPN) – một công nghệ dùng để chuyển giao lưu lượng Ethernet trong các mạng ảo hóa bằng cách sử dụng giao thức mạng rộng (WAN), VXLAN cho phép mạng Layer 2 được mở rộng qua mạng Layer 3 IP hoặc MPLS.

2. Ưu điểm chính

Bởi vì VXLAN được đóng gói bên trong một gói UDP, chúng có thể hoạt động trên bất kỳ mạng nào có khả năng truyền gói UDP. Sự bố trí vật lý và khoảng cách địa lý giữa các nút trong mạng cơ sở không quan trọng, miễn là các gói dữ liệu UDP được chuyển tiếp từ điểm cuối đầu mút VXLAN (VTEP) đóng gói đến VTEP giải gói.

Khi kết hợp VXLAN với EVPN, các nhà điều hành có thể tạo ra mạng ảo từ các cổng mạng vật lý trên bất kỳ switch mạng vật lý nào hỗ trợ tiêu chuẩn và thuộc về cùng một mạng Layer 3. Ví dụ, bạn có thể lấy một cổng từ switch A, hai cổng từ switch B và một cổng khác từ switch C và xây dựng một mạng ảo mà tất cả các thiết bị kết nối sẽ thấy nó như một mạng vật lý duy nhất. Các thiết bị tham gia vào mạng ảo này sẽ không thể thấy lưu lượng trong bất kỳ VXLAN nào khác hoặc mạng vật lý cơ sở.

3. Giải quyết những khía cạnh quan trọng với VXLAN

Tương tự như việc ảo hóa máy chủ được áp dụng một cách nhanh chóng đã thúc đẩy sự tăng cường đáng kể về tính linh hoạt và khả năng thích ứng, việc tách mạng ảo khỏi cơ sở hạ tầng vật lý giúp vận hành trở nên dễ dàng, nhanh chóng và hiệu quả hơn. Ví dụ, chúng cho phép nhiều người thuê chia sẻ một mạng vật lý duy nhất một cách an toàn, giúp các nhà điều hành mạng mở rộng cơ sở hạ tầng của họ một cách nhanh chóng và tiết kiệm để đáp ứng nhu cầu tăng .Lý do chính để phân đoạn mạng là để đảm bảo tính riêng tư và bảo mật, nhằm ngăn chặn người thuê mạng này từ việc xem hoặc truy cập lưu lượng thuộc về người thuê mạng khác.

Các nhà điều hành mạng thường chia mạng của họ theo cách tương tự như cách họ triển khai các mạng LAN ảo truyền thống (VLAN) từ lâu; tuy nhiên, VXLAN vượt qua các giới hạn về quy mô VLAN theo các cách sau đây.

Lý thuyết, bạn có thể tạo ra tới 16 triệu VXLAN trong một miền quản trị, so với tối đa 4094 VLAN truyền thống. Như vậy, VXLAN cung cấp phân đoạn mạng ở quy mô cần thiết để hỗ trợ một số lượng lớn người thuê, phù hợp cho các dịch vụ đám mây và cung cấp dịch vụ.

VXLAN cho phép bạn tạo các đoạn mạng mà kéo dài qua các trung tâm dữ liệu. Phân đoạn mạng dựa trên VLAN truyền thống tạo ra các miền phát sóng, nhưng ngay khi một gói chứa các thẻ VLAN đụng vào một bộ định tuyến, tất cả thông tin về VLAN đó đều bị loại bỏ. Điều này có nghĩa rằng VLAN chỉ di chuyển trong phạm vi mạng Layer 2 cơ sở của bạn. Điều này gây khó khăn cho một số trường hợp sử dụng, chẳng hạn như di chuyển máy ảo (VM), thường ưa thích không vượt qua các giới hạn Layer 3. Ngược lại, phân đoạn mạng VXLAN đóng gói gói tin gốc bên trong một gói UDP. Điều này cho phép một đoạn mạng VXLAN kéo dài cùng với mạng vận chuyển Layer 3 vật lý có thể đạt đến, miễn là tất cả switch và bộ định tuyến trên đường đi hỗ trợ VXLAN, mà không cần các ứng dụng chạy trên mạng ảo ẩn phải vượt qua bất kỳ giới hạn Layer 3 nào. Đối với các máy chủ kết nối vào mạng, chúng được xem xét như là một phần của cùng một mạng Layer 2, ngay cả khi các gói UDP gốc có thể đã trải qua một hoặc nhiều bộ định tuyến.

