VXLAN ağ geçitlerini ele almadan önce, öncelikle VXLAN'ın kendisini ele almalıyız. Geleneksel VLAN'ların (Sanal Yerel Alan Ağları) ağları bölmek için 12 bitlik VLAN kimlikleri kullandığını ve 4096'ya kadar mantıksal ağı desteklediğini hatırlayalım. Bu, küçük ağlar için iyi çalışır, ancak binlerce sanal makine, konteyner ve çok kiracılı ortamlara sahip modern veri merkezlerinde VLAN'lar yetersiz kalır. İnternet Mühendisliği Görev Gücü (IETF) tarafından RFC 7348'de tanımlanan VXLAN doğdu. Amacı, UDP tünelleri kullanarak Katman 2 (Ethernet) yayın alanını Katman 3 (IP) ağları üzerinden genişletmektir.
Basitçe ifade etmek gerekirse, VXLAN, Ethernet çerçevelerini UDP paketleri içine kapsüller ve teorik olarak 16 milyon sanal ağı destekleyen 24 bitlik bir VXLAN Ağ Tanımlayıcısı (VNI) ekler. Bu, her sanal ağa bir "kimlik kartı" vermek gibidir ve birbirleriyle etkileşime girmeden fiziksel ağda serbestçe hareket etmelerini sağlar. VXLAN'ın temel bileşeni, paketleri kapsüllemek ve kapsülü açmaktan sorumlu olan VXLAN Tünel Uç Noktası (VTEP)'dır. VTEP, yazılım (örneğin Open vSwitch) veya donanım (örneğin anahtardaki ASIC çipi) olabilir.
VXLAN neden bu kadar popüler? Çünkü bulut bilişim ve SDN (Yazılım Tanımlı Ağ) ihtiyaçlarıyla mükemmel bir uyum sağlıyor. AWS ve Azure gibi genel bulutlarda VXLAN, kiracıların sanal ağlarının sorunsuz bir şekilde genişletilmesini sağlıyor. Özel veri merkezlerinde ise VMware NSX veya Cisco ACI gibi üst katman ağ mimarilerini destekliyor. Binlerce sunucunun bulunduğu ve her birinde onlarca sanal makine (VM) çalıştıran bir veri merkezini düşünün. VXLAN, bu sanal makinelerin kendilerini aynı Katman 2 ağının bir parçası olarak algılamalarını sağlayarak ARP yayınlarının ve DHCP isteklerinin sorunsuz bir şekilde iletilmesini garanti ediyor.
Ancak VXLAN her derde deva değildir. L3 ağında çalışmak, L2'den L3'e dönüştürme gerektirir ve işte burada ağ geçidi devreye girer. VXLAN ağ geçidi, VXLAN sanal ağını harici ağlarla (geleneksel VLAN'lar veya IP yönlendirme ağları gibi) bağlayarak verilerin sanal dünyadan gerçek dünyaya akmasını sağlar. İletme mekanizması, ağ geçidinin kalbi ve ruhudur; paketlerin nasıl işleneceğini, yönlendirileceğini ve dağıtılacağını belirler.
VXLAN yönlendirme süreci, kaynaktan hedefe kadar her adımının yakından bağlantılı olduğu hassas bir bale gösterisi gibidir. Gelin bunu adım adım inceleyelim.
Öncelikle, kaynak ana bilgisayardan (örneğin bir sanal makineden) bir paket gönderilir. Bu, kaynak MAC adresi, hedef MAC adresi, VLAN etiketi (varsa) ve veri yükünü içeren standart bir Ethernet çerçevesidir. Bu çerçeveyi aldıktan sonra, kaynak VTEP hedef MAC adresini kontrol eder. Hedef MAC adresi, (öğrenme veya yayma yoluyla elde edilen) MAC tablosunda mevcutsa, paketi hangi uzak VTEP'e ileteceğini bilir.
Kapsülleme işlemi çok önemlidir: VTEP, önce bir VXLAN başlığı (VNI, bayraklar vb. dahil), ardından dış bir UDP başlığı (iç çerçevenin hash'ine dayalı bir kaynak portu ve 4789'luk sabit bir hedef portu ile), bir IP başlığı (yerel VTEP'in kaynak IP adresi ve uzak VTEP'in hedef IP adresi ile) ve son olarak dış bir Ethernet başlığı ekler. Tüm paket artık bir UDP/IP paketi olarak görünür, normal trafik gibi görünür ve L3 ağında yönlendirilebilir.
