VXLAN ağ geçitlerini ele almak için önce VXLAN'ın kendisini ele almalıyız. Geleneksel VLAN'ların (Sanal Yerel Alan Ağları), ağları bölmek için 12 bitlik VLAN kimlikleri kullandığını ve 4096'ya kadar mantıksal ağı desteklediğini hatırlayalım. Bu, küçük ağlar için iyi çalışır, ancak binlerce sanal makine, konteyner ve çok kiracılı ortamların bulunduğu modern veri merkezlerinde VLAN'lar yetersiz kalır. VXLAN, İnternet Mühendisliği Görev Gücü (IETF) tarafından RFC 7348'de tanımlandığı gibi doğmuştur. Amacı, UDP tünelleri kullanarak Katman 2 (Ethernet) yayın alanını Katman 3 (IP) ağlarına genişletmektir.
Basitçe söylemek gerekirse, VXLAN, Ethernet çerçevelerini UDP paketlerine kapsüller ve 24 bitlik bir VXLAN Ağ Tanımlayıcısı (VNI) ekleyerek teorik olarak 16 milyon sanal ağı destekler. Bu, her sanal ağa bir "kimlik kartı" vermek gibidir ve bu sayede fiziksel ağda birbirleriyle etkileşime girmeden serbestçe hareket edebilirler. VXLAN'ın temel bileşeni, paketleri kapsüllemek ve kapsüllerini açmaktan sorumlu olan VXLAN Tünel Uç Noktası'dır (VTEP). VTEP, yazılım (Open vSwitch gibi) veya donanım (anahtar üzerindeki ASIC çipi gibi) olabilir.
VXLAN neden bu kadar popüler? Çünkü bulut bilişim ve SDN (Yazılım Tanımlı Ağ) ihtiyaçlarıyla mükemmel bir şekilde örtüşüyor. AWS ve Azure gibi genel bulutlarda VXLAN, kiracıların sanal ağlarının sorunsuz bir şekilde genişletilmesini sağlar. Özel veri merkezlerinde ise VMware NSX veya Cisco ACI gibi üst katman ağ mimarilerini destekler. Her biri düzinelerce VM (Sanal Makine) çalıştıran binlerce sunucunun bulunduğu bir veri merkezini düşünün. VXLAN, bu VM'lerin kendilerini aynı Katman 2 ağının bir parçası olarak algılamalarını sağlayarak ARP yayınlarının ve DHCP isteklerinin sorunsuz iletilmesini sağlar.
Ancak VXLAN her derde deva değildir. L3 ağında çalışmak, L2'den L3'e dönüşüm gerektirir ve ağ geçidi de tam bu noktada devreye girer. VXLAN ağ geçidi, VXLAN sanal ağını harici ağlara (geleneksel VLAN'lar veya IP yönlendirme ağları gibi) bağlayarak, sanal dünyadan gerçek dünyaya veri akışını sağlar. Yönlendirme mekanizması, ağ geçidinin kalbi ve ruhudur ve paketlerin nasıl işleneceğini, yönlendirileceğini ve dağıtılacağını belirler.
VXLAN yönlendirme süreci, kaynaktan hedefe kadar her adımın birbiriyle yakından bağlantılı olduğu hassas bir bale gibidir. Şimdi adım adım açıklayalım.
İlk olarak, kaynak ana bilgisayardan (örneğin bir sanal makineden) bir paket gönderilir. Bu, kaynak MAC adresini, hedef MAC adresini, VLAN etiketini (varsa) ve yükü içeren standart bir Ethernet çerçevesidir. Kaynak VTEP, bu çerçeveyi aldıktan sonra hedef MAC adresini kontrol eder. Hedef MAC adresi MAC tablosundaysa (öğrenme veya yoğunlaştırma yoluyla elde edilmişse), paketi hangi uzak VTEP'e ileteceğini bilir.
Kapsülleme işlemi kritik öneme sahiptir: VTEP, bir VXLAN başlığı (VNI, bayraklar vb. dahil), ardından bir dış UDP başlığı (iç çerçevenin karma değerine dayalı bir kaynak bağlantı noktası ve 4789 sabit hedef bağlantı noktası), bir IP başlığı (yerel VTEP'in kaynak IP adresi ve uzak VTEP'in hedef IP adresi) ve son olarak bir dış Ethernet başlığı ekler. Paketin tamamı artık bir UDP/IP paketi olarak görünür, normal trafik gibi görünür ve L3 ağında yönlendirilebilir.
