Per discute di i gateway VXLAN, duvemu prima discute di VXLAN stessu. Ricurdatevi chì e VLAN tradiziunali (Virtual Local Area Networks) utilizanu ID VLAN di 12 bit per dividisce e rete, supportendu finu à 4096 rete logiche. Questu funziona bè per e piccule rete, ma in i centri di dati muderni, cù e so migliaia di macchine virtuali, container è ambienti multi-tenant, e VLAN sò insufficienti. VXLAN hè natu, definitu da l'Internet Engineering Task Force (IETF) in RFC 7348. U so scopu hè di estende u duminiu di trasmissione di Layer 2 (Ethernet) nantu à e rete di Layer 3 (IP) utilizendu tunnel UDP.
In poche parole, VXLAN incapsula i frame Ethernet in i pacchetti UDP è aghjusta un VXLAN Network Identifier (VNI) di 24 bit, chì teoricamente supporta 16 milioni di reti virtuali. Questu hè cum'è dà à ogni rete virtuale una "carta d'identità", chì li permette di muoversi liberamente nantu à a rete fisica senza interferisce trà di elle. U cumpunente principale di VXLAN hè u VXLAN Tunnel End Point (VTEP), chì hè rispunsevule di l'incapsulazione è a decapsulazione di i pacchetti. VTEP pò esse software (cum'è Open vSwitch) o hardware (cum'è u chip ASIC nantu à u switch).
Perchè VXLAN hè cusì pupulare ? Perchè s'allinea perfettamente cù i bisogni di u cloud computing è di SDN (Software-Defined Networking). In i cloud publichi cum'è AWS è Azure, VXLAN permette una estensione senza soluzione di continuità di e rete virtuali di i locatari. In i centri di dati privati, supporta architetture di rete sovrapposte cum'è VMware NSX o Cisco ACI. Imaginate un centru di dati cù migliaia di servitori, ognunu cù decine di VM (Virtual Machines). VXLAN permette à queste VM di percepisce si cum'è parte di a stessa rete Layer 2, assicurendu una trasmissione fluida di e trasmissioni ARP è di e richieste DHCP.
Tuttavia, VXLAN ùn hè micca una panacea. Funziunà nantu à una rete L3 richiede una cunversione L2-à-L3, chì hè induve entra in ghjocu u gateway. U gateway VXLAN cunnetta a rete virtuale VXLAN cù rete esterne (cum'è VLAN tradiziunali o rete di routing IP), assicurendu u flussu di dati da u mondu virtuale à u mondu reale. U mecanismu di inoltru hè u core è l'anima di u gateway, determinendu cumu i pacchetti sò trattati, instradati è distribuiti.
U prucessu di trasmissione VXLAN hè cum'è un ballettu delicatu, cù ogni passu da a fonte à a destinazione strettamente ligatu. Analizemulu passu à passu.
Prima, un pacchettu hè mandatu da l'ospite surghjente (cum'è una VM). Questu hè un quadru Ethernet standard chì cuntene l'indirizzu MAC surghjente, l'indirizzu MAC di destinazione, u tag VLAN (s'ellu ci hè) è u payload. Dopu avè ricevutu stu quadru, u VTEP surghjente verifica l'indirizzu MAC di destinazione. Se l'indirizzu MAC di destinazione hè in a so tavula MAC (ottinutu per via di l'apprendimentu o di l'inundazione), sà à quale VTEP remotu trasmette u pacchettu.
U prucessu d'incapsulazione hè cruciale: u VTEP aghjusta un'intestazione VXLAN (cumprendu u VNI, i flags, ecc.), dopu un'intestazione UDP esterna (cù un portu d'origine basatu annantu à un hash di u quadru internu è un portu di destinazione fissu di 4789), un'intestazione IP (cù l'indirizzu IP d'origine di u VTEP lucale è l'indirizzu IP di destinazione di u VTEP remotu), è infine un'intestazione Ethernet esterna. L'interu pacchettu appare avà cum'è un pacchettu UDP/IP, pare un trafficu nurmale, è pò esse instradatu nantu à a rete L3.