Fiziksel ağda, paket hedef VTEP'e ulaşana kadar bir yönlendirici veya anahtar tarafından iletilir. Hedef VTEP, dış başlığı kaldırır, VNI'nin eşleştiğinden emin olmak için VXLAN başlığını kontrol eder ve ardından iç Ethernet çerçevesini hedef ana bilgisayara iletir. Paket bilinmeyen tek noktaya yayın, yayın veya çok noktaya yayın (BUM) trafiği ise, VTEP, çok noktaya yayın gruplarına veya tek noktaya yayın başlık çoğaltmasına (HER) güvenerek, sel yayma yöntemiyle paketi ilgili tüm VTEP'lere çoğaltır.
İletim prensibinin özü, kontrol düzlemi ve veri düzleminin ayrılmasıdır. Kontrol düzlemi, MAC ve IP eşlemelerini öğrenmek için Ethernet VPN (EVPN) veya Flood and Learn mekanizmasını kullanır. EVPN, BGP protokolüne dayanır ve VTEP'lerin MAC-VRF (Sanal Yönlendirme ve İletme) ve IP-VRF gibi yönlendirme bilgilerini değiş tokuş etmesine olanak tanır. Veri düzlemi, verimli iletim için VXLAN tünellerini kullanarak gerçek iletimden sorumludur.
Ancak, gerçek uygulamalarda, iletim verimliliği performansı doğrudan etkiler. Geleneksel sel baskını, özellikle büyük ağlarda, yayın fırtınalarına kolayca neden olabilir. Bu da ağ geçidi optimizasyonuna duyulan ihtiyaca yol açar: ağ geçitleri yalnızca iç ve dış ağları birbirine bağlamakla kalmaz, aynı zamanda proxy ARP aracıları olarak da görev yapar, rota sızıntılarını yönetir ve en kısa iletim yollarını sağlar.
Merkezi VXLAN Ağ Geçidi
Merkezi bir VXLAN ağ geçidi, merkezi ağ geçidi veya L3 ağ geçidi olarak da adlandırılır ve genellikle bir veri merkezinin uç veya çekirdek katmanında konuşlandırılır. Tüm VNI'ler arası veya alt ağlar arası trafiğin geçmesi gereken merkezi bir merkez görevi görür.
Prensip olarak, merkezi bir ağ geçidi, tüm VXLAN ağları için Katman 3 yönlendirme hizmetleri sağlayan varsayılan ağ geçidi görevi görür. İki VNI'yi ele alalım: VNI 10000 (alt ağ 10.1.1.0/24) ve VNI 20000 (alt ağ 10.2.1.0/24). VNI 10000'deki VM A, VNI 20000'deki VM B'ye erişmek istiyorsa, paket önce yerel VTEP'e ulaşır. Yerel VTEP, hedef IP adresinin yerel alt ağda olmadığını tespit eder ve paketi merkezi ağ geçidine iletir. Ağ geçidi paketi açar, bir yönlendirme kararı verir ve ardından paketi hedef VNI'ye giden bir tünel içine yeniden kapsüller.
Avantajları apaçık ortada:
○ Basit yönetimTüm yönlendirme yapılandırmaları bir veya iki cihazda merkezileştirilir; bu da operatörlerin tüm ağı kapsamak için yalnızca birkaç ağ geçidi bulundurmasını sağlar. Bu yaklaşım, küçük ve orta ölçekli veri merkezleri veya VXLAN'ı ilk kez kullanan ortamlar için uygundur.
○Kaynak verimliAğ geçitleri genellikle yüksek performanslı donanımlardır (örneğin Cisco Nexus 9000 veya Arista 7050 gibi) ve büyük miktarda trafiği işleyebilirler. Kontrol düzlemi merkezileştirilmiştir ve bu da NSX Manager gibi SDN denetleyicileriyle entegrasyonu kolaylaştırır.
○Güçlü güvenlik kontrolüTrafik, erişim kontrol listelerinin (ACL'ler), güvenlik duvarlarının ve NAT'ın uygulanmasını kolaylaştırmak için ağ geçidinden geçmelidir. Merkezi bir ağ geçidinin kiracı trafiğini kolayca izole edebildiği çok kiracılı bir senaryoyu düşünün.
Ancak eksiklikler göz ardı edilemez:
○ Tek hata noktasıAğ geçidi arızalanırsa, tüm ağdaki L3 iletişimi felç olur. VRRP (Sanal Yönlendirici Yedeklilik Protokolü) yedeklilik için kullanılabilse de, yine de riskler taşır.