Fiziksel ağda, paket hedef VTEP'ye ulaşana kadar bir yönlendirici veya anahtar tarafından iletilir. Hedef VTEP, dış başlığı sıyırır, VNI'nin eşleştiğinden emin olmak için VXLAN başlığını kontrol eder ve ardından iç Ethernet çerçevesini hedef ana bilgisayara iletir. Paket bilinmeyen tek yayın, genel yayın veya çok noktaya yayın (BUM) trafiğiyse, VTEP, çok noktaya yayın gruplarına veya tek noktaya yayın başlığı çoğaltmasına (HER) güvenerek, paketi ilgili tüm VTEP'lere taşma yoluyla çoğaltır.
Yönlendirme ilkesinin özü, kontrol düzlemi ile veri düzleminin ayrılmasıdır. Kontrol düzlemi, MAC ve IP eşlemelerini öğrenmek için Ethernet VPN (EVPN) veya Flood and Learn mekanizmasını kullanır. EVPN, BGP protokolüne dayanır ve VTEP'lerin MAC-VRF (Sanal Yönlendirme ve Yönlendirme) ve IP-VRF gibi yönlendirme bilgilerini paylaşmasına olanak tanır. Veri düzlemi ise, verimli iletim için VXLAN tünellerini kullanarak gerçek yönlendirmeden sorumludur.
Ancak gerçek dağıtımlarda, yönlendirme verimliliği performansı doğrudan etkiler. Geleneksel sel baskınları, özellikle büyük ağlarda kolayca yayın fırtınalarına neden olabilir. Bu durum, ağ geçidi optimizasyonu ihtiyacını doğurur: ağ geçitleri yalnızca dahili ve harici ağları birbirine bağlamakla kalmaz, aynı zamanda proxy ARP aracıları olarak da görev yapar, rota sızıntılarını yönetir ve en kısa yönlendirme yollarını sağlar.
Merkezi VXLAN Ağ Geçidi
Merkezi VXLAN ağ geçidi, aynı zamanda merkezi ağ geçidi veya L3 ağ geçidi olarak da adlandırılır ve genellikle bir veri merkezinin uç veya çekirdek katmanında kullanılır. Tüm çapraz VNI veya çapraz alt ağ trafiğinin geçmesi gereken merkezi bir merkez görevi görür.
Prensip olarak, merkezi bir ağ geçidi varsayılan ağ geçidi görevi görerek tüm VXLAN ağları için Katman 3 yönlendirme hizmetleri sağlar. İki VNI ele alalım: VNI 10000 (alt ağ 10.1.1.0/24) ve VNI 20000 (alt ağ 10.2.1.0/24). VNI 10000'deki VM A, VNI 20000'deki VM B'ye erişmek isterse, paket önce yerel VTEP'e ulaşır. Yerel VTEP, hedef IP adresinin yerel alt ağda olmadığını algılar ve merkezi ağ geçidine iletir. Ağ geçidi paketi kapsülden çıkarır, bir yönlendirme kararı verir ve ardından paketi hedef VNI'ye giden bir tünele yeniden kapsüller.
Avantajları ortadadır:
○ Basit yönetimTüm yönlendirme yapılandırmaları bir veya iki cihazda merkezileştirildiğinden, operatörlerin tüm ağı kapsayacak şekilde yalnızca birkaç ağ geçidi bulundurması mümkündür. Bu yaklaşım, VXLAN'ı ilk kez kullanan küçük ve orta ölçekli veri merkezleri veya ortamlar için uygundur.
○Kaynak verimliAğ geçitleri, genellikle büyük miktarda trafiği yönetebilen yüksek performanslı donanımlardır (Cisco Nexus 9000 veya Arista 7050 gibi). Kontrol düzlemi merkezidir ve NSX Manager gibi SDN denetleyicileriyle entegrasyonu kolaylaştırır.
○Güçlü güvenlik kontrolüTrafiğin ağ geçidinden geçmesi gerekir; bu da ACL'lerin (Erişim Kontrol Listeleri), güvenlik duvarlarının ve NAT'ın uygulanmasını kolaylaştırır. Merkezi bir ağ geçidinin kiracı trafiğini kolayca izole edebildiği çok kiracılı bir senaryo düşünün.
Ancak eksiklikleri de göz ardı edemeyiz:
○ Tek bir arıza noktasıAğ geçidi arızalanırsa, tüm ağ genelindeki L3 iletişimi sekteye uğrar. VRRP (Sanal Yönlendirici Yedeklilik Protokolü) yedeklilik için kullanılabilse de, yine de riskler taşır.