Nant'à a reta fisica, u pacchettu hè trasmessu da un router o switch finu à ch'ellu ghjunghje à u VTEP di destinazione. U VTEP di destinazione elimina l'intestazione esterna, verifica l'intestazione VXLAN per assicurà chì u VNI currisponde, è dopu furnisce u frame Ethernet internu à l'host di destinazione. Sè u pacchettu hè un trafficu unicast, broadcast o multicast (BUM) scunnisciutu, u VTEP replica u pacchettu à tutti i VTEP pertinenti aduprendu l'inundazione, basendu si nantu à i gruppi multicast o a replicazione di l'intestazione unicast (HER).
U core di u principiu di trasmissione hè a separazione di u pianu di cuntrollu è di u pianu di dati. U pianu di cuntrollu usa Ethernet VPN (EVPN) o u mecanismu Flood and Learn per amparà e mappature MAC è IP. EVPN hè basatu annantu à u protocolu BGP è permette à i VTEP di scambià informazioni di routing, cum'è MAC-VRF (Virtual Routing and Forwarding) è IP-VRF. U pianu di dati hè rispunsevule di a trasmissione attuale, aduprendu tunnel VXLAN per una trasmissione efficiente.
Tuttavia, in i dispiegamenti attuali, l'efficienza di l'inoltru hà un impattu direttu nantu à e prestazioni. L'inundazioni tradiziunali ponu facilmente causà timpeste di trasmissione, in particulare in e grande rete. Questu porta à a necessità di ottimizazione di i gateway: i gateway ùn solu cunnettanu e rete interne è esterne, ma agiscenu ancu cum'è agenti ARP proxy, gestiscenu e perdite di percorsi è assicuranu i percorsi di inoltru più brevi.
Gateway VXLAN centralizatu
Una passerella VXLAN centralizzata, chjamata ancu passerella centralizzata o passerella L3, hè tipicamente implementata à u livellu di u core di un centru di dati. Agisce cum'è un hub centrale, attraversu u quale deve passà tuttu u trafficu cross-VNI o cross-subnet.
In principiu, un gateway centralizatu agisce cum'è u gateway predefinitu, furnendu servizii di routing di Layer 3 per tutte e rete VXLAN. Cunsiderate dui VNI: VNI 10000 (sotturete 10.1.1.0/24) è VNI 20000 (sotturete 10.2.1.0/24). Se a VM A in VNI 10000 vole accede à a VM B in VNI 20000, u pacchettu ghjunghje prima à u VTEP lucale. U VTEP lucale rileva chì l'indirizzu IP di destinazione ùn hè micca nantu à a sotturete lucale è u trasmette à u gateway centralizatu. U gateway decapsula u pacchettu, piglia una decisione di routing, è dopu ri-incapsula u pacchettu in un tunnel versu u VNI di destinazione.
I vantaghji sò evidenti:
○ Gestione simpliceTutte e cunfigurazioni di routing sò centralizate nantu à unu o dui dispusitivi, ciò chì permette à l'operatori di mantene solu uni pochi di gateway per copre tutta a rete. Questu approcciu hè adattatu per i centri di dati o ambienti di piccule è medie dimensioni chì implementanu VXLAN per a prima volta.
○Efficiente in termini di risorseI gateway sò tipicamente hardware d'alte prestazioni (cum'è u Cisco Nexus 9000 o Arista 7050) capace di gestisce quantità massive di trafficu. U pianu di cuntrollu hè centralizatu, facilitendu l'integrazione cù i cuntrolli SDN cum'è NSX Manager.
○Un forte cuntrollu di sicurezzaU trafficu deve passà per a passerella, facilitendu l'implementazione di ACL (Access Control Lists), firewall è NAT. Imaginate un scenariu multi-tenant induve una passerella centralizzata pò facilmente isolà u trafficu di i tenant.
Ma i difetti ùn ponu esse trascurati:
○ Puntu unicu di fallimentuSè u gateway falla, a cumunicazione L3 in tutta a rete hè paralizzata. Ancu s'è VRRP (Virtual Router Redundancy Protocol) pò esse adupratu per a ridondanza, porta sempre risichi.