○Performans darboğazıDoğu-batı yönündeki tüm trafik (sunucular arasındaki iletişim) ağ geçidini atlamak zorundadır ve bu da optimum olmayan bir yola yol açar. Örneğin, 1000 düğümlü bir kümede, ağ geçidi bant genişliği 100 Gbps ise, yoğun saatlerde tıkanıklık yaşanması muhtemeldir.
○Zayıf ölçeklenebilirlikAğ ölçeği büyüdükçe, ağ geçidi yükü katlanarak artar. Gerçek dünyadan bir örnek olarak, merkezi bir ağ geçidi kullanan bir finans veri merkezini gördüm. Başlangıçta sorunsuz çalıştı, ancak sanal makine sayısı iki katına çıktıktan sonra gecikme mikrosaniyelerden milisaniyelere fırladı.
Uygulama Senaryosu: Kurumsal özel bulutlar veya test ağları gibi yüksek yönetim kolaylığı gerektiren ortamlar için uygundur. Cisco'nun ACI mimarisi, temel ağ geçitlerinin verimli çalışmasını sağlamak için genellikle yaprak-omurga topolojisiyle birleştirilmiş merkezi bir model kullanır.
Dağıtılmış VXLAN Ağ Geçidi
Dağıtılmış bir VXLAN ağ geçidi, dağıtılmış ağ geçidi veya anycast ağ geçidi olarak da bilinir ve ağ geçidi işlevselliğini her bir uç anahtara veya hipervizör VTEP'ine devreder. Her VTEP, yerel alt ağ için L3 yönlendirmesini yöneten yerel bir ağ geçidi görevi görür.
Prensip daha esnektir: Her VTEP, Anycast mekanizması kullanılarak varsayılan ağ geçidiyle aynı sanal IP (VIP) ile yapılandırılır. Sanal makineler tarafından gönderilen alt ağlar arası paketler, merkezi bir noktadan geçmek zorunda kalmadan doğrudan yerel VTEP üzerinde yönlendirilir. EVPN burada özellikle faydalıdır: BGP EVPN aracılığıyla VTEP, uzak ana bilgisayarların rotalarını öğrenir ve ARP selini önlemek için MAC/IP bağlamasını kullanır.
Örneğin, VM A (10.1.1.10), VM B'ye (10.2.1.10) erişmek istiyor. VM A'nın varsayılan ağ geçidi, yerel VTEP'in (10.1.1.1) VIP adresidir. Yerel VTEP, hedef alt ağa yönlendirme yapar, VXLAN paketini kapsüller ve doğrudan VM B'nin VTEP'ine gönderir. Bu işlem, yol uzunluğunu ve gecikmeyi en aza indirir.
Öne Çıkan Avantajlar:
○ Yüksek ölçeklenebilirlikAğ geçidi işlevselliğini her düğüme dağıtmak, ağ boyutunu artırır; bu da daha büyük ağlar için faydalıdır. Google Cloud gibi büyük bulut sağlayıcıları, milyonlarca sanal makineyi desteklemek için benzer bir mekanizma kullanır.
○Üstün performansDoğu-batı yönlü trafik, darboğazları önlemek için yerel olarak işlenir. Test verileri, dağıtılmış modda verimliliğin %30-50 oranında artırılabileceğini göstermektedir.
○Hızlı arıza gidermeTek bir VTEP arızası yalnızca yerel sunucuyu etkiler ve diğer düğümleri etkilemez. EVPN'nin hızlı yakınsama özelliğiyle birleştiğinde, kurtarma süresi saniyelerle ölçülür.
○Kaynakların iyi kullanımıMevcut Leaf anahtarlama ASIC çipini donanım hızlandırması için kullanarak, iletim hızlarını Tbps seviyesine ulaştırın.
Dezavantajları nelerdir?
○ Karmaşık yapılandırmaHer VTEP'in yönlendirme, EVPN ve diğer özelliklerin yapılandırılmasını gerektirmesi, ilk kurulumu zaman alıcı hale getirir. Operasyon ekibinin BGP ve SDN'ye aşina olması gerekir.
○Yüksek donanım gereksinimleriDağıtılmış ağ geçidi: Tüm switch'ler dağıtılmış ağ geçitlerini desteklemez; Broadcom Trident veya Tomahawk çipleri gereklidir. Yazılım uygulamaları (KVM üzerinde OVS gibi) donanım kadar iyi performans göstermez.