○Performans darboğazıTüm doğu-batı trafiği (sunucular arasındaki iletişim) ağ geçidini atlamak zorundadır, bu da en uygun olmayan bir yol oluşturur. Örneğin, 1000 düğümlü bir kümede, ağ geçidi bant genişliği 100 Gbps ise, yoğun saatlerde tıkanıklık yaşanması muhtemeldir.
○Zayıf ölçeklenebilirlikAğ ölçeği büyüdükçe, ağ geçidi yükü de katlanarak artar. Gerçek dünyadan bir örnekte, merkezi bir ağ geçidi kullanan bir finansal veri merkezi gördüm. Başlangıçta sorunsuz çalıştı, ancak sanal makine sayısı iki katına çıktıktan sonra gecikme süresi mikrosaniyelerden milisaniyelere fırladı.
Uygulama Senaryosu: Kurumsal özel bulutlar veya test ağları gibi yüksek yönetim kolaylığı gerektiren ortamlar için uygundur. Cisco'nun ACI mimarisi, çekirdek ağ geçitlerinin verimli çalışmasını sağlamak için genellikle yaprak-omurga topolojisiyle birleştirilmiş merkezi bir model kullanır.
Dağıtılmış VXLAN Ağ Geçidi
Dağıtılmış ağ geçidi veya anycast ağ geçidi olarak da bilinen dağıtılmış bir VXLAN ağ geçidi, ağ geçidi işlevselliğini her bir leaf switch veya hipervizör VTEP'ine aktarır. Her VTEP, yerel alt ağ için L3 iletimini yöneten yerel bir ağ geçidi görevi görür.
Prensip daha esnektir: Her VTEP, Anycast mekanizması kullanılarak varsayılan ağ geçidiyle aynı sanal IP (VIP) ile yapılandırılır. Sanal makineler tarafından gönderilen çapraz alt ağ paketleri, merkezi bir noktadan geçmek zorunda kalmadan doğrudan yerel VTEP üzerinden yönlendirilir. EVPN burada özellikle kullanışlıdır: BGP EVPN aracılığıyla VTEP, uzak ana bilgisayarların rotalarını öğrenir ve ARP taşmasını önlemek için MAC/IP bağlamasını kullanır.
Örneğin, VM A (10.1.1.10), VM B'ye (10.2.1.10) erişmek istiyor. VM A'nın varsayılan ağ geçidi, yerel VTEP'in (10.1.1.1) VIP'sidir. Yerel VTEP, hedef alt ağa yönlendirilir, VXLAN paketini kapsüller ve doğrudan VM B'nin VTEP'ine gönderir. Bu işlem, yolu ve gecikmeyi en aza indirir.
Üstün Avantajlar:
○ Yüksek ölçeklenebilirlikAğ geçidi işlevselliğinin her düğüme dağıtılması, ağ boyutunu artırır ve bu da daha büyük ağlar için faydalıdır. Google Cloud gibi büyük bulut sağlayıcıları, milyonlarca sanal makineyi desteklemek için benzer bir mekanizma kullanır.
○Üstün performansDoğu-batı trafiği, darboğazları önlemek için yerel olarak işlenir. Test verileri, dağıtılmış modda verimin %30-50 oranında artabileceğini göstermektedir.
○Hızlı hata kurtarmaTek bir VTEP arızası yalnızca yerel ana bilgisayarı etkiler ve diğer düğümler etkilenmez. EVPN'nin hızlı yakınsama özelliğiyle birleştiğinde, kurtarma süresi saniyeler içinde gerçekleşir.
○Kaynakların iyi kullanımıDonanım hızlandırma için mevcut Leaf switch ASIC çipini kullanın ve yönlendirme hızlarını Tbps seviyesine ulaştırın.
Dezavantajları nelerdir?
○ Karmaşık yapılandırmaHer VTEP, yönlendirme, EVPN ve diğer özelliklerin yapılandırılmasını gerektirdiğinden, ilk dağıtım zaman alıcıdır. Operasyon ekibinin BGP ve SDN konusunda bilgi sahibi olması gerekir.
○Yüksek donanım gereksinimleriDağıtılmış ağ geçidi: Tüm anahtarlar dağıtılmış ağ geçitlerini desteklemez; Broadcom Trident veya Tomahawk yongaları gereklidir. Yazılım uygulamaları (KVM üzerinde OVS gibi) donanım uygulamaları kadar iyi performans göstermez.