○Collu di buttiglia di u rendimentuTuttu u trafficu est-ovest (cumunicazione trà i servitori) deve bypassà u gateway, risultendu in un percorsu subottimale. Per esempiu, in un cluster di 1000 nodi, se a larghezza di banda di u gateway hè di 100 Gbps, hè prubabile chì si verifichi congestione durante l'ore di punta.
○Scarsa scalabilitàÀ misura chì a scala di a rete cresce, u caricu di u gateway aumenta esponenzialmente. In un esempiu di u mondu reale, aghju vistu un centru di dati finanziariu chì utilizava un gateway centralizatu. Inizialmente, funzionava senza intoppi, ma dopu chì u numeru di VM hè radduppiatu, a latenza hè aumentata da microsecondi à millisecondi.
Scenariu d'applicazione: Adattu per ambienti chì richiedenu una alta simplicità di gestione, cum'è i cloud privati di l'impresa o e rete di prova. L'architettura ACI di Cisco usa spessu un mudellu centralizatu, cumminatu cù una topologia leaf-spine, per assicurà un funziunamentu efficiente di i gateway core.
Gateway VXLAN distribuitu
Un gateway VXLAN distribuitu, cunnisciutu ancu cum'è gateway distribuitu o gateway anycast, scarica a funzionalità di u gateway à ogni switch leaf o hypervisor VTEP. Ogni VTEP agisce cum'è un gateway lucale, gestendu l'inoltru L3 per a sottorete lucale.
U principiu hè più flessibile: ogni VTEP hè cunfiguratu cù u listessu IP virtuale (VIP) cum'è u gateway predefinitu, utilizendu u mecanismu Anycast. I pacchetti cross-subnet mandati da e VM sò instradati direttamente nantu à u VTEP lucale, senza avè da passà per un puntu cintrali. EVPN hè particularmente utile quì: attraversu BGP EVPN, u VTEP ampara i percorsi di l'ospiti remoti è usa u binding MAC/IP per evità l'inundazioni ARP.
Per esempiu, a VM A (10.1.1.10) vole accede à a VM B (10.2.1.10). U gateway predefinitu di a VM A hè u VIP di u VTEP lucale (10.1.1.1). U VTEP lucale si dirige versu a sotturete di destinazione, incapsula u pacchettu VXLAN è u manda direttamente à u VTEP di a VM B. Stu prucessu minimizza u percorsu è a latenza.
Vantaghji eccezziunali:
○ Alta scalabilitàDistribuisce a funzionalità di gateway à ogni nodu aumenta a dimensione di a rete, ciò chì hè beneficu per e rete più grande. I grandi fornitori di cloud cum'è Google Cloud utilizanu un mecanismu simile per supportà milioni di VM.
○Prestazione superioreU trafficu est-ovest hè trattatu lucalmente per evità i colli di buttiglia. I dati di prova mostranu chì u rendimentu pò aumentà di 30%-50% in modu distribuitu.
○Recuperazione rapida di guastiUn unicu fallimentu di VTEP affetta solu l'ospite lucale, lascendu l'altri nodi invariati. Cumbinatu cù a rapida cunvergenza di EVPN, u tempu di ricuperazione hè in seconde.
○Bon usu di e risorseAduprate u chip ASIC di u switch Leaf esistente per l'accelerazione hardware, cù velocità di inoltru chì righjunghjenu u livellu di Tbps.
Chì sò i svantaghji ?
○ Cunfigurazione cumplessaOgni VTEP richiede a cunfigurazione di u routing, EVPN è altre funzionalità, ciò chì rende u sviluppu iniziale longu. A squadra operativa deve esse familiarizata cù BGP è SDN.
○Requisiti hardware elevatiGateway distribuitu: Micca tutti i switch supportanu i gateway distribuiti; sò richiesti chip Broadcom Trident o Tomahawk. L'implementazioni di software (cum'è OVS nantu à KVM) ùn funzionanu micca cusì bè cum'è l'hardware.