Khả năng cung cấp phân đoạn mạng Layer 2 trên mạng Layer 3 vật lý, kết hợp với số lượng đoạn mạng mà nó hỗ trợ, cho phép máy chủ là một phần của cùng một VXLAN, ngay cả khi chúng ở xa nhau, đồng thời giúp các quản trị mạng duy trì kích thước mạng Layer 2 nhỏ hơn. Có mạng Layer 2 nhỏ hơn giúp tránh tràn bảng MAC trên các switch.

4. Ứng dụng VXLAN

Các trường hợp sử dụng VXLAN cho các nhà cung cấp dịch vụ và nhà cung cấp đám mây là khá rõ ràng: những nhà điều hành này có số lượng lớn người thuê hoặc khách hàng, và có nhiều lý do về pháp lý, quyền riêng tư và bảo mật thông tin khách hàng khiến cho các nhà cung cấp phải phân chia lưu lượng mạng của một khách hàng khỏi khách hàng khác.

Trong môi trường doanh nghiệp, người thuê có thể là một nhóm người dùng, bộ phận hoặc bất kỳ tập hợp nào của người dùng hoặc thiết bị được phân đoạn mạng tạo ra vì lý do bảo mật nội bộ. Ví dụ, các thiết bị Internet of Things (IoT) như cảm biến môi trường trung tâm dữ liệu có thể dễ bị tấn công, vì vậy việc cách ly lưu lượng mạng IoT khỏi lưu lượng ứng dụng mạng sản xuất là một thực hành an toàn.

5. Cách thức hoạt động của VXLAN

Giao thức tunnel VXLAN đóng gói các khung Ethernet Layer 2 trong các gói UDP Layer 4, cho phép bạn tạo ra các mạng con Layer 2 ảo mà bao gồm các mạng Layer 3 vật lý. Mỗi mạng con phân đoạn được xác định bằng một Định danh Mạng VXLAN (VNI) duy nhất.

Đơn vị thực hiện việc đóng gói và giải gói các gói tin được gọi là Điểm Cuối Túnel VXLAN (VTEP). Một VTEP có thể là một thiết bị mạng độc lập, chẳng hạn như một bộ định tuyến hoặc switch vật lý, hoặc một switch ảo triển khai trên một máy chủ. VTEP đóng gói các khung Ethernet thành các gói VXLAN, sau đó gửi chúng đến VTEP đích thông qua một mạng Layer 3 IP hoặc mạng Layer 3 khác, nơi chúng được giải gói và chuyển tiếp đến máy chủ đích.

Để hỗ trợ các thiết bị không thể hoạt động như một VTEP một cách độc lập, chẳng hạn như các máy chủ bare-metal, các VTEP phần cứng như một số switch và bộ định tuyến Juniper có thể đóng gói và giải gói các gói tin dữ liệu. Ngoài ra, VTEP có thể tồn tại trên các máy chủ ảo hóa, chẳng hạn như máy ảo dựa trên kernel (KVM), để hỗ trợ trực tiếp các khối công việc ảo hóa. Loại VTEP này được gọi là VTEP phần mềm.

Trong hình ảnh trên, khi VTEP1 nhận một frame Ethernet từ Máy Ảo 1 (VM1) gửi đến Máy Ảo 3 (VM3),nó sử dụng VNI và địa chỉ MAC đích để tra cứu trong bảng forwarding của mình để xác định VTEP mà nó cần gửi gói tin đến.VTEP1 Add thêm VXLAN chứa VNI vào frame Ethernet, đóng gói frame trong một gói UDP Layer 3 và định tuyến gói tin đến VTEP2 qua mạng Layer 3.VTEP2 giải gói frame Ethernet gốc và chuyển tiếp nó đến VM3. VM1 và VM3 hoàn toàn không nhận biết được sự tồn tại của gói tunnel VXLAN và mạng Layer 3 nằm giữa họ.