○Tutarlılık ZorluklarıDağıtılmış, durum senkronizasyonunun EVPN'ye dayandığı anlamına gelir. BGP oturumu dalgalanması, yönlendirmede bir kara deliğe neden olabilir.
Uygulama Senaryosu: Hiper ölçekli veri merkezleri veya genel bulutlar için mükemmeldir. VMware NSX-T'nin dağıtılmış yönlendiricisi tipik bir örnektir. Kubernetes ile birleştirildiğinde, konteyner ağlarını sorunsuz bir şekilde destekler.
Merkezi VxLAN Ağ Geçidi ve Dağıtılmış VxLAN Ağ Geçidi
Şimdi asıl konuya gelelim: Hangisi daha iyi? Cevap "duruma göre değişir", ancak sizi ikna etmek için verileri ve vaka çalışmalarını derinlemesine incelememiz gerekiyor.
Performans açısından, dağıtılmış sistemler açıkça daha iyi performans göstermektedir. Tipik bir veri merkezi kıyaslamasında (Spirent test ekipmanına göre), merkezi bir ağ geçidinin ortalama gecikme süresi 150 μs iken, dağıtılmış bir sistemin gecikme süresi yalnızca 50 μs idi. Verim açısından, dağıtılmış sistemler, Spine-Leaf Eşit Maliyetli Çoklu Yol (ECMP) yönlendirmesinden yararlandıkları için hat hızı yönlendirmesini kolayca gerçekleştirebilirler.
Ölçeklenebilirlik bir diğer önemli rekabet alanıdır. Merkezi ağlar, 100-500 düğümlü ağlar için uygundur; bu ölçeğin ötesinde, dağıtılmış ağlar üstünlük kazanır. Örneğin Alibaba Cloud'u ele alalım. VPC'leri (Sanal Özel Bulut), dünya çapında milyonlarca kullanıcıyı desteklemek için dağıtılmış VXLAN ağ geçitleri kullanır ve tek bölge gecikmesi 1 ms'nin altındadır. Merkezi bir yaklaşım çoktan çökmüş olurdu.
Peki ya maliyet? Merkezi bir çözüm, yalnızca birkaç üst düzey ağ geçidi gerektirdiğinden daha düşük ilk yatırım sunar. Dağıtık bir çözüm ise tüm yaprak düğümlerinin VXLAN yük boşaltmasını desteklemesini gerektirir ve bu da daha yüksek donanım yükseltme maliyetlerine yol açar. Ancak uzun vadede, Ansible gibi otomasyon araçları toplu yapılandırmayı mümkün kıldığından, dağıtık bir çözüm daha düşük İşletme ve Bakım maliyetleri sunar.
Güvenlik ve güvenilirlik: Merkezi sistemler merkezi korumayı kolaylaştırır, ancak tek noktadan saldırı riski yüksektir. Dağıtık sistemler daha dayanıklıdır, ancak DDoS saldırılarını önlemek için güçlü bir kontrol düzlemi gerektirir.
Gerçek bir vaka çalışması: Bir e-ticaret şirketi, sitesini oluşturmak için merkezi VXLAN kullandı. Yoğun dönemlerde ağ geçidi CPU kullanımı %90'a fırladı ve bu da kullanıcıların gecikme şikayetlerine yol açtı. Dağıtık bir modele geçiş, sorunu çözdü ve şirketin ölçeğini kolayca iki katına çıkarmasını sağladı. Öte yandan, küçük bir banka, uyumluluk denetimlerine öncelik verdiği ve merkezi yönetimi daha kolay bulduğu için merkezi bir modelde ısrar etti.
Genel olarak, olağanüstü ağ performansı ve ölçeklenebilirliği arıyorsanız, dağıtılmış bir yaklaşım doğru yoldur. Bütçeniz sınırlıysa ve yönetim ekibiniz deneyimsizse, merkezi bir yaklaşım daha pratiktir. Gelecekte, 5G ve uç bilişimin yükselişiyle birlikte dağıtılmış ağlar daha popüler hale gelecek, ancak merkezi ağlar, şube ofis bağlantıları gibi belirli senaryolarda hala değerli olacaktır.
Mylinking™ Ağ Paket BrokerlarıVxLAN, VLAN, GRE, MPLS Başlık Soyma desteği
Orijinal veri paketinde soyulmuş VxLAN, VLAN, GRE, MPLS başlığı desteklendi ve çıktı iletildi.
Gönderi zamanı: 09-Eki-2025