○Sfide di cuerenzaDistribuitu significa chì a sincronizazione di statu si basa nantu à EVPN. Se a sessione BGP fluttua, pò causà un pirtusu neru di routing.
Scenariu d'applicazione: Perfetta per i centri di dati iperscalabili o i cloud publichi. U router distribuitu di VMware NSX-T hè un esempiu tipicu. Cumbinatu cù Kubernetes, supporta perfettamente a rete di container.
Gateway VxLAN Centralizatu vs. Gateway VxLAN Distribuitu
Avà, à u puntu culminante: chì hè megliu? A risposta hè "dipende", ma ci vole à scavà in prufundità in i dati è i studii di casu per cunvince vi.
Da un puntu di vista di e prestazioni, i sistemi distribuiti sò chiaramente superiori. In un benchmark tipicu di un centru di dati (basatu annantu à l'equipaggiu di prova Spirent), a latenza media di un gateway centralizatu era di 150 μs, mentre quella di un sistema distribuitu era solu di 50 μs. In termini di rendimentu, i sistemi distribuiti ponu facilmente ottene l'inoltru di velocità di linea perchè sfruttanu u routing Spine-Leaf Equal Cost Multi-Path (ECMP).
A scalabilità hè un altru campu di battaglia. E rete centralizate sò adatte per e rete cù 100-500 nodi; al di là di sta scala, e rete distribuite piglianu a manu suprana. Pigliate Alibaba Cloud, per esempiu. U so VPC (Virtual Private Cloud) usa gateway VXLAN distribuiti per supportà milioni d'utilizatori in u mondu sanu, cù una latenza di regione unica sottu à 1 ms. Un approcciu centralizatu saria cascatu assai tempu fà.
È chì ne hè di u costu ? Una suluzione cintralizzata offre un investimentu iniziale più bassu, chì richiede solu uni pochi di gateway di fascia alta. Una suluzione distribuita richiede chì tutti i nodi foglia supportinu u scaricamentu VXLAN, ciò chì porta à costi di aghjurnamentu hardware più elevati. Tuttavia, à longu andà, una suluzione distribuita offre costi O&M più bassi, postu chì strumenti di automatizazione cum'è Ansible permettenu a cunfigurazione in batch.
Sicurezza è affidabilità: I sistemi centralizzati facilitanu a prutezzione centralizzata, ma presentanu un risicu elevatu di punti d'attaccu unichi. I sistemi distribuiti sò più resilienti, ma necessitanu un pianu di cuntrollu robustu per impedisce l'attacchi DDoS.
Un studiu di casu di u mondu reale: una sucietà di e-commerce hà utilizatu una VXLAN centralizzata per custruisce u so situ. Durante i periodi di punta, l'usu di a CPU di u gateway hè aumentatu finu à u 90%, ciò chì hà purtatu à lagnanze di l'utilizatori riguardu à a latenza. U cambiamentu à un mudellu distribuitu hà risoltu u prublema, permettendu à a cumpagnia di radduppià facilmente a so scala. À u cuntrariu, una piccula banca hà insistitu nantu à un mudellu centralizatu perchè anu datu priorità à l'audits di cunfurmità è anu trovu a gestione centralizzata più faciule.
In generale, sè vo circate prestazioni è scalabilità di rete estreme, un approcciu distribuitu hè a strada da seguità. Sè u vostru budget hè limitatu è a vostra squadra di gestione manca di sperienza, un approcciu centralizatu hè più praticu. In u futuru, cù l'ascesa di u 5G è di l'edge computing, e rete distribuite diventeranu più populari, ma e rete centralizate saranu sempre preziose in scenarii specifici, cum'è l'interconnessione di e filiali.
Mylinking™ Broker di pacchetti di retesupportu VxLAN, VLAN, GRE, MPLS Header Stripping
Hà supportatu l'intestazione VxLAN, VLAN, GRE, MPLS eliminata in u pacchettu di dati originale è l'output trasmessu.
Data di publicazione: 09-ott-2025