○Tutarlılık ZorluklarıDağıtılmış yapı, durum senkronizasyonunun EVPN'ye bağlı olduğu anlamına gelir. BGP oturumunda dalgalanmalar olursa, yönlendirme kara deliğine neden olabilir.
Uygulama Senaryosu: Hiper ölçekli veri merkezleri veya genel bulutlar için mükemmeldir. VMware NSX-T'nin dağıtık yönlendiricisi tipik bir örnektir. Kubernetes ile birlikte, konteyner ağını sorunsuz bir şekilde destekler.
Merkezi VxLAN Ağ Geçidi ile Dağıtılmış VxLAN Ağ Geçidi Karşılaştırması
Şimdi gelelim doruk noktasına: Hangisi daha iyi? Cevap "duruma bağlı", ancak sizi ikna etmek için verileri ve vaka çalışmalarını derinlemesine incelememiz gerekiyor.
Performans açısından bakıldığında, dağıtık sistemler açıkça daha üstün performans sergiliyor. Tipik bir veri merkezi kıyaslamasında (Spirent test ekipmanına dayalı olarak), merkezi bir ağ geçidinin ortalama gecikmesi 150 μs iken, dağıtık bir sistemin gecikmesi sadece 50 μs idi. Veri aktarım hızı açısından, dağıtık sistemler Omurga-Yaprak Eşit Maliyetli Çok Yollu (ECMP) yönlendirmeyi kullandıkları için hat hızında iletimi kolayca sağlayabilirler.
Ölçeklenebilirlik de bir diğer mücadele alanı. Merkezi ağlar 100-500 düğümlü ağlar için uygundur; bu ölçeğin ötesinde, dağıtık ağlar üstünlük kazanır. Örneğin Alibaba Cloud'u ele alalım. Sanal Özel Bulutları (VPC), dünya çapında milyonlarca kullanıcıyı desteklemek için dağıtık VXLAN ağ geçitleri kullanıyor ve tek bölge gecikmesi 1 ms'nin altında. Merkezi bir yaklaşım çoktan çökmüş olurdu.
Peki ya maliyet? Merkezi bir çözüm, yalnızca birkaç yüksek performanslı ağ geçidi gerektirdiğinden daha düşük başlangıç yatırımı sunar. Dağıtılmış bir çözüm ise tüm uç düğümlerin VXLAN yükünü hafifletmesini gerektirir ve bu da daha yüksek donanım yükseltme maliyetlerine yol açar. Bununla birlikte, uzun vadede, Ansible gibi otomasyon araçları toplu yapılandırmaya olanak sağladığı için dağıtılmış bir çözüm daha düşük işletme ve bakım maliyetleri sunar.
Güvenlik ve güvenilirlik: Merkezi sistemler merkezi korumayı kolaylaştırır ancak tek noktadan saldırı riski yüksektir. Dağıtılmış sistemler daha dayanıklıdır ancak DDoS saldırılarını önlemek için sağlam bir kontrol düzlemine ihtiyaç duyar.
Gerçek dünyadan bir örnek olay incelemesi: Bir e-ticaret şirketi, sitesini oluşturmak için merkezi VXLAN kullandı. Yoğun dönemlerde, ağ geçidi CPU kullanımı %90'a kadar yükseldi ve bu da kullanıcıların gecikmeyle ilgili şikayetlerine yol açtı. Dağıtılmış bir modele geçiş sorunu çözdü ve şirketin ölçeğini kolayca ikiye katlamasına olanak sağladı. Öte yandan, küçük bir banka, uyumluluk denetimlerine öncelik verdiği ve merkezi yönetimi daha kolay bulduğu için merkezi bir modelde ısrar etti.
Genel olarak, olağanüstü ağ performansı ve ölçeklenebilirlik arıyorsanız, dağıtık bir yaklaşım en uygunudur. Bütçeniz sınırlıysa ve yönetim ekibiniz deneyimsizse, merkezi bir yaklaşım daha pratiktir. Gelecekte, 5G ve uç bilişimin yükselişiyle dağıtık ağlar daha popüler hale gelecek, ancak merkezi ağlar şube ofisleri arası bağlantı gibi belirli senaryolarda hala değerli olacaktır.
Mylinking™ Ağ Paket AracılarıVxLAN, VLAN, GRE, MPLS Başlık Kaldırma desteği
Orijinal veri paketindeki VxLAN, VLAN, GRE, MPLS başlıklarının kaldırılıp iletilen çıktıya aktarılması desteklenmiştir.
Yayın tarihi: 09.10.2025